Мобильная версияВ каком сервисе следует выполнять фильтрацию и проверку токена JWT? ⇐ JAVA
-
Anonymous
В каком сервисе следует выполнять фильтрацию и проверку токена JWT?
Пользовательская служба генерирует токен jwt после регистрации пользователя. Существует служба API-шлюза, которая отправляет запросы к определенным службам. В api-шлюзе я выполняю фильтрацию безопасности с проверкой jwt:
@Override public GatewayFilter apply (конфигурация конфигурации) { return (((обмен, цепочка) -> { if (!exchange.getRequest().getHeaders().containsKey(HttpHeaders.AUTHORIZATION)) { throw new RuntimeException("отсутствует заголовок авторизации"); } Строка authHeader = Exchange.getRequest().getHeaders().get(HttpHeaders.AUTHORIZATION).get(0); if (authHeader != null && authHeader.startsWith("Bearer")) { authHeader = authHeader.substring(7); } jwtUtil.validateToken(authHeader); вернуть цепочку.фильтр(обмен); })); } public Boolean validateToken(String token) { пытаться { // Разбираем и проверяем токен log.info("При проверке токена"); Jws утверждаетJws = Jwts.parserBuilder() .setSigningKey(getSigningKey()) .строить() .parseClaimsJws(токен); вернуть истину; } catch (Исключение е) { throw new RuntimeException("Проверка токена JWT не удалась: " + e.getMessage()); } } Нужно ли после этого снова выполнять эту проверку в последующих микросервисах? Или только в api-gateway достаточно? Кроме того, нужно ли мне хранить эту аутентификацию в держателе контекста безопасности? Если да, то не следует ли это сделать во всех микросервисах, поскольку все они имеют собственный держатель контекста безопасности?
Я не понимаю, почему после успешной проверки токена jwt в API-шлюзе пользователь по-прежнему не может посетить защищенную конечную точку другого микросервиса (403 запрещено). SecurityFilterChain настраивается в сервисе пользователя.
@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) выдает исключение { http .csrf(AbstractHttpConfigurer::отключить) .authorizeHttpRequests(authorizeRequests -> авторизовать запросы .requestMatchers("/login/email").permitAll() .requestMatchers("/register").permitAll() .requestMatchers("/registrationConfirm").permitAll() .anyRequest().аутентифицированный() ) .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) .authenticationProvider(провайдер аутентификации) вернуть http.build(); } Я написал API-шлюз и пользовательские микросервисы (при необходимости могу всё подключить).
Пользовательская служба генерирует токен jwt после регистрации пользователя. Существует служба API-шлюза, которая отправляет запросы к определенным службам. В api-шлюзе я выполняю фильтрацию безопасности с проверкой jwt:
@Override public GatewayFilter apply (конфигурация конфигурации) { return (((обмен, цепочка) -> { if (!exchange.getRequest().getHeaders().containsKey(HttpHeaders.AUTHORIZATION)) { throw new RuntimeException("отсутствует заголовок авторизации"); } Строка authHeader = Exchange.getRequest().getHeaders().get(HttpHeaders.AUTHORIZATION).get(0); if (authHeader != null && authHeader.startsWith("Bearer")) { authHeader = authHeader.substring(7); } jwtUtil.validateToken(authHeader); вернуть цепочку.фильтр(обмен); })); } public Boolean validateToken(String token) { пытаться { // Разбираем и проверяем токен log.info("При проверке токена"); Jws утверждаетJws = Jwts.parserBuilder() .setSigningKey(getSigningKey()) .строить() .parseClaimsJws(токен); вернуть истину; } catch (Исключение е) { throw new RuntimeException("Проверка токена JWT не удалась: " + e.getMessage()); } } Нужно ли после этого снова выполнять эту проверку в последующих микросервисах? Или только в api-gateway достаточно? Кроме того, нужно ли мне хранить эту аутентификацию в держателе контекста безопасности? Если да, то не следует ли это сделать во всех микросервисах, поскольку все они имеют собственный держатель контекста безопасности?
Я не понимаю, почему после успешной проверки токена jwt в API-шлюзе пользователь по-прежнему не может посетить защищенную конечную точку другого микросервиса (403 запрещено). SecurityFilterChain настраивается в сервисе пользователя.
@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) выдает исключение { http .csrf(AbstractHttpConfigurer::отключить) .authorizeHttpRequests(authorizeRequests -> авторизовать запросы .requestMatchers("/login/email").permitAll() .requestMatchers("/register").permitAll() .requestMatchers("/registrationConfirm").permitAll() .anyRequest().аутентифицированный() ) .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) .authenticationProvider(провайдер аутентификации) вернуть http.build(); } Я написал API-шлюз и пользовательские микросервисы (при необходимости могу всё подключить).
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
-
Можно ли установить фильтрацию столбца xlsxwriter на фильтрацию от a до z?
Anonymous » » в форуме Python - 0 Ответы
- 32 Просмотры
-
Последнее сообщение Anonymous
-
