spring cloud微服务架构之UAA

最新推荐文章于 2021-12-21 22:41:13 发布
最新推荐文章于 2021-12-21 22:41:13 发布
阅读量6.1k 收藏 9
点赞数
文章标签: java json git
原文链接:https://my.oschina.net/crazyFeng1/blog/867428
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

微服务中,对用户及其权限的管理,具体实现的方式有很多种,从架构上来看分为:

  1. 网关层进行权限管理 <本文的实现方式>
  2. 各服务独立实现校验;
  3. 校验逻辑实现在各服务上,通过共享数据或者授权中心等方式实现;

本文源码: 码云传送门

授权流程图示1:

UAA授权

校验流程图示2:

校验流程图示2

实例演示

git clone https://git.oschina.net/zhangfeng0103/springcloud-microservices-examples
cd springcloud-microservices-examples
mvn clean package

####启动本次重要的三个服务

java -Dfile.encoding=UTF-8 -jar eureka-server\target\eureka-server-1.0.0.jar
java -Dfile.encoding=UTF-8 -jar gateway\target\gateway-1.0.0.jar
java -Dfile.encoding=UTF-8 -jar uaa-service\target\uaa-service-1.0.0.jar

####测试一把(windows)

# 项目中UAA已经默认有两个用户,且有对应的权限。参考resource目录下import.sql
# 用户10086,获取token
C:\Users\zhangfeng>curl "http://localhost:8765/uaa-token/token/byPhone" -H "Content-Type: application/json" --data-binary "{\"phone\":\"10086\",\"password\":\"123\"}" --compressed
{"accessToken":"eyJhbGciOiJIUzUxMiIsInppcCI6IkRFRiJ9.eNpUjsEOgjAQRP-lR2KlYCmFk1_gDxgP23aRohRiwZgY_90NEo3HmXk7O0_mY2Q1mwHYhnmYWJ3JSshCCS03DGZHYSZERmk3eRLOqMLtSuRNnisuoSq5lqLk0lS6AKMcuoLgOeLtAD3SRQf2Qg4-xrVc6aUce_DXtX5PA7Z26Ikb2yHgx9aKdJzNb0Mwzf_CaIeR6CNLh2hbHyBNEuLSqUVOE-7e4urQh6_TQ4DzEpxebwAAAP__.JXorfMhakvVMcfW8m35d9RWv5TEiGKUjZipDXRl9lm9C-EF2UZIO7iGR9XRu6s5axnKM29b4Kvml8PiL984E9w"}

# 调用接口 解析token可以显示的看到相应的用户信息及scope
C:\Users\zhangfeng>curl "http://localhost:8765/uaa-token/token/parse?token=eyJhbGciOiJIUzUxMiIsInppcCI6IkRFRiJ9.eNpUjsEOgjAQRP-lR2KlYCmFk1_gDxgP23aRohRiwZgY_90NEo3HmXk7O0_mY2Q1mwHYhnmYWJ3JSshCCS03DGZHYSZERmk3eRLOqMLtSuRNnisuoSq5lqLk0lS6AKMcuoLgOeLtAD3SRQf2Qg4-xrVc6aUce_DXtX5PA7Z26Ikb2yHgx9aKdJzNb0Mwzf_CaIeR6CNLh2hbHyBNEuLSqUVOE-7e4urQh6_TQ4DzEpxebwAAAP__.JXorfMhakvVMcfW8m35d9RWv5TEiGKUjZipDXRl9lm9C-EF2UZIO7iGR9XRu6s5axnKM29b4Kvml8PiL984E9w" -H "Content-Type: application/json"  --compressed
{"iss":"uaa","iat":1490456084,"aud":"1001","jti":"db65d37e-f226-4a97-8407-4b985ab6ded5","userName":"jack","exp":1490468084,"email":"1001@uaa.com","phone":"10086","sub":"1001","nbf":1490456084,"scope":["/oschina/**","/the-service/**","/uaa-service/manage/**"]}
# 尝试调用查看用户信息的接口
C:\Users\zhangfeng>curl "http://localhost:8765/uaa-service/manage/users/1001" -H "Authorization:eyJhbGciOiJIUzUxMiIsInppcCI6IkRFRiJ9.eNpUjsEOgjAQRP-lR2KlYCmFk1_gDxgP23aRohRiwZgY_90NEo3HmXk7O0_mY2Q1mwHYhnmYWJ3JSshCCS03DGZHYSZERmk3eRLOqMLtSuRNnisuoSq5lqLk0lS6AKMcuoLgOeLtAD3SRQf2Qg4-xrVc6aUce_DXtX5PA7Z26Ikb2yHgx9aKdJzNb0Mwzf_CaIeR6CNLh2hbHyBNEuLSqUVOE-7e4urQh6_TQ4DzEpxebwAAAP__.JXorfMhakvVMcfW8m35d9RWv5TEiGKUjZipDXRl9lm9C-EF2UZIO7iGR9XRu6s5axnKM29b4Kvml8PiL984E9w" -H "Content-Type: application/json" --compressed
{
  "phone" : "10086",
  "userName" : "jack",
  "password" : "123",
  "email" : "1001@uaa.com",
  "_links" : {
    "self" : {
      "href" : "http://localhost:8765/uaa-service/manage/users/1001"
    },
    "user" : {
      "href" : "http://localhost:8765/uaa-service/manage/users/1001"
    }
  }
}
# OK,调用顺利
# 切换用户10087
# .. .省略获取token的步骤,直接尝试调用接口
# cmd窗口有乱码,特意加了-w \nhttpstatus:%{http_code},可以看到,服务器响应的状态码为403
C:\Users\zhangfeng>curl "http://localhost:8765/uaa-service/manage/users/1001" -H "Authorization:eyJhbGciOiJIUzUxMiIsInppcCI6IkRFRiJ9.eNpUjk0KwjAQhe8yy9LYtE3TpCtP4AXExaSJGLE_mAYE8RZeQnDlpcRbOGhBXL73vnnzzuBDgAYiIqTgcYImF5qLSpaKp4DRUphzXlC6nzwJjbUpt9oxmaNiwhbIlCoLxp3AykpZayUIjsEdV9g5unjd7s_rgzx3Gud6qT71rkN_mB8sacKiHTrixt3Qu6-tatIhmt-K3mz_N4Z2GIleQ2bQ25glCWwubwAAAP__.gDIC1foN5yUpFbJ7zC-v0Q3Y4jTu8I5L4_ewvu7dPggXmZIwzucAgsj1RzcObPLF8I0dWwMPYUiALJlfiut_uQ" -H "Content-Type: application/json" --compressed -w \nhttpstatus:%{http_code}

{"content":"鏃犺闂潈闄?,"result":false}httpstatus:403
划重点:
# gateway config网关相关的配置
gateway:
  token:
    jwt:
       key: xxxxxsthis       # 与uaa中的key保持一致
  filter:
    noAuthenticationUrls:    #此处代码,下面这些路由 ID 不需要验权
      - gateway
      - uaa-token
    errorMessage:            #这是异常处理,code与异常描述的对应关系维护
      999: 系统异常
      403: 无访问权限
      500: 服务器错误

QA:

1、token已经发出去,该账户的权限发生了更新,怎么办?

  • a方法. 首先说一下托底的方案,token超过有效期就不能使用,这也就意味着,最后一批发放的token有效期过了以后,权限更新会应用到所有账户上。这种方式满足一部分平台的需要。

  • b方法. UAA通知网关,指定时间之前的token都无效,网关只需在token校验中加上对应的逻辑即可,具体实现上可轮询,可推送。(有点像我们的身份证,中央告知各级单位,某日开始一代身份证无法办理业务…)

2、 即将过期的token怎么刷新?

  • 在网关验权过程中,发现即将过期的token,可在response header打入相应的标签,客户端发现有这个标签,调用刷新token的服务,重新获取一次即可。

本文参考了jhipsterCloudFoundry对UAA的实现。

大家有其他思路的话,希望能留言分享.

转载于:https://my.oschina.net/crazyFeng1/blog/867428

weixin_34360651
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway 结合 OAuth2 提供 UAA 服务,来袭。
weixin_70730532的博客
05-22 574
微服务做用户认证和授权一直都是一个难点,随着 OAuth2.0 的密码模式被作废,更是难上加难了。今天胖哥群里的一个群友搭建用户认证授权体系的时候遇到了一些棘手的问题,这让胖哥觉得是时候分享一些思路出来了。 两种思路 通常微服务的认证和授权思路有两种: 所有的认证授权都由一个独立的用户认证授权服务器负责,它只负责发放 Token,然后网关只负责转发请求到各个微服务模块,由微服务各个模块自行对 Token 进行校验处理。 另一种是网关不但承担了流量转发作用,还承担认证授权流程,当前请求..
Spring Cloud Data Flow整合UAA使用外置数据库和API接口
南瓜慢说
06-21 678
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 前言 之前的文章《Spring Cloud Data Flow整合Cloudfoundry UAA服务做权限控制》介绍了如何用UAA来保护Spring Cloud Data Flow,但使用是内存数据库,重启UAA后就丢失了配置信息。而且需要通过Ruby gem安装uaac命令行工具,有点麻烦,比较不是所有人都会使用Ruby的。 本文将解决这两个问题,问题一通过引入PostgreSQL来解决;问题二通过UAA REST.
spring cloud实战(五)UAA
老螺丝的技术人生
09-12 3665
我们以spring cloud security OAuth2.0+JWT为案例分析如何搭建自己的用户认证中心(UAA: User Account and Authentication)。spring cloud security的安全体系庞大而复杂。先看看关键的依赖包的关系: 以上是搭建一个UAA所需要最核心的jar包,我等凡人实在无法在有限的时间内阅读完所有spring security的源...
uaa-zuul_springcloud_springclouduaa_UAA认证_forgetpcc_zuul实现认证_
10-04
spring cloud的zuul组件的用户权限认证实现demo
域控查看ldap端口命令_Spring Cloud Data Flow整合UAA之使用LDAP进行账号管理
weixin_33404102的博客
01-13 182
“欢迎访问南瓜慢说 www.pkslow.com 获取更多精彩文章!1 前言Spring Cloud Data Flow整合UAA的文章已经写了两篇,之前的方案是把用户信息保存在数据库中;但在许多企业,是使用AD来管理账户信息,本文将讲解如何整合Data Flow和LDAP。Spring Cloud Data Flow相关文章:Spring Cloud Data Flow初体验,以Loc...
SpringCloudOAuth2案例
吴声子夜歌的博客
05-26 767
案例分析 首先来看案例的架构设计,在这个案例中有3个工程,分别是服务注册中心工程eureka-server、授权中心Uaa工程auth-service和资源工程service-hi,如图: 首先,浏览器向auth-service 服务器提供客户端信息、用户名和密码,请求获取Token。auth-service确认这些信息无误后,根据该用户的信息生成Token并返回给浏览器。浏览器在以后的每次请求都需要携带Token给资源服务service-hi,资源服务器获取到请求携带的Token后,通过远程调度将Tok
springCloud+security+oauth+zuul
10-23
Spring Cloud生态体系中,`springCloud+security+oauth+zuul`的组合是一个常见的微服务安全解决方案。本文将深入探讨这些技术组件的核心概念、如何整合以及它们在实际应用中的价值。 **一、Spring Cloud Security...
spring-cloud-cloudfoundry:Cloudfoundry与Spring Cloud API之间的集成
01-30
1. Spring CloudSpring Cloud是一系列框架的集合,用于简化微服务架构中的开发和运维任务,包括服务发现、配置管理、负载均衡、熔断机制等。 2. Cloudfoundry:Cloudfoundry是一个开源的平台即服务(PaaS),支持...
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
Spring Cloud OAuth2 和 JWT 保护微服务 本文将详细介绍 Spring Cloud OAuth2 和 JWT 保护微服务的实现方法。OAuth2 是一种authorization framework,能够提供安全的身份验证和授权机制,而 JWT(JSON Web Token)...
UAA服务设置
MINMIN0的博客
02-15 1587
开始使用某些Predix平台服务之前,您必须将一个UAA服务实例设置为可信发布者。任务路线图编号 任务 说明 1 (可选)如有必要,配置您的代理设置。 根据您的位置和网络配置,您可能需要配置您的代理设置,以便访问远程资源。参见 定义与远程资源的代理连接。2 (可选)部署一个Predix Hello World网页应用程序。 创建一个简单的Predix Hello World网页...
sales-uaa-service
03-16
授权服务器 在Wiki段中找到与该项目相关的所有信息!!
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器.zip
09-18
uaa, CloudFoundry用户帐户和身份验证( UAA ) 服务器 用户帐户和认证( UAA ) 服务器 UAA是一个多租户身份管理服务,用于 Cloud Foundry,但也可以作为独立的OAuth2服务器使用。 它的主要角色是of提供商,它为客户端应用程序发出代表云工厂用户时使用的令牌。 它还
微软通用音频架构(UAA)总线驱动(33867)
10-29
微软通用音频架构(UAA)总线驱动(33867)
mysql 间接引用_微服务之间安全调用 by UAA
weixin_39664585的博客
02-18 183
本文通过代码实例演示如何通过UAA实现微服务之间的安全调用。uaa: 身份认证服务,同时也作为被调用的资源服务。服务端口9999。microservice1: 调用uaa的消费者服务,服务端口8081。1 准备工作1.1 工程目录--| appstack|-- uaa|-- microservice11.2 启动相关组件为了简单起见,这里都使用容器启动相关组件,需要2个镜像,最好提前下载好。jhi...
SpringCloud(9)使用Spring Cloud OAuth2保护微服务系统
weixin_34343308的博客
01-15 301
一、简介 OAth2是一个标准的授权协议。 在认证与授权的过程中,主要包含以下3种角色。 服务提供方 Authorization Server。 资源持有者 Resource Server。 客户端 Client。 OAuth2的认证流程如图所示,具体如下。 (1)用户(资源持有者)打开客户端 ,客户端询问用户授权。 (2)用户同意授权。 (3)客户端向授权服务器申请授权。 (4)授权服务器...
UAA服务简介
Leon_Jinhai_Sun的博客
12-21 5181
UAA服务是P2P平台中的统一认证中心,集认证和授权功能于一身,采用Spring Security整合OAuth2.0实现授权服务器(认证服务器)角色,同时使用JWT令牌技术来存储和传递用户信息。UAA服务中的Spring Security相关配置和代码最为基础设施直接提供给大家,不再讲解。我们重点关注以下两个功能: ​ (1)UAA服务给接入方提供了用户认证并返回令牌的接口。 ​ (2)UAA服务在认证过程中,它需要调用统一账号服务来完成c端以及b端用户的实际验证。 ​ 其中第(1)点,Spring
微服务架构实战学习笔记 第九章 Spring Cloud Security与服务安全
kyh1003381120的博客
07-16 453
准备
UAA是什么 UAA驱动 微软UAA补丁
weixin_34375054的博客
07-05 1793
什么是UAA Microsoft UAA总线驱动 Microsoft Universal Audio Architecture高清晰音频(HD Audio)驱动程序是微软对以Intel为首推广的新一代AC97音频标准HD Audio总线的系统级支持驱动,也是Microsoft Windows首次发布的通用音频架构(UAA)高清晰度音频类驱动程序 什么时候需要UAA 1.如果你发现自己的电...
获得UAA access token
PredixCN的博客
04-17 2324
作者:唐翊国,开发者生态资深经理,GE数字集团 23年工作经验,长期在杜邦、欧文斯科宁、庄信万丰等从事制造业信息化工作,规划、实施了大量MES、SAP ERP、LIMS、BPM等项目,积累了丰富的制造业数字化转型经验。   如果您还没有Predix试用帐号,请访问 https://supportcentral.ge.com/esurvey/GE_survey/takeSurvey.html
SpringCloud OAuth2微服务集成与版本管理详解
本文档主要探讨了Spring Boot、Spring CloudSpring Security和Spring OAuth2在微服务架构中的集成实践,以及对版本管理的重视。作者强调了不同版本的这些技术库在实现上的差异性,指出版本选择对授权流程的兼容性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值