分布式系统认证解决方案SpringSecurityOAuth2.0(四)整合网关认证授权

最新推荐文章于 2024-05-01 09:07:26 发布
最新推荐文章于 2024-05-01 09:07:26 发布
阅读量1.5k 收藏 13
点赞数 2
分类专栏: 分布式 SpringCloud 文章标签: java gateway oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DreamsArchitects/article/details/119880511
版权

目录

文章

分布式系统认证解决方案SpringSecurityOAuth2.0(一)认证授权
分布式系统认证解决方案SpringSecurityOAuth2.0(二)分布式系统认证流程分析与实现
分布式系统认证解决方案SpringSecurityOAuth2.0(三)资源服务器使用Redis令牌、JWT令牌认证及RSA非对称加密算法
分布式系统认证解决方案SpringSecurityOAuth2.0(四)整合网关认证授权

一、简介

网关整合OAuth2.0有两种思路:
第一种是网关只做请求转发;
第二种是认证服务器生成JWT令牌,请求统一在网关层验证,判断权限等操作,在转发至其他微服务。

API网关在认证授权体系中主要负责两件事:

  1. 作为OAuth2.0的资源服务器角色,实现接入方的权限拦截。
  2. 令牌解析并转发当前登录用户信息(明文)给微服务。

微服务拿到明文token(明文token中包含登录用户的身份和权限信息)后也需要做两件事:

  1. 用户授权拦截(校验用户是否有权限访问该资源)。
  2. 将用户信息存储进当前线程的上下文(有利于后续业务逻辑随时回去当前用户信息)。

二、第一种:网关只做请求转发

这里我们使用SpringCloudGateWay作为网关服务。

搭建Gateway网关服务可以参考之间的文章:
SpringCloud微服务API网关Gateway的使用和配置(一)路由转发、断言谓词
SpringCloud微服务API网关Gateway的使用和配置(二)过滤器
SpringCloud微服务API网关Gateway的使用和配置(三)动态路由

路由配置

在网关服务的application.yml配置文件添加认证服务的转发:

          # oauth2认证授权服务
        - id: oauth2
          uri: lb://springboot-security-oauth2
          predicates:
            - Path=/oauth2/**
        # 订单服务
        - id: order
          uri: lb://springcloud-alibaba-order
          predicates:
            - Path=/order/**

网关服务的所有以/oauth2开头的请求都会转发到Oauth2认证服务。

安全配置

/**
 * @author :LiuShihao
 * @date :Created in 2021/8/18 11:49 上午
 * @desc :
 * 从Spring Cloud Gateway文档中:
 * Spring Cloud Gateway需要Spring Boot和Spring Webflux提供的Netty运行时。它不能在传统的Servlet容器中工作,也不能在构建为WAR时工作。
 * 扩展WebSecurityConfigurerAdapter是为了基于servlet的应用程序。
 * 您应该为 reactive 应用程序配置Spring Security。
 */
@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class WebSecurityConfig  {

    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http.csrf().disable();
        http
                .authorizeExchange()
                .anyExchange().permitAll()
                .and()
                .formLogin()
        ;
        return http.build();
    }
}

订单服务资源

 @PreAuthorize("hasAnyAuthority('ROLE_ADMIN')")
    @GetMapping("/test")
    public ResultObject decreaseAccount(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        System.out.println("principal:"+principal);
        authentication.getAuthorities().stream().forEach(x->{
            System.out.println("authorization:"+x.getAuthority());
        });
//        String username = principal.toString();
        String username = authentication.getName();

        return new ResultObject(true, StatusCode.OK, SystemConstants.QUERY_SUCCESS,username+"访问Order服务资源");
    }

转发路由

在这里插入图片描述

请求网关服务申请令牌,网关服务转发到认证服务:

在这里插入图片描述
请求网关服务校验令牌,网关服务转发到认证服务:
在这里插入图片描述
不携带令牌访问网关服务转发至Order服务:

在这里插入图片描述

带上令牌访问网关服务转发至Order服务:
在这里插入图片描述

令牌的校验在微服务端进行。

三、第二种:网关解析令牌

依赖

   <!--SpringSecurity 权限-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <!-- spring-security-jwt -->
   <dependency>
       <groupId>org.springframework.security</groupId>
       <artifactId>spring-security-jwt</artifactId>
       <version>1.1.0.RELEASE</version>
   </dependency>

路由配置

application.yml配置同上

安全配置

WebSecurityConfig同上

网关服务创建拦截器校验令牌

拦截校验流程:

  1. 首先拦截所有请求进行认证,
  2. 如果请求是/oauth请求认证服务申请令牌的,则放行。
  3. 校验请求头信息Authorization信息。
  4. 解析JWT令牌。
  5. 将解析后的用户认证信息添加到请求头中(可选)。
package com.lsh.gateway.filter;

import lombok.extern.slf4j.Slf4j;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.jwt.Jwt;
import org.springframework.security.jwt.JwtHelper;
import org.springframework.security.jwt.crypto.sign.RsaVerifier;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.Date;
import java.util.List;

/**
 * @author :LiuShihao
 * @date :Created in 2021/8/25 1:40 下午
 * @desc :
 */
@Slf4j
@Component
public class AuthorizationFilter implements GlobalFilter, Ordered {

    /**存放公钥的文件名 */
    public String first_public = "first_public.txt";

    public String second_public = "second_public.txt";

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        log.info("----------------------Gateway Global Filter Start---------------------------------");
        ServerHttpRequest request = exchange.getRequest();
        String uri = request.getURI().toString();
        log.info("URI: "+uri+" ; TIME : "+new Date().toString());
        if (uri.contains("/oauth/")){
            // 请求认证服务   放行
            log.info("----------------------Gateway Global Filter 请求OAuth认证服务:放行!---------------------------------");
            return chain.filter(exchange);
        }

        HttpHeaders headers = request.getHeaders();
        //获取请求头中的认证信息
        List<String> authorization = headers.get("Authorization");
        if (authorization == null || authorization.isEmpty() || authorization.size()==0 || authorization.get(0).length()<8){
            //没有认证信息 不允许访问,禁止访问
            ServerHttpResponse response = exchange.getResponse();
            //返回401 未授权
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            log.info("----------------------Gateway Global Filter End: 没有令牌!----------------------------");
            return exchange.getResponse().setComplete();
        }
        // Bearer token
        String access_token = authorization.get(0);
        //注意:此处的JWT令牌是从access_token值第7位开始取值(不包括第7位)
        String jwtToken = access_token.substring(7);
        //公钥(读取public.txt的公钥信息)
        Resource resource = new ClassPathResource(first_public);
        String publicKey = null;
        try {
            publicKey =  inputStream2String(resource.getInputStream());

        } catch (final IOException e) {
            throw new RuntimeException(e);
        }
        String claims =null;
        try{
            //解析 token 令牌
            Jwt jwt = JwtHelper.decodeAndVerify(jwtToken, new RsaVerifier(publicKey));
            //获取Jwt原始内容 载荷
            claims = jwt.getClaims();
            System.out.println(claims);
        }catch (Exception e){
            log.error("令牌解析失败:"+e.getMessage());
            ServerHttpResponse response = exchange.getResponse();
            //返回401 未授权
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            log.info("----------------------Gateway Global Filter End:令牌解析失败!----------------------------");
            return exchange.getResponse().setComplete();
        }

        //添加请求头 信息
        ServerHttpRequest newRequest = request.mutate().header("username", claims).build();

        ServerWebExchange newExchange = exchange.mutate().request(newRequest).build();


        Mono<Void> filter = chain.filter(newExchange);
        log.info("----------------------Gateway Global Filter 令牌解析成功:放行!---------------------------------");
        return filter;
    }

    /**
     * 过滤器有一个优先级的问题,这个值越小,优先级越高
     * @return
     */
    @Override
    public int getOrder() {
        return -1;
    }

    public String inputStream2String(InputStream is) throws IOException {
        BufferedReader in = new BufferedReader(new InputStreamReader(is));
        StringBuffer buffer = new StringBuffer();
        String line = "";
        while ((line = in.readLine()) != null) {
            buffer.append(line);
        }
        return buffer.toString();
    }

}

JWT令牌使用了RSA非对称加密算法,所以以上代码涉及到了公钥信息。

订单服务创建拦截器查看请求头令牌

/**
 * @author :LiuShihao
 * @date :Created in 2021/7/19 2:21 下午
 * @desc :拦截器 打印请求路径
 */
@Component
public class URIInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("URIInterceptor - RequestURL:"+request.getRequestURL());
        String jsonToken = request.getHeader("username");
        if (jsonToken != null && !"".equals(jsonToken)){
            JSONObject object = JSON.parseObject(jsonToken);
            System.out.println("URIInterceptor:username:"+object.toString());
        }
        return true;
    }
}

测试

请求订单服务:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

源码

代码已上传仓库
https://gitee.com/L1692312138/spring-cloud-alibaba

Liu_Shihao
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
Spring Cloud Gateway 整合OAuth2.0 实现统一认证授权
Lyndon的专栏
04-24 3096
gateway 认证服务
【实战】Spring Cloud Gateway 整合 OAuth2
最新发布
2401_84103818的博客
05-01 840
这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:以上就是本文的全部内容,希望对大家的面试有所帮助,祝大家早日升职加薪迎娶白富美走上人生巅峰!这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:[外链图片转存中…(img-88mXgLUW-1714525635696)][外链图片转存中…(img-3JlbLTDH-1714525635697)]
微服务权限终极解决方案Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
乌龟的专栏
08-10 5936
这篇文章主要向大家介绍微服务权限终极解决方案Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。 标签:gitgithubwebredisspringapi缓存安全服务器restful 最近发现了一个很好的微服务权限解决方案,能够经过认证服务进行统一认证,而后经过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本
SpringCloud+Gateway+Security 搭建微服务统一认证授权(附源码)
Java知音
05-26 1941
点击关注公众号,实用技术文章及时了解1 概述SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。项目概述:common:公用代码,实体、工具类等等…gateway网关uaa:用户登录认证服务school:微服务环境概述:SpringBoot 版本:2.3.1.RELEASESpringCloud版本:Hoxton.SR6S...
世平智能家居安防系统网关解决方案
01-19
其为一个智能家居安防系统的入口、节点或,将引领整个智能家居安防系统的浪潮,因此世平集团适时推出了智能家居安防系统网关解决方案。  一、Intel Edison 温控器方案  二、NXP LPC3240 网关方案  三、Intel...
Spring Cloud 基于网关的统一授权认证
11-12
使用OAuth2实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证授权获得access token,这个access token是受其他微服务信任的。后续访问中可以通过这个access token来进行。
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
—— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 ...
H3C数据中心解决方案测试用例(分布式网关).pdf
06-24
【H3C数据中心解决方案测试用例(分布式网关)】主要涵盖了H3C在数据中心建设中采用的先进技术,特别是分布式网关的应用与测试。本文档旨在验证这些解决方案的可靠性和性能,确保它们能够满足现代数据中心的需求。 1....
VPC分布式数据中心解决方案.pptx
10-14
总结来说,VPC分布式数据中心解决方案通过创新的网络架构和SDN技术,打破了传统主备模式的局限,实现了真正的业务双活,提高了资源利用率,增强了系统的稳定性和容灾能力。通过细致的网络设计和流量管理,这种方案...
CA认证解决方案-CA-Server+网关.doc
11-25
CA认证解决方案,全称为证书权威机构(Certificate Authority)认证,是一种基于公钥基础设施(PKI,Public Key Infrastructure)的安全服务,用于确保网络通信中的身份验证。吉大正元信息技术股份有限公司提供的CA-...
轻量级Java权限认证框架,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Sesson会话、微服务网关鉴权等问题
04-11
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!...Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题
CA认证安全解决方案(认证解决方案网关+签名服务器).docx
11-13
此方案由认证解决方案网关和签名服务器两部分组成,旨在为互联网用户提供强大的身份验证和数字签名服务。 1. 方案背景 在当前的互联网环境中,网络安全问题日益突出,传统的用户名和密码验证方式已无法满足日益增长...
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
OAuth(开放授权)和JWT(JSON Web Token)是两种广泛用于身份验证和授权的技术,通常会在网关层进行整合,以实现高效、安全的系统认证OAuth 2.0 是一个授权框架,允许第三方应用在用户许可的情况下访问其私有...
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 2650
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
Springcloud gateway网关+认证服务+token方式,入口层认证统一微服务鉴权【设计实践】
殷长庆的博客
08-04 7261
分布式项目的单点登录分为认证服务(单点登录服务端)和业务服务(单点登录客户端)两个角色,当访问业务服务时,认证服务客户端SDK校验一下是否有登录token,如果没有登录token,需要携带当前请求链接重定向到认证服务,认证通过后由认证服务重定向业务服务链接,实现单点登录。gateway实现单点登录客户端功能,一般如果前后端项目是分离的,如果请求中没有携带登录token,直接返回需要认证,前后端没有分离的项目,可以做页面重定向操作。本文主要讨论gateway的实现,认证服务需要自行实现。......
Spring Cloud Gateway实现网关统一鉴权,网关统一Token认证
热门推荐
bufegar0的博客
10-31 2万+
需求背景 在微服务的场景下,采用了Spring Cloud Oauth2进行token的管理,实现认证授权,在这下背景下,有两种解决方案网关统一鉴权 此模式适用于网关下的所有模式都是通过一种模式进行鉴权操作,可以统一管理 微服务模块各自鉴权 此模式适用于网关下的各个模块有不同的鉴权模式,针对不同的业务场景需要满足不同的实现,如采用oauth2、shiro、签名等方式。 下文就网关统一鉴权的实现方式提供解决方案,以供参考 实现方案 通过过滤器的方式实现统一拦截,下面以核心代码的方式展示,具体所有代码可以
构建智慧校园2.0:机房建设与解决方案
"智慧校园2.0机房建设解决方案旨在构建高效、安全、智能化的教育环境,通过先进的信息技术,整合教学、管理、服务等多个方面,为学生、教师、管理人员及家长提供便捷的服务。该解决方案涉及政策标准、体系架构、基础...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Liu_Shihao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值