Oauth2拦截微服务请求获取token使用负载均衡,解决unKown Host

最新推荐文章于 2024-07-12 08:41:54 发布
最新推荐文章于 2024-07-12 08:41:54 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java resttemplate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ceshiyuan001/article/details/120743742
本文介绍了在微服务架构中,由于OAuth2默认配置无法使用负载均衡获取Token的问题。问题源于在调用认证服务器获取Token时,配置的URL指定了端口而非使用负载均衡。解决方案包括两种:一是自定义Token获取类,覆盖默认的AccessTokenProvider;二是通过动态代理修改OAuth2AccessTokenSupport中的RestTemplate,使其支持负载均衡。这两种方法都能确保在微服务间调用时正确添加负载均衡的Token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Oauth2拦截微服务请求获取token使用负载均衡

一,问题引出
微服务之间相互调用,使用oauth默认的配置,获取token的方式为grant-type: client_credentials,yml配置:access-token-uri: http://cloud-auth-dev.crpt-dev:8001/oauth/token,获取认证的url必须指定端口,不能使用负载均衡的方式,否则会报错,unKown Host xxx;

yml配置截图:

security:
  oauth2:
    client:
      client-id: client
      client-secret: sdecsdg
      access-token-uri: http://clouds-auth-dev.crpt-dev:8001/oauth/token
      user-authorization-uri: http://clouds-auth/oauth/authorize
      grant-type: client_credentials
      scope: app

二,问题原因

在微服务A调用微服务B之前,oauth2会拦截A调用B的请求,并为其添加A从认证服务器获取的token,然后在发起A调用B。
在extract方法里面,oauth会为feign调用的请求上添加token
getToken先从缓存中获取token,如果存在且没失效则直接返回
根据yml配置的oauth地址信息获取token
抽象的获取token方法
具体的获取token实现类
具体获取token的方法
feign调用微服务
被feign.SynchronousMethodHandler#invoke拦截
feign.SynchronousMethodHandler#targetRequest
feign.RequestInterceptor#apply
OAuth2FeignRequestInterceptor#apply
OAuth2FeignRequestInterceptor#extract
OAuth2FeignRequestInterceptor#getToken
OAuth2FeignRequestInterceptor#acquireAccessToken
AccessTokenProvider#obtainAccessToken
AccessTokenProviderChain#obtainNewAccessTokenInternal
ClientCredentialsAccessTokenProvider#obtainAccessToken
OAuth2AccessTokenSupport#retrieveToken
获取token后返回

注:
在这个OAuth2AccessTokenSupport#retrieveToken方法内获取的RestTemplate为, new RestTemplate(),因为是new出来的,不带@LoadBalanced注解,所有不支持访问域名。因此想要使用负载均衡,必须重新获取token的方法。也就是自定义具体的token获取类,或者重写retrieveToken中获取RestTemplate的方法。

三,解决方案:

方案一,重写获取token的方法,即重写obtainAccessToken方法,自定义类,继承ClientCredentialsAccessTokenProvider,并重写其获取token的方法obtainAccessToken。并在Spring容器初始化,创建OAuth2FeignRequestInterceptor类时,将自定义的对象添加给它。

自定义获取token代码:

@Slf4j
@Component
public class JobClientAccessTokenProvider extends ClientCredentialsAccessTokenProvider {

    @Autowired
    private RestTemplate restTemplate;
    @Autowired
    private SecurityProperties securityProperties;


    @Override
    public OAuth2AccessToken obtainAccessToken(OAuth2ProtectedResourceDetails details, AccessTokenRequest parameters) throws UserRedirectRequiredException, UserApprovalRequiredException, AccessDeniedException {

        // 注意url上要拼接?grant_type=client_credentials&scope=app,不然oauth会报,找不到grant_type
        String url = securityProperties.getAccessTokenUri() + "?grant_type=" + securityProperties.getGrantType() + "&scope=" + securityProperties.getScope();
        String format = "";
        try {
            // String.format的代码出自oauth源码,类:OAuth2FeignRequestInterceptor -> DefaultClientAuthenticationHandler
            format = String.format(
                    "Basic %s",
                    new String(Base64.getEncoder().encode(String.format("%s:%s", securityProperties.getClientId(),
                            securityProperties.getClientSecret()).getBytes("UTF-8")), "UTF-8"));
            System.out.println(format);
        } catch (Exception e) {
            log.error("===== 获取Token失败,转换异常", e);
            throw new RuntimeException(e);
        }

        HttpHeaders headers = new HttpHeaders();
        headers.set(HttpHeaders.AUTHORIZATION, format);

        HttpEntity<String> request = new HttpEntity<String>(headers);
        ResponseEntity<OAuth2AccessToken> response = restTemplate.exchange(url, HttpMethod.POST, request, OAuth2AccessToken.class);
        return response.getBody();
    }

配置类:

@Data
@Component
@RefreshScope
public class SecurityProperties {

    @Value("${security.oauth2.client.client-id}")
    private String clientId;
    @Value("${security.oauth2.client.client-secret}")
    private String clientSecret;
    @Value("${security.oauth2.client.accessTokenUri}")
    private String accessTokenUri;
    @Value("${security.oauth2.client.grant-type}")
    private String grantType;
    @Value("${security.oauth2.client.scope}")
    private String scope;

}

Spring容器创建OAuth2FeignRequestInterceptor后设置其属性:

@Component
public class JobAccessTokenBeanPostProcessor implements BeanPostProcessor {

    @Autowired
    private JobClientAccessTokenProvider jobClientAccessTokenProvider;

    // org.springframework.cloud.security.oauth2.client.feign.OAuth2FeignRequestInterceptor
    @Override
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
        if("oauth2FeignRequestInterceptor".equals(beanName)){
            OAuth2FeignRequestInterceptor oauthInterceptor = (OAuth2FeignRequestInterceptor) bean;
            oauthInterceptor.setAccessTokenProvider(jobClientAccessTokenProvider);
        }
        return bean;
    }

注意:添加会覆盖源码中默认的4个AccessTokenProvider,如果不想覆盖,就按照源码的方式重写添加一便就可以。
源码设置默认的AccessTokenProvider代码:OAuth2FeignRequestInterceptor中

private AccessTokenProvider accessTokenProvider = new AccessTokenProviderChain(
      Arrays.<AccessTokenProvider>asList(new AuthorizationCodeAccessTokenProvider(),
            new ImplicitAccessTokenProvider(),
            new ResourceOwnerPasswordAccessTokenProvider(),
            new ClientCredentialsAccessTokenProvider()));

方案二,为OAuth2AccessTokenSupport的getRestTemplate()方法添加动态代理,获取我们添加了@LoadBalanced的RestTemplate对象。

源码有4个获取token 的provider,都直接替换,getRestTemplate()方法。

动态代理类:

@Component
public class ProxyTokenProviderGetRestTemplate implements MethodInterceptor {

    @Autowired
    private RestTemplate restTemplate;

    public Object getProxyInstance(Object tokenProvider) {
        Enhancer enhance = new Enhancer();
        enhance.setSuperclass(tokenProvider.getClass());
        enhance.setCallback(this);
        enhance.setClassLoader(this.getClass().getClassLoader());
        return enhance.create();
    }

    // proxy 是代理对象
    @Override
    public Object intercept(Object proxy, Method method, Object[] objects, MethodProxy methodProxy) throws Throwable {
        if ("getRestTemplate".equals(method.getName())) {
            Class<?> superclass = proxy.getClass().getSuperclass().getSuperclass();
            Field templateFiled = superclass.getDeclaredField("restTemplate");
            templateFiled.setAccessible(true);
            templateFiled.set(proxy, restTemplate);
            Field messageConverters = superclass.getDeclaredField("messageConverters");
            messageConverters.setAccessible(true);
            if (messageConverters.get(proxy) == null) {
                addMessageConverters(proxy);
            }
            return restTemplate;
        }
        return methodProxy.invokeSuper(proxy, objects);
    }

    private void addMessageConverters(Object proxy) {
        OAuth2AccessTokenSupport tokenSupport;
        if (proxy instanceof AuthorizationCodeAccessTokenProvider) {
            tokenSupport = ((AuthorizationCodeAccessTokenProvider) proxy);
        } else if (proxy instanceof ImplicitAccessTokenProvider) {
            tokenSupport = ((ImplicitAccessTokenProvider) proxy);
        } else if (proxy instanceof ResourceOwnerPasswordAccessTokenProvider) {
            tokenSupport = ((ResourceOwnerPasswordAccessTokenProvider) proxy);
        } else {
            tokenSupport = ((ClientCredentialsAccessTokenProvider) proxy);
        }

        tokenSupport.setMessageConverters(new RestTemplate().getMessageConverters());
    }
}

Spring容器创建OAuth2FeignRequestInterceptor后设置其属性:

@Component
public class JobAccessTokenBeanPostProcessor implements BeanPostProcessor {
     @Autowired
    private ProxyTokenProviderGetRestTemplate getRestTemplate;

    @Override
    public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
        if ("oauth2FeignRequestInterceptor".equals(beanName)) {
            OAuth2FeignRequestInterceptor oauthInterceptor = (OAuth2FeignRequestInterceptor) bean;
            AuthorizationCodeAccessTokenProvider authorizationTokenProviderProxy = (AuthorizationCodeAccessTokenProvider) getRestTemplate.getProxyInstance(new AuthorizationCodeAccessTokenProvider());
            ImplicitAccessTokenProvider implicitAccessTokenProviderProxy = (ImplicitAccessTokenProvider) getRestTemplate.getProxyInstance(new ImplicitAccessTokenProvider());
            ResourceOwnerPasswordAccessTokenProvider resourceTokenProviderProxy = (ResourceOwnerPasswordAccessTokenProvider) getRestTemplate.getProxyInstance(new ResourceOwnerPasswordAccessTokenProvider());
            ClientCredentialsAccessTokenProvider clientTokenProviderProxy = (ClientCredentialsAccessTokenProvider) getRestTemplate.getProxyInstance(new ClientCredentialsAccessTokenProvider());

            AccessTokenProvider accessTokenProvider = new AccessTokenProviderChain(
                    Arrays.<AccessTokenProvider>asList(authorizationTokenProviderProxy,
                            implicitAccessTokenProviderProxy,
                            resourceTokenProviderProxy,
                            clientTokenProviderProxy));

            oauthInterceptor.setAccessTokenProvider(accessTokenProvider);
        }
        return bean;
    }
}
ceshiyuan001
关注
灵魂一击!OAuth 2.0单元测试解决方案
Java圈全能架构师的博客
10-10 749
为什么需要单元测试 单元测试拥有保证代码质量、尽早发现软件 Bug、简化调试过程、促进变化并简化集成、使流程更灵活等优势。单元测试是针对代码单元的独立测试,核心是“独立”,优势来源也是这种独立性,而所面临的不足也正是因为其独立性:既然是“独立”,就难以测试与其他代码和依赖环境的相互关系。单元测试与系统测试是互补而非代替关系。单元测试的优势,正是系统测试的不足,单元测试的不足,又恰是系统测试的优势。不能将单元测试当做解决所有问题的万金油,而需理解其优势与不足,扬长避短,与系统测试相辅相成,实现测试的最大效益
学习天机项目的笔记
weixin_53693850的博客
01-20 1326
修改本地的的host文件(配置小工具)如果直接输入域名就能访问,就是不用输入端口号的话,就需要配置nginx80是naginx的默认端口号监听即可(配置nginx.conf),一个server代表一个虚拟主机。
Nginx实现负载均衡
weixin_34302561的博客
12-29 219
本篇文章介绍Nginx实现负载均衡,本文使用Nginx和两个SpringBoot简单Web应用实现。 1.准备工作。 结合本文场景,需要安装Nginx和Java环境(运行SpringBoot项目)。 1.1 关于Linux系统安装Nginx可以参考我的文章---(传送门)。 1.2 由于只是测试,SpringBoot只是映射了根路径,端口分别是10001和10002,分别返回demo1和dem...
Spring Security之动态配置资源权限
weixin_34117522的博客
01-08 1993
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityIntercep...
spring security oauth2 带过期token请求免登录接口被拦截
a435656923的博客
09-09 5629
简单说下,项目是springcloud架构,用的spring security oauth2 就是如果token过期了或者token错误了,请求开放的接口是会被看拦截的,但是不带token就能请求。有一种解决方案是在请求判断这个地址是不是免登陆的是的话把请求头的token给去掉,这种方法也可以做到,但是如果是登录用户的话在有必要获取到访问用户的时候就没方法拿到用户了,虽然这种情况比较少。 解决方案:重写原本的认证管理器 import org.springframework.security.auth
oaut2.0使用自定义身份验证拦截OAuth2AuthenticationException异常
XM的博客
07-22 442
然后在ResourceConfig重写configure(ResourceServerSecurityConfigurer resources)方法。首先在资源服务中配置一个自定义OAuth2身份验证入口点。
SpringSecurity Oauth2 - 06 拦截获取用户登录信息并存储到本地线程ThreadLocal
你今天真好看呀
11-07 4158
上一讲已经我们分析了/oauth/token认证流程,明白了整个认证过程核心做了哪些事情,这一讲看一下如何配置拦截器判断用户是否登录并获取用户登录信息,同时将获取的登录信息存储到本地线程中,主要分为两点展开说明
springsecurity+oauth2.0分布式认证授权*-资源服务order对用户权限进行拦截10
健康平安的活着的专栏
09-04 882
微服务用户鉴权拦截微服务收到明文token时,应该怎么鉴权拦截呢?自己实现一个fifilter?自己解析明文token,自己定义一套资源访问策略? 能不能适配Spring Security呢,是不是突然想起了前面我们实现的Spring Security基于token认证例子。咱们还拿 统一用户服务作为网关下游微服务,对它进行改造,增加微服务用户鉴权拦截功能 二 操作 2.1 在资源order服务中进行修改 2.2Spring Security配置 开启方法保护,并增加Spr..
配合OAuth2进行单设备登录拦截
weixin_33966365的博客
11-21 2482
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth2token
Qin_xian_shen的博客
11-02 908
OAuth是一种标准,这种标准允许用户在第三方应用访问该用户在某些网站上存储的私密资源。 这一过程中,并不是将用户名与密码提供给第三方应用。而是提供第三方应用一个令牌(token). 凭借这个令牌在特定时间段,特定的网站里获取特定的资源。 使用token的好处,可以让用户灵活的对第三方应用授权或者收回权限。避免自己所有的数据泄露,造成很大的安全隐患。 ...
oauth2 token为空拦截_Spring Security OAuth2 token权限隔离
weixin_39681486的博客
12-19 523
1 packagecom.brightcns.wuxi.citizencard.auth.domain;23 importorg.springframework.security.authentication.AbstractAuthenticationToken;4 importorg.springframework.security.core.Authentication;5 importor...
浏览器和服务器之间Cookie,Session,Token负载均衡详解
qq_44933075的博客
04-12 4001
Cookie 浏览器方案 1、由来:cookie从浏览器 响应结果中响应头会有set cookie 字段里数据存入到浏览器的cookie中,2、好处:以文本形式存储在本地,减少服务器资源消耗. Session 服务器方案 开辟临时会话,建立用户和服务器之间交互的空间,sessionId来标记不同的会话框 2、缺点:对于服务端来说压力大,根据用户不断开辟新的空间 3Token 令牌方案 作用:Token服务器给客户端传输token。客户端请求接口的时候将token带给服务器 是记录用户账户密码进行哈希加密
session,cookie和token,以及负载均衡
weixin_30340775的博客
07-17 585
参考 session,cookie,token 负载均衡的session解决办法 转载于:https://www.cnblogs.com/Jamie1032797633/p/11201972.html
Spring Authorization Server 的 /oauth2/token 请求怎么被拦截
qq_50743124的博客
04-11 1169
所有看向父类OncePerRequestFilter(太多不展开,有兴趣可以去了解spring bean 初始化、 servlet等),这个类的意思就是对于每次的请求都进行请求过滤;所有这就是/oauth2/token post 会被拦截的原因。意思就是说这个类响应/oauth2/token POST这个URI,好了知道在那里拦截了。看看源码你就会发现这个类在构造器创建了请求匹配的对象如下图。先找这个类OAuth2TokenEndpointFilter。这个时候发现这个方法是实现了抽象方法。
oauth2 token为空拦截_【搬家】科学的解决Http Token拦截TokenInterceptor实现【详细 一篇足矣】...
weixin_39795325的博客
12-19 1432
1.写在前面公司开发新的项目,因为这个项目比较偏向金融方向,与钱有关,所以接口比较严谨。先说下全部情况,我这边Http 方式采用的是 OKhttp+Retrofit后台一共分为三种token,分别是实名token(accessToken),匿名token(oauthToken),刷新token(refreshToken),不同的token用途不一样,有的作为请求参数放在请求体中,有的作为头部2.解...
直接 不使用密码,只有用户名,进行获取tokenoauth2 中如何操作呢,java方式给我个案例;
最新发布
qq_33192454的博客
07-12 1443
以上是一个简单的示例,展示了如何通过用户名获取 OAuth2 token。在实际应用中,请务必确保应用的安全性,避免在不安全的环境中使用这种认证方式。那么 我可能获取不到密码,只有用户名 但又需要获取Oauth2 token,又什么办法么如果你只有用户名,但没有用户密码,那么你可以考虑使用 OAuth2 的授权码模式(Authorization Code Grant)或者客户端凭证模式(Client Credentials Grant),具体取决于你的应用场景。
Spring Security 实战干货:OAuth2授权请求是如何构建并执行的
十指波课堂的博客
11-10 766
1. 前言在之前文章中我们找到了拦截 OAuth2 授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起 OAuth2 授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑给补上。2. sendRedirectForAut...
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 3464
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
oauth2token认证接口/oauth/token、/oauth/check_token、/oauth/authorize在哪个包里
热门推荐
Dream_it_possible!的博客
07-02 2万+
在org.springframework.security.oauth2.provider.endpoint里的TokenEndpoint类里 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.springframework.security.oauth2.provider.endpoint; import java.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值