微服务实战(一)基于OAUTH2.0统一认证授权的微服务基础架构

置顶 已于 2022-11-14 15:37:14 修改
阅读量10w+ 收藏 340
点赞数 54
文章标签: spring cloud
于 2020-06-04 13:35:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1054993544/article/details/78932614
版权
spring-cloud 同时被 3 个专栏收录
9 篇文章 6 订阅
订阅专栏
web
3 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏

进价版请看 : https://blog.csdn.net/w1054993544/article/details/109361170

1.架构图

技术团队通过一段时间的积累后,我们打算对往后的一些新项目采用Spring Cloud技术栈来实现。大概微服务的架构如下:
这里写图片描述

  • Euraka注册中心集群
  • Zuul网关集群
  • 各模块微服务集群
  • Nginx实现负载均衡
  • Spring Cloud Config 统一配置中心
  • Monitor微服务监控

代码传送:https://github.com/babylikebird/Micro-Service-Skeleton

2.注册中心

注册中心很简单,这里主要说一下注册中心的高可用配置
这里写图片描述
这里看到我设置了node-1,node-2两个配置文件,就是在启动应用的时候,分别启动不同的配置。
node-1的端口为9010,并向node-2注册,配置如下:

server:
  port: 9010
spring:
  application:
    name: register ##name必须一样,不然高可用会导致unavailable-replicas
eureka:
  instance:
    hostname: register1
  client:
    register-with-eureka: true 
    fetch-registry: true 
    service-url:
      defaultZone: http://register2:9011/eureka/

node-2的端口为9011,并向node-1注册,配置如下:

server:
  port: 9011
spring:
  application:
    name: register 
eureka:
  instance:
    hostname: register2
  client:
    register-with-eureka: true 
    fetch-registry: true 
    service-url:
      defaultZone: http://register1:9010/eureka/

这里注意一下:spring.application.name需要一致,不然会出现unavailable-replicas的情况

3.OAUTH2认证服务器

我这里采用认证服务器与资源服务器分离的方式。

3.1 oauth2 server 配置

我采取了数据库和redis两种方式来存储token,可以方便切换,生成环境下建议使用redis方式。
AuthorizationServer:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private DataSource dataSource;
    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    RedisTokenStore redisTokenStore(){
        return new RedisTokenStore(redisConnectionFactory);
    }

    //token存储数据库
//    @Bean
//    public JdbcTokenStore jdbcTokenStore(){
//        return new JdbcTokenStore(dataSource);
//    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetails());
    }
    @Bean
    public ClientDetailsService clientDetails() {
        return new JdbcClientDetailsService(dataSource);
    }
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(redisTokenStore())
                .userDetailsService(userDetailsService)
                .authenticationManager(authenticationManager);
        endpoints.tokenServices(defaultTokenServices());
    }

    /**
     * <p>注意,自定义TokenServices的时候,需要设置@Primary,否则报错,</p>
     * @return
     */
    @Primary
    @Bean
    public DefaultTokenServices defaultTokenServices(){
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(redisTokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setClientDetailsService(clientDetails());
        tokenServices.setAccessTokenValiditySeconds(60*60*12); // token有效期自定义设置,默认12小时
        tokenServices.setRefreshTokenValiditySeconds(60 * 60 * 24 * 7);//默认30天,这里修改
        return tokenServices;
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll()");
        security .checkTokenAccess("isAuthenticated()");
        security.allowFormAuthenticationForClients();
    }
}

WebSecurityConfig:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().and()
                .csrf().disable()
                .httpBasic();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/favor.ioc");
    }

}

3.2 ResourceServer

因为我们认证中心会提供User信息,所以也是资源服务器。

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter{
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.
                csrf().disable()
                .exceptionHandling()
                .authenticationEntryPoint(new Http401AuthenticationEntryPoint("Bearer realm=\"webrealm\""))
                .and()
                .authorizeRequests().anyRequest().authenticated()
                .and()
                .httpBasic();
    }
}

4.资源服务器 Resource

ResourceServer:

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.
                csrf().disable()
                .exceptionHandling()
                .authenticationEntryPoint(new Http401AuthenticationEntryPoint("Bearer realm=\"webrealm\""))
                .and()
                .authorizeRequests().anyRequest().authenticated()
                .and()
                .httpBasic();
    }
}

主要是application.yml的配置

security:
  oauth2:
    resource:
      id: resource
      user-info-uri: http://10.10.8.2:9030/uaa/user
      prefer-token-info: false

**user-info-uri是对应网关地址,关于网关下面会介绍。上面的架构图也说明了,我们采用Nginx实现负载均衡,在使用Nginx的时候,那user-info-uri就换为Nginx的地址,这样才能实现Gateway的负载均衡 **
此处有误具体请查看:Spring cloud微服务实战——基于OAUTH2.0统一认证授权(五)

5.Zuul网关

5.1开启支持Sso

@Configuration
@EnableOAuth2Sso
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
    }
}

5.2配置

spring:
  application:
    name: Gateway
  zipkin:
    base-url: http://10.10.8.2:9050
server:
  port: 9030
eureka:
  instance:
    prefer-ip-address: true #使用IP注册
    instance-id: ${spring.cloud.client.ipAddress}:${server.port}
 
  client:
      service-url:
        defaultZone: http://register1:9010/eureka/,http://register2:9011/eureka/
###actuator监控点 start####
endpoints:
  health:
    sensitive: false
    enabled: true
##默认情况下很多端点是不允许访问的,会返回401:Unauthorized
management:
  security:
    enabled: false
###actuator监控点 end####
zuul:
  host:
    connect-timeout-millis: 10000
    socket-timeout-millis: 60000
  routes:
    uaa:
      path: /uaa/**
      strip-prefix: true
      sensitiveHeaders:
      serviceId: auth2.0-center
security:
  basic:
    enabled: false
  oauth2:
    client:
      access-token-uri: http://10.10.8.2:9030/uaa/oauth/token ##网关的地址
      user-authorization-uri: http://10.10.8.2:9030/uaa/oauth/authorize
    resource:
      user-info-uri:  http://10.10.8.2:9030/uaa/user
      prefer-token-info: false
##############end#####################
####超时配置####
ribbon:
  ReadTimeout: 10000
  ConnectTimeout: 10000
  MaxAutoRetries: 1
  MaxAutoRetriesNextServer: 2
  eureka:
    enabled: true
hystrix:
  command:
    default:
      execution:
        timeout:
          enabled: true
        isolation:
          thread:
            timeoutInMilliseconds: 600000
###超时配置###

6.展示

分别启动register、auth-center、gateway、resource。效果如下:
这里写图片描述

6.1获取access_token

这里写图片描述
2.
这里写图片描述
3.
这里写图片描述

6.2刷新token

这里写图片描述

6.3用access_token获取资源

这里写图片描述

这里写图片描述

7.结束

到这里Spring Cloud OAUTH2.0统一认证的骨架就完成了,具体项目拿过来修改就可以满足项目的需求了。
重要事情再说三遍:
源码传送
源码传送
源码传送

我很爱吃榴莲
关注
  • 54
    点赞
  • 340
    收藏
    觉得还不错? 一键收藏
  • 141
    评论
专栏目录
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
一种基于OAuth2.0的微服务电力系统授权方案.pdf
08-28
一种基于OAuth2.0的微服务电力系统授权方案.pdf
图解 SpringCloud 微服务架构,写的太好了!
方志朋的博客
03-08 481
SpringCloud Alibaba1.1、单体 分布式 集群单体:也称单机结构,将一个项目全都部署在一台服务器上面,整个项目的所有服务资源都由这一台服务器提供。分布式:随着项目越来越庞大,单体式中的服务器处理能力有限,所以就将项目服务和MySQL服务分别存储在两台或两台以上的服务器上,可通过合理部署项目对服务器硬件定制化。集群:在分布式结构中,可能存在单点故障问题,此时就对服务进行备份提供相同...
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
彻底弄懂OAuth
qq_34446716的博客
04-06 2050
OAuth简介 OAuth是一个开放的标准,能提供一种安全的API授权,使第三方应用不需要密码账号,就可以申请获得该用户资源的授权。 1.使用场景例子 如果一个用户需要两项服务:图片在线存储服务A、图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名、密码都各不相同。当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理? 方法一:用户先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比
OAuth2.0认证登录服务端实现详解
泛微二次开发后端知识总结
05-05 3804
本篇博客介绍了OAuth2.0认证登录服务端的实现过程,主要针对授权码模式和简化模式做了详细介绍。OAuth2.0是目前业界广泛使用的认证授权框架,在实际应用中,可以根据系统需求选择不同的授权方式。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
认证鉴权与API权限控制在微服务架构中的设计与实现(一)
weixin_34387284的博客
10-19 385
引言: 本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第一篇,本系列预计四篇文章讲解微服务下的认证鉴权与API权限控制的实现。 1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前...
微服务架构下的统一身份认证授权
翻肚鱼儿的博客
09-28 3651
一、预备知识 本文讨论基于微服务架构下的身份认证和用户授权的技术方案,在阅读之前,最好先熟悉并理解以下几个知识点: 微服务架构相关概念:服务注册、服务发现、API 网关 身份认证和用户授权:SSO、CAS、OAuth2.0、JWT 文章在涉及到上述知识内容时,会附上参考链接。此外,还有以下几个基础概念,在身份治理领域容易混淆: 认证 授权 鉴权 权限控制 建议参考 pphh 的博文《认证授权、鉴权和权限控制》: http://www.hyhblog.cn/2018/04/25/user_l
oauth2统一认证授权
weixin_39271545的博客
06-24 3060
oauth2.0统一认证授权 1.认证授权 ​ 最近学习整理了下认证授权相关实现,下面是大概的一些理解与学习过程。 ​ 在分布式系统中每个服务都需要认证授权。如果每个服务都实现一套认证授权的逻辑就会显得冗余,考虑到分布式系统共享性的特点,我们可以独立一个授权服务出来,可以对内部系统或者第三方应用提供认证。 1.1统一认证授权: ​ 提供独立的认证服务,统一处理认证授权。不论是什么用户还是不同种类的客户端,例如小程序,APP,web,都采用一致的认证,权限,会话机制。 ​ 同时保持开放性,可以接入第三方外
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统的认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
微软iamp协议基于oauth2.0认证授权方法.docx
最新发布
03-21
由于微软邮箱公共服务器的邮箱账号停用了imap接收邮件,本资源介绍如何在oauth2下使用imap接收邮件的授权方法,使用这个方法进行账号授权后,就可以用imap协议去接收邮箱里的邮件了。
SpringSecurity-OAuth2万文详解
热门推荐
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
OAuth 2.0 详细介绍
程序猿踩坑集锦
09-05 5221
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲...
什么是OAuth
endswell的专栏
09-13 2705
Oauth
OAuth到底是什么?
Henry_Wu001的专栏
04-13 3370
这是一个很大的规范,但主要的两个组件是它的身份验证请求协议(又称Web SSO),以及它打包身份属性并对其进行签名的方式,称为SAML断言。你可以输入你的电子邮件地址,然后它会动态发现你的OIDC提供者,动态下载元数据,动态知道要使用什么证书,并允许BYOI(带上你自己的身份,Bring Your Own Identity)。这在用户的浏览器上发生。在这种情况下,最终用户与他们的身份提供者对话,身份提供者生成一个经过加密签名的令牌,并将其传递给应用程序以对用户进行身份验证。对于不同的用例,它们是分开的。
SpringCloud+Spring Security OAuth2 实现微服务统一认证授权
m0_59708021的博客
08-11 1063
OAuth2协议 1. oauth2协议介绍及认证流程 首先声明oauth2是一种协议规范,OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的...
基于OAuth2.0的统一身份认证中心设计
weixin_30700977的博客
06-26 1241
1. 引言 公司经历多年发展后,在内部存在多套信息系统,每套信息系统的作用各不相同,每套系统也都拥有自己独立的账号密码权限体系,这时,每个人员都需要记住不同系统的账号密码,人员入职和离职时,人事部门都需要对多个系统进行账号的分配和关停,更严重的是部分系统的管理权限不在人事部门,人员离职时系统的账号未能及时关停,存在较大的安全风险。 为此,公司计划建立一个统一的身份认证中心来统一管理账号密码,由认证...
spring security6.0 oauth2.0 微服务
08-17
Spring Security 6.0 是一个用于保护应用程序的安全框架,而 OAuth 2.0 是一种用于授权认证的开放标准。结合使用 Spring Security 6.0 和 OAuth 2.0 可以实现微服务的安全保护。 在微服务架构中,通常会有多个服务相互协作提供功能。为了确保这些服务之间的安全通信和访问控制,可以使用 Spring Security 6.0 提供的 OAuth 2.0 支持。 首先,你需要设置一个认证服务器来处理用户的认证授权请求。这个服务器可以使用 Spring Security OAuth2 提供的功能来实现。通过配置认证服务器,你可以定义客户端应用程序的注册信息、用户的认证方式(例如用户名密码、社交媒体登录等)以及访问令牌的生成和验证规则。 然后,你需要在你的微服务中配置 Spring Security 6.0 来验证和解析访问令牌。通过将 Spring Security 6.0 集成到你的微服务中,你可以使用 OAuth 2.0 提供的访问令牌来保护你的接口和资源。在每个请求到达微服务之前,Spring Security 6.0 将会验证访问令牌的有效性,并根据配置的访问规则决定是否允许请求继续处理。 需要注意的是,使用 Spring Security 6.0 和 OAuth 2.0 进行微服务的安全保护需要一定的配置和代码编写,具体的实现方式会根据你的项目需求和架构设计而有所不同。你可以查阅相关的文档和教程来了解更多细节,并根据实际情况进行配置和开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 141
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值