这篇文章分享一下：当一个服务提供者整合了shiro安全框架来实现权限访问控制时，服务消费者通过feign请求服务提供者的接口时的鉴权不通过问题。

问题描述

博主有一个项目pms（权限管理系统），使用了shiro框架来实现鉴权功能，使用的是shiro内置的perms过滤器。

 而服务消费者端，通过feign访问RPC接口，很显然，由于是不同的项目，鉴权肯定是失败的。

package cn.edu.sgu.www.cms.feign.impl;import cn.edu.sgu.www.cms.dto.PermissionInitDTO;
import cn.edu.sgu.www.cms.entity.Permission;
import cn.edu.sgu.www.cms.entity.User;
import cn.edu.sgu.www.cms.feign.FeignService;
import cn.edu.sgu.www.cms.restful.JsonResult;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;import java.util.List;
import java.util.Set;/*** 权限平台feign接口* @author heyunlin* @version 1.0*/
@FeignClient(name = "pms")
public interface PmsFeignService extends FeignService {/*** 根据用户名查询用户信息* @param username 用户名* @param service 应用名* @return JsonResult<User>*/@RequestMapping(value = "/user/selectByUsername", method = RequestMethod.GET)JsonResult<User> selectByUsername(@RequestParam("username") String username,@RequestParam("service") String service);/*** 权限数据初始化* @param permissionInitDTO 权限信息* @return JsonResult<Void>*/@RequestMapping(value = "/permission/resources", method = RequestMethod.POST)JsonResult<Void> resources(PermissionInitDTO permissionInitDTO);/*** 查询应用的非匿名子权限* @param service 应用名* @return JsonResult<List<Permission>>*/@RequestMapping(value = "/permission/selectPermissions", method = RequestMethod.GET)JsonResult<List<Permission>> selectPermissions(@RequestParam("service") String service);/*** 查询应用的匿名子权限* @param service 应用名* @return JsonResult<List<String>>*/@RequestMapping(value = "/permission/selectAnonymityPermissions", method = RequestMethod.GET)JsonResult<List<String>> selectAnonymityPermissions(@RequestParam("service") String service);/*** 通过用户名查询用户权限* @param username 用户名* @param service 应用名* @return JsonResult<Set<String>>*/@RequestMapping(value = "/permission/selectUserPermissions", method = RequestMethod.GET)JsonResult<Set<String>> selectUserPermissions(@RequestParam("username") String username,@RequestParam("service") String service);
}

而在服务消费者启动过程中，需要向pms查询当前应用的权限，所以导致feign请求报错，项目无法启动问题。

package cn.edu.sgu.www.cms.config;import cn.edu.sgu.www.cms.entity.Permission;
import cn.edu.sgu.www.cms.feign.impl.PmsFeignService;
import cn.edu.sgu.www.cms.restful.JsonResult;
import cn.edu.sgu.www.cms.shiro.UserRealm;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;/*** Shiro配置类* @author heyunlin* @version 1.0*/
@Configuration
public class ShiroConfig {@Value("${spring.application.name}")private String service;/*** 登录页面地址*/private String loginPage = "/login.html";/*** 未授权的URL*/private String unauthorizedUrl = "/user/unauthorized";private final PmsFeignService feignService;@Autowiredpublic ShiroConfig(PmsFeignService feignService) {this.feignService = feignService;}/*** 配置安全管理器* @param userRealm UserRealm* @return DefaultWebSecurityManager*/@Beanpublic DefaultWebSecurityManager securityManager(UserRealm userRealm, CacheManager cacheManager) {DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();// 设置缓存管理器securityManager.setCacheManager(cacheManager);// 把UserRealm注册到安全管理器securityManager.setRealm(userRealm);return securityManager;}/*** 配置Shiro过滤器工厂* @param securityManager 安全管理器* @return ShiroFilterFactoryBean*/@Beanpublic ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager) {ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();// 注册安全管理器shiroFilterFactoryBean.setSecurityManager(securityManager);/** 设置登录页面的地址* 当用户访问认证资源的时候，如果用户没有登录，就会跳转到指定的页面*/shiroFilterFactoryBean.setLoginUrl(loginPage);/** 设置访问未授权资源时重定向的地址* 当用户访问需要授权才能访问资源的时候，如果用户没有该权限，就会跳转到指定的地址*/shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);// 定义资源访问规则Map<String, String> filterMap = new LinkedHashMap<>();/** 定义需要认证才能访问的资源*/filterMap.put("/", "authc");filterMap.put("/index.html", "authc");filterMap.put("/html/*.html", "authc");// knife4jfilterMap.put("/doc.html", "authc");filterMap.put("/v2/api-docs", "authc");filterMap.put("/swagger-resources", "authc");/** 定义不需要认证就能访问的资源*/filterMap.put(loginPage, "anon");filterMap.put("/user/login", "anon");filterMap.put(unauthorizedUrl, "anon");// 查询当前服务的所有匿名子权限JsonResult<List<String>> jsonResult = feignService.selectAnonymityPermissions(service);if (jsonResult.isSuccess()) {List<String> data = jsonResult.getData();for (String url : data) {filterMap.put(url, "anon");}}/** 定义需要指定权限才能访问的资源*/// 查询当前服务的所有非匿名子权限JsonResult<List<Permission>> result = feignService.selectPermissions(service);if (result.isSuccess()) {List<Permission> list = result.getData();for (Permission permission : list) {filterMap.put(permission.getUrl(), "perms[" + permission.getValue() + "]");}}shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);return shiroFilterFactoryBean;}}

之前就遇到了这个问题，但是一直没有管，因为当时还没有想到什么解决的办法。

今天写项目，又遇上了，真气人~

解决方案

博主想到的是通过设置一个请求头，通过过滤器鉴权时先判断请求头是否正确，正确的话直接返回true，不再进行后续的操作。

于是在feign的官网看一下有没有能设置请求头的方法，果然，找到一个请求拦截器可以达到这个效果~

添加请求头

定义一个RequestInterceptor，给请求设置一个请求头perms。

package cn.edu.sgu.www.cms.feign;import feign.RequestInterceptor;
import feign.RequestTemplate;
import org.springframework.stereotype.Component;/*** @author heyunlin* @version 1.0*/
@Component
public class RequestHeaderInterceptor implements RequestInterceptor {@Overridepublic void apply(RequestTemplate template) {template.header("perms", "12345");}}

自定义过滤器

在服务生产者项目pms中定义一个过滤器PermsFilter，名字见名知义，就是shiro的perms过滤器。

重写shiro的perms过滤器（PermissionsAuthorizationFilter）的鉴权方法，先判断请求头是否为指定的值，如果是就跳过鉴权，直接返回true。

这样就避免了其他应用访问本应用的接口导致的鉴权失败问题了~

package cn.edu.sgu.www.pms.filter;import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;/*** 定义PermsFilter过滤器（覆盖shiro的perms过滤器）* @author heyunlin* @version 1.0*/
@Slf4j
public class PermsFilter extends PermissionsAuthorizationFilter {@Overridepublic boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {String perms = ((HttpServletRequest) request).getHeader("perms");if (perms != null) {log.debug("发现请求头perms");if (perms.equals("12345")) {log.debug("发现请求头perms，当前请求为授权应用发起的请求，跳过鉴权~");return true;}} return super.isAccessAllowed(request, response, mappedValue);}}

注册过滤器到shiro

将刚刚创建的过滤器注册到shiro，博主直接把原来的perms过滤器覆盖掉了。

// 自定义过滤器
Map<String, Filter> filterMap = new HashMap<>();filterMap.put("perms", new PermsFilter());shiroFilterFactoryBean.setFilters(filterMap);

---

好了，文章就分享到这里了，希望看完之后对你有所帮助~