统一认证中心 Oauth2 认证坑

最新推荐文章于 2024-05-03 10:55:30 发布
最新推荐文章于 2024-05-03 10:55:30 发布
阅读量2.7k 收藏 4
点赞数
文章标签: java spring spring boot jwt shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangsofa/article/details/121155006
版权

8f4368af147a483e013b1100f97d3465.gif

在前面文章 Springcloud Oauth2 HA篇

cas-server-url: http://cas-server-service #这里配置成HA地址

security:
  oauth2: #与cas-server对应的配置
    client:
      client-id: admin-web
      client-secret: admin-web-123
      user-authorization-uri: ${cas-server-url}/oauth/authorize #是授权码认证方式需要的
      access-token-uri: ${cas-server-url}/oauth/token #是密码模式需要用到的获取 token 的接口
    resource:
      loadBalanced: true
      id: admin-web
      user-info-uri: ${cas-server-url}/api/user #指定user info的URI
      prefer-token-info: false

这里的 url 配置是基于k8s的 Service,实现负载均衡,从而实现高可用。但我们接下来分析 user-info-uri。user-info-uri 的原理是在授权服务器认证后将认证信息 Principal 通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的 UserInfoTokenService 等。

但这个在客户端获取用户权限时候,是存在一定问题的。譬如 Web端请求消费端的某个接口:

/**
 * 返回发现的所有服务
 * @author Damon 
 * @date 2021年11月2日 下午8:18:44
 * @return
 *
 */
@PreAuthorize("hasRole('admin')")
 @GetMapping(value = "/getService")
    public String getService(){
  HttpHeaders headers = new HttpHeaders();
  MediaType type = MediaType.parseMediaType("application/json; charset=UTF-8");
  headers.setContentType(type);
  headers.add("Accept", MediaType.APPLICATION_JSON.toString());
  HttpEntity<String> formEntity = new HttpEntity<String>(null, headers);
  String body = "";
  try {
   ResponseEntity<String> responseEntity = restTemplate.exchange("http://cas-server/api/v1/user",
     HttpMethod.GET, formEntity, String.class);
   if (responseEntity.getStatusCodeValue() == 200) {
    return "ok";
   }
  } catch (Exception e) {
   System.out.println(e.getMessage());
  }
  return body;
    }

在这个接口中,我们通过添加@PreAuthorize("hasRole('admin')")来控制权限,只要是admin的用户才能访问改接口。

我们先来请求认证中心登录接口,获取token:

c629feb55d68cc201adfe218a630402c.png
image.png

在拿到token之后,我们请求这个接口,我们会发现:

379c9cdb968ff8473be789aef237bd26.png
image.png

说明未认证,我们再看看:发现原来当请求这个接口时,消费端后去请求认证中心的接口:

2021-11-03 15:59:09.385 DEBUG 127896 --- [io2-2001-exec-4] org.springframework.web.HttpLogging      : HTTP GET http://cas-server/auth/user
2021-11-03 15:59:09.389 DEBUG 127896 --- [io2-2001-exec-4] org.springframework.web.HttpLogging      : Accept=[application/json, application/*+json]
2021-11-03 15:59:09.427 DEBUG 127896 --- [io2-2001-exec-4] org.springframework.web.HttpLogging      : Response 404 NOT_FOUND
2021-11-03 15:59:09.446 DEBUG 127896 --- [io2-2001-exec-4] o.s.w.c.HttpMessageConverterExtractor    : Reading to [org.springframework.security.oauth2.common.exceptions.OAuth2Exception]
2021-11-03 15:59:09.456  WARN 127896 --- [io2-2001-exec-4] o.s.b.a.s.o.r.UserInfoTokenServices      : Could not fetch user details: class org.springframework.web.client.HttpClientErrorException$NotFound, 404 : [{"timestamp":"2021-11-03T07:59:09.423+00:00","status":404,"error":"Not Found","message":"","path":"/auth/user"}]
2021-11-03 15:59:09.457 ERROR 127896 --- [io2-2001-exec-4] c.l.h.CustomAuthenticationEntryPoint     : 无效的token,请重新认证访问
{"data":"b34841b4-61fa-4dbb-9e2b-76496deb27b4","result":{"code":20202,"msg":"未认证","status":401}}

但认证中心给返回的404状态码,此时会走统一异常EntryPoint提示报错:无效的token,请重新认证访问。从而返回信息体:{"data":"b34841b4-61fa-4dbb-9e2b-76496deb27b4","result":{"code":20202,"msg":"未认证","status":401}}

接下来分析:为什么认证中心会返回404呢?看认证中心日志:

2021-11-03 15:59:09.407 DEBUG 54492 --- [o2-2000-exec-15] o.s.web.servlet.DispatcherServlet        : GET "/auth/user", parameters={}
2021-11-03 15:59:09.409 DEBUG 54492 --- [o2-2000-exec-15] o.s.w.s.handler.SimpleUrlHandlerMapping  : Mapped to ResourceHttpRequestHandler ["classpath:/META-INF/resources/", "classpath:/resources/", "classpath:/static/", "classpath:/public/"]
2021-11-03 15:59:09.413 DEBUG 54492 --- [o2-2000-exec-15] o.s.w.s.r.ResourceHttpRequestHandler     : Resource not found
2021-11-03 15:59:09.414 DEBUG 54492 --- [o2-2000-exec-15] o.s.web.servlet.DispatcherServlet        : Completed 404 NOT_FOUND
2021-11-03 15:59:09.422 DEBUG 54492 --- [o2-2000-exec-15] o.s.web.servlet.DispatcherServlet        : "ERROR" dispatch for GET "/error", parameters={}
2021-11-03 15:59:09.423 DEBUG 54492 --- [o2-2000-exec-15] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped to org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController#error(HttpServletRequest)
2021-11-03 15:59:09.424 DEBUG 54492 --- [o2-2000-exec-15] o.s.w.s.m.m.a.HttpEntityMethodProcessor  : Using 'application/json', given [application/json] and supported [application/json, application/*+json, application/json, application/*+json, application/json, application/*+json]
2021-11-03 15:59:09.424 DEBUG 54492 --- [o2-2000-exec-15] o.s.w.s.m.m.a.HttpEntityMethodProcessor  : Writing [{timestamp=Wed Nov 03 15:59:09 CST 2021, status=404, error=Not Found, message=, path=/auth/user}]
2021-11-03 15:59:09.426 DEBUG 54492 --- [o2-2000-exec-15] o.s.web.servlet.DispatcherServlet        : Exiting from "ERROR" dispatch, status 404

发现原来Oauth2没有此类接口:/auth/user。最后决定自写一个接口来替换原生:

@GetMapping("/api/v1/user")
    public Authentication user(Map map, Principal user, Authentication auth) {
        //获取当前用户信息
     logger.info("cas-server provide user: " + JSON.toJSONString(auth));
        return auth;
    }

在封装、覆盖后,在消费端直接配置相关配置:

cas-server-url: http://cas-server

security:
  path:
    ignores: /,/index,/static/**,/css/**, /image/**, /favicon.ico, /js/**,/plugin/**,/avue.min.js,/img/**,/fonts/**
  oauth2:
    client:
      client-id: rest-service
      client-secret: rest-service-123
      user-authorization-uri: ${cas-server-url}/oauth/authorize
      access-token-uri: ${cas-server-url}/oauth/token
    resource:
      loadBalanced: true
      id: rest-service
      prefer-token-info: false
      user-info-uri: ${cas-server-url}/api/v1/user
    authorization:
      check-token-access: ${cas-server-url}/oauth/check_token

同时启动认证中心、消费端,继续获取token后,请求接口:

8903acfdc7e45e54e0a847ca03b134e2.png
image.png

此时,发现是403,没有权限了,这下我们可以对用户添加这种权限即可:

"authorities": [ { "authority": "ROLE_admin" }, { "authority": "admin" }

添加完之后,我们发现可以请求接口成功:

{ "authorities": [ { "authority": "ROLE_admin" }, { "authority": "admin" } ], "details": { "remoteAddress": "0:0:0:0:0:0:0:1", "sessionId": null, "tokenValue": "b34841b4-61fa-4dbb-9e2b-76496deb27b4", "tokenType": "bearer", "decodedDetails": null }, "authenticated": true, "userAuthentication": { "authorities": [ { "authority": "ROLE_admin" }, { "authority": "admin" } ], "details": { "authorities": [ { "authority": "ROLE_admin" }, { "authority": "admin" } ], "details": { "remoteAddress": "169.254.200.12", "sessionId": null, "tokenValue": "b34841b4-61fa-4dbb-9e2b-76496deb27b4", "tokenType": "Bearer", "decodedDetails": null }, "authenticated": true, "userAuthentication": { "authorities": [ { "authority": "ROLE_admin" }, { "authority": "admin" } ],
...

这里简单测试,直接写的返回当前用户权限的接口,发现权限就是"ROLE_admin、"admin"。

总结

有时候官网的源码解析很少,我们必须看源码,结合实际行动才能准确的分析其用意。所以当其不存在、或者不满足我们的需求时,可以选择覆盖其源码逻辑,实现自定义模式,这样会避免很多不必要的麻烦。因为源码解析毕竟不同版本,对应的源码也是不同的。

开源项目

  实践项目代码开源:https://gitee.com/damon_one/microservice-k8s

欢迎大家star、fork,欢迎联系我,一起学习。

云原生社区合肥站

云原生社区合肥站正式启动啦,欢迎Base合肥、关注云原生、长期从事云原生的同志们踊跃加入,云原生社区合肥站会因为你们的加入而变得更加美好~

详情参见Issue:https://github.com/cloudnativeto/community/issues/107

欢迎关注个站

6309c8fd6536b2df90dd39c68e91e176.png

往期回顾

微服务自动化部署CI/CD

如何利用k8s拉取私有仓库镜像

个站建设基础教程

ArrayList、LinkedList&nbsp;你真的了解吗?

大佬整理的mysql规范,分享给大家

如果张东升是个程序员

微服务架构设计之解耦合

浅谈负载均衡

Oauth2的认证实战-HA篇

Oauth2的授权码模式《上》

浅谈开发与研发之差异

浅谈&nbsp;Java&nbsp;集合&nbsp;|&nbsp;底层源码解析

基于 Sentinel 作熔断 | 文末赠资料

基础设施服务k8s快速部署之HA篇

今天被问微服务,这几点,让面试官刮目相看

Spring cloud 之多种方式限流(实战)

Spring cloud 之熔断机制(实战)

面试被问finally 和 return,到底谁先执行?

Springcloud Oauth2 HA篇

Spring Cloud Kubernetes之实战一配置管理

Spring Cloud Kubernetes之实战二服务注册与发现

Spring Cloud Kubernetes之实战三网关Gateway

4f950d9bfc57d2a1acfac70b415e0446.png

25119ecefbf4075ee75ea97774a70a3c.png

30a25ebc0ccbbf00988306163166ebb4.png

关注公众号,回复入群,获取更多惊喜!公众号(程序猿Damon)里回复 ES、Flink、Java、Kafka、MQ、ML、监控、大数据、k8s 等关键字可以查看更多关键字对应的文章。

2ddae31eaa28eb1b86f95e5e9ea01503.gif

66acea9b41aa2c34810b12a9506e9499.gif

点击 "damon8.cn" 获取更好的阅读体验!

❤️给个「在看」,是对我最大的支持❤️
交个朋友之猿田地
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud下基于OAUTH2认证授权的实现示例
08-27
本文主要介绍了Spring Cloud下基于OAUTH2认证授权的实现示例,通过OAUTH2实现多个微服务的统一认证授权,提高系统的安全性和可靠性。使用OAUTH2可以解决访问资源时的授权问题,提高系统的安全性和可靠性。
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
首先,我们需要创建一个授权服务器,这通常是我们系统的认证中心。授权服务器负责处理用户的登录请求,验证用户凭证,并发放访问令牌(Access Token)。在Spring Cloud中,可以通过配置`...
springcloud整合oauth2后,404请求返回401
Wzy000001的博客
01-20 2843
404的请求返回401 我们系统整合springsecurity的时候,出现这么一个问题。当我们有个请求是404的时候,返回的确实401的http码,这个就很让人疑惑了,为啥啊。 猜想 o.s.b.a.s.oauth2.resource.UserInfoTokenServices - Could not fetch user details: class org.springframework.beans.factory.BeanCreationException, Error creating bean
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
漏洞挖掘之某厂商OAuth2.0认证缺陷
最新发布
2401_84434570的博客
05-03 1463
文章中的项目地址统一修改为: a.test.com 保护厂商也保护自己。
使用Spring security oauth2遇到的问题
carry_zuo的博客
12-20 1万+
在使用spring security oauth2过程中客户端DEBUG中总是有警告信息: Could not fetch user details: class org.springframework.security.oauth2.common.exceptions.InvalidRequestException, Possible CSRF detected - state paramet
SpringCloud错误总结
点点的博客
09-20 518
1.com.netflix.discovery.shared.transport.TransportException: Cannot execute request on any known server 原因: 原因是 Eureka服务注册中心也会将自己作为客户端来尝试注册它自己,所以我们需要禁用它的客户端注册行为 解决: 在application.yml 添加配置 eureka: cli...
springCloud报错信息:org.springframework.web.client.HttpClientErrorException$NotFound: 404 null
qq_42767647的博客
06-09 1万+
报错截图: 原因:路径不对,少加了一个“/” 解决:URI路径若有传参,则别忘了在参数前有个斜杆"/"
Spring Boot+OAuth2,一个注解搞定单点登录!
江南一点雨的专栏
04-23 3万+
需要先说一下,松哥最近写的教程,都是成系列的,有一些重复的东西写来写去就没意思了,所以每一篇文章都默认大家已经懂了前面的内容了,因此下文有任何看不懂的地方,建议一定先看下相关系列: Spring Security 系列: 挖一个大,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密了 手把手教你定制 Spring Security 中...
Oauth2统一登录平台源代码
03-18
OAuth2.0几乎成了当今第三方平台的一个标准中的标准(我不知道几年后会出3.0),那既然是一个标准,为什么就不能用一个相对标准的类库或项目来实现呢?翻遍整个china的开源项目,就别说是C#了,连java、php都没有...
Spring Cloud OAuth2 实现用户认证及单点登录的示例代码
08-25
在微服务架构中,OAuth2 可以作为一个统一认证中心,为多个服务提供认证服务,实现单点登录。 首先,我们需要创建一个认证服务端(oauth2-auth-server)。这个服务负责验证用户凭证,生成、刷新和验证令牌。为了...
java统一认证中心单点登录系统源码,开箱即用
08-23
Java统一认证中心(Single Sign-On, SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。在这个项目中,我们拥有一个开箱即用的SSO系统源码,名为"smart-sso"。这个系统允许...
记录一次解决bug
qq_42472004的博客
07-15 1987
新手使用springboot重定向功能时,页面返回404的一种情况的解决
spring security oauth2 资源服务器WebAsyncTask/DeferredResult接口调用报错InsufficientAuthenticationException
路过君的博客
08-10 4081
异常现象 访问非WebAsyncTask接口正常 访问WebAsyncTask接口成功执行代码逻辑,但返回信息抛出异常InsufficientAuthenticationException 服务报错: Could not fetch user details: class org.springframework.beans.factory.BeanCreationException, Error creating bean with name ‘scopedTarget.oauth2ClientConte
Springboot入门系列教程(6)-基于securtiy框架的单点登录配置详解
ywcai
08-30 9298
Springboot Security Oauth2单点登录配置详解 目录 一、关于配置文件的编写规则 二、认证授权端配置 三、资源服务端配置 四、WEB应用客户端配置 五、测试验证搭建效果 结束语 一、关于配置文件的编写规则 我这里使用的application.properties文件来配置,可自行转换为yml文件配置,按照固定格式转换配置语法即可,含义是一样的,两种文...
oauth2 通过SecurityContextHolder获取用户信息
个人工作学习内容总结
03-25 4039
最近在写oauth2项目,权限模块和资源模块是分离的。在这里获取用户信息的时候出了问题,只能获取到username 。在陷入困境的时候使用token-info-uri验证直接解析失败。最后通过debug一步一步强推到了解决办法。 这里资源服务器用的验证路径是user-info-uri security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth/users/current
org.springframework.web.client.HttpServerErrorException$InternalServerError: 500 null
zhangaiav的博客
12-07 8900
org.springframework.web.client.HttpServerErrorException$InternalServerError: 500 null
java.lang.Exception: org.springframework.web.client.HttpServerErrorException=>快速解决
心有谦谦结
05-11 4202
java.lang.Exception: org.springframework.web.client.HttpServerErrorException=>快速解决重启所有服务。这里分为偶发性和必然性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值