微服務(wù)通過(guò)Feign調(diào)用進(jìn)行密碼安全認(rèn)證操作

更新時(shí)間：2021年06月30日 09:58:50 作者：向大海走去

這篇文章主要介紹了微服務(wù)通過(guò)Feign調(diào)用進(jìn)行密碼安全認(rèn)證操作，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教

微服務(wù)通過(guò)Feign調(diào)用進(jìn)行密碼安全認(rèn)證

在項(xiàng)目中，微服務(wù)之間的通信也是通過(guò)Feign代理的HTTP客戶端通信，為了保護(hù)我們的業(yè)務(wù)微服務(wù)不被其他非法未經(jīng)允許的服務(wù)調(diào)用，我們要進(jìn)行訪問(wèn)授權(quán)配置!

Feign是客戶端配置，@FeignClient注解有個(gè)configuation屬性，可以配置我們自定義的配置類，在此類中注入微服務(wù)認(rèn)證攔截器

  /**
     * 訪問(wèn)微服務(wù)需要密碼
     * @return
     */
    @Bean
    public FeignBasicAuthRequestInterceptor requestInterceptor(){
        System.out.println("------>進(jìn)入微服務(wù)認(rèn)證攔截器");
        return new FeignBasicAuthRequestInterceptor();
    }

feign內(nèi)部有自帶的BasicAuthRequestInterceptor類實(shí)現(xiàn)了RequestInterceptor接口，接收username，password參數(shù)，并將此參數(shù)通過(guò)apply方法設(shè)置到了請(qǐng)求頭中

public void apply(RequestTemplate template) {
        template.header("Authorization", new String[]{this.headerValue});
    }

由此我們可知，我們可以自定義類實(shí)現(xiàn)RequestInterceptor接口，重寫(xiě)apply方法，添加我們的認(rèn)證邏輯，也同樣通過(guò)RequestTemplate就token設(shè)置到請(qǐng)求頭中!

啟動(dòng)兩個(gè)微服務(wù)，打印日志信息，兩個(gè)微服務(wù)各自的控制臺(tái)都打印，證明認(rèn)證攔截器配置成功，通過(guò)Spring容器加載成功

那么，既然feign是客戶端配置，那么客戶端只要知道了所需調(diào)用微服務(wù)的rest就可以不配置這個(gè)攔截器也能訪問(wèn)，上述代碼并沒(méi)有達(dá)到保護(hù)業(yè)務(wù)服務(wù)資源的作用，"調(diào)用我必須需要密碼"這一行為應(yīng)該是由微服務(wù)強(qiáng)制要求才是!那么微服務(wù)在什么地方制定這個(gè)規(guī)則呢?

仔細(xì)閱讀BasicAuthRequestInterceptor源碼便知客戶端將密碼設(shè)置到了請(qǐng)求頭中，feign是模擬HTTP請(qǐng)求到微服務(wù)拿取資源，那么微服務(wù)就可以通過(guò)配置過(guò)濾器來(lái)過(guò)濾所有經(jīng)過(guò)"我"的請(qǐng)求，微服務(wù)在過(guò)濾器拿到客戶端請(qǐng)求的header就可以開(kāi)始我們的認(rèn)證邏輯了!

比較簡(jiǎn)單的認(rèn)證就是各自的微服務(wù)通過(guò)application.yml配置訪問(wèn)所需的賬號(hào)密碼，將這個(gè)賬號(hào)密碼告訴授信用的調(diào)用方，調(diào)用方設(shè)置feign攔截器將賬號(hào)密碼注入到header中!也可以進(jìn)行加密傳輸，過(guò)濾器再進(jìn)行解密

微服務(wù)過(guò)濾器注意對(duì)響應(yīng)設(shè)置編碼，否則輸出中文會(huì)亂碼

 httpResponse.setCharacterEncoding("UTF-8");
 httpResponse.setContentType("application/json;charset=utf-8");
 PrintWriter print = httpResponse.getWriter();

可以將過(guò)濾器抽取在公共類中，否則每個(gè)微服務(wù)都要配一個(gè)過(guò)濾器

微服務(wù)之間調(diào)用部分Feign接口忽略認(rèn)證授權(quán)

在SpringSecurity框架基礎(chǔ)之上實(shí)現(xiàn)微服務(wù)之間部分接口忽略認(rèn)證授權(quán).

思路

創(chuàng)建忽略授權(quán)注解

獲取所有被注解的類或者方法

在SpringSecurity框架中忽略授權(quán)

1. 創(chuàng)建忽略授權(quán)注解

@Target({ElementType.TYPE,ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface AuthIgnore {
}

2. 獲取所有被注解的類或者方法

@Slf4j
@Configuration
public class AuthIgnoreConfig implements InitializingBean { 
    @Autowired
    private ApplicationContext applicationContext; 
    private static final Pattern PATTERN = Pattern.compile("\\{(.*?)\\}");
    private static final String ASTERISK = "*"; 
    @Getter
    @Setter
    private List<String> ignoreUrls = new ArrayList<>(); 
    @Override
    public void afterPropertiesSet(){
        RequestMappingHandlerMapping mapping = applicationContext.getBean(RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = mapping.getHandlerMethods();
        map.keySet().forEach(mappingInfo -> {
            HandlerMethod handlerMethod = map.get(mappingInfo);
            AuthIgnore method = AnnotationUtils.findAnnotation(handlerMethod.getMethod(), AuthIgnore.class);
            Optional.ofNullable(method)
                    .ifPresent(authIgnore -> mappingInfo
                            .getPatternsCondition()
                            .getPatterns()
                            .forEach(url -> ignoreUrls.add(ReUtil.replaceAll(url, PATTERN, ASTERISK))));
        });
        Optional.ofNullable(applicationContext.getBeansWithAnnotation(AuthIgnore.class))
                .ifPresent(stringObjectMap -> stringObjectMap.values()
                    .forEach(object -> Arrays.asList(object.getClass().getInterfaces()[0].getDeclaredMethods()).forEach(method -> {
                        List<Annotation> annotations = Arrays.asList(method.getAnnotation(RequestMapping.class), method.getAnnotation(PostMapping.class),
                                method.getAnnotation(GetMapping.class));
                        annotations.forEach(annotation -> {
                            if (ObjectUtil.isNotEmpty(annotation)) {
                                try {
                                    Field field = Proxy.getInvocationHandler(annotation).getClass().getDeclaredField("memberValues");
                                    field.setAccessible(true);
                                    Map valueMap = (Map) field.get(Proxy.getInvocationHandler(annotation));
                                    String[] string = (String[])valueMap.get("value");
                                    ignoreUrls.add(StrUtil.SLASH.concat(ReUtil.replaceAll(string[0], PATTERN, ASTERISK)));
                                } catch (Exception e) {
                                   log.error(e.getMessage(),e);
                                }
                            }
                        });
                    })));
    }
}

實(shí)現(xiàn)InitializingBean接口后,該類初始化的時(shí)候會(huì)調(diào)用afterPropertiesSet方法

代碼中的工具類統(tǒng)一使用的hutool工具類

3. 在SpringSecurity框架中忽略授權(quán)

@Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/**/api/**","/v2/**","/actuator/**","doc.html")
                .antMatchers(authIgnoreConfig.getIgnoreUrls().stream().distinct().toArray(String[]::new));
    }

authIgnoreConfig變量為第二步的類,使用@Autowired注解注入進(jìn)來(lái)即可