统一授权中心微服务器,SpringCloud微服务实战(一)基于OAUTH2.0统一认证授权的微服务基础架构...

最新推荐文章于 2024-01-21 22:51:19 发布
最新推荐文章于 2024-01-21 22:51:19 发布
阅读量717 收藏
点赞数
文章标签: 统一授权中心微服务器

1.架构图

技术团队通过一段时间的积累后,我们打算对往后的一些新项目采用Spring Cloud技术栈来实现。大概微服务的架构如下:

b2bf674fe7774386e49dafa19fa030d4.png

Euraka注册中心集群

Zuul网关集群

各模块微服务集群

Nginx实现负载均衡

Spring Cloud Config 统一配置中心

Monitor微服务监控

2.注册中心

注册中心很简单,这里主要说一下注册中心的高可用配置‘

6eebeb58f8b90a4c692c026d71500a67.png

这里看到我设置了node-1,node-2两个配置文件,就是在启动应用的时候,分别启动不同的配置。

node-1的端口为9010,并向node-2注册,配置如下:

server:

port: 9010

spring:

application:

name: register ##name必须一样,不然高可用会导致unavailable-replicas

eureka:

instance:

hostname: register1

client:

register-with-eureka: true

fetch-registry: true

service-url:

defaultZone: http://register2:9011/eureka/

node-2的端口为9011,并向node-1注册,配置如下:

server:

port: 9011

spring:

application:

name: register ##name必须一样,不然高可用会导致unavailable-replicas

eureka:

instance:

hostname: register2

client:

register-with-eureka: true

fetch-registry: true

service-url:

defaultZone: http://register2:9010/eureka/

这里注意一下:spring.application.name需要一致,不然会出现unavailable-replicas的情况

3.OAUTH2认证服务器

我这里采用认证服务器与资源服务器分离的方式。

3.1 oauth2 server 配置

我采取了数据库和redis两种方式来存储token,可以方便切换,生成环境下建议使用redis方式。

AuthorizationServer:

@Configuration

@EnableAuthorizationServer

public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

[email protected]

private AuthenticationManager authenticationManager;

[email protected]

private DataSource dataSource;

[email protected]

private UserDetailsServiceImpl userDetailsService;

[email protected]

private RedisConnectionFactory redisConnectionFactory;

[email protected]

RedisTokenStore redisTokenStore(){

return new RedisTokenStore(redisConnectionFactory);

}

//token存储数据库

// @Bean

// public JdbcTokenStore jdbcTokenStore(){

//   return new JdbcTokenStore(dataSource);

// }

@Override

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

clients.withClientDetails(clientDetails());

}

@Bean

public ClientDetailsService clientDetails() {

return new JdbcClientDetailsService(dataSource);

}

@Override

public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

endpoints.tokenStore(redisTokenStore())

.userDetailsService(userDetailsService)

.authenticationManager(authenticationManager);

endpoints.tokenServices(defaultTokenServices());

}

/**

*

注意,自定义TokenServices的时候,[email protected],否则报错,

* @return

*/

@Primary

@Bean

public DefaultTokenServices defaultTokenServices(){

DefaultTokenServices tokenServices = new DefaultTokenServices();

tokenServices.setTokenStore(redisTokenStore());

tokenServices.setSupportRefreshToken(true);

tokenServices.setClientDetailsService(clientDetails());

tokenServices.setAccessTokenValiditySeconds(60*60*12); // token有效期自定义设置,默认12小时

tokenServices.setRefreshTokenValiditySeconds(60 * 60 * 24 * 7);//默认30天,这里修改

return tokenServices;

}

@Override

public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {

security.tokenKeyAccess("permitAll()");

security .checkTokenAccess("isAuthenticated()");

security.allowFormAuthenticationForClients();

}

}

WebSecurityConfig:

@Configuration

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

private UserDetailsServiceImpl userDetailsService;

@Bean

public PasswordEncoder passwordEncoder() {

return new BCryptPasswordEncoder();

}

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService)

.passwordEncoder(passwordEncoder());

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.anyRequest().authenticated()

.and()

.formLogin().and()

.csrf().disable()

.httpBasic();

}

@Override

public void configure(WebSecurity web) throws Exception {

web.ignoring().antMatchers("/favor.ioc");

}

}

3.2 ResourceServer

因为我们认证中心会提供User信息,所以也是资源服务器。

@Configuration

@EnableResourceServer

public class ResourceServerConfig extends ResourceServerConfigurerAdapter{

[email protected]

public void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.exceptionHandling()

.authenticationEntryPoint(new Http401AuthenticationEntryPoint("Bearer realm=\"webrealm\""))

.and()

.authorizeRequests().anyRequest().authenticated()

.and()

.httpBasic();

}

}

4.资源服务器 Resource

ResourceServer:

@Configuration

@EnableResourceServer

public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

@Override

public void configure(HttpSecurity http) throws Exception {

http.

csrf().disable()

.exceptionHandling()

.authenticationEntryPoint(new Http401AuthenticationEntryPoint("Bearer realm=\"webrealm\""))

.and()

.authorizeRequests().anyRequest().authenticated()

.and()

.httpBasic();

}

}

主要是application.yml的配置

security:

oauth2:

resource:

id: resource

user-info-uri: http://10.10.8.2:9030/uaa/user

prefer-token-info: false

5.Zuul网关

5.1开启支持Sso

@Configuration

@EnableOAuth2Sso

public class SecurityConfig extends WebSecurityConfigurerAdapter{

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable();

}

}

5.2配置

spring:

application:

name: Gateway

zipkin:

base-url: http://10.10.8.2:9050

server:

port: 9030

eureka:

instance:

prefer-ip-address: true #使用IP注册

instance-id: ${spring.cloud.client.ipAddress}:${server.port}

client:

service-url:

defaultZone: http://register1:9010/eureka/,http://register2:9011/eureka/

###actuator监控点 start####

endpoints:

health:

sensitive: false

enabled: true

##默认情况下很多端点是不允许访问的,会返回401:Unauthorized

management:

security:

enabled: false

###actuator监控点 end####

zuul:

host:

connect-timeout-millis: 10000

socket-timeout-millis: 60000

routes:

uaa:

path: /uaa/**

strip-prefix: true

sensitiveHeaders:

serviceId: auth2.0-center

security:

basic:

enabled: false

oauth2:

client:

access-token-uri: http://10.10.8.2:9030/uaa/oauth/token ##网关的地址

user-authorization-uri: http://10.10.8.2:9030/uaa/oauth/authorize

resource:

user-info-uri: http://10.10.8.2:9030/uaa/user

prefer-token-info: false

##############end#####################

####超时配置####

ribbon:

ReadTimeout: 10000

ConnectTimeout: 10000

MaxAutoRetries: 1

MaxAutoRetriesNextServer: 2

eureka:

enabled: true

hystrix:

command:

default:

execution:

timeout:

enabled: true

isolation:

thread:

timeoutInMilliseconds: 600000

###超时配置###

6.展示

分别启动register、auth-center、gateway、resource。效果如下:

81287a9b9f1b7b374acfd351733bd5db.png

6.1获取access_token

85f55d68c188122fd4c941358626d358.png

6.2刷新token

9e88a6b31159233685dc503cfef91026.png

6.3用access_token获取资源

decb9b33a93958d998dcf800517b07a0.png

04767d8f084c12dee2e381d2ba8c9908.png

7.结束

到这里Spring Cloud OAUTH2.0统一认证的骨架就完成了,具体项目拿过来修改就可以满足项目的需求了。

原文:https://www.cnblogs.com/liboware/p/12535327.html

屠飞飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微服务精选:用户中心微服务设计理念.pdf
09-29
微服务精选:用户中心微服务设计理念.pdf
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统的认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
宜信大数据实时授信平台技术、架构、模型解析(PPT)
weixin_30332705的博客
07-19 395
宜信大数据实时授信平台包含姨搜、知识图谱、授信和反欺诈引擎等模块。平台结合了用户授权数据、第三方数据、互联网海量数据等不同数据源,最大限度地获取 用户信息。授信和反欺诈引擎结合了专家知识和机器学习算法,分析客户的信用状况和欺诈风险,实时估计授信额度、检测欺诈风险。 这个平台到底是做什么事情的?通过对各种各样不同的数据员的接入,包括自己的数据。通过对它的接入分析,梳理,挖掘,关联和理...
SpringSecurity+OAuth2.0 搭建认证中心和资源服务中心
qq_43649937的博客
01-21 2653
OAuth2.0 Springsecurity
统一用户认证中心
热门推荐
hot_summery的专栏
06-22 2万+
在项目开发中,遇到了以下问题:项目中,面向的用户有PC操作员、手机用户等,不同的用户登陆逻辑所在微服务,不一定是一套,甚至有可能来自不同的团队开发维护,那么导致鉴权时需要到处请求;解决思路:提出一个统一认证中心,对所有的登陆逻辑做统一处理,此服务可调用 不同的管理系统,如:操作员系统、终端用户系统、QQ开放平台竺,可复合调用组装,再将结果返回;实现架构图:说明:1. API Gateway(ora...
SpringCloud Gateway网关为认证中心和用户微服务构建统一认证授权入口
write less , do more
10-28 7393
本文主要内容是通过构建一个网关微服务,作为统一认证授权和访问入口。
基于OAuth2协议的SSO统一认证系统
weixin_38277138的博客
03-14 1680
基于OAuth2协议的SSO统一认证系统
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
springcloud_oauth2.0-master.zip
12-19
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip
最新发布
02-20
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip 功能点: 模拟商城,完整的购物流程、后端运营平台对前端业务的支撑,和对项目的运维,有各项的监控指标和运维指标。 技术点: 核心技术为...
spring cloud + vue + oAuth2.0全家桶实战,前后端分离商城源码.zip
05-10
spring cloud + vue + oAuth2.0全家桶实战,前后端分离商城,完整的购物流程、后端运营平台,可以实现快速搭建企业级微服务项目。支持信等三方登录。 spring cloud + vue + oAuth2.0全家桶实战,前后端分离...
【OAuth2】Spring Security OAuth2 授权失败(401) 问题整理
hkk666123的博客
05-06 7876
文章目录一、免登录接口校验token问题二、Token失效返回的是状态401的错误 Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考阮一峰的网络日志理解OAuth 2.0 项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是
JWT改造统一认证授权中心的令牌存储机制
凉茶铺的博客
09-01 724
通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能。解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证 服务完成授权。...
微服务架构下的统一身份认证授权
weixin_33829657的博客
10-18 6897
为什么80%的码农都做不了架构师?>>> ...
Spring OAuth2 开发指南(一):体系架构和开发概览
yellow 的专栏
08-25 1267
Spring OAuth2.0 开发指南(一):体系架构和开发概览 文章目录Spring OAuth2.0 开发指南(一):体系架构和开发概览一、开篇二、OAuth2.0 体系结构场景假设 A:基于图像的物品分类系统(IBCS,Image-Based Classification System)场景假设 B:相册预览系统(PAPS,Photo Album Preview System)授权码模式 vs 密码模式 vs 客户端模式授权码模式和密码模式客户端模式密码模式的典型架构层次和主要流程密码模式的微服务
微服务统一认证中心
AkiraNicky的博客
04-16 5816
微服务架构中,由于不同的业务会拆分成不同的微服务,传统的单体项目一般是通过过滤器进行拦截校验,而微服务显然不可能分发到各个服务进行用户认证,这就需要由一个统一的地方来管理所有服务的认证信息,实现只登录一次,即可在各个服务的授权范围内进行操作;本文采用springcloud-oauth2来实现多个微服务统一认证
Springcloud之OAuth2
xiaopang2020的博客
08-22 7703
springcloud之OAuth2
SpringCloud OAuth2 + JWT 认证授权(一)授权服务器
Show Me The Code
01-07 2902
系列文章 Spring Cloud oAuth2(一)搭建授权服务器以及访问 Spring Cloud oAuth2(二)搭建资源服务器以及测试 SpringCloud OAuth2 + JWT 认证授权(一)授权服务器 SpringCloud OAuth2 + JWT 认证授权(二)资源服务器 目录 简介 实体对象 授权配置 结尾 简介 这里对个人在搭建第三方授权服务的过程...
微服务09:单点登陆系统设计及实现2
sayhitoloverOvO的博客
09-27 246
Security 认证流程分析(了解) 目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程: 颁发登陆成功令牌 构建令牌存储对象 本次我们借助JWT(Json Web Token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定.
spring cloud + vue + oauth2.0全家桶实战,前后端分离商城源码.zip
05-14
这份源码包含了Spring Cloud、Vue和Oauth2.0全家桶实战的商城源码。它是一个基于前后端分离的电商平台,采用高可用架构和分布式部署的方式来实现。利用Spring Cloud构建了微服务架构,通过Vue实现了前端页面的布局和交互,而Oauth2.0则提供了安全保护。 在这个项目中,后端主要使用了Spring Boot、Spring Cloud、Eureka、Zuul、Feign、Hystrix、Oauth2.0等技术,前端使用了Vue.js、Vue Router、Axios等技术。实现了用户注册、登录、商品列表展示、购物车、结算等功能。 这个项目的架构清晰、代码规范、各个模块之间高度解耦。其采用分布式设计和框架,使得系统具有良好的可扩展性和可维护性,能够支持并行处理和多用户的并发访问。 总体来说,这个项目是一个非常好的前后端分离的综合案例。同时,在学习过程中,可以深入学习Spring Cloud、Vue和Oauth2.0等框架及技术,并对其进行实际应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值