springcloud gateway作为oauth2客户端

最新推荐文章于 2024-07-15 16:52:59 发布
最新推荐文章于 2024-07-15 16:52:59 发布
阅读量8.7k 收藏 7
点赞数 2
文章标签: gateway oauth spring boot jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_sunny_a/article/details/103701768
版权

springcloud gateway作为oauth2客户端


通过对springcloud gateway以及oauth2的进一步了解这里的配置其实是将gateway最为了oauth2的资源服务器使用,适用场景:只需要网关做一些token验证的工作,具体的授权步骤由其他服务完成(前台或者其他后台服务),如果希望网关能够做一些授权步骤并且可以管理token的可以转战我的另一篇文章springcloud gateway作为oauth2的客户端进化篇

gateway配置application.yml

spring:
  # 加上此配置可自动配置安全验证及JWT验证
  autoconfigure:
    exclude: org.springframework.boot.actuate.autoconfigure.security.reactive.ReactiveManagementWebSecurityAutoConfiguration
  security:
    oauth2:
     # 自定义配置安全验证JWT验证时需要配置resourceserver.jwt.jwk-set-uri
      resourceserver:
        jwt.jwk-set-uri: http://zw-pc3-pc:8080/uaa/oauth/jwks
      client:
        registration:
          login-client:
            provider: uaa
            client-id: android
            client-secret: android
            authorization-grant-type: authorization_code
            redirect-uri-template: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope: xx
        provider:
          uaa:
            authorization-uri: http://zw-pc3-pc:8080/uaa/oauth/authorize
            token-uri: http://zw-pc3-pc:8080/uaa/oauth/token
            user-info-uri: http://zw-pc3-pc:8080/uaa/a/user/user
            user-name-attribute: sub
            jwk-set-uri: http://zw-pc3-pc:8080/uaa/oauth/jwks

其网关的配置需要加上过滤器(加上过滤器后会走TokenRelayGatewayFilterFactory过滤器,进行token验证)

 spring:
cloud:
  gateway:
    discovery:
      locator:
        enabled: true
    defaultFilters:
      - PreserveHostHeader
    routes:
      # 消费者
      - id: EUREKA-CONSUMER
        uri: lb://EUREKA-CONSUMER
        predicates:
          - Path=/consumer/**
        filters:
          - StripPrefix=1
          - TokenRelay=

如使用默认自动方式去配置授权路径等会被拦截,因此我们自定义SecurityConfig

package com.example.config.oauth;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.web.server.ServerHttpSecurity;
import org.springframework.security.oauth2.server.resource.web.server.ServerBearerTokenAuthenticationConverter;
import org.springframework.security.web.server.SecurityWebFilterChain;
import org.springframework.security.web.server.util.matcher.ServerWebExchangeMatcher;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

import java.net.URI;

/**
 * 安全配置
 * @ EnableWebSecurity 启用web安全配置
 */
@Configuration
public class SecurityConfig{

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        ServerBearerTokenAuthenticationConverter bearerTokenConverter = new ServerBearerTokenAuthenticationConverter();
        http
                .authorizeExchange().pathMatchers("/uaa/oauth/**","/uaa/login","/oauth/**").permitAll()
                .anyExchange().authenticated()
                .and()
                .formLogin().loginPage("/uaa/oauth/login")
                // 禁用csrf
                .and().csrf().disable();
        http.oauth2ResourceServer().jwt();
        return http.build();
    }

    /**
     * 定义OAuth2请求匹配器
     */
    private static class OAuth2RequestedMatcher implements ServerWebExchangeMatcher {
        @Override
        public Mono<MatchResult> matches(ServerWebExchange serverWebExchange) {
            URI uri = serverWebExchange.getRequest().getURI();
            String path = uri.getPath();
            if(!path.contains("/oauth||/uaa/oauth||uaa/login")){
                return OAuth2RequestedMatcher.MatchResult.match();
            }
            return OAuth2RequestedMatcher.MatchResult.notMatch();
        }
    }
}

【注】:
1、http.oauth2ResourceServer().jwt();一行加了JWT验证需要的过滤器
2、如果没有配置authenticationManager,则会使用默认的JwtReactiveAuthenticationManager进行token验证,authenticationManager中使用的ReactiveJwtDecoder是NimbusReactiveJwtDecoder,NimbusReactiveJwtDecoder默认使用RS256(RSA)加密算法,因之前授权服务器使用的JWT加密算法为HS256(HS256),两者不匹配,因此为了适应gateway,将授权服务器的加密算法也换成了RSA,使用RSA需要生成证书(可使用jdk的keytool生成),授权服务器需提供其证书keys,如:
{
“keys”: [{
“alg”: “RS256”,
“kty”: “RSA”,
“use”: “sig”,
“n”: “AKh0Ckt9phaUql8w1WeqzGiMec1S8aGjwFBBtdinJiGs7Vp2sI7mNtg4RQesHhz7AKAdBKh3JyP6OwgzuDWAtcKA8DZx58GfBUe7lkFwF0OizIqoT/wvnoAeII27G/18vYSakXalz58O2+9d0dWFag4jH8yG0V2v1JrM+GmFxx3JK9o8Im4wvI8ssikV9ZgqT60CDeSCV/3ayICiIyBVxZ11TsxUKdKcmaqTjqjZJZQhRq0uU/Y2Z2Zvq5a7OjNOqyOaDmquxzVeikEK036VErbuc2vjEXA4Vbzoxrn8xSI1rB8p+Wu9qbArk1MQOnPgaruNyA7uKwYL4/nvBl7UDWs=”,
“e”: “AQAB”,
“kid”: “Y2VzaGk=”,
“x5t”: “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”
}]
}

授权服务器读取证书并配置JWT的JwtAccessTokenConverter

/**
 * token生成处理:指定签名
 */
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
    JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
    try {
        KeyStore keyStore = KeyStore.getInstance("JKS");
        FileInputStream in = new FileInputStream("D:\\keystores\\mykeystore");
        keyStore.load(in,"123456".toCharArray());
        Enumeration aliasEnum = keyStore.aliases();
        String keyAlias = "" ;
        while (aliasEnum.hasMoreElements()) {
            keyAlias = (String) aliasEnum.nextElement();
        }
        PublicKey publicKey = keyStore.getCertificate(keyAlias).getPublicKey();
        //加载私钥,这里填私钥密码
        PrivateKey privateKey = ((KeyStore.PrivateKeyEntry) keyStore.getEntry(keyAlias,
                new KeyStore.PasswordProtection("123456".toCharArray()))).getPrivateKey();
        String _privateKey = Base64.encodeBase64String(privateKey.getEncoded());
        KeyPair keyPair = new KeyPair(publicKey,privateKey);
        accessTokenConverter.setKeyPair(keyPair);
    }catch (Exception e){
        throw new IllegalStateException("Cannot load keys from store: " , e);
    }

    return accessTokenConverter;
}

授权服务器提供jwks.json接口( http://zw-pc3-pc:8080/uaa/oauth/jwks),其中:“n”:公钥模数,“e”:公钥指数,"kid"以及x5t可通过以下代码获取

@Test
public void test() throws Exception {
    KeyStore keyStore = KeyStore.getInstance("JKS");
    FileInputStream in = new FileInputStream("D:\\keystores\\mykeystore");
    keyStore.load(in,"123456".toCharArray());
    Enumeration aliasEnum = keyStore.aliases();
    String keyAlias = "" ;
    while (aliasEnum.hasMoreElements()) {
        keyAlias = (String) aliasEnum.nextElement();
    }
    System.out.println("别名"+keyAlias);

    Certificate cert = keyStore.getCertificate(keyAlias);
    RSAPublicKey publicKey = (RSAPublicKey)cert.getPublicKey();
    String publick = Base64.encodeBase64String(publicKey.getEncoded());
    BigInteger publicModulus = publicKey.getModulus();
    BigInteger publicExponent = publicKey.getPublicExponent();
    System.out.println("publicKey:"+publick);
    System.out.println("publicModulus:"+publicModulus.toString());
    System.out.println("publicExponent:"+publicExponent.toString());
    //加载私钥,这里填私钥密码
    RSAPrivateKey privateKey = (RSAPrivateKey)((KeyStore.PrivateKeyEntry) keyStore.getEntry(keyAlias,
            new KeyStore.PasswordProtection("123456".toCharArray()))).getPrivateKey();
    String _privateKey = Base64.encodeBase64String(privateKey.getEncoded());
    System.out.println("privateKey:"+_privateKey);
    System.out.println("privateModulus:"+privateKey.getModulus());
    System.out.println("n:"+Base64.encodeBase64String(publicModulus.toByteArray()));
    System.out.println("e:"+Base64.encodeBase64String(publicExponent.toByteArray()));
    System.out.println("x5t:"+Base64.encodeBase64String(cert.getEncoded()));
    System.out.println("kid:"+Base64.encodeBase64String(keyAlias.getBytes()));
}

gateway还可以通过其他方式实现oauth客户端

以上使用的是在本地通过授权服务器的/oauth/jwks接口获取公钥在网关本地进行token验证,还可以通过授权服务器的oauth/check_token接口进行token验证,这就需要自定义authenticationManager,暂未实现后面这种方法。

a_sunny_a
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
OAuth2系列】Spring Cloud Gateway 作为OAuth2 Client接入第三方单点登录代码实践
c18213590220的博客
12-06 2244
Spring Cloud Gateway是Spring Cloud生态系统中的一个组件,主要用于构建微服务架构中的网关服务。它提供了一种灵活而强大的方式来路由请求、过滤请求以及添加各种功能,如负载均衡、熔断、安全性等。通过将Spring Cloud Gateway作为OAuth2 Client,可以实现用户在系统中的统一认证体验。用户只需要一次登录,即可访问多个微服务,避免了在每个服务中都进行独立的认证,下游微服务只需要专注自己的业务代码即可。
spring-cloud-gateway-oauth2
01-21
Spring Cloud Gateway作为Spring Cloud生态中的一个强大网关,提供了路由、过滤等功能,而OAuth2则是一种广泛应用于授权的安全框架。本文将深入探讨如何在Spring Cloud Gateway项目中整合OAuth2,同时也会提及到项目...
springcloud gateway作为oauth2的客户进化篇
a_sunny_a的博客
09-24 2342
文章目录前言一、个人对oauth2资源服务器以及oauth2客户的理解二、具体配置及使用1.application.yml的配置2.配置资源路由使用- TokenRelay=来中继token3.去掉之前自定义的SecurityConfig4.测试效果1.访问网关2.登陆3.确认授权总结 前言 之前说是将springcloud gateway作为oauth2的客户,经过仔细推敲,之前的方式其实是将springcloud gateway作为了资源服务器使用。 一、个人对oauth2资源服务器以及oaut
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心
LarrYFinal的博客
04-05 8130
Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 目录 Spring Cloud Gateway + Oauth2 + SSO搭建微服务的统一认证授权中心 一、简介 二、项目搭建 三、测试 一、简介 1.1 Spring Cloud Gateway 网关服务 相比大家都应该知道。主要是统一我们的接口请求转发,将我们对其他服务的请求都通过网关进行转发。API网关封装了系统内部架构,为每个客户提供一个定制的API。它可能还具有其它职责,如.
SpringBoot搭建OAuth2
m0_60681411的博客
05-28 1613
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
springcloud整合Gateway+Oauth2 超级详解
weixin_45592424的博客
09-09 1246
对于springcloud 如何整合gateway网关和oauth2 实现鉴权和授权两大功能
spring cloud gateway整合OAuth2实现自定义鉴权
E的博客
08-26 6015
1、OAuth2里面有很多个TokenStore的实现,例如RedisTokenStore,JdbcTokenStore等等,本文以RedisTokenStore实现。 2、自定义CustomAuthorizationManager类实现ReactiveAuthorizationManager接口,重写check()方法 3、关键代码如下 @Component @Slf4j public class CustomAuthorizationManager implements ReactiveAuth
Spring Cloud Security Token Relay‘s Principle
来啊 快活啊
07-01 1266
A Token Relay is where an OAuth2 consumer acts as a Client and forwards the incoming token to outgoing resource requests. The consumer can be a pure Client (like an SSO application) or a Resource Serv...
springcloud整合oauth2和jwt
04-09
在Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权服务器和资源服务器。 1. **OAuth2流程**: - 授权请求:客户(如浏览器或移动应用)引导用户到授权服务器进行登录。 - 用户授权...
sample-gateway-oauth2login:结合了Spring Cloud Gateway和Spring Security OAuth2的示例应用程序
01-30
在sample-gateway-oauth2login项目中,Spring Cloud Gateway作为入口,处理所有外部请求。当用户尝试访问受保护的资源时,Gateway会检查请求是否带有有效的OAuth2令牌。如果令牌无效或缺失,它会将请求重定向到OAuth...
gateway和jwt网关认证实现过程解析
08-25
主要介绍了gateway和jwt网关认证实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
在实际项目中,我们可以利用Spring Cloud Config Server作为配置中心,统一管理所有微服务的安全配置,包括OAuth2的相关设置。此外,Zuul或Gateway作为API网关,可以拦截所有微服务的请求,负责令牌的验证和转发,...
springCloud+Oauth2
02-17
`SpringCloud` 和 `OAuth2` 的结合提供了一种高效且灵活的方式来实现微服务架构中的服务发现、负载均衡和安全控制。本文将深入探讨如何利用这两个强大的框架来构建一个实现单点登录(Single Sign-On,SSO)及安全...
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
Java精选
08-25 638
一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUsers需要user.userInfo权限才可...
合理使用gateWay过滤器,实现Concroller自动注入用户信息
weixin_47987440的博客
07-09 1023
在日常开发中,经常我们需要在请求controller时传递用户信息。那么有没有一种方式可以让我们的程序在用户登录后自动向controller接口中注入用户用户信息呢? 答案是yes!!!现在我们来看看博主当前的项目是如何实现的吧! 1.首先登录时,账号密码校验通过后生成一个token,并将用户基本信息存入redis。将key返回给前 2.前收到后将当前用户的token缓存起来,每次像后台发请求时在header中携带token。 3.重点来了,在ga
SpringCloudGateway-Consider .... security.oauth2.jwt.ReactiveJwtDecoder‘ in your configuration.
Eistert
08-17 3487
报错信息: 2021-08-17 15:39:39.004 WARN 29619 --- [ main] onfigReactiveWebServerApplicationContext : Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: E
回顾:oauth2和 spring cloud alibaba gateway 整合
热水钟博客
05-15 1754
一、oauth2认证中心:登录用户进行认证,生成token, 同时定义受保护的api服务 (一)oauth2的四种认证模式:授权码模式,简化模式,密码模式,客户模式。其中授权码模式和密码模式用的最多。 A.OAuth2授权码模式: 我们进入一些第三方应用程序时,无需注册,只需要微信授权登录即可,对于我们的服务不需要存储用户的密码,只要存储认证平台返回的唯一ID和用户信息即可,这就是OAuth2常见的授权码模式,它的特点就是:利用第三方权威平台实现用户身份的认证,当然如果我们的公司里面很多微...
spring security oauth2 jwt过期时间不准原因分析以及解决办法
qq1010830256的博客
11-06 3102
源码跟踪spring security oauth2框架中jwt过期时间不准的问题
SpringCloud教程 | 第九篇: 使用API Gateway
最新发布
heming20122012的专栏
07-15 210
1、参考资料。
springcloudgateway整合oauth2
06-28
Spring Cloud Gateway可以通过整合OAuth2来实现安全认证和授权功能。具体步骤如下: 1. 引入Spring Security和Spring Security OAuth2依赖。 2. 配置Spring Security和OAuth2的相关配置,包括认证服务器地址、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a_sunny_a

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值