OAuth2保护微服务 案例实战

最新推荐文章于 2024-05-17 08:27:49 发布
最新推荐文章于 2024-05-17 08:27:49 发布
阅读量343 收藏
点赞数
分类专栏: 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TheJam/article/details/106515498
版权

OAuth2保护微服务 案例实战

文章目录

前言

不得不吐槽一下,一些经典书籍的案例 真的已经过时了,首先依赖包不适用,案例不正确,代码欠缺,而且很多关键位置的代码并没有贴出来,这对于许多不仅仅是看书,也想动手敲一敲案例的学习者来说很不友好!!一度都想跳过这一章,记录使用使用OAuth2+SpringSecurity+SpringCloud时遇到的一系列坑。

参照《Spring微服务实战》

1. 依赖包问题

        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>

注意起步依赖 spring-cloud-starter···,原书中的spring-cloud-···真的让我吐了,一直怀疑可能是因为我版本的问题,查了很久之后发现,确实是包的问题。

工程结构如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O9df0GMr-1591115573053)(C:\Users\a\AppData\Roaming\Typora\typora-user-images\1591104088075.png)]

2.服务引导类Application

@SpringBootApplication
@RestController
@EnableResourceServer
@EnableAuthorizationServer //OAuth2服务
public class OAuth2Application {
    @GetMapping(value = "/auth/user",produces = "application/json")
    public Map<String,Object> user(OAuth2Authentication user){
        Map<String,Object> userInfo=new HashMap<>();
        userInfo.put("user",user.getUserAuthentication().getPrincipal());
        userInfo.put("authorities", AuthorityUtils.authorityListToSet(user.getUserAuthentication().getAuthorities()));
        return userInfo;
    }


    public static void main(String[] args){
        SpringApplication.run(OAuth2Application.class,args);
    }
}

OAuth2服务的引导类,除了通过注解声明该服务是OAuth2服务外,添加了一个 /user 路径映射,当有客户端服务访问由OAuth2保护的服务时会调用这个端点。(说直白点就是,客户端服务拿着授权令牌Authorization时,对这个Authorization进行解析,回返回对应的user和authorities)。

此类在原书中仍然是个坑,在指向验证服务时,原书里的userInfoUri:/auth/user,而原书里的启动类却是RequestMapping("/user"),说是会映射到/auth/user路径上去,然而我在试验时,并不是这样,而是要通过/user才可以,这不是给自己添麻烦吗?! (我猜测本书中可能有某个地方设置一个类似路径prefix这样的东西,因为其实所有的请求路径都是 ip+port/auth/···· 然而 它实际的编码里 并没有添加/auth )

3.配置类OAuth2

@Configuration
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory() //指定为内存存储 jdbc存储或内存存储
                .withClient("orgFeign") //注册的应用程序名称
                .secret("thisissecret") //密钥
                .authorizedGrantTypes(  //授权类型
                        "password",
                        "client_credentials"
                ).scopes("webclient","mobileclient"); //作用域
        //定义验证服务注册的客户端应用程序
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
//                .tokenKeyAccess("permitAll()")  // auth/oauth/token_key是公开的
//                .checkTokenAccess("permitAll()") // auth/oauth/check_token是公开的
//                .allowFormAuthenticationForClients() //表单验证(申请令牌)
                .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }
}

该类定义了哪些应用程序可以访问由OAuth2保护的服务,重点关注覆写的两个configure方法。

第一个configure中,定义了哪些客户端注册到OAuth2中,withClient()和secret()是客户端应用程序获取OAuth2访问令牌的名称和密钥,authorizedGrantTypes()为授权类型列表 这里指定为密码类型,scopes为作用域,为自定义的内容 可以用来做细粒度的授权规则。

第二个configure中,有三行注释掉的代码,其实这是我出现401时参照别人的解决方案,但实际无济于事,我401的时候加了还是401,我解决正常运行后注释掉也不影响它照常工作。

4. 配置类Security

与上一个配置类不同,上一个是配置OAuth2相关的,这个配置类是配置SpringSecurity的用户id 密码和角色。与单独使用SpringSecurity进行权限控制资源保护的基本一样。

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsServiceBean() throws Exception {
        return super.userDetailsServiceBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance())
                .withUser("jam").password("123456").roles("USER")
                .and()
                .withUser("yang").password("123456").roles("USER","ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .anonymous().disable()
                .authorizeRequests()
                .antMatchers("/oauth/token").permitAll();
    }
}

同样重点也是两个configure方法,本文的例子中为了方便选择了一个弃用的密码编码器NoOpPasswordEncoder,官方已不推荐使用,第一个configure方法采用基于内存的方式注册了两个用户jam和yang;第二个configure方法才是解决了我之前出现401的关键步骤之一!!!原书中并没有提到需放通 /oauth/token 这一路径,实属有点坑人。

以上就可以尝试起通过OAuth2服务来获取令牌以及验证授权。

5. Postman测试

在这里插入图片描述

首先 是这里的路径问题 原书中是 ip:port/auth/oauth/token 同理,用加上auth之后仍然是不行的,加上前面Security配置类上我们放通的是 /oauth/token(只需要放通,背后映射做的处理由OAtuh2帮我们完成),所以正确的路径如图,需要选择Authorization的Type为Basic Auth,右边有两个参数要填写,这里的Username和Password分别对应OAuth2配置类的withClient()和secret()

在这里插入图片描述

除了Authorization之外,还需要写入对应的参数,这里需要在body里选择表单数据 form-data,然后分别写grant_type授权类型,scope作用域,username和password(注册的用户的用户名密码),前两个参数参见 3.OAtuh2配置类,用户名密码是Security配置类上注册的。这里有两个 注释掉的参数 client_id 和client_secret 这是一些博客上解决访问/auth/token报401的方案,但是我这里行不通,所以我把它注掉了。

结果可以看到 access_token和token_type 此为OAuth2颁发的令牌,而我们可以拿着这个令牌去OAuth2服务器验证权限,还记得2.的引导类中的那个地址映射吗?可以在HTTP头部携带这个令牌去验证。

在这里插入图片描述

至此,授权令牌的颁发与验证就已经完成了。

6. 配置被保护的服务

// 本文以一个 OrgnizationApplication-9001为例

6.1 yaml与引导类

server:
  port: 9001

security:
  oauth2:
    resource:
      userInfoUri: http://localhost:4396/auth/user

@SpringBootApplication
@EnableResourceServer  //注解为受OAuth2保护的资源
@EnableEurekaClient
public class OrganizationApplication9001 {
    public static void main(String[] args){
        SpringApplication.run(OrganizationApplication9001.class,args);
    }
}

@EnableResourceServer 会强制执行一个Filter,会对所有到达改服务的请求执行Filter检查传入的HTTP首部是否存在OAuth2访问令牌,然后通过回调yaml中的uri来查看令牌是否有效。

6.2 测试的Controller

@RestController
public class OrganizationController {
    @GetMapping("/organization")
    public String getMsg(){
        return "This is organization  9001";
    }
}

6.2 定义访问规则

@Configuration
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers(HttpMethod.GET,"/organization")
                .hasRole("ADMIN")
                .anyRequest()
                .authenticated();
    }
}

这里定义了 /organization 资源路径的规则,需要ADMIN角色,(本文中的两个用户jam为user角色,而yang为user和admin角色),所以可以通过分别向OAuth获取这两个用户的access_token 然后访问这个服务 加以验证。

6.3 访问被保护的服务

如图,这个截图例子测试的是jam用户也即user角色的结果,会发现403拒绝访问,达到了预期的效果,yang用户即admin角色可以自行测试,是可以正常放通进行访问的。

在这里插入图片描述

5AnJam
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
保护微服务(Spring Cloud Security和OAuth2.0)
qq_28799479的博客
08-24 261
源码:Securing your Microservices 一、使用Spring和OAuth2来保护单个端点 1.建立验证服务 构建依赖项: 2.使用OAuth2.0服务注册客户端应用程序 小笔记:验证与授权,验证是看他是谁,授权是可以让他干些什么,所以授权之前肯定是要先验证的。 3.配置用户 上面两个返回的bean,就是在这里注入的: 4.验证用户 先把配置服务搞一下。 新建Use...
微服务-微服务Spring Security OAuth 2实战
weixin_43874650的博客
02-25 1488
OAuth 2.0 (Open Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。
微服务框架搭建 基于oauth2 认证中心服务
03-26
#微服务框架认证授权中心 项目采用spring cloud、oauth2、spring security # 依赖环境 JDK8、 Maven、 Mysql、 Redis 、nacos 注册中心采用阿里巴巴 nacos 缓存使用的是redis oauth2数据存储在数据库中 username: test password: 123456 phone: 13100000000 verifyCode: 1000 //数据库使用的是mysql5.7.23 执行sql语句 修改配置数据库密码 //数据库密码使用druid加密 *表示密码 java -cp druid-1.1.10.jar com.alibaba.druid.filter.config.ConfigTools ****** //nacos安装请查看官网资料 授权码: http://localhost:9001/auth/oauth/authorize?response_type=code&client_id=test&redirect_uri=https://www.ddd.com 密码模式: post http://localhost:9001/auth/oauth/token?grant_type=password&client_id=test&client_secret=123456&username=test&password=123456 客户端: post http://localhost:9001/auth/oauth/token?grant_type=client_credentials&client_id=test&client_secret=123456
spring Cloud微服务 security+oauth2认证授权中心自定义令牌增强,并实现登录和退出_spring security实现微服务用户中心
最新发布
2401_85015477的博客
05-17 705
收集整理了一份《2024年最新物联网嵌入式全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升的朋友。 如果你需要这些资料,可以戳这里获取需要这些体系化资料的朋友,可以加我V获取:vip1024c (备注嵌入式)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长! oauth2-
微服务安全:保护微服务的两大方案
dream8062的专栏
04-27 595
http://chuansong.me/n/428910233351
OAuth2在微服务架构中的典型场景
罗小爬的技术宝书
08-09 1207
本文主要介绍了OAuth2 & OIDC 1.0在微服务架构中的演进及落地方案
基于SpringCloud完整的微服务架构实战
01-27
【SpringCloud微服务架构实战详解】 SpringCloud是一个全面的微服务解决方案,它为开发者提供了构建分布式系统所需的工具,包括服务发现、配置管理、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导...
云原生微服务架构实战精讲.zip
11-18
这个压缩包中的内容很可能是按照实际项目案例的方式展开,通过一系列的实践教程,帮助读者深入理解并掌握云原生微服务架构的设计原则和最佳实践。学习者可以期待一个包含详细步骤的指南,涵盖从基础概念到复杂场景的...
Spring Boot 2企业应用实战.rar
05-29
6. **安全增强**:Spring Security与Spring Boot 2的集成更加紧密,提供了更丰富的安全配置选项,如OAuth2支持,增强了应用的安全性。 7. **测试支持**:Spring Boot 2提供了更多的测试工具和注解,如`@SpringBoot...
simplemall:基于SpringCloud的微服务架构实战案例项目,以一个简单的购物流程为示例,融合spring cloud相关组件,如spring-cloud-netflix,swagger等
02-05
随着时间的推移观星人 快速开始 基于SpringCloud系统实现,简单购物流程实现,满足基本功能:注册,登录,商品列表展示,商品详情展示,订单创建,详情查看,订单支付,库存更新等等。...安全认证:oauth2 / JWT
微服务架构设计.pdf
02-22
本次高级培训班由资深的CTO和架构设计专家授课,他们拥有丰富的实践经验,将通过理论讲解、案例分析、实战演练等方式,帮助学员深入理解和掌握微服务架构设计的各个方面。培训结束后,合格学员将获得《微服务架构...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
京东二面凉凉,三个月的闭关之旅,再次投递拿下京东零售意向函
2401_84002482的博客
04-14 976
三个工作日收到了offer,头条面试体验还是很棒的,这次的头条面试好像每面技术都问了我算法,然后就是中间件、MySQL、Redis、Kafka、网络等等。第一个是算法关于算法,我觉得最好的是刷题,作死的刷的,多做多练习,加上自己的理解,还是比较容易拿下的。而且,我貌似是将《算法刷题LeetCode中文版》、《算法的乐趣》大概都过了一遍,尤其是这本。
Spring Cloud Alibaba微服务实战二十六 - Oauth2认证服务器自定义异常
smart_an的专栏
04-13 727
今天内容主要是解决一位粉丝提的问题:在使用时如何自定义认证服务器返回异常。那么首先我们先以Password模式为例看看在认证时会出现哪些异常情况。授权模式错误这里我们故意将授权模式password修改成password1,认证服务器返回如下所示的异常密码错误在认证时故意输错username或password客户端错误在认证时故意输错client_id或上面的返回结果很不友好,而且前端代码也很难判断是什么错误,所以我们需要对返回的错误进行统一的异常处理,让其返回统一的异常格式。
SpringCloud Alibaba微服务实战十三 - Oauth2(1),面试必问知识点
2301_82243078的博客
04-13 431
为了保证服务的安全性,往往都会在接口调用时做权限校验。在分布式架构中我们会把复杂的业务拆成多个微服务,这样不得不在所有服务中都实现这样的权限校验逻辑,这样就会有很多代码和功能冗余。所以在微服务架构中一般会独立出一个单独的认证授权服务,供其他所有服务调用。在SpringCloud体系中,我们只对网关层开放外网访问权限,其他后端微服务做网络隔离,所有外部请求必须要通过网关才能访问到后端服务。在网关层对请求进行转发时先校验用户权限,判断用户是否有权限访问。
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 3884
看完你就会懂oauth2.0的四种授权方式是如何工作的了
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3314
微服务统一认证方案
保护微服务oauth2)
weixin_41607429的博客
04-10 530
Spring cloud Security 和 OAuth2保护微服务 oauth是一个基于令牌的安全验证和授权框架,分为四部分: 受保护资源; 资源所有者:定义哪些应用程序可以调用其服务,资源所有者注册的应用程序都将获得一个程序名称和密钥,作为向oauth2验证令牌时的凭证; 应用程序:代表用户调用服务的应用程序; OAuth2验证服务器; 授权码(四种授权类型,此处只备注授权码类型); 在认证中心注册第三方应用程序并生成应用程序名称和密钥,同时在注册时提供回调URL,以便从OAu

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值