微服务下使用OAuth2实现网关安全

最新推荐文章于 2024-05-01 09:07:26 发布
最新推荐文章于 2024-05-01 09:07:26 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: OAuth2 微服务安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36719449/article/details/104513308
版权

微服务下Spring Security实现Oauth2协议 入门篇我们介绍了如何在微服务下基于OAuth2协议构建认证服务器和资源服务器。资源服务器会检查请求头里面是否带上了token,并去认证服务器校验这个token是否合法,是否过期,是否有权限做对应的操作。显然随着微服务数量的增长,在每一个微服务上都要做资源服务器的配置实不可取的,因此我们需要把这部分的操作交由网关去处理。在上一节中check_token这部分的工作,资源服务器利用RemoteTokenServices帮我们实现了,但是这一节中我们需要在网关上自己手动实现这部分的逻辑。

OAuth2 网关安全架构图

网关逻辑上是资源服务器,需要订单服务,库存服务不再作为资源服务器。
在这里插入图片描述

认证服务器增加网关的配置

在这里插入图片描述
上一节中,订单服务的资源服务器配置相关代码可以删除了
在这里插入图片描述

新增网关服务

添加依赖
	<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-netflix-zuul</artifactId>
		</dependency>

开启@EnableZuulProxy

@SpringBootApplication
@EnableZuulProxy
public class GatewayServer {
	public static void main(String[] args) {
		SpringApplication.run(GatewayServer.class, args);
	}

}

配置路由规则application.yml

zuul:
  routes:
    token:
      url: http://localhost:9090
    order:
      url: http://localhost:9080
    price:
      url: http://localhost:9060
  sensitive-headers:

/**
 * 定义zuul pre前置过滤器
 *
 */
@Slf4j
@Component
public class OAuthFilter extends ZuulFilter {
	
	private RestTemplate restTemplate = new RestTemplate();

	@Override
	public boolean shouldFilter() {
		return true;
	}

	@Override
	public Object run() throws ZuulException {
		
		log.info("oauth start");
		// 为了获取request请求
		RequestContext requestContext = RequestContext.getCurrentContext();
		HttpServletRequest request = requestContext.getRequest();

		// 获取token请求不进行过滤
		if(StringUtils.startsWith(request.getRequestURI(), "/token")) {
			return null;
		}
		
		String authHeader = request.getHeader("Authorization");
		
		if(StringUtils.isBlank(authHeader)) {
			return null;
		}

		// 如果请求头带了以barer开头的请求,则去认证服务器校验token
		if(!StringUtils.startsWithIgnoreCase(authHeader, "bearer ")) {
			return null;
		}
		
		try {

			// 将token放入请求头里
			TokenInfo info = getTokenInfo(authHeader);
			request.setAttribute("tokenInfo", info);
			
		} catch (Exception e) {
			log.error("get token info fail", e);
		}
		
		return null;
	}

	private TokenInfo getTokenInfo(String authHeader) {
		
		String token = StringUtils.substringAfter(authHeader, "bearer ");
		String oauthServiceUrl = "http://localhost:9090/oauth/check_token";
		
		HttpHeaders headers = new HttpHeaders();
		headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
		headers.setBasicAuth("gateway", "123456");
		
		MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
		params.add("token", token);
		
		HttpEntity<MultiValueMap<String, String>> entity = new HttpEntity<>(params, headers);
		
		ResponseEntity<TokenInfo> response = restTemplate.exchange(oauthServiceUrl, HttpMethod.POST, entity, TokenInfo.class);
		
		log.info("token info :" + response.getBody().toString());
		
		return response.getBody();
	}

	/**
	 * zuul 提供了四种过滤器类型
	 * pre
	 * post
	 * error
	 * route
	 * @return
	 */
	@Override
	public String filterType() {
		return "pre";
	}

	@Override
	public int filterOrder() {
		return 1;
	}

}

AuthorizationFilter

/**
 *
 * 授权过滤器
 */
@Slf4j
@Component
public class AuthorizationFilter extends ZuulFilter {

	@Override
	public boolean shouldFilter() {
		return true;
	}

	@Override
	public Object run() throws ZuulException {
		
		log.info("authorization start");
		
		RequestContext requestContext = RequestContext.getCurrentContext();
		HttpServletRequest request = requestContext.getRequest();
		
		if(isNeedAuth(request)) {

			// OAuthFilter token 校验通过,会将token信息放在请求头里
			TokenInfo tokenInfo = (TokenInfo)request.getAttribute("tokenInfo");

			// 校验是否有权限
			if(tokenInfo != null && tokenInfo.isActive()) {
				if(!hasPermission(tokenInfo, request)) {
					log.info("audit log update fail 403");
					handleError(403, requestContext);
				}
				
				requestContext.addZuulRequestHeader("username", tokenInfo.getUser_name());
			}else {
				if(!StringUtils.startsWith(request.getRequestURI(), "/token")) {
					log.info("audit log update fail 401");
					handleError(401, requestContext);
				}
			}
		}
		
		return null;
	}
	
	private void handleError(int status, RequestContext requestContext) {
		requestContext.getResponse().setContentType("application/json");
		requestContext.setResponseStatusCode(status);
		requestContext.setResponseBody("{\"message\":\"auth fail\"}");
		requestContext.setSendZuulResponse(false);
	}

	private boolean hasPermission(TokenInfo tokenInfo, HttpServletRequest request) {
		return true; //RandomUtils.nextInt() % 2 == 0;
	}

	private boolean isNeedAuth(HttpServletRequest request) {
		return true;
	}

	@Override
	public String filterType() {
		return "pre";
	}

	@Override
	public int filterOrder() {
		return 3;
	}

}

代码结构
在这里插入图片描述

postman测试

网关basic认证
请求token
请求订单服务,带上token

网关限流

网关上的限流工作只做适合粗粒度的限流,不要做业务上的线流,网关与网关后面的微服务之间需要是低耦合的。因为业务规则改变了,需要调整网关上的限流规则,甚至要重新部署,这是不可取的。
这一小节内容主要介绍网关上如何做限流操作,这里我们使用了开源组件spring-cloud-zuul-ratelimit

引入依赖:

	<dependency>
			<groupId>com.marcosbarbero.cloud</groupId>
			<artifactId>spring-cloud-zuul-ratelimit</artifactId>
			<version>2.2.4.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-jpa</artifactId>
		</dependency>

限流规则配置:

  # 限流的配置 这里存在数据库中,生产环境时候 需要放在redis中
#  ratelimit:
#    enabled: true
#    repository: JPA
#    default-policy-list:
#    - limit: 2
#      quota: 1
#      refresh-interval: 3
#      type:
#        - url  /a get # 针对指定的url进行限制
#        - httpmethod
#  jpa:
#    generate-ddl: true
#    show-sql: true

网关用到了数据库,因此还有数据源的配置,这里不贴出来了

Spirits、
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud整合 Oauth2+Gateway+Jwt+Nacos 实现授权码模式的服务认证
xxxzzzqqq_的博客
03-09 675
目前正在出一个SpringCloud进阶系列教程,含源码解读, 篇幅会较多, 喜欢的话,给个关注❤️ ~前段时间拖更了,主要事情比较多和杂,不多废话了,直接给大家开整吧~ 本节重点是给大家介绍Oauth2,将会带大家从0到1搭建一个项目,以及整合,实现基本的授权和认证功能。跟往常一样,在学习新知识前,首先明白它是啥?我相信大部分人应该都对它都有了解,甚至使用过。如果你没有亲自搭建过这样的服务,但是在对接第三方平台的时候,首先需要去进行服务认证,在大多数的认证服务中,很多都是基于OAuth2.0的。
关集成OAuth2实现统一认证鉴权
weixin_56421576的博客
08-02 1336
oauth2认证鉴权
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
weixin_47600724的博客
12-29 2755
接下来我们就可以搭建关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2的认证服务使用,并且关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过关访问。
gateway-02 springcloud集成oauth2,关验证token
weixin_46420029的博客
03-04 2429
Spring Cloud Gateway限流 在Spring Cloud Gateway中,有Filter过滤器,因此可以在“pre”类型的Filter中自行实现上述三种过滤器。但是限流作为关最基本的功能,Spring Cloud Gateway官方就提供了RequestRateLimiterGatewayFilterFactory这个类,适用Redis和lua脚本实现了令牌桶的方式。具体实现逻辑在RequestRateLimiterGatewayFilterFactory类中,lua脚本在如下图所示的文
【实战】Spring Cloud Gateway 整合 OAuth2
最新发布
2401_84103818的博客
05-01 778
这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:以上就是本文的全部内容,希望对大家的面试有所帮助,祝大家早日升职加薪迎娶白富美走上人生巅峰!这样,等真的沉下心来学习,不至于被找资料分散了心神。另外,给大家安排了一波学习面试资料:[外链图片转存中…(img-88mXgLUW-1714525635696)][外链图片转存中…(img-3JlbLTDH-1714525635697)]
回顾:oauth2和 spring cloud alibaba gateway 整合
热水钟博客
05-15 1754
一、oauth2认证中心:登录用户进行认证,生成token, 同时定义受保护的api服务 (一)oauth2的四种认证模式:授权码模式,简化模式,密码模式,客户端模式。其中授权码模式和密码模式用的最多。 A.OAuth2授权码模式: 我们进入一些第三方应用程序时,无需注册,只需要微信授权登录即可,对于我们的服务不需要存储用户的密码,只要存储认证平台返回的唯一ID和用户信息即可,这就是OAuth2常见的授权码模式,它的特点就是:利用第三方权威平台实现用户身份的认证,当然如果我们的公司里面很多微...
Spring Gateway + Oauth2 + Jwt关统一鉴权
oPeiJie1的博客
04-19 2553
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
Springcloud+security+oauth2+
weixin_42654295的博客
11-25 2290
关整合 OAuth2.0 有两种思路,一种是授权服务器生成令牌, 所有请求统一在关层验证,判断 权限等操作;另一种是由各资源服务处理,关只做请求转发。 比较常用的是第一种,把API 关作为OAuth2.0的资源服务器角色,实现接入客户端权限拦截、令牌解析并转发当前登录用户信 息给微服务,这样下游微服务就不需要关心令牌格式解析以及OAuth2.0相关机制了。 关在认证授权体系里主要负责两件事: (1)作为OAuth2.0的资源服务器角色,实现接入方权限拦截。 (2)令牌解析并转发当前登录用户信息(明
Gateway + Oauth2实现单点登录
fivehundredyearsago的博客
07-26 2187
单点登录
SpringCloud Gateway + Jwt + Oauth2 实现关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6207
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
Spring Cloud Zuul Oauth2 统一鉴权 最简标准实现
qq_17178219的博客
08-31 864
搭建认证中心 依赖 eureka-client,openfeign,oauth2+web为必选依赖 eureka-client提供服务注册与发现 openfeign提供远程调用 oauth2+web实现基于认证中心 <dependencies> <dependency> <groupId>org.springframework.cloud</groupId> <ar
SpringCloud(八):API关整合OAuth2认证授权服务
03-27
SpringCloud(八):API关整合OAuth2认证授权服务。
【无标题】
hc312455392的博客
04-10 250
单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。
Spring Cloud Security OAuth2结合
学习记录和总结
05-19 1万+
Spring Cloud Security OAuth2 整合关,关对token进行处理,转发明文给微服务微服务解析明文
11-OAuth2.0实战:关层统一认证授权
码猿技术专栏
03-20 2597
上一节介绍了认证中心,这节介绍下关如何集成认证中心实现关的统一认证授权。 木谷博客系统的整个认证授权架构设计如下图: 关在这里的主要功能就是6-8这三步: 校验token:对令牌的过期时间、签名进行校验 鉴权:对令牌的权限进行校验 转发:解析令牌中的相关信息,通过请求头加密转发给下游微服务 检验TOKEN 对令牌的有效性进行校验,只需要实现ReactiveAuthenticationManager这个接口,其中authenticate进行校验,主要逻辑:根据tokenStore解析JWT令牌,然
Spring Security OAuth2.0认证授权(三)
weixin_56697114的博客
05-04 659
1、Spring Security 实现分布式系统授权 UAA认证服务负责认证授权。 所有请求经过 关到达微服务 关负责鉴权客户端以及请求转发 关将token解析后传给微服务微服务进行授权。 2、注册中心与关搭建 <dependencies> <dependency> <groupId>org.springframework.cloud</groupId> .
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
热门推荐
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,关负责校验认证和鉴权,其他API服务负.
04.spring security oauth2认证中心 集成zuul关的代码分析
weixin_33806300的博客
02-02 277
Oauth2 oauth2是一个搞授权的,对于Api关来说,用oauth2来做业务鉴权是比较合适的选择,其有几种角色的定义:资源拥有者(resource owner):能授权访问受保护资源的一个实体,可以是一个人,那我们称之为最终用户;资源服务器(resource server):存储受保护资源,客户端通过access token请求资源,资源服务器响应受保护资源给客户端;授权服务器(autho...
微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
乌龟的专栏
08-10 5927
这篇文章主要向大家介绍微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。 标签:gitgithubwebredisspringapi缓存安全服务器restful 最近发现了一个很好的微服务权限解决方案,能够经过认证服务进行统一认证,而后经过关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本
微服务鉴权中心之关配置springsecurity+oauth2
07-15
总之,配置Spring Security OAuth2可以有效地实现微服务鉴权中心之关的权限管理和访问控制,提高系统的安全性和可维护性。 ### 回答2: 微服务鉴权中心作为一个独立的服务单元,负责管理和维护整个微服务体系的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值