摘要:鑒權(quán)項(xiàng)目是一個(gè)比較完整的使用了框架的開(kāi)源項(xiàng)目����,可以用它來(lái)快速搭建分布式系統(tǒng)。本次著重看的部分是其服務(wù)以及用戶鑒權(quán)的部分�。啟動(dòng)項(xiàng)目依次啟動(dòng),��,��,即可�。服務(wù)端則負(fù)責(zé)生成,驗(yàn)證和更新��。服務(wù)認(rèn)證由處理��。的鑒權(quán)也是通過(guò)的��。
鑒權(quán)
ACE項(xiàng)目是一個(gè)比較完整的使用了spring cloud框架的開(kāi)源項(xiàng)目�����,可以用它來(lái)快速搭建分布式系統(tǒng)。本次著重看的部分是其服務(wù)以及用戶鑒權(quán)的部分�����。ACE有一個(gè)鑒權(quán)服務(wù)����,負(fù)責(zé)微服務(wù)群的鑒權(quán)。啟動(dòng)ACE項(xiàng)目依次啟動(dòng)center�,auth-server,admin�,gateway即可。
模塊架構(gòu)
鑒權(quán)模塊分為服務(wù)端和客戶端(另有一個(gè)common模塊����,可忽略��,是一些鑒權(quán)模塊公用代碼的提?����。?����。應(yīng)用程序依賴客戶端,客戶端提供了兩個(gè)攔截器�,工具類(lèi),并和服務(wù)端通信的feign����。服務(wù)端則負(fù)責(zé)token生成,驗(yàn)證和更新�。
代碼分析
程序啟動(dòng)
auth-server啟動(dòng)時(shí)初始化KeyConfiguration,獲得userSecret和serviceSecret.并在啟動(dòng)結(jié)束的鉤子類(lèi)AuthServerRunner中,分別設(shè)置User和Server的pri/puk.User用于用戶認(rèn)證,Server用于微服務(wù)認(rèn)證�。
admin和gateway在啟動(dòng)的時(shí)候,會(huì)調(diào)用auth-client的自動(dòng)配置���,生成ServiceAuthConfig和UserAuthConfig的實(shí)例�����。同時(shí)auth-client的AuthClientRunner會(huì)請(qǐng)求pubkey到ServiceAuthConfig和UserAuthConfig的實(shí)例��。同時(shí)在應(yīng)用各自的WebConfiguration中添加UserAuthRestInterceptor和ServiceAuthRestInterceptor攔截器
運(yùn)行階段
用戶認(rèn)證��,由UserAuthRestInterceptor處理���。
在用戶登錄的時(shí)候��,調(diào)用jwtTokenUtil.generateToken生成token����。這個(gè)token的生成規(guī)則稍后再論�。在瀏覽器記錄一個(gè)Admin-Token.
--auth-server
public String login(JwtAuthenticationRequest authenticationRequest) throws Exception {
UserInfo info = userService.validate(authenticationRequest);
if (!StringUtils.isEmpty(info.getId())) {
return jwtTokenUtil.generateToken(new JWTInfo(info.getUsername(), info.getId() + "", info.getName()));
}
throw new UserInvalidException("用戶不存在或賬戶密碼錯(cuò)誤!");
}
登錄之后的請(qǐng)求都會(huì)經(jīng)過(guò)UserAuthRestInterceptor,在解析token的時(shí)候同時(shí)會(huì)進(jìn)行過(guò)期�,簽名合法等驗(yàn)證。并把這些信息加到threadLocal中去��。
--UserAuthRestInterceptor
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
......
IJWTInfo infoFromToken = userAuthUtil.getInfoFromToken(token);
BaseContextHandler.setUsername(infoFromToken.getUniqueName());
BaseContextHandler.setName(infoFromToken.getName());
BaseContextHandler.setUserID(infoFromToken.getId());
return super.preHandle(request, response, handler);
}
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
BaseContextHandler.remove();
super.afterCompletion(request, response, handler, ex);
}
服務(wù)認(rèn)證由ServiceAuthRestInterceptor處理��。service的鑒權(quán)也是通過(guò)user的token�����。通過(guò)serviceAuthConfig.getTokenHeader()來(lái)解析service的信息�����。
--ServiceAuthRestInterceptor
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
......
String token = request.getHeader(serviceAuthConfig.getTokenHeader());
IJWTInfo infoFromToken = serviceAuthUtil.getInfoFromToken(token);
String uniqueName = infoFromToken.getUniqueName();
for(String client:serviceAuthUtil.getAllowedClient()){
if(client.equals(uniqueName)){
return super.preHandle(request, response, handler);
}
}
throw new ClientForbiddenException("Client is Forbidden!");
}
一些方法解讀(待補(bǔ)充)
jwtTokenUtil.generateToken:生成用戶token
userService.validate:驗(yàn)證用戶的合法性
userAuthUtil.getInfoFromToken(token):從token中獲得用戶名稱(chēng)和ID等信息���。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/71736.html
