摘要:鑒權(quán)項目是一個比較完整的使用了框架的開源項目,可以用它來快速搭建分布式系統(tǒng)�。本次著重看的部分是其服務(wù)以及用戶鑒權(quán)的部分���。啟動項目依次啟動,�,���,即可�����。服務(wù)端則負責生成�,驗證和更新�����。服務(wù)認證由處理�����。的鑒權(quán)也是通過的���。
鑒權(quán)
ACE項目是一個比較完整的使用了spring cloud框架的開源項目�����,可以用它來快速搭建分布式系統(tǒng)���。本次著重看的部分是其服務(wù)以及用戶鑒權(quán)的部分�。ACE有一個鑒權(quán)服務(wù)�����,負責微服務(wù)群的鑒權(quán)����。啟動ACE項目依次啟動center,auth-server�����,admin��,gateway即可�����。
模塊架構(gòu)
鑒權(quán)模塊分為服務(wù)端和客戶端(另有一個common模塊���,可忽略���,是一些鑒權(quán)模塊公用代碼的提?����。?�。應(yīng)用程序依賴客戶端,客戶端提供了兩個攔截器���,工具類����,并和服務(wù)端通信的feign���。服務(wù)端則負責token生成����,驗證和更新�����。
代碼分析
程序啟動
auth-server啟動時初始化KeyConfiguration,獲得userSecret和serviceSecret.并在啟動結(jié)束的鉤子類AuthServerRunner中,分別設(shè)置User和Server的pri/puk.User用于用戶認證,Server用于微服務(wù)認證�����。
admin和gateway在啟動的時候�����,會調(diào)用auth-client的自動配置�����,生成ServiceAuthConfig和UserAuthConfig的實例��。同時auth-client的AuthClientRunner會請求pubkey到ServiceAuthConfig和UserAuthConfig的實例���。同時在應(yīng)用各自的WebConfiguration中添加UserAuthRestInterceptor和ServiceAuthRestInterceptor攔截器
運行階段
用戶認證�,由UserAuthRestInterceptor處理�。
在用戶登錄的時候,調(diào)用jwtTokenUtil.generateToken生成token�。這個token的生成規(guī)則稍后再論。在瀏覽器記錄一個Admin-Token.
--auth-server
public String login(JwtAuthenticationRequest authenticationRequest) throws Exception {
UserInfo info = userService.validate(authenticationRequest);
if (!StringUtils.isEmpty(info.getId())) {
return jwtTokenUtil.generateToken(new JWTInfo(info.getUsername(), info.getId() + "", info.getName()));
}
throw new UserInvalidException("用戶不存在或賬戶密碼錯誤!");
}
登錄之后的請求都會經(jīng)過UserAuthRestInterceptor��,在解析token的時候同時會進行過期����,簽名合法等驗證����。并把這些信息加到threadLocal中去�����。
--UserAuthRestInterceptor
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
......
IJWTInfo infoFromToken = userAuthUtil.getInfoFromToken(token);
BaseContextHandler.setUsername(infoFromToken.getUniqueName());
BaseContextHandler.setName(infoFromToken.getName());
BaseContextHandler.setUserID(infoFromToken.getId());
return super.preHandle(request, response, handler);
}
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
BaseContextHandler.remove();
super.afterCompletion(request, response, handler, ex);
}
服務(wù)認證由ServiceAuthRestInterceptor處理��。service的鑒權(quán)也是通過user的token�����。通過serviceAuthConfig.getTokenHeader()來解析service的信息��。
--ServiceAuthRestInterceptor
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
......
String token = request.getHeader(serviceAuthConfig.getTokenHeader());
IJWTInfo infoFromToken = serviceAuthUtil.getInfoFromToken(token);
String uniqueName = infoFromToken.getUniqueName();
for(String client:serviceAuthUtil.getAllowedClient()){
if(client.equals(uniqueName)){
return super.preHandle(request, response, handler);
}
}
throw new ClientForbiddenException("Client is Forbidden!");
}
一些方法解讀(待補充)
jwtTokenUtil.generateToken:生成用戶token
userService.validate:驗證用戶的合法性
userAuthUtil.getInfoFromToken(token):從token中獲得用戶名稱和ID等信息�。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/71736.html
