如何对资源（前端页面+后端接口）进行权限控制

在微服务架构中，请求的拦截在gateway中完成，而权限的查询是在uaa中完成，在gateway和uaa集成部署的情况下实现较为简单，如果两者分离实现起来就会比较麻烦，一种方案是在gateway的资源filter中内部调用uaa的权限查询模块，该方案是可行的，但是存在两个弊端：

1. 响应延时：每个资源的请求都会附带一次uaa内部调用，加重uaa服务的负担并延长了响应时间。
2. 过度依赖：gateway作为api网关，过度依赖了api提供方（uaa）的内部方法，导致系统耦合度提升。

因此应寻找一种低响应延时、松散依赖的解决方案：“token扩展”。

"token扩展"的思路为在token形成时追加用户资源权限（ar）属性,在资源的拦截中获取ar并与当前请求的资源比对，相当于将用户的资源权限缓存到了token中，uaa通过客户端浏览器将权限信息传递至gateway，gateway直接解析request获取AR，避免了内部调用导致的过度依赖问题和相应延时问题。此方案应注意在用户登录期间的AR变动需在下次登录后方能生效！！！

具体步骤如下：

1. uaa中扩展token属性（具体步骤参考最后部分），如在token中扩展ar属性，内部包含当前用户有权限访问的前端页面列表

{...,"ar":["a.html","b.html"]}

1. gateway中拦截鉴权

//解析ar        Cookie accessTokenCookie = OAuth2CookieHelper.getAccessTokenCookie(request);        Map
    
      additionalInformation = tokenStore.readAccessToken(accessTokenCookie.getValue())                .getAdditionalInformation();        List
     
       ar = (List
      
       ) additionalInformation.get("ar");        //鉴权        for (String resourceUrl : ar) {                if (resourceUrl == null) {                    continue;                }                if (resourceUrl.startsWith(requestUri)) {                    return false;                }        }
      
     
    

token 属性扩展

org.springframework.security.oauth2.provider.token.TokenEnhancer#enhance提供了扩展token属性的可能性,以下demo在token中增加ar属性，并使用@Component注入容器以生效。

@Componentpublic class ArTokenEnhancer implements TokenEnhancer {        @Override    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {        addClaims((DefaultOAuth2AccessToken) accessToken,authentication);        return accessToken;    }    private void addClaims(DefaultOAuth2AccessToken token, OAuth2Authentication authentication) {        Map
    
      additionalInformation = token.getAdditionalInformation();        additionalInformation.put("ar", "something you like");        token.setAdditionalInformation(additionalInformation);    }}