Security 与响应式 webFlux(三) 完结撒花

前言

之前已经讲过 WebFlux 与 Security 的一种结合方式，又因为业务原因放弃了第一种实现的方式。

为了动态的 RBAC（Role-Based Access Control） 和接口级的权限管理和利用 Webflux 的吞吐和响应能力，又写另一种方式，这种方式放弃了一部分 Security 的能力，而利用自身的能力去书写，所以更加灵活，重要的是，已经把该踩的坑已经全部踩平，如有新坑，还望互相交流。

实践篇

Config 配置

之前已经写过，第一步需要配置 Scurity 的 Config，跟之前有一些区别

@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private SecurityContextRepository securityContextRepository;


    //security的鉴权排除列表
    private static final String[] excludedAuthPages = {
            "/auth/login",
            "/auth/logout"
    };

    @Bean
    SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {

        return http
		.exceptionHandling()
                .authenticationEntryPoint((swe, e) -> {
                    return Mono.fromRunnable(() -> {
                        swe.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
                    });
                }).accessDeniedHandler((swe, e) -> {
                    return Mono.fromRunnable(() -> {
                        swe.getResponse().setStatusCode(HttpStatus.FORBIDDEN);
                    });
                }).and()
                .csrf().disable()
                .formLogin().disable()
                .httpBasic().disable()
                .authenticationManager(authenticationManager)
                .securityContextRepository(securityContextRepository)
                .authorizeExchange()
                .pathMatchers(HttpMethod.OPTIONS).permitAll()
                .pathMatchers(excludedAuthPages).permitAll()
                .anyExchange().authenticated()
                .and().build();
    }
}

从上往下开始说明区别

1.增加认证异常处理，之前有登录成功与失败的类，现在已经不需要了，直接在配置遇到异常的处理方式

.authenticationEntryPoint : 认证失败进行 HTTP 401 状态码返回

.accessDeniedHandler : 访问被拒绝进行 HTTP 403 状态码返回

.formLogin : Security 登录认证功能关闭

.httpBasic : httpBasic 功能关闭

.authenticationManage : 重写认证管理，并进行配置

.securityContextRepository : 重写 Security 上下文存储库并进行配置（这个在上章提到过）

省下的配置都已经讲过了，就不多说了，配置根据自身业务需要在进行修改，有很多功能。

securityContextRepository 类

重写方法

总结
根据 Webflux 与 Security 的结合 网上资料比较少，并且往往不能结合现在的动态 RBAC 与分布式系统，在权限更加细粒化的需求的阶段，在以大型微服务为基础进行鉴权认证，保证速度、吞吐、响应为要求，希望能帮助有同样困惑的人。
ps:在上个月 2020 年 8 月 21 号 新的 oauth 来了！！！
Authorization Server 将替代 Spring Security OAuth 为 Spring 社区提供 OAuth2.0 授权服务器支持。经过四个月的努力，Spring Authorization Server 项目中的 OAuth2.0 授权服务器开发库正式发布了第一个版本。
0.0.1 版本已经发布，在之前 Oauth2.0 比较难用的情况下，spring 从放弃 oauth 到社区回归 到迎接新的变化社区回归 到 0.0.1 的版本， 希望新版本的 oauth 系统 可以更加贴近现在服务变化所需要的东西。
之前的 Oauth 有很多不方便的地方，管理成本也比单纯的 Security 大，希望新版本能好用，之后放弃单纯的 Security 迎接新的 Oauth 授权，咱们之后的新 Oauth 见。