SpringCloud SaToken整合微服务 集成Redis 网关路由权限拦截 服务间内部调用鉴权
介绍
作为 API 网关,通常负责路由、负载均衡、安全控制等功能。进行 统一鉴权 的做法意味着将所有微服务的认证和授权逻辑集中到网关层,而不是每个微服务单独实现。这样做有许多好处,微服务只关心核心业务逻辑,不需要处理身份验证、权限验证等安全问题,减少了开发人员的负担。网关可以统一处理多种认证方式,如 JWT、OAuth 2.0、Basic Auth、API Key 等,灵活配置不同的认证机制。
微服务模块介绍
gateway-service:网关模块 包括:负载均衡 路由拦截 权限校验
user-service :用户模块 包括:用户登录 获取个人信息 等
goods-service:购物车模块 获取商品信息 搜索
全局POM依赖
以下配置需要在全部微服务中进行引入
<!-- Sa-Token 权限认证(Reactor响应式集成), 在线文档:https://sa-token.cc --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-reactor-spring-boot-starter</artifactId><version>1.39.0</version></dependency><!-- Sa-Token 整合 Redis (使用 jackson 序列化方式) --><dependency><groupId>cn.dev33</groupId><artifactId>sa-token-redis-jackson</artifactId><version>1.39.0</version></dependency><!-- Sa-Token工具 --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-pool2</artifactId></dependency>
全局配置文件 集成Redis
以下配置需要在全部微服务中进行引入
spring:redis:# Redis数据库索引(默认为0)database: 1# Redis服务器地址host: 127.0.0.1# Redis服务器连接端口port: 6379# Redis服务器连接密码(默认为空)# password:# 连接超时时间timeout: 10slettuce:pool:# 连接池最大连接数max-active: 200# 连接池最大阻塞等待时间(使用负值表示没有限制)max-wait: -1ms# 连接池中的最大空闲连接max-idle: 10# 连接池中的最小空闲连接min-idle: 0
sa-token:# token 有效期(单位:秒) 默认30天,-1 代表永久有效timeout: 2592000# token 最低活跃频率(单位:秒),如果 token 超过此时间没有访问系统就会被冻结,默认-1 代表不限制,永不冻结active-timeout: 10# 是否允许同一账号多地同时登录 (为 true 时允许一起登录, 为 false 时新登录挤掉旧登录)is-concurrent: true# 在多人登录同一账号时,是否共用一个 token (为 true 时所有登录共用一个 token, 为 false 时每次登录新建一个 token)is-share: true# token 风格(默认可取值:uuid、simple-uuid、random-32、random-64、random-128、tik)token-style: uuid# 是否输出操作日志is-log: true
网关微服务
配置文件
server:
spring: application:name: gateway #服务名称cloud:nacos:server-addr: 172.23.4.128:8848 #注册中心gateway:routes:- id: java-user #路由ID 一般为服务名称uri: lb://java-user #转发的路径 lb为负载均衡 java-user为服务接口predicates: #路由条件- Path=/user/** #请求接口路径# - Path=/user/**,/path/** 多个控制器这样写- id: java-goodsuri: lb://java-goodspredicates:- Path=/goods/**
全局过滤器
网关对所有的请求进行拦截
/*** [Sa-Token 权限认证] 配置类* @author click33*/
@Configuration
public class SaTokenConfigure {// 注册 Sa-Token全局过滤器@Beanpublic SaReactorFilter getSaReactorFilter() {return new SaReactorFilter()// 拦截地址.addInclude("/**") /* 拦截全部path */// 开放地址.addExclude("/favicon.ico")// 鉴权方法:每次访问进入.setAuth(obj -> {// 登录校验 -- 拦截所有路由,并排除/user/doLogin 用于开放登录SaRouter.match("/**", "/user/login", r -> StpUtil.checkLogin());})// 异常处理方法:每次setAuth函数出现异常时进入.setError(e -> {return SaResult.error(e.getMessage());//SaResult.error(e.getMessage()) 可以修改成自己的});}
}
网关转发鉴权
网关通过权限校验后,会将请求转发到对应的微服务上,这时子微服务也会有相对于的权限校验需要把改用户的token一起转发,这样子微服务的权限校验才会通过。方法还很简单只需要在头发的头部添加SAME_TOKEN参数即可
/*** 全局过滤器,为请求添加 Same-Token*/
@Component
public class ForwardAuthFilter implements GlobalFilter {@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {ServerHttpRequest newRequest = exchange.getRequest().mutate()// 为请求追加 Same-Token 参数.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken()).build();ServerWebExchange newExchange = exchange.mutate().request(newRequest).build();return chain.filter(newExchange);}
}
用户微服务
spring:application:name: java-user #服务名称
登录接口
@RestController
@AllArgsConstructor
@RequestMapping("/user")
public class UserController {private final IUserService userService;@PostMapping("/login")public SaResult login(@RequestBody User retUser){System.out.println("用户登录");LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();queryWrapper.eq(User::getPhone, retUser.getPhone()).eq(User::getPassword,retUser.getPassword());User user = userService.getOne(queryWrapper);if(user==null){return SaResult.error("账号或密码错误");}System.out.println(user);StpUtil.login(user.getId());SaTokenInfo tokenInfo = StpUtil.getTokenInfo();return SaResult.ok(tokenInfo.getTokenValue());}
}
商品微服务
spring:application:name: java-goods #服务名称
商品权限校验
/*** Sa-Token 权限认证 配置类*/
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {// 注册 Sa-Token 全局过滤器@Beanpublic SaServletFilter getSaServletFilter() {return new SaServletFilter().addInclude("/**").addExclude("/favicon.ico").setAuth(obj -> {// 校验 Same-Token 身份凭证 —— 以下两句代码可简化为:SaSameUtil.checkCurrentRequestToken();String token = SaHolder.getRequest().getHeader(SaSameUtil.SAME_TOKEN);SaSameUtil.checkToken(token);}).setError(e -> {return "无访问权限";});}
}
如果通过网关转发,可以正常访问。如果直接访问子服务会提示:无效Same-Token:xxx
服务间内部调用鉴权
在微服务架构中,服务间调用鉴权是确保服务之间安全通信的一种机制,防止未经授权的访问。每当一个微服务调用另一个微服务时,都需要验证调用者的身份和权限。常见的服务间鉴权方式包括基于令牌的鉴权、API Key、OAuth2、JWT(JSON Web Token)等方式。
创建OpenFeignConfig请求拦截器
/*** feign拦截器, 在feign请求发出之前,加入一些操作 */
@Component
public class FeignInterceptor implements RequestInterceptor {// 为 Feign 的 RCP调用 添加请求头Same-Token @Overridepublic void apply(RequestTemplate requestTemplate) {requestTemplate.header(SaSameUtil.SAME_TOKEN, SaSameUtil.getToken());// 如果希望被调用方有会话状态,此处就还需要将 satoken 添加到请求头中// requestTemplate.header(StpUtil.getTokenName(), StpUtil.getTokenValue());}
}
OpenFeignConfig请求接口
被调用方的代码无需更改,保持启动测试即可
@FeignClient(name = "java-goods", // 服务名称configuration = FeignInterceptor.class // 请求拦截器 (关键代码)
)
public interface GoodsClient {@GetMapping("/goods/list")List<Goods> list();// List<Goods> list(@RequestParam("ids") List<Long> ids);
//传承就这样写}