springcloud集成Oauth2权限项目-网关校验access_token的正确性才能访问接口(十一)

最新推荐文章于 2024-08-12 12:35:47 发布
最新推荐文章于 2024-08-12 12:35:47 发布
阅读量7.6k 收藏 11
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38157516/article/details/100568868
版权

现在任何连接都要经过网关,所以在网关校验access_token的正确性,当access_token正确后,才转发到相应的服务。

当获取access_token后,每次前端访问都要带上这个access_token。

依次启动服务,eureka---->user------>oauth---------->zull顺序启动服务

现在我们访问127.0.0.1:9999/user/hello 这个接口

到现在为止无论带不带access_token都可以访问这个接口,并返回结果。显然这不是我想要的。

所以接下来要改造,只有携带了access_token,并且正确后才能访问这个接口。

在网关zuul加入oauth2的包

<!--oauth-->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.5.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
        </dependency>

然后添加配置类ResourceServerConfiguration.java,这里配置只要认证通过后才能访问接口

package com.study.vcloud.zuul.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

/**
 * @author Pan Weilong
 * @date 2019/8/15 22:45
 * @description: 接口.
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {


    @Override
    public void configure(HttpSecurity http) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http
                .authorizeRequests();
        //经过oauth服务的连接全部放行,不然token会获取不到
        registry.antMatchers("/oauth/**").permitAll();
        //任何连接只要认证后放行
        registry.anyRequest().authenticated();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
         //跟oauth中的值必须一样
        resources.resourceId("vcloud");
    }


}

上面配置了只要认证通过后放行。但是怎么知道access_token的合法性呢??

有两种方法

方法一:从auth服务中获取秘钥,然后在zuul网关拿到加密秘钥验证token的合法性(这种有弊端:就是退出登录后以前的token还可以继续访问接口)

首先我们要知道jwt加密的过程,我这里就不说了,百度上有可以搜一下。

我这里主要是获取oauth中的设置的秘钥,然后网关会自动去验证这个token,我们只需要把oauth中秘钥在网关获取到就ok了

上面就是我们在oauth中设置的秘钥,我们要在网关拿到它,其实很简单,只需要把配置文件配好就ok了

在zuul网关的application.yml加上上面的配置就好了

security:
  auth:
    server: http://127.0.0.1:1027 #认证服务地址
  oauth2:
    client:
      client-id: client_id   #oauth中的client_id值
      client-secret: client_secret #oauth中的client-secret值
    resource:
      loadBalanced: true
      jwt:
        key-uri: ${security.auth.server}/oauth/token_key #解析jwt令牌所需要密钥的地址

上面信息写的很详细了,上面的获取秘钥是在zuul服务启动的时候就会去获取秘钥,而不是每次获取。

配置好后,网关会去自动校验token合法性以及是否过期。

 

第二种:在网关拿到token后去oauth服务中检验token的正确性(这种方式就不会产生退出登录后以前的token还能用的问题)

security:
  auth:
    server: http://127.0.0.1:1027
  oauth2:
    client:
      client-id: client_id
      client-secret: client_secret
    resource:
      loadBalanced: true
      token-info-uri: ${security.auth.server}/oauth/check_token #auth服务中验证token
      #jwt:
        #key-uri: ${security.auth.server}/oauth/token_key #解析jwt令牌所需要密钥的地址

添加了

security.oauth2.resource.token-info-uri: ${security.auth.server}/oauth/check_token #验证auth服务中验证token

每次调用接口都会去oauth服务中校验token的正确性。

一般到这里就配置完成了。

可以拿一个错误的token去访问接口,如果以第二种方式程序报错的话(报什么转换异常的问题以及400 null),

可以看这篇文章。《zuul网关调用oauth/check_token成功,解析失败》

启动项目测试:

我们现在来访问最开始的那个接口127.0.0.1:9999/user/hello

当我们不带access_token去访问

现在已经不能访问

 

当我们在herder中带上access_token

注意注意:access_token最前面一定要加bearer前缀

我这个token已经过期了,所以报错了,我重新获取一个新的token

带上这个token访问

已经访问到了。

不带上就会报错,我把Authorization 前面的钩去掉访问,访问不到

说明此时已经控制到了,除了转发到oauth服务不需要token,其余都要带上token才能访问。

下一篇主要解决报错信息返回统一json格式

项目地址:https://github.com/James-Pan0525/vcloud.git

穷水叮咚
关注
通过HTTP接口验证Spring Security OAuth2的token有效性
甘蓝的专栏
12-25 2347
通过HTTP接口验证Spring Security OAuth2的token有效性
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
总结来说,Spring Cloud结合OAuth2提供了强大的安全机制,可以有效地管理和控制微服务的访问权限。通过合理配置和实践,开发者可以构建出安全、便捷的分布式系统,实现高效的单点登录功能。在实际开发中,应深入理解...
springcloud 微服务权限校验获取 token 实战之Oauth2 解决方案(十一
nandao158的博客
09-05 2962
传统的单体架构或者是多台服务器,一般都是采用session来进行权限校验,这种方案是有弊端的:和用户信息强关联、用户多的情况下占用内存、有csrf网络攻击的风险等。而在微服务环境下通常采用 token 认证的方式校验是否接口调用权限,然后在下游系统设置访问白名单只允许zuul 服务器访问。理论上 zuul 服务器是不需要进行权限校验的,因为 zuul 服务器没有接口,不需要从 zuul 调用业务接口,zuul 只做简单的路由工作。下游系统在获取到 token 后,通过过滤器把 t...
微服务认证系列一:SpringCloud OAuth2
最新发布
wanping15825992341的博客
08-12 452
OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。
Spring Security Oauth2 如何鉴别Token是否有效
热门推荐
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 8626
在我们实际应用接口的调用调试过程中,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
资源服务器验证Token的几种方式
bobozai86的博客
05-25 7957
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
OAuth 2.0介绍
没有简介
08-24 3780
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
Spring Security Oauth2 permitAll()方法小记
qq_25248407的博客
11-08 2027
前言 上周五有网友问道,在使用spring-security-oauth2时,虽然配置了.antMatchers("/permitAll").permitAll(),但如果在header 中 携带 Authorization Bearer xxxx,OAuth2AuthenticationProcessingFilter还是会去校验Token正确性,如果Token合法,可以正常访问,否则,请求失...
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3852
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring
09-20
在这个名为"spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring"的项目中,我们将深入探讨如何将Spring Security与OAuth2.0结合,并在Spring Cloud环境中实现这一集成。 首先,Spring Security是...
spring-boot-oauth2-demo-master_springbootdemo_DEMO_
10-02
在本项目"spring-boot-oauth2-demo-master"中,我们主要探讨的是如何使用Spring Boot集成OAuth2实现身份验证和授权的代码示例。Spring Boot以其简洁的配置和强大的功能,被广泛应用于微服务开发,而OAuth2则是一种...
Spring Cloud下OAUTH2注销的实现示例
08-27
Spring Cloud 下 OAUTH2 注销的实现示例 在本文中,我们将探讨 Spring Cloud 下 OAUTH2 注销的实现示例。首先,让我们了解什么是 OAUTH2 和为什么需要注销。 OAUTH2 是一种授权协议,用于确保客户端应用程序能够...
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4260
springsecurity oauth2 令牌access_token验证源码分析
springboot-oauth2-access_token验证
weixin_44401399的博客
12-02 1790
http /** * 只拦截oauth2 请求需要认证服务验证 * 类似于 http://localhost:8080/oauth2/xxx?access_token=code */ .antMatcher("/oauth2/**") .authorizeRequests() ...
gateway-02 springcloud集成oauth2,网关验证token
weixin_46420029的博客
03-04 2503
Spring Cloud Gateway限流 在Spring Cloud Gateway中,有Filter过滤器,因此可以在“pre”类型的Filter中自行实现上述三种过滤器。但是限流作为网关最基本的功能,Spring Cloud Gateway官方就提供了RequestRateLimiterGatewayFilterFactory这个类,适用Redis和lua脚本实现了令牌桶的方式。具体实现逻辑在RequestRateLimiterGatewayFilterFactory类中,lua脚本在如下图所示的文
请求时,校验accessToken访问令牌
随风why
11-03 594
校验accessToken
前端 - token 是什么?为什么每次请求头(HEADS)里要携带它?
王佳斌
11-10 1万+
Token token 是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token 便应运而生了。 目的 token 的目的是为了减轻服务器的压力,减少频繁的查询数据库。 在前端请求后台的 API 接口的时候,为了安全性,一般需要再用户登录成功之后才能发送其他请求。 因此,在用户登录成功之后,后台会返回一个 token 给前端,这个时候我们就需要把 token 暂时保存在本地,每次发送请求的时候需要在 header 里
SpringSecurityOAuth2(2)请求携带客户端信息校验,自定义异常返回,无权处理,token失效处理...
07-30 6978
上文地址:SpringSecurityOAuth2(1)(password,authorization_code,refresh_token,client_credentials)获取token 上一篇博客写了一个至简的OAuth2的token认证服务器,只实现了4种获取token的方式 ,对...
OAuth2授权码模式:获取access_token详解
在本文档中,主要关注 OAuth 2.0 授权码模式(authorization code flow),这是项目中采用的一种获取 access_token 的流程。 在授权码模式下,获取 access_token 的步骤如下: 1. **初始授权请求**: 开始时,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值