关于gateway与oauth2的兼容问题处理

于 2024-07-24 10:30:50 发布
阅读量260 收藏 7
点赞数 3
分类专栏: oauth2 文章标签: gateway oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45149147/article/details/140654858
版权

文章目录

前言

令牌鉴权方案的选择上,比较流行的有spring security + 自定义的令牌(比如JWT令牌)、spring security+oauth2,假如使用了spring security + oauth2的方案,在使用上oauth2提供有ResourceServerTokenServices用于解决资源服务对令牌的权限的校验,当访问资源服务的时候,token令牌经过ResourceServerTokenServices的loadAuthentication方法完成验证。

但是当服务无需做非常细致的服务划分的时候,也就是将一个项目当做一个整体资源,这个时候就涉及到在网关校验即可,其他微服务无需二次校验。

问题

目前流行的网关方案是spring gateway(spring框架),但是gateway为了实现高效,底层使用Spring WebFlux,Spring WebFlux是Spring 5.0引入的新的响应式框架,区别于SpringMVC,它不需要依赖Servlet API,它是完全异步非阻塞的,所以引入oauth2-resource的时候会发现启动报错,配置需要基于servlet。

解决方案

手写RPC

手写http访问oauth2的check_token接口实现对token令牌的校验,实现起来比较简单,可以用在网关的过滤器上。下面举个例子

  WebClient webClient = WebClient.create("http://localhost:9900");
        webClient.post()
                .uri("/oauth/check_token?token=" + token.substring(7))
                .header("Authorization", basic)
                .exchange()
                .flatMap(response -> {
                    HttpStatus status = response.statusCode();
                    if (status.is2xxSuccessful()) {
                        return response.bodyToMono(Map.class);
                    } else {
                        return response.createException().flatMap(Mono::error);
                    }
                }).subscribe(responseBody -> {
            log.info("post请求响应数据:{}", responseBody);
            if (Objects.isNull(responseBody) || responseBody.isEmpty()) {
                return;
            }
        }, error -> {
            log.error("post请求发生异常:", error);
        });

采用spring feign调用

据说在高版本需要对feign调用进行改造完成响应式的feign,因为spring自身并没有提供解决方案,暂时不在考虑范围。目前基于jdk8的最高版本也就是2.7.18,并没有这困扰。

下面Mono是用于测试响应式的feign调用

@FeignClient(name = ServerNameConstant.AUTHORITY_CENTER, path = "/authorityCenter/auth", fallback = AuthRemoteFallback.class)
public interface AuthRemote {

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUser")
    ResponseVO<UserResDTO> getUser(@RequestBody GetUserReqDTO in);

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUserMono")
    Mono<ResponseVO<UserResDTO>> getUserMono(@RequestBody GetUserReqDTO in);

}

网关过滤器中调用

ResponseVO<UserResDTO> res = oauthRemote.getUser(new GetUserReqDTO(token));

采用JWT解析

JWT具有去中心化的特点,也就能实现无需访问oauth2的鉴权服务就能自行解析令牌,但是也会带来风险,就是秘钥泄露,所以这种方案不能用于安全性要求高的服务。

oauth2也针对JWT提供一个方案(假设不是用resource依赖包,等你升级到spring 3版本以后就能知道了,低版本还可以用spring cloud oauth2,高版本就必须用resource),这个方案考虑到秘钥安全,采用数字自签证书实现公钥的分发,就能很好的避免伪造令牌问题(除非私钥也泄密,那就另外采取一套措施保护私钥)。

给自己做减法
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
这套Spring Cloud Gateway+Oauth2终极权限解决方案升级了
Park33的博客
08-12 437
在微服务系统中实现权限功能时,我们不应该把重复的权限校验功能集成到每个独立的API服务中去,而应该在网关做统一处理,然后通过认证中心去统一认证,这样才是优雅微服务权限解决方案!...
SpringSecurity OAuth2.0 与微服务Gateway引发的“血案“ - 乱用全局异常处理引发的问题
yanghui555的专栏
07-18 1727
事情的由来 最近在研究SpringCloud微服务,同事给介绍了个开源作者搭建的基础框架。项目下载布置好本地开发环境后开始了研究与调试。我就不说是哪个开源框架了,都是基于Spring各种封装。一通胡乱封装完全变味了,有的还好意思收费,美其名曰"商业版"。 问题现象是这样的,按照常规操作Spring Security OAuth2.0 授权码模式被错误的封装导致基本报废。整个授权流程被错误的全局异常处理污染导致SpringSecurity 的认证异常处理过滤器无法正常执行。 先说正常的OAuth2.0授
Spring Cloud Gateway作为OAuth2 Client
罗小爬的技术宝书
06-22 2706
本文主要介绍了Spring Cloud Gateway作为OAuth2 Client的设计方案、适用场景以及集成过程中遇到的问题及解决方案,文末附有具体示例代码仓库地址。
springcloud整合Gateway+Oauth2 超级详解
weixin_45592424的博客
09-09 1249
对于springcloud 如何整合gateway网关和oauth2 实现鉴权和授权两大功能
OAuth2与spring gateway问题纠结
small_dog_的博客
03-25 1345
希望看到这篇文章的小伙伴可以解决你们在配置OAuth2的苦难一角 关键字: OAuth2 gateway javax.servlet.Filter 先上问题 最近在做一个微服务的项目,想法是这样的通过gateway多做一层验证 OAuth2给的jwttoken先在gateway进行解析 通过scope验证再发放给下面的资源服务。但是事与愿违,在整合OAuth2与spring gateway的时候发现 OAuth的@EnableResourceServer是不能用的 <dependency>
Spring Cloud Security:Oauth2使用
记录开发日常笔记
10-11 1899
OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。
SpringCloud+Spring Security+OAuth2 + JWT + Gateway讲解
lbjfish的博客
10-20 9462
项目简介 本登录系统是一个适应前后端分离并支持传统PC登录的全方位微服务登录架构 基于Spring Boot 2.2.8.、 Spring Cloud Hoxton.SR5 和 Spring Cloud Alibaba 2.2.1 深度定制Spring Security,基于RBAC(暂未实现)、jwt和oauth2的无状态统一权限认证的 单点登录、单点登出(暂未实现)、续签等功能(暂未实现) 提供C端多租户功能(暂未实现) 提供第三方被授权登录方式(openId方式) 提供供内部服务调用的OAuth2
Springboot整理之Oauth2(认证、授权)
lwd2307997664的博客
03-31 1869
Springboot整理之Oauth2(认证、授权) 文章目录Springboot整理之Oauth2(认证、授权)前言一、Oauth2简介二、Oauth2角色三、Oauth2授权流程三、OAuth2四种授权方式四、Oauth2密码模式实战1、依赖添加2、application.propertise添加配置3、配置授权服务器 前言 springboot版本:2.3.5.RELEASE; 开发工具:IDEA2019.1; JDK:1.8; MAVAN:apache-maven-3.5.4; 一、Oauth2简介
Spring Cloud(十一):Spring Cloud Security Oauth2
Men-DD
11-18 2870
OAuth2 登录流程分析 令牌token与密码password差异 授权码模式 简化隐式模式 密码模式 客户端模式 令牌的使用 更新令牌 Spring Security OAuth2 配置spring security 配置认证服务器 配置授权服务器 基于redis存储Token 基于db存储Token 单点登录 基于Oauth2跨域单点登录 Oauth2整合网关实现微服务单点登录 JWT (JSON Web Token) JWT组成 Spring Security Oauth2整合JWT
新浪微博 oauth2 模拟登录
06-03
OAuth2是一种授权框架,允许第三方应用代表用户与服务提供商进行交互,例如发布微博。在这个例子中,我们将使用Java的Apache HttpClient库来实现这个过程。 首先,我们需要导入必要的库,包括`java.io`、`java.net`...
004 springCloudAlibaba Gateway
05-01
6. **安全控制**:Gateway 可以集成OAuth2或其他认证框架,实现用户身份验证,确保只有合法用户才能访问系统资源。此外,还可以通过过滤器实现黑白名单、IP限制等安全策略。 7. **API版本管理**:通过Gateway,可以...
PyPI 官网下载 | wsgi_oauth2-0.2.0-py2.py3-none-any.whl
02-07
它可能包含了一系列类、函数和模块,帮助开发者轻松集成OAuth2认证到基于WSGI(Web Server Gateway Interface)的应用程序中。WSGI是Python Web应用的一个标准接口,允许应用与Web服务器进行通信。 在Python中,`py...
微服务的登录校验(gateway过滤器or拦截器实现)
12-21
2. **统一认证机制**:使用如OAuth2、JWT(JSON Web Tokens)等标准的认证机制,确保安全性和跨服务的兼容性。 3. **错误处理**:提供明确的错误响应,如401或403状态码,以便客户端理解和处理。 4. **测试**:充分...
api-gateway:api网关的示例代码
03-20
5. **日志与监控**:为了追踪和诊断问题,API网关会记录请求日志,并可能与监控工具集成,如Prometheus或ELK(Elasticsearch, Logstash, Kibana)堆栈。Spring Boot Actuator可以提供健康检查和指标暴露。 6. **...
Spring Cloud Gateway
最新发布
m0_75227031的博客
07-24 465
但是当前所有微服务的接⼝都是直接对外暴露的, 可以直接通过外部访问. 为了保证对外服务的安全性,服务端实现的微服务接⼝通常都带有⼀定的权限校验机制. 由于使⽤了微服务, 原本⼀个应⽤的的多个模块拆分成了多个应⽤, 我们不得不实现多次校验逻辑. 当这套逻辑需要修改时, 我们需要修改多个应⽤, 加重了开发⼈员的负担.引入:通过Eureka, Nacos解决了服务注册, 服务发现的问题, 使⽤Spring Cloud LoadBalance解决了负载均衡的问题, 使⽤OpenFeign解决了远程调⽤的问题.
Gateway源码分析:路由Route、断言Predicate、Filter
qq_44027353的博客
07-20 1139
又是一些异步调用,但我们从方法名就能看出来,这里根据我们yml配置文件中路由定义的断言去调用对应的断言对象。方法,在该方法中会找一个与WebHandler匹配的HandlerAdapter来适配WebHandler对象,最终去调用WebHandler的。方法中,先获取路由的局部Filter,在创建一个集合存放全局Filter,在把局部Filter和全局Filter放在一起。方法的作用就是就是遍历Gateway所有的HandlerMapper,我们这里肯定最终是使用的。
【第12章】Spring Cloud之集成 Spring Cloud Gateway
zjg
07-22 1173
Spring Cloud Gateway是一个基于Spring Framework 5、Spring Boot 2和Project Reactor等技术构建的API网关服务器,旨在为微服务架构提供简单且有效的路由管理方式和一系列网关功能。回到顶部通过整合Spring Cloud Gateway统一后端服务的入口,在网关层进行统一的安全认证,降低微服务系统的复杂性。
Springcloud之gateway的使用详解
tom有cat
07-21 898
详细的概述了gate的核心组件的配置,包括断言,过滤器
gateway oauth2
09-03
GatewayOAuth2的整合是通过构建认证过滤器AuthenticationWebFilter来完成Oauth2.0的token校验。 在这个整合中,一个企业可以开发一个独立的OAuth2认证与鉴权的微服务应用,负责身份认证后生成token,并验证token的合法性。 所有其他的应用(即微服务)的访问统一经过gateway进行转发,这个网关将每个请求转发到OAuth2服务器,由OAuth2服务器负责生成或验证token的合法性。 访问获取token的URL通常是"http://localhost:8081/oauth/token",并且需要提供grant_type、client_id、client_secret、username和password等参数进行认证授权。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [SpringCloud Gateway 集成 oauth2 实现统一认证授权_03](https://blog.csdn.net/weixin_40816738/article/details/119778876)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [大话微服务:Spring Cloud gateway+OAuth2 精僻总结](https://blog.csdn.net/zhongzk69/article/details/107680475)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值