Bootstrap

Spring Cloud Gateway中的全局认证过滤器及用户信息传递详解

大家好,今天我将继续分享在Spring Cloud Gateway中实现全局认证过滤器的详细教程。本次更新将介绍如何在认证成功后传递用户信息,并在后续处理过程中使用这些信息。

一、全局认证过滤器实现

首先,我们来看一下更新后的全局认证过滤器代码:

package com.hmall.gateway.filter;

import com.hmall.common.exception.UnauthorizedException;
import com.hmall.common.utils.CollUtils;
import com.hmall.gateway.config.AuthProperties;
import com.hmall.gateway.util.JwtTool;
import lombok.RequiredArgsConstructor;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.util.List;

@Component
@RequiredArgsConstructor
@EnableConfigurationProperties(AuthProperties.class)
public class AuthGlobalFilter implements GlobalFilter, Ordered {

    private final JwtTool jwtTool;
    private final AuthProperties authProperties;
    private final AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 1. 获取Request
        ServerHttpRequest request = exchange.getRequest();
        // 2. 判断是否不需要拦截
        if (isExclude(request.getPath().toString())) {
            // 无需拦截,直接放行
            return chain.filter(exchange);
        }
        // 3. 获取请求头中的token
        String token = null;
        List<String> headers = request.getHeaders().get("authorization");
        if (!CollUtils.isEmpty(headers)) {
            token = headers.get(0);
        }
        // 4. 校验并解析token
        Long userId = null;
        try {
            userId = jwtTool.parseToken(token);
        } catch (UnauthorizedException e) {
            // 如果无效,拦截
            ServerHttpResponse response = exchange.getResponse();
            response.setRawStatusCode(401);
            return response.setComplete();
        }
        // 5. 如果有效,传递用户信息
        String userInfo = userId.toString();
        ServerWebExchange swe = exchange.mutate().request(builder -> builder.header("user-info", userInfo)).build();
        // 6. 放行
        return chain.filter(swe);
    }

    private boolean isExclude(String antPath) {
        for (String pathPattern : authProperties.getExcludePaths()) {
            if (antPathMatcher.match(pathPattern, antPath)) {
                return true;
            }
        }
        return false;
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

主要功能点解析

1. 获取Request对象

filter方法的第一步,从ServerWebExchange中获取ServerHttpRequest对象,包含当前请求的所有信息。

ServerHttpRequest request = exchange.getRequest();
2. 判断是否不需要拦截

通过isExclude方法判断当前请求的路径是否在白名单中。如果在白名单中,直接放行。

if (isExclude(request.getPath().toString())) {
    return chain.filter(exchange);
}

isExclude方法实现如下:

private boolean isExclude(String antPath) {
    for (String pathPattern : authProperties.getExcludePaths()) {
        if (antPathMatcher.match(pathPattern, antPath)) {
            return true;
        }
    }
    return false;
}
3. 获取请求头中的token

从请求头中获取authorization字段,通常JWT令牌通过这个字段传递。如果不存在该字段,则tokennull

String token = null;
List<String> headers = request.getHeaders().get("authorization");
if (!CollUtils.isEmpty(headers)) {
    token = headers.get(0);
}
4. 校验并解析token

使用jwtTool解析令牌。如果令牌无效,会抛出UnauthorizedException异常,设置响应状态码为401,表示未授权。

Long userId = null;
try {
    userId = jwtTool.parseToken(token);
} catch (UnauthorizedException e) {
    ServerHttpResponse response = exchange.getResponse();
    response.setRawStatusCode(401);
    return response.setComplete();
}
5. 传递用户信息

如果令牌有效,将解析出的用户信息添加到请求头中,传递给后续处理逻辑。

String userInfo = userId.toString();
ServerWebExchange swe = exchange.mutate().request(builder -> builder.header("user-info", userInfo)).build();
6. 放行

调用chain.filter方法,将请求传递给下一个过滤器或最终的处理逻辑。

return chain.filter(swe);

二、用户信息拦截器实现

接下来,我们来看一下用户信息拦截器的实现代码:

package com.hmall.common.interceptors;

import cn.hutool.core.util.StrUtil;
import com.hmall.common.utils.UserContext;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class UserInfoInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 1. 获取登录用户信息
        String userInfo = request.getHeader("user-info");
        // 2. 判断是否获取了用户,如果有,存入ThreadLocal
        if (StrUtil.isNotBlank(userInfo)) {
            UserContext.setUser(Long.valueOf(userInfo));
        }
        // 3. 放行
        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        // 清理用户
        UserContext.removeUser();
    }
}

用户信息拦截器解析

1. 获取用户信息

preHandle方法中,从请求头中获取user-info字段,获取登录用户信息。

String userInfo = request.getHeader("user-info");
2. 存入ThreadLocal

如果获取到用户信息,将其存入ThreadLocal中,供后续使用。

if (StrUtil.isNotBlank(userInfo)) {
    UserContext.setUser(Long.valueOf(userInfo));
}
3. 放行

返回true,表示放行请求。

return true;
4. 清理用户信息

afterCompletion方法中,清理ThreadLocal中的用户信息,防止内存泄漏。

UserContext.removeUser();

总结

通过这次更新,我们不仅实现了全局认证过滤器,还在认证成功后传递了用户信息,并在后续处理中通过拦截器来使用这些信息。这种方式确保了系统的安全性和可靠性,同时也使得用户信息在整个请求处理流程中得以传递和使用。

悦读

道可道,非常道;名可名,非常名。 无名,天地之始,有名,万物之母。 故常无欲,以观其妙,常有欲,以观其徼。 此两者,同出而异名,同谓之玄,玄之又玄,众妙之门。

最新收录
ES6中js的运算符( ?. ?? )
论文阅读——Wireless Identification and Sensing Platform Version 6.0
书上秋千图和相关的思考
优橙国企招聘会—5G网络优化工程师
Kotlin语言基础入门:Kotlin简介
C++炸弹小游戏
2020人脸识别报告:上万家企业入局,八大技术六个趋势一文看尽
基于Azure Kinect DK相机的安装配置,获取并保存RGB、Depth、IR图、点云,点云融合(Windows)
webpack配置完全指南
MySql系列之设置Mysql允许其他电脑访问
;