十二.SpringCloud+Security+Oauth2实现微服务授权 - 资源服务器配置

简介: SpringCloud+Security+Oauth2实现微服务授权 - 资源服务器配置

1.概述Oauth2资源服务配置

资源服务器也需要导入oauth2的依赖

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

当客户端(web端,mobile移动端)带着Token向资源服务器发起请求获取资源,资源服务器需要对请求中的Token进行校验以及对资源进行授权,如果Token校验和授权都通过即可返回相应的数据给客户端,那么,资源服务器配什么?

Oauth2提供的资源服务配置类为ResourceServerConfigurerAdapter ,它实现与ResourceServerConfigurer 接口,提供了两个configure方法,源码如下:

**
 * @author Dave Syer
 *
 */
public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {
   
   
   @Override
   public void configure(ResourceServerSecurityConfigurer resources)
 throws Exception {
   
    }

   @Override
   public void configure(HttpSecurity http) throws Exception {
   
   
      http.authorizeRequests().anyRequest().authenticated();
   }
}

注意上面是源码,别乱拷贝,解释一下:

  • ResourceServerSecurityConfigurer : 第一个configure方法的参数,它是资源服务安全配置,比如Token该如何校验就是通过它来配置的
  • HttpSecurity :第二个configure方法的参数,用作WEB安全配置,在学习Security基础的时候我们就接触过他

    2.资源服务器配置实战

    改造 “security-resource-server” ,增加资源服务器器配置类

    //资源服务配置
    @Configuration
    @EnableResourceServer   //开启资源服务配置
    public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
         
         
    
      //配置资源id ,对应oauth_client_details表中配置的resourceIds
      //一个资源ID可以对应一个资源服务器,如果Token中不包含该资源ID就无法访问该资源服务器
      public static final String RESOURCE_ID = "res1";
    
      @Bean
      public TokenStore tokenStore(){
         
         
          //return new InMemoryTokenStore();
          return new JwtTokenStore(jwtAccessTokenConverter());
      }
      //JWT令牌校验工具
      @Bean
      public JwtAccessTokenConverter jwtAccessTokenConverter(){
         
         
          JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
          //设置JWT签名密钥。它可以是简单的MAC密钥,也可以是RSA密钥
          jwtAccessTokenConverter.setSigningKey("123");
          return jwtAccessTokenConverter;
      }
      //资源服务器安全性配置
      @Override
      public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
         
         
          //资源ID,请求中的Token必须有用该资源ID的访问权限才可以访问该资源服务器
          resources.resourceId(RESOURCE_ID);
          //指定TokenStore,使用JWT校验
          resources.tokenStore(tokenStore());
          //无状态
          resources.stateless(true);
          //验证令牌的服务,令牌验证通过才允许获取资源,使用远程校验
          //resources.tokenServices(resourceServerTokenServices());
      }
    
      //资源服务令牌验证服务,通过远程校验令牌
      /**
      @Bean
      public ResourceServerTokenServices resourceServerTokenServices(){
          //使用远程服务请求授权服务器校验token , 即:资源服务和授权服务器不在一个主机
          RemoteTokenServices services = new RemoteTokenServices();
          //授权服务地址 , 当浏览器访问某个资源时就会调用该远程授权服务地址去校验token
          //要求请求中必须携带token
          services.setCheckTokenEndpointUrl("http://localhost:3000/oauth/check_token");
          //客户端id,对应认证服务的客户端详情配置oauth_client_details表中的clientId
          services.setClientId("webapp");
          //密钥,对应认证服务的客户端详情配置的秘钥
          services.setClientSecret("secret");
          return services;
      }
      */
      //SpringSecurity的相关配置
      @Override
      public void configure(HttpSecurity http) throws Exception {
         
         
          http.authorizeRequests()
                  //校验scope必须为all , 对应认证服务的客户端详情配置的clientId
                  .antMatchers("/**").access("#oauth2.hasScope('all')")
                  //关闭跨域伪造检查
                  .and().csrf().disable()
                  //把session设置为无状态,意思是使用了token,那么session不再做数据的记录
                  .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
      }
    }
    
  • resources.tokenStore(tokenStore()) :这是在配置Token的校验方式,使用的是JwtTokenStore,JWT自校验的方式,当然这里也可以使用resources.tokenServices指定一个RemoteTokenServices 远程校验方案,这种方案的流程是当请求到达资源服务器,资源服务会带着请求中的token,向认证服务器发起远程校验(/oauth/check_token) ,可想而知性能不怎么好。

  • resources.resourceId(RESOURCE_ID):这个是配置资源服务器ID,意思是访问这个资源服务器的请求中的Token必须包含这个资源ID的访问权限

  • .antMatchers("/**").access("#oauth2.hasScope('all')"):意思是Token必须拥有all的授权访问才可以访问到资源服务器

注意:这里在配置类上开启了@EnableGlobalMethodSecurity(prePostEnabled = true),因为我这里需要使用方法授权的方式指明我们的controller方法需要什么样的权限才能访问,当然也可以使用web授权的方式(回顾web授权和方法授权)

3.编写controller

controller就是具体的资源了,我们的方法使用了注解授权

@RestController
public class ResourceController {
   
   

    @RequestMapping("/employee/list")
    //这是一个测试方法,如果资源服务器对token校验通过就能够访问该资源
    @PreAuthorize("hasAnyAuthority('employee:list')")
    public String list(){
   
   
        return "您的token验证通过,已经访问到真正的资源 employee:list";
    }

    @RequestMapping("/employee/add")
    //这是一个测试方法,如果资源服务器对token校验通过就能够访问该资源
    @PreAuthorize("hasAnyAuthority('employee:add')")
    public String add(){
   
   
        return "您的token验证通过,已经访问到真正的资源 employee:add";
    }
}

该Controller作为测试返回数据,当客户端请求“oauth-resource”过来,如果Token校验成功,将会看到"您的token验证通过,已经访问到真正的资源"

注意:需要在资源服务配置类“ResourceServerConfig ”开启全局方法授权:@EnableGlobalMethodSecurity(prePostEnabled = true)

4.测试

再走一遍获取token的流程,然后带着Token访问资源服务器,请求头携带:Authorization=Bearer token值 ,如下:
image.png

这里我们已经成功的访问到真正的资源 , 请求资源之前,资源服务器会发送远程请求到授权服务器验证token的合法性,并且根据当前token获取权限列表,然后在进行授权,如果权限列表拥有资源(controller的方法)所需要的权限,即可访问成功 。

如果Token是无效的会出现如下信息:
image.png

如果Token中的权限不包含资源所需要的权限会出现如下信息:
image.png

5.总结资源服务器配置

资源服务器的配置不是很多,主要是配置如下内容:

  1. 通过HttpSecurity配置 #oauth2.hasScope('all') 资源服务器的授权范围
  2. 通过ResourceServerSecurityConfigurer 配置资源服务器的ResourceID
  3. 通过ResourceServerSecurityConfigurer 配置资源服务器如何校验Token,这里使用的是RemoteTokenServices 远程校验方式

那么资源服务器的执行流程是怎么样的呢?

  1. 我们请求头中带着Token向资源服务器发送请求
  2. 资源服务器收到请求,得到Token后通过jwtAccessTokenConverter转换器进行Token的转换得到Token中的认证授权信息
  3. 然后资源服务器会校验认证信息中是否拥有资源服务器配置的授权范围(Scope),资源ID(ResourceID),如果都验证通过资源服务器还会校验权限列表是否包含当前访问的资源(controller)说需要的权限
  4. 如果授权范围(Scope),资源ID(ResourceID),方法授权都校验通过就执行相关的方法返回资源

最后再配一张认证服务到资源服务器的完整流程图吧:

image.png

相关文章
|
10月前
|
JSON Java Nacos
SpringCloud 应用 Nacos 配置中心注解
在 Spring Cloud 应用中可以非常低成本地集成 Nacos 实现配置动态刷新,在应用程序代码中通过 Spring 官方的注解 @Value 和 @ConfigurationProperties,引用 Spring enviroment 上下文中的属性值,这种用法的最大优点是无代码层面侵入性,但也存在诸多限制,为了解决问题,提升应用接入 Nacos 配置中心的易用性,Spring Cloud Alibaba 发布一套全新的 Nacos 配置中心的注解。
901 147
|
8月前
|
Cloud Native Java Nacos
springcloud/springboot集成NACOS 做注册和配置中心以及nacos源码分析
通过本文,我们详细介绍了如何在 Spring Cloud 和 Spring Boot 中集成 Nacos 进行服务注册和配置管理,并对 Nacos 的源码进行了初步分析。Nacos 作为一个强大的服务注册和配置管理平台,为微服务架构提供
3019 14
|
NoSQL Java Nacos
SpringCloud集成Seata并使用Nacos做注册中心与配置中心
SpringCloud集成Seata并使用Nacos做注册中心与配置中心
814 3
|
负载均衡 应用服务中间件 持续交付
微服务架构下的Web服务器部署
【8月更文第28天】随着互联网应用的不断发展,传统的单体应用架构逐渐显露出其局限性,特别是在可扩展性和维护性方面。为了解决这些问题,微服务架构应运而生。微服务架构通过将应用程序分解成一系列小型、独立的服务来提高系统的灵活性和可维护性。本文将探讨如何在微服务架构中有效部署和管理Web服务器实例,并提供一些实际的代码示例。
516 0
|
Java 开发工具 git
实现基于Spring Cloud的配置中心
实现基于Spring Cloud的配置中心
|
负载均衡 Java Nacos
SpringCloud基础2——Nacos配置、Feign、Gateway
nacos配置管理、Feign远程调用、Gateway服务网关
SpringCloud基础2——Nacos配置、Feign、Gateway
|
运维 Cloud Native 云计算
云原生架构的演进:从微服务到无服务器计算
在数字化转型的浪潮中,云原生技术以其灵活性、可扩展性和成本效益性,成为推动现代软件开发和运维的关键力量。本文将探讨云原生概念的演变,特别是从微服务架构到无服务器计算的转变,揭示这一进化如何影响应用程序的开发、部署和管理。通过分析实际案例,我们旨在提供对云原生技术未来趋势的洞察,同时指出企业在这一转变过程中可能面临的挑战和机遇。
168 29
|
Java 微服务 Spring
Spring Cloud全解析:配置中心之解决configserver单点问题
但是如果该configserver挂掉了,那就无法获取最新的配置了,微服务就出现了configserver的单点问题,那么如何避免configserver单点呢?
186 1
|
12月前
|
负载均衡 Java API
【Spring Cloud生态】Spring Cloud Gateway基本配置
【Spring Cloud生态】Spring Cloud Gateway基本配置
835 0
|
运维 Cloud Native 开发者
云原生技术演进:从微服务到无服务器的旅程
【8月更文挑战第20天】在数字化时代的浪潮中,云原生技术如同一艘航船,承载着企业转型的梦想与挑战。本文将深入探讨云原生技术的发展路径,从微服务的兴起到无服务器架构的革新,揭示这一技术演进背后的逻辑与动力。通过分析云原生技术的优势、面临的挑战以及未来的发展趋势,我们将描绘出一幅云原生技术演进的宏伟蓝图。

热门文章

最新文章