定时任务调用OpenFegin无token认证异常

Geho2024-09-15 7:02

问题

定时任务job中有调用其他服务,由于不是通过接口进来的,属于是未登录状态,如果这时候调用openfegin的接口,这个请求是没有token的,会抛出没有权限的异常。

分析

项目中OpenFegin默认是通过RequestContextHolder获取ServletRequestAttributes,获取HttpServletRequest得到Header中的token的。

如果是网络请求接口,因为网关是同一个服务间token可以通用,就可以调用其他服务。但是如果通过定时任务执行这个方法,因为没有经过Servlet,RequestContextHolder中没有这个线程对应的HttpServletRequest,因此调用OpenFegin的时候就会报[401]unauthorized异常

java 复制代码 
-------------RequestContextHolder.java
RequestAttributes.getRequestAttributes();
@Nullable
public static RequestAttributes getRequestAttributes() {
    RequestAttributes attributes = requestAttributesHolder.get();
    if (attributes == null) {
        attributes = inheritableRequestAttributesHolder.get();
    }
    return attributes;
}

--------------ThreadLocal<T>.java
 requestAttributesHolder.get();
inheritableRequestAttributesHolder.get();
public T get() {
    Thread t = Thread.currentThread();
    ThreadLocalMap map = getMap(t);
    if (map != null) {
        ThreadLocalMap.Entry e = map.getEntry(this);
        if (e != null) {
            @SuppressWarnings("unchecked")
            T result = (T)e.value;
            return result;
        }
    }
    return setInitialValue();
}

要解决这个问题,首先想到的是既然RequestContextHolder没有当前线程的HttpServletRequest那就添加一个,但是创建一个HttpServletRequest对象过于复杂,也不能保证后续不出问题,所以这个方法不太好。于是就想到了在OpenFegin传递token的时候下手,也就是在OpenFegin的拦截器中处理。如果不能获取到当前线程的HttpServletRequest,那就执行模拟登录,生成一个token,然后将这个token放入到RequestTemplate中,这样就能实现远程的认证调用。

java 复制代码 
@Configuration
public class FeignConfig implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate requestTemplate) {
        if (!support(requestTemplate)) {
            return;
        }
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletRequest request = null;
        if (attributes != null) {
            request = attributes.getRequest();
            //添加token 不传递
            requestTemplate.header(HttpHeaders.AUTHORIZATION, request.getHeader(HttpHeaders.AUTHORIZATION));
        } else {
            //业务代码,模拟登录获取token
            //添加token
            requestTemplate.header(HttpHeaders.AUTHORIZATION, token);
        }
    }

    public boolean support(RequestTemplate requestTemplate) {
        //获取openfegin接口是否标准不需要token的注解
        MethodMetadata methodMetadata = requestTemplate.methodMetadata();
        Method method = methodMetadata.method();
        NotTransmitToken[] annotations = method.getDeclaredAnnotationsByType(NotTransmitToken.class);
        return !(annotations.length > 0);
    }
}

由于这里登录是写死的,所以需要一个特殊的用户,用户名和密码得固定住,或者也可以生成一个永不过期的token。这两种方法都有一定安全风险,需要进一步加密或者优化来保证权限不泄露。

相关推荐
R-sz4 分钟前
java流式计算 获取全量树形数据,非懒加载树,递归找儿
java·开发语言·windows
Ramos丶9 分钟前
【ABAP】 从无到有 新建一个Webdynpro程序
java·前端·javascript
sniper_fandc20 分钟前
SpringMVC详解
java·springmvc
TT哇2 小时前
【Java EE初阶】计算机是如何⼯作的
java·redis·java-ee
paopaokaka_luck2 小时前
基于SpringBoot+Vue的电影售票系统(协同过滤算法)
vue.js·spring boot·后端
陌殇殇5 小时前
SpringBoot整合SpringCache缓存
spring boot·redis·缓存
小林学习编程7 小时前
Springboot + vue + uni-app小程序web端全套家具商场
前端·vue.js·spring boot
ladymorgana8 小时前
【Spring boot】tomcat Jetty Undertow对比,以及应用场景
spring boot·tomcat·jetty
IT_10248 小时前
Spring Boot项目开发实战销售管理系统——系统设计!
大数据·spring boot·后端
Fireworkitte8 小时前
Apache POI 详解 - Java 操作 Excel/Word/PPT
java·apache·excel
热门推荐
01手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!02Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面03Coze扣子平台完整体验和实践(附国内和国际版对比)04华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南05免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07Coze平台 创建AI智能体的详细步骤指南08C#调用WechatOCR.exe实现本地OCR文字识别09DeepSeek各版本说明与优缺点分析10Coze(扣子)智能体工作流:自动批量生成书单号视频,1分钟100个,书单号博主都在用!