devbox
繁依Fanyi0
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Spring-Gateway与Spring-Security在前后端分离项目中的实践_pathmatchers("").authenticated()

作者:繁依Fanyi0 | 2024-02-08 11:32:03

pathmatchers("").authenticated()

前言

网上貌似webflux这一套的SpringSecurity操作资料貌似很少。

自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。

新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。

一,前台登录

大概思路前台主要是配合项目中配置的clientId,clientSecret去第三方服务器拿授权码code,然后拿这个code去后端交互,后端根据code去第三方拿用户信息,由于第三方只保存用户信息,不管具体的业务权限,所以我会在本地保存一份用户副本,用来做权限关联。用户登录成功后,会把一些用户基本信息(脱敏)生成jwt返回给前端放到head中当Authorization,同时后端把一些相关联的菜单,权限等数据放到redis里做关联,为后面的权限控制做准备。

二,SpringSecurity的webflux应用

如果用过SpringSecurity,HttpSecurity应该是比较熟悉的,基于Web允许为特定的http请求配置安全性。

WebFlux中ServerHttpSecurity与HttpSecurity提供的相似的类似,但仅适用于WebFlux。默认情况下,它将应用于所有请求,但可以使用securityMatcher(ServerWebExchangeMatcher)或其他类似方法进行限制。

项目比较特殊,就不能全展示了,大概写一写,开启Security如下:

  1. @EnableWebFluxSecurity
  2. public class MyExplicitSecurityConfiguration {
  3.   @Bean
  4.   SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
  5.     http.securityContextRepository(new NoOpServerSecurityContextAutoRepository(tokenProvider)).httpBasic().disable()
  6.       .formLogin().disable()
  7.       .csrf().disable()
  8.       .logout().disable();
  9.     http.addFilterAt(corsFilter(), SecurityWebFiltersOrder.CORS)
  10.       .authorizeExchange()
  11.       .matchers(EndpointRequest.to("health", "info"))
  12.       .permitAll()
  13.       .and()
  14.       .authorizeExchange()
  15.       .pathMatchers(HttpMethod.OPTIONS)
  16.       .permitAll()
  17.       .and()
  18.       .authorizeExchange()
  19.       .pathMatchers(HttpMethod.PUT)
  20.       .denyAll()
  21.       .and()
  22.       .authorizeExchange()
  23.       .pathMatchers(HttpMethod.DELETE)
  24.       .denyAll()
  25.       .and()
  26.       .authorizeExchange()
  27.       .pathMatchers(HttpMethod.HEAD)
  28.       .denyAll()
  29.       .and()
  30.       .authorizeExchange()
  31.       .pathMatchers(HttpMethod.PATCH)
  32.       .denyAll()
  33.       .and()
  34.       .authorizeExchange()
  35.       .pathMatchers(HttpMethod.TRACE)
  36.       .denyAll()
  37.       .and()
  38.       .authorizeExchange()
  39.       .pathMatchers(excludedAuthPages).permitAll()
  40.       .and()
  41.       .authorizeExchange()
  42.       .pathMatchers(authenticatedPages).authenticated()
  43.       .and()
  44.       .exceptionHandling()
  45.       .accessDeniedHandler(new AccessDeniedEntryPointd())
  46.       .and()
  47.       .authorizeExchange()
  48.       .and()
  49.       .addFilterAt(webFilter(), SecurityWebFiltersOrder.AUTHORIZATION)
  50.       .authorizeExchange()
  51.       .pathMatchers("/**").access(new JwtAuthorizationManager(tokenProvider))
  52.       .anyExchange().authenticated();
  53.     return http.build();
  54.   }
  55. }

因为是前后端分离项目,所以没有常规的后端的登录操作,把这些disable掉。

securityContextRepository是个用于在请求之间保留SecurityContext策略接口,实现类是WebSessionServerSecurityContextRepository(session存储),还有就是NoOpServerSecurityContextRepository(用于无状态应用),像我们JWT这种就用后者,不能用前者,应该我们是无状态的应用,没有主动clear的操作,会导致内存溢出等问题。

build()方法中会有一个初始化操作。

初始化操作就设置成了WebSessionServerSecurityContextRepository,我们就自己在SecurityWebFilterChain中设置成NoOpServerSecurityContextRepository。

接下来我们为了满足自定义认证需求,我们自己配置一个AuthenticationWebFilter。

  1.    public AuthenticationWebFilter webFilter() {
  2.         AuthenticationWebFilter authenticationWebFilter = new AuthenticationWebFilter(new JWTReactiveAuthenticationManager(userCache, tokenProvider, coreUserApi));
  3.         authenticationWebFilter.setServerAuthenticationConverter(new TokenAuthenticationConverter(guestList, tokenProvider));
  4.         authenticationWebFilter.setRequiresAuthenticationMatcher(new NegatedServerWebExchangeMatcher(ServerWebExchangeMatchers.pathMatchers(excludedAuthPages)));
  5.         authenticationWebFilter.setSecurityContextRepository(new NoOpServerSecurityContextAutoRepository(tokenProvider));
  6.         return authenticationWebFilter;
  7.     }

几个特殊的类,稍微解释下。

  • AuthenticationWebFilter

一个执行特定请求身份验证的WebFilter,包含了一整套验证的流程操作,具体上源码看一眼基本能了解个大概。

  1. 	@Override
  2. 	public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
  3. 		return this.requiresAuthenticationMatcher.matches(exchange)
  4. 			.filter( matchResult -> matchResult.isMatch())
  5. 			.flatMap( matchResult -> this.authenticationConverter.convert(exchange))
  6. 			.switchIfEmpty(chain.filter(exchange).then(Mono.empty()))
  7. 			.flatMap( token -> authenticate(exchange, chain, token))
  8. 			.onErrorResume(AuthenticationException.class, e -> this.authenticationFailureHandler
  9. 					.onAuthenticationFailure(new WebFilterExchange(exchange, chain), e));
  10. 	}
  11.  
  12. 	private Mono<Void> authenticate(ServerWebExchange exchange, WebFilterChain chain, Authentication token) {
  13. 		return this.authenticationManagerResolver.resolve(exchange)
  14. 			.flatMap(authenticationManager -> authenticationManager.authenticate(token))
  15. 			.switchIfEmpty(Mono.defer(() -> Mono.error(new IllegalStateException("No provider found for " + token.getClass()))))
  16. 			.flatMap(authentication -> onAuthenticationSuccess(authentication, new WebFilterExchange(exchange, chain)));
  17. 	}
  18.  
  19. 	protected Mono<Void> onAuthenticationSuccess(Authentication authentication, WebFilterExchange webFilterExchange) {
  20. 		ServerWebExchange exchange = webFilterExchange.getExchange();
  21. 		SecurityContextImpl securityContext = new SecurityContextImpl();
  22. 		securityContext.setAuthentication(authentication);
  23. 		return this.securityContextRepository.save(exchange, securityContext)
  24. 			.then(this.authenticationSuccessHandler
  25. 				.onAuthenticationSuccess(webFilterExchange, authentication))
  26. 			.subscriberContext(ReactiveSecurityContextHolder.withSecurityContext(Mono.just(securityContext)));
  27. 	}

  • ServerWebExchangeMatcher

    一个用来匹配URL用来验证的接口,我代码中用的是他的实现类NegatedServerWebExchangeMatcher,这个类就是指一些我设置的白名单的url就不要验证了,他还有许多实现类,具体可以参见源码,我这就不累述了。

  • ServerAuthenticationConverter

    一个用于从ServerWebExchange转换为用于通过提供的org.springframework.security.authentication.ReactiveAuthenticationManager进行身份验证的Authentication的策略。 如果结果为Mono.empty() ,则表明不进行任何身份验证尝试。我这边自己实现了一个TokenAuthenticationConverter,主要功能就是通过JWT转换成Authentication(UsernamePasswordAuthenticationToken)。

  • ReactiveAuthenticationManager

    对提供的Authentication进行身份验证,基本上核心的验证操作就在它提供的唯一方法authenticate里进行操作,根据conver那边转换过来的Authentication当参数进行具体的验证操作,简述如下:

  1.     @Override
  2.     public Mono<Authentication> authenticate(final Authentication authentication) {
  3.         if (authentication.isAuthenticated()) {
  4.             return Mono.just(authentication);
  5.         }
  6.         return Mono.just(authentication)
  7.                 .switchIfEmpty(Mono.defer(this::raiseBadCredentials))
  8.                 .cast(UsernamePasswordAuthenticationToken.class)
  9.                 .flatMap(this::authenticateToken)
  10.                 .publishOn(Schedulers.parallel())
  11.                 .onErrorResume(e -> raiseBadCredentials())
  12.                 .switchIfEmpty(Mono.defer(this::raiseBadCredentials))
  13.                 .map(u -> {
  14.                     UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(authentication.getPrincipal(), authentication.getName(), Collections.EMPTY_LIST);
  15.                     usernamePasswordAuthenticationToken.setDetails(u);
  16.                     return usernamePasswordAuthenticationToken;
  17.                 });
  18.     }

  • ServerSecurityContextRepository

    用于在请求之间保留SecurityContext,因为在登录成功后我们是需要保存一个登录的数据,用来后面的请求进行相关的操作。因为我们是无状态的,所以其实NoOpServerSecurityContextRepository是能
    满足我们的需求,我们不需要进行实际的save,但是load我们稍微要改造下,所以我实现了ServerSecurityContextRepository,仿照NoOpServerSecurityContextRepository,实现了一个自定义的Repository,为什么load我们要改造,就是因为虽然我们是无状态的,但是实际上每次请求,我们依然要区分到底是谁,为了后面的权限验证做准备,所以我们根据jwt可以生成一个SecurityContext放入ReactiveSecurityContextHolder。

  1. public class NoOpServerSecurityContextAutoRepository
  2.         implements ServerSecurityContextRepository {
  3.  
  4.     private TokenProvider tokenProvider;
  5.  
  6.     public NoOpServerSecurityContextAutoRepository(TokenProvider tokenProvider) {
  7.         this.tokenProvider = tokenProvider;
  8.     }
  9.  
  10.     public Mono<Void> save(ServerWebExchange exchange, SecurityContext context) {
  11.         return Mono.empty();
  12.  
  13.     }
  14.  
  15.     public Mono<SecurityContext> load(ServerWebExchange exchange) {
  16.         String token = exchange.getRequest().getHeaders().getFirst("Authorization");
  17.         if (StrUtil.isNotBlank(token)) {
  18.             SecurityContext securityContext = new SecurityContextImpl();
  19.             securityContext.setAuthentication(new UsernamePasswordAuthenticationToken("password", token, Collections.EMPTY_LIST));
  20.             return Mono.justOrEmpty(securityContext);
  21.         } else {
  22.             return Mono.empty();
  23.         }
  24.     }
  25. }

权限验证

权限验证是在图上配置的。大概的流程,可以看下面的截图。

  • AuthorizationWebFilter

跟到里面,我们发现了最主要的就是这个AuthorizationWebFilter,用来做权限验证的,然后我们在filter方法里面就看得很清楚了,他第一步就是拿的ReactiveSecurityContextHolder.getContext(),然后我们之前在ReactorContextWebFilter里的load操作就是从我们NoOpServerSecurityContextAutoRepository里塞到ReactiveSecurityContextHolder里,因为本质 来说SpringSecurity就是个filter集合,我们从ReactorContextWebFilter里load,然后在AuthorizationWebFilter取,这样就能拿到Authentication来做权限验证了。

  • ReactiveAuthorizationManager

反应式授权管理器接口,可以确定Authentication是否有权访问特定对象。其实看源码就很清楚了,就是根据Authentication来做具体的权限验证。

代码很清楚,就不细讲了,我们主要是写check方法。所以我这边自已实现了一个JwtAuthorizationManager类用来做具体的check,内容我就不贴了,简单来说就是拿Authentication里的内容去redis里查对应的菜单权限。

结语

上面就我实际项目中的一些点滴记录,Spring-Security虽是一个博大精深的框架,细研究代码,其实也能大致明白整体的思路,虽然webflux让这一层代码更加了一层迷雾,但是只要努力钻研,总会有茅塞顿开的时候。

  • https://files.cnblogs.com/files/zhou-yuan/java.rar
  • 来源: https://www.cnblogs.com/zhou-yuan/p/14472889.html
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/68895
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号