开发者学堂课程【Spring Cloud 微服务架构设计与开发实战 :Spring Cloud 微服务的身份验证与安全机制】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/60/detail/1092
Spring Cloud 微服务的身份验证与安全机制
内容介绍:
一、面试题 :ZuulFilter 过滤器
二、Zuul 核心模块
三、微服务身份验证
四、Spring Cloud 微服务安全
五、实战演示
一、面试题: ZuulFilter 过滤器
1. Zuul 自定义过滤器处理请求
2. filterType: zuul 中定义了四种不同生命周期的过滤器类型
(1)pre:可以在请求被路由之前调用
(2)routing:在路由请求时候被调用
(3)post:在 routing 和 error 过滤器之后被调用
(4)error:处理请求时发生错误时被调用
3. filterOrder: 通过 int 值来定义过滤器的执行顺序,越小优先级越高
4. shouldFilter:返回一个 boolean 类型来判断是否要执行
5. run:过滤器的具体逻辑。
6. ctx.setSendZuulResponse(false)令 zuul 不对其进行路由,
7. ctx.setResponseStatusCode(401)设置了其返回的错误码
8. ctx.setResponseBody(body)对返回 body 内容进行编辑等
二、Zuul 核心模块
三、微服务身份验证
1、/authentication访问这个地址验证
2、验证用户名密码,生成 Token,返回
3、后续客户端调用 Zuul,拦截器拦截 Token
4、比对,时间周期2小时,Token Server
5、过滤器 Filter,拦截请求
四、Spring Cloud 微服务安全
1.微服务架构的安全问题非常重要
2.无论是 API 接口还是注册中心都不能泄露数据
3.客户端必须通过身份验证才可以调用服务
4.Spring Cloud Security 框架提供了多种支持
5.常见的安全策略:
Basic 身份验证
Token 令牌的 SSO 单点登录
OAuth2
五、实战演示
之前的代理服务未变,主要增加了一个 jwtUtil.java,使用jwt这个标准库生成令牌,可以自定义时间或者 ip 地址等等。
定义的过滤器中,其中一个为登录过滤器 LoginFilter.java,用来用户请求地址发送所要登陆的 /account/login。
分析代码:先做了一个登录请求的判断
if (request.getRequestURI( ).indexOf("/account/login" ) >= 0)
System.out.println( " LoginFilter拦截登录URL" );
return true;
}
return false;
提取用户密码然后校验用户密码,访问 Redis 或者数据库校验,如果正确然后生成令牌
在生成令牌的代码中设置了一个为了限制客户端的有效性,生成了一个IP的地址,记住当时请求令牌的 IP 地址生成的令牌包括时间等等一系列措施
生成的令牌之后返给客户端
ctx.addZuulResponseHeader( "token", token);
客户端拿到令牌后就可以请求后台服务,之后进行令牌校验逻辑,拿到令牌比对
现在使用令牌的代码进行测试,先来运行
如图显示已经成功
现在在之前的访问页面来刷新,看是否还能调用该微服务
结果返回一个错误信息,显示未授权访问,JWT 无效令牌。
不能直接调,因为没有验证通过,现在将地址拷贝放在 SoapUI 中调
点击 REST,粘贴后点击 OK
理论上不带任何参数
这时看到发送了一个请求,也可以点击 JSON 进行校验,会发现出现一行黄色字体也是提示无效令牌,那如何让令牌有效呢?
先来请求个令牌登陆一下,点击 REST,将访问地址输为http://localhost:10000/account/login
直接访问肯定不行,因为没有带用户密码,点击 JSon 进行校验还是出现黄色提示
先来看后台
发现用户名和密码都为空,不为空的时候才可以比对。
在 SoapUI 中传两个参数,在 request 中增加 username 和 password,value 为java 和1234.再来发送一次请求,正常情况下 SoapUI 中应该返回一个 token,复制该串数值
之后在不能调用的 request1 中增加 token,value 为刚才复制的 token值,将style 放在 HEADER,再来调用,显示返回值为 Hello Spring Cloud 2,再来调一次,结果变为3.
当携带一个有效的令牌值时,当登陆成功后,有个生成的有效令牌在默认两个小时内
以上通过令牌方式成功的实现了一个令牌客户端的登录、令牌的校验,并且使用的是 pre 类型过滤器在请求处理之前就开始拦截,进行身份校验。
思考:如何保护令牌?增加的IP地址其实不够安全,还有没有其他方式保护令牌?
