SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
云原生网关 MSE Higress,422元/月
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: 导读:上篇文章我们已经抽取出了单独的认证服务,本章主要内容是让SpringCloud Gateway 集成Oauth2。

概念部分


1.png


在网关集成Oauth2.0后,我们的流程架构如上。主要逻辑如下:


1、客户端应用通过api网关请求认证服务器获取access_token http://localhost:8090/auth-service/oauth/token


2、认证服务器返回access_token


{
"access_token": "f938d0c1-9633-460d-acdd-f0693a6b5f4c",
"token_type": "bearer",
"refresh_token": "4baea735-3c0d-4dfd-b826-91c6772a0962",
"expires_in": 43199,
"scope": "web"}


3、客户端携带access_token通过API网关访问后端服务

2.png


4、API网关收到access_token后通过 AuthenticationWebFilter 对access_token认证


5、API网关转发后端请求,后端服务请求Oauth2认证服务器获取当前用户


在前面文章中我们搭建好了单独的Oauth2认证授权服务,基本功能框架都实现了,这次主要是来实现第四条,SpringCloud 整合 Oauth2 后如何进行access_token过滤校验。


代码示例

引入组件


<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-oauth2-resource-server</artifactId></dependency><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-jdbc</artifactId></dependency><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency>


主要引入跟oauth2相关的jar包,这里还需要引入数据库相关的jar包,因为我们的token是存在数据库中,要想在网关层校验token的有效性必须先从数据库取出token。


bootstrap.yml 配置修改


spring:
application:
name: cloud-gatewaydatasource:
type: com.zaxxer.hikari.HikariDataSourceurl: jdbc:mysql://xx.0.xx.xx:3306/oauth2_config?characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=falseusername: xxxxxpassword: xxxxxxxdriver-class-name: com.mysql.jdbc.Driver


主要配置oauth2的数据库连接地址


自定义认证接口管理类


在webFlux环境下通过实现 ReactiveAuthenticationManager 接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫ReactiveJdbcAuthenticationManager


@Slf4jpublicclassReactiveJdbcAuthenticationManagerimplementsReactiveAuthenticationManager {
privateTokenStoretokenStore;
publicJdbcAuthenticationManager(TokenStoretokenStore){
this.tokenStore=tokenStore;
    }
@OverridepublicMono<Authentication>authenticate(Authenticationauthentication) {
returnMono.justOrEmpty(authentication)
                .filter(a->ainstanceofBearerTokenAuthenticationToken)
                .cast(BearerTokenAuthenticationToken.class)
                .map(BearerTokenAuthenticationToken::getToken)
                .flatMap((accessToken->{
log.info("accessToken is :{}",accessToken);
OAuth2AccessTokenoAuth2AccessToken=this.tokenStore.readAccessToken(accessToken);
//根据access_token从数据库获取不到OAuth2AccessTokenif(oAuth2AccessToken==null){
returnMono.error(newInvalidTokenException("invalid access token,please check"));
                    }elseif(oAuth2AccessToken.isExpired()){
returnMono.error(newInvalidTokenException("access token has expired,please reacquire token"));
                    }
OAuth2AuthenticationoAuth2Authentication=this.tokenStore.readAuthentication(accessToken);
if(oAuth2Authentication==null){
returnMono.error(newInvalidTokenException("Access Token 无效!"));
                    }else {
returnMono.just(oAuth2Authentication);
                    }
                })).cast(Authentication.class);
    }
}


网关层的安全配置


@ConfigurationpublicclassSecurityConfig {
privatestaticfinalStringMAX_AGE="18000L";
@AutowiredprivateDataSourcedataSource;
@AutowiredprivateAccessManageraccessManager;
/*** 跨域配置*/publicWebFiltercorsFilter() {
return (ServerWebExchangectx, WebFilterChainchain) -> {
ServerHttpRequestrequest=ctx.getRequest();
if (CorsUtils.isCorsRequest(request)) {
HttpHeadersrequestHeaders=request.getHeaders();
ServerHttpResponseresponse=ctx.getResponse();
HttpMethodrequestMethod=requestHeaders.getAccessControlRequestMethod();
HttpHeadersheaders=response.getHeaders();
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, requestHeaders.getOrigin());
headers.addAll(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS, requestHeaders.getAccessControlRequestHeaders());
if (requestMethod!=null) {
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_METHODS, requestMethod.name());
                }
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");
headers.add(HttpHeaders.ACCESS_CONTROL_EXPOSE_HEADERS, "*");
headers.add(HttpHeaders.ACCESS_CONTROL_MAX_AGE, MAX_AGE);
if (request.getMethod() ==HttpMethod.OPTIONS) {
response.setStatusCode(HttpStatus.OK);
returnMono.empty();
                }
            }
returnchain.filter(ctx);
        };
    }
@BeanSecurityWebFilterChainwebFluxSecurityFilterChain(ServerHttpSecurityhttp) throwsException{
//token管理器ReactiveAuthenticationManagertokenAuthenticationManager=newReactiveJdbcAuthenticationManager(newJdbcTokenStore(dataSource));
//认证过滤器AuthenticationWebFilterauthenticationWebFilter=newAuthenticationWebFilter(tokenAuthenticationManager);
authenticationWebFilter.setServerAuthenticationConverter(newServerBearerTokenAuthenticationConverter());
http                .httpBasic().disable()
                .csrf().disable()
                .authorizeExchange()
                .pathMatchers(HttpMethod.OPTIONS).permitAll()
                .anyExchange().access(accessManager)
                .and()
// 跨域过滤器                .addFilterAt(corsFilter(), SecurityWebFiltersOrder.CORS)
//oauth2认证过滤器                .addFilterAt(authenticationWebFilter, SecurityWebFiltersOrder.AUTHENTICATION);
returnhttp.build();
    }
}


这个类是SpringCloug Gateway 与 Oauth2整合的关键,通过构建认证过滤器 AuthenticationWebFilter 完成Oauth2.0的token校验。


AuthenticationWebFilter 通过我们自定义的 ReactiveJdbcAuthenticationManager 完成token校验。

我们在这里还加入了CORS过滤器,以及权限管理器 AccessManager


权限管理器


@Slf4j@ComponentpublicclassAccessManagerimplementsReactiveAuthorizationManager<AuthorizationContext> {
privateSet<String>permitAll=newConcurrentHashSet<>();
privatestaticfinalAntPathMatcherantPathMatcher=newAntPathMatcher();
publicAccessManager (){
permitAll.add("/");
permitAll.add("/error");
permitAll.add("/favicon.ico");
permitAll.add("/**/v2/api-docs/**");
permitAll.add("/**/swagger-resources/**");
permitAll.add("/webjars/**");
permitAll.add("/doc.html");
permitAll.add("/swagger-ui.html");
permitAll.add("/**/oauth/**");
permitAll.add("/**/current/get");
    }
/*** 实现权限验证判断*/@OverridepublicMono<AuthorizationDecision>check(Mono<Authentication>authenticationMono, AuthorizationContextauthorizationContext) {
ServerWebExchangeexchange=authorizationContext.getExchange();
//请求资源StringrequestPath=exchange.getRequest().getURI().getPath();
// 是否直接放行if (permitAll(requestPath)) {
returnMono.just(newAuthorizationDecision(true));
        }
returnauthenticationMono.map(auth-> {
returnnewAuthorizationDecision(checkAuthorities(exchange, auth, requestPath));
        }).defaultIfEmpty(newAuthorizationDecision(false));
    }
/*** 校验是否属于静态资源* @param requestPath 请求路径* @return*/privatebooleanpermitAll(StringrequestPath) {
returnpermitAll.stream()
                .filter(r->antPathMatcher.match(r, requestPath)).findFirst().isPresent();
    }
//权限校验privatebooleancheckAuthorities(ServerWebExchangeexchange, Authenticationauth, StringrequestPath) {
if(authinstanceofOAuth2Authentication){
OAuth2Authenticationathentication= (OAuth2Authentication) auth;
StringclientId=athentication.getOAuth2Request().getClientId();
log.info("clientId is {}",clientId);
        }
Objectprincipal=auth.getPrincipal();
log.info("用户信息:{}",principal.toString());
returntrue;
    }
}


主要是过滤掉静态资源,将来一些接口权限校验也可以放在这里。


测试


  • 通过网关调用auth-service获取 access_token

3.png


  • 在Header上添加认证访问后端服务

4.png


  • 网关过滤器进行token校验


5.png


  • 权限管理器校验

6.png


  • 去认证服务器校验当前用户

7.png


  • 返回正常结果
  • 8.png


  • 故意写错access_token,返回错误响应

9.png


  • 请求头上去掉access_token,直接返回401 Unauthorized


10.png


总结


通过以上几步我们将SpringCloud Gateway整合好了Oauth2.0,这样我们整个项目也基本完成了,后面几期再来对项目进行优化,欢迎持续关注。

目录
相关文章
|
14天前
|
JavaScript Java Kotlin
深入 Spring Cloud Gateway 过滤器
Spring Cloud Gateway 是新一代微服务网关框架,支持多种过滤器实现。本文详解了 `GlobalFilter`、`GatewayFilter` 和 `AbstractGatewayFilterFactory` 三种过滤器的实现方式及其应用场景,帮助开发者高效利用这些工具进行网关开发。
|
1月前
|
运维 NoSQL Java
后端架构演进:微服务架构的优缺点与实战案例分析
【10月更文挑战第28天】本文探讨了微服务架构与单体架构的优缺点,并通过实战案例分析了微服务架构在实际应用中的表现。微服务架构具有高内聚、低耦合、独立部署等优势,但也面临分布式系统的复杂性和较高的运维成本。通过某电商平台的实际案例,展示了微服务架构在提升系统性能和团队协作效率方面的显著效果,同时也指出了其带来的挑战。
82 4
|
21天前
|
负载均衡 Java API
项目中用的网关Gateway及SpringCloud
Spring Cloud Gateway 是一个功能强大、灵活易用的API网关解决方案。通过配置路由、过滤器、熔断器和限流等功能,可以有效地管理和保护微服务。本文详细介绍了Spring Cloud Gateway的基本概念、配置方法和实际应用,希望能帮助开发者更好地理解和使用这一工具。通过合理使用Spring Cloud Gateway,可以显著提升微服务架构的健壮性和可维护性。
28 0
|
3月前
|
Java 开发者 Spring
Spring Cloud Gateway 中,过滤器的分类有哪些?
Spring Cloud Gateway 中,过滤器的分类有哪些?
76 3
|
3月前
|
负载均衡 Java 网络架构
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
实现微服务网关:Zuul与Spring Cloud Gateway的比较分析
160 5
|
2月前
|
负载均衡 Java API
【Spring Cloud生态】Spring Cloud Gateway基本配置
【Spring Cloud生态】Spring Cloud Gateway基本配置
53 0
|
3月前
|
SpringCloudAlibaba API 开发者
新版-SpringCloud+SpringCloud Alibaba
新版-SpringCloud+SpringCloud Alibaba
|
12天前
|
Java Nacos Sentinel
Spring Cloud Alibaba:一站式微服务解决方案
Spring Cloud Alibaba(简称SCA) 是一个基于 Spring Cloud 构建的开源微服务框架,专为解决分布式系统中的服务治理、配置管理、服务发现、消息总线等问题而设计。
131 13
Spring Cloud Alibaba:一站式微服务解决方案
|
4月前
|
资源调度 Java 调度
Spring Cloud Alibaba 集成分布式定时任务调度功能
定时任务在企业应用中至关重要,常用于异步数据处理、自动化运维等场景。在单体应用中,利用Java的`java.util.Timer`或Spring的`@Scheduled`即可轻松实现。然而,进入微服务架构后,任务可能因多节点并发执行而重复。Spring Cloud Alibaba为此发布了Scheduling模块,提供轻量级、高可用的分布式定时任务解决方案,支持防重复执行、分片运行等功能,并可通过`spring-cloud-starter-alibaba-schedulerx`快速集成。用户可选择基于阿里云SchedulerX托管服务或采用本地开源方案(如ShedLock)
143 1
|
2月前
|
JSON SpringCloudAlibaba Java
Springcloud Alibaba + jdk17+nacos 项目实践
本文基于 `Springcloud Alibaba + JDK17 + Nacos2.x` 介绍了一个微服务项目的搭建过程,包括项目依赖、配置文件、开发实践中的新特性(如文本块、NPE增强、模式匹配)以及常见的问题和解决方案。通过本文,读者可以了解如何高效地搭建和开发微服务项目,并解决一些常见的开发难题。项目代码已上传至 Gitee,欢迎交流学习。
175 1
Springcloud Alibaba + jdk17+nacos 项目实践