SpringCloud实现权限管理(网关+jwt版)
更新时间:2025年10月31日 09:37:04 作者:一介输生
本文主要介绍了SpringCloud实现权限管理(网关+jwt版),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
首先要想一个问题:为什么微服务不能像普通的Spring Boot项目一样鉴权?其实并不是不能,而是不适合。 在微服务架构中使用 Spring Security + RBAC/JET 时,会面临 "重复鉴权" 的核心痛点。下面从技术原理到解决方案完整解析这个问题。
问题本质:为什么会有重复鉴权?
传统单体架构流程
所有权限校验集中在一个应用内完成 • 用户登录后,Session或Token在单应用中全局有效
微服务架构下的流程
每个微服务都需要独立完成:
- 解析Token
- 查询数据库验证权限
- 构建SecurityContext
假设有3个服务链式调用:
客户端 → 网关 → 服务A → 服务B → 服务C 每个服务都重复: 查询用户数据(1次DB查询) 查询权限数据(1次DB查询) 总查询次数 = 3服务 × 2查询 = 6次 • 在服务交叉的时候,导致 多次数据库查询 和 重复计算,使数据库压力倍增和网络开销叠加。
(1)创建 JWT 工具类
在util模块下创建JWT 工具类
@Component
public class JwtTokenUtil {
// 密钥,用于签名和验证 JWT,应妥善保管
@Value("${jwt.secret}")
private String secret;
// JWT 的过期时间,这里设置为 10 小时
@Value("${jwt.expiration}")
private Long expiration;
// 根据用户详细信息生成 JWT
public String generateToken(SysRoleNameUserId sysRoleNameUserId) {
//自定义的声明
Map<String, Object> claims = new HashMap<>();
//鉴权所需的权限角色
claims.put("identities",sysRoleNameUserId.getRoleNames());
return createToken(claims, String.valueOf(sysRoleNameUserId.getUserId()));
}
// 创建 JWT 的具体方法
private String createToken(Map<String, Object> claims, String subject) {
return Jwts.builder()
.setClaims(claims)//自定义的声明
.setSubject(subject)//存的用户id
.setIssuedAt(new Date(System.currentTimeMillis()))
.setExpiration(new Date(System.currentTimeMillis() + expiration))
.signWith(SignatureAlgorithm.HS256, secret)
.compact();
}
//解析jwt
public Claims extractAllClaims(String token) {
return Jwts.parserBuilder()
.setSigningKey(secret)
.build()
.parseClaimsJws(token)
.getBody();
}
}
JWT 的密钥(jwt.secret)应通过配置中心(如 Nacos)或环境变量注入,避免硬编码。这里选择环境变量注入: 在util模块下的application.yml配置文件里面指定
jwt: secret: your-secret-key-here-must-be-at-least-256-bits-long expiration: 1000 * 60 * 60 * 10 # 10 hour
(2)创建JwtFilter
在gateway网关模块创建JwtFilter过滤器来验证并解析jwt,从而获取权限信息
@Component
public class JwtFilter implements GlobalFilter, Ordered {
@Resource
private JwtTokenUtil jwtTokenUtil;
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
ServerHttpRequest request = exchange.getRequest();
HttpHeaders headers = request.getHeaders();
List<String> authHeader = headers.get("Authorization");
if (authHeader != null && authHeader.get(0).startsWith("Bearer ")) {
String token = authHeader.get(0).substring(7);
// 验证 JWT 并提取角色信息
Claims claims = null;
try{
claims = jwtTokenUtil.extractAllClaims(token);
}catch (IllegalArgumentException e) {
//解析 JWT 时发生其他错误
System.out.println("解析 token 时发生其他错误");
} catch (ExpiredJwtException e) {
//JWT 已过期
System.out.println("token 已过期");
}
//取出权限角色列表
Object identitiesObj = claims.get("identities");
List<GrantedAuthority> authorities = new ArrayList<>();
if (identitiesObj instanceof List<?>) {
for (Object role : (List<?>) identitiesObj) {
if (role instanceof String) {
// 将字符串转换为 SimpleGrantedAuthority
authorities.add(new SimpleGrantedAuthority((String) role));
}
}
}
String userId = claims.getSubject();
//将 Authentication 对象设置到 SecurityContextHolder 中后,Spring Security 就能在后续的授权过程中使用这些权限信息了。
Authentication authentication = new UsernamePasswordAuthenticationToken(userId, null, authorities);
SecurityContextHolder.getContext().setAuthentication(authentication);
}
return chain.filter(exchange);
}
@Override
public int getOrder() {
return -1;
}
}
(3)配置 Spring Security
在网关gateway模块配置所有微服务整体的权限管理规则:
@Configuration
@EnableWebFluxSecurity
public class SecurityConfig {
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
http.csrf().disable()// 关闭 CSRF(跨站请求伪造)防护。在无状态 API(如 JWT 场景)中,CSRF 防护不必要(通常依赖 Authorization 头而非 Cookie)。 避免对 POST、PUT 等请求要求携带 CSRF Token。
.authorizeExchange()
.pathMatchers("/api/product/**").permitAll()
.pathMatchers("/admin/**").permitAll()
.anyExchange().authenticated();
return http.build();
}
}
如果各个微服务还需要独自的更细粒度的权限控制,只需要在单个微服务模块中单独配置一个Spring Security就行了。
到此这篇关于SpringCloud实现权限管理(网关+jwt版)的文章就介绍到这了,更多相关SpringCloud 权限管理内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
Java报错:java.lang.UnsatisfiedLinkError问题的解决办法
在Java开发中,java.lang.UnsatisfiedLinkError是一种与本地方法调用相关的常见异常,本文将详细分析这一异常的背景、可能的原因、错误代码示例、正确代码示例,以及编写代码时需要注意的事项,需要的朋友可以参考下2024-09-09
本文主要介绍了多数据源管理的解决方案(应用层事务,而非XA二段提交保证),以及对多个库同时操作的事务管理,具有一定的参考价值,感兴趣的可以了解一下2024-06-06
这篇文章主要为大家详细介绍了Java将文件上传到ftp服务器,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-06-06
这篇文章主要介绍了java中struts2实现文件上传下载功能的方法,以实例形式分析了struts2文件上传下载功能的实现技巧与相关问题,具有一定的参考借鉴价值,需要的朋友可以参考下2016-05-05
本文介绍了在使用Spring框架时,遇到的一个属性命名规则问题,在Spring框架中,如果类的属性名称第一个字母小写,第二个字母大写,那么在调用set方法时,Spring会将属性的后面的字母转换为小写,这种情况下,如果下游消费端调用得到的返回json串2024-10-10
这篇文章主要介绍了Java实现Linux下双守护进程的思路、原理以及具体实现方式,非常的详细,希望对大家有所帮助2014-10-10
这篇文章主要介绍了Java设计模式之观察者模式解析,观察者模式,又被称为发布/订阅模式,它定义了一种一对多的依赖关系,让多个观察者对象同时监听某一个主题对象,这个主题对象在状态变化时,会通知所有的观察者对象,使他们能够自动更新自己,需要的朋友可以参考下2023-09-09
ClassFinal 是一款 java class 文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译,这篇文章主要介绍了Java Class 加密工具 ClassFinal,需要的朋友可以参考下2023-03-03
这篇文章主要介绍了如何使用Java 8的LocalDate和LocalDateTime类获取指定日期的开始和结束时间,展示了如何通过这些类进行日期和时间的处理,从而简化了日期时间操作,需要的朋友可以参考下2025-02-02
Java线程队列LinkedBlockingQueue的使用
本文主要介绍了Java线程队列LinkedBlockingQueue的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-06-06
最新评论