微服务和 Spring Security OAuth2

Posted 2023-02-27

【中文标题】微服务和 Spring Security OAuth2

【英文标题】：Microservices and Spring Security OAuth2

【发布时间】：2014-12-27 11:34:21

【问题描述】：

我已经在另一个项目中运行了 OAuth2 授权服务器。现在我需要使用 OAuth2 保护几个简单的 spring-boot 休息服务器。但我发现 Spring documentation 在分离授权和资源服务器方面确实非常有限。

我还发现了几个问题，the answer 一直是“只要它们共享相同的 tokenStore 数据源，它们就可以是不同的盒子”。这真的是真的吗？这怎么可能适用于微服务？每个 REST 服务都需要实现自己的 OAuth 授权服务器，这似乎是一件非常奇怪的事情。

那么，如何为引用远程 oauth 授权服务器（甚至可能不是用 Spring 编写）的 spring-boot rest-endpoints 设置 Oauth2.0 安全性？

有一个叫做RemoteTokenServices 的东西看起来很有希望，但它根本没有真正记录在案。

【参考方案1】：

RemoteTokenService 的工作示例可以在 here 找到。

更多关于check_tokenapi的详细信息，可以参考org.springframework.security.oauth2.provider.endpoint.CheckTokenEndpoint.java

在资源服务器端，OAuth2AuthenticationProcessingFilter 通过调用 OAuth2AuthenticationManager.authenticate() 方法验证 OAuth2 令牌，该方法调用 RemoteTokenServices.loadAuthentication() 以验证来自 Auth 服务器的令牌。

【参考方案2】：

在配置您的 auh 服务器时::

在ClientDetailsServiceConfigurer 中为资源服务器创建一个新的clientDetails。将用于配置RemoteTokenService。

在资源服务器中配置 Spring Security OAuth2：

创建一个使用@EnableWebSecurity、@Configuration 注释并扩展WebSecurityConfigurerAdapter 的类。

@Configuration
@EnableWebSecurity
protected static class ResourceConfiguration extends WebSecurityConfigurerAdapter 
  // methods        

创建一个带有@Bean 注解的方法，该方法将返回TokenService 的实例，该实例将用于创建AuthenticationManager。

在这个方法中创建一个RemoteTokenService的实例并设置clientId、client_secret、checkTokenEndpointUrl和DefaultAccessTokenConverterWithClientRoles（这个类是我们在验证accessToken时获取client_authority的实现在 OAuth2 服务器中。）

@Bean
public ResourceServerTokenServices tokenService() 
    RemoteTokenServices tokenServices = new RemoteTokenServices();
    tokenServices.setClientId("resource_id");
    tokenServices.setClientSecret("resource_secret");
    tokenServices.setCheckTokenEndpointUrl("http://<server-url>: <port>/oauth/check_token");
    return tokenServices;

覆盖authenticationManagerBean() 方法并使用@Bean 对其进行注释，并返回一个OAuth2AuthenticationManager 的实例并注入TokenService。

@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception 
    OAuth2AuthenticationManager authenticationManager = new OAuth2AuthenticationManager();
    authenticationManager.setTokenServices(tokenService());
    return authenticationManager;

创建一个用@EnableResourceServer、@Configuration注解的类并扩展ResourceServerConfigurerAdapter。

@Configuration
@EnableResourceServer
protected static class ResourceServerConfig extends ResourceServerConfigurerAdapter 
  // Mehotds

覆盖超类的配置方法来配置资源服务器。 不同的配置器来配置资源服务器。

ResourceServerSecurityConfigurer：配置Resource_id。

HttpSecurity：这将配置安全过滤器，告诉它用户需要对受保护的 URL (API) 进行身份验证。

@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception 
    resources.resourceId("resource_id");


@Override
public void configure(HttpSecurity http) throws Exception 
    // @formatter:off
    http
     .authorizeRequests()
     .antMatchers("/**").authenticated()
     .and()
     .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    // @formatter:on

.antMatcher("/**").authenticated() 这一行将保护资源服务器的每个 api url。 .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 不会创建会话。

PS:: 如果有什么不对的，请告诉我。

【讨论】：

此设置是否在真实应用中测试过？其中大部分看起来与我在项目中所做的相同。但是，我在无状态配置方面遇到了麻烦。登录和授权页面之间丢失了一些东西。我认为 OAuth2 实现不支持无状态设置，因为 RequestCache 接口的唯一实现需要一个 http 会话来存储请求信息（HttpSessionRequestCache）。无状态策略会将此请求数据存储回响应中（可能在 cookie 中），因此任何其他副本都可以继续授权

【参考方案3】：

如果资源服务器有某种方法可以验证访问令牌是否真实（由授权服务器颁发）以及某种解码方法（可能需要例如，了解它授予的范围）。 OAuth2 规范没有说明如何实现这一点。

如果资源与授权服务器在同一个进程中，那么共享数据是一个简单的选择。否则，它需要某种方式来翻译令牌。如果令牌只是一个不透明的随机字节串，那么显然它必须用它来交换真实的信息。这就是RemoteTokenServices 所做的。授权服务器公开一个/check_token 端点以允许对令牌进行解码。

另一种方法是对令牌中的信息进行实际编码，并让授权服务器对其进行数字签名。然后资源服务器可以解码和验证令牌本身，只要它理解格式。

我建议您查看 Cloudfoundry UAA，它提供了一个开箱即用的授权服务器，该服务器使用签名的 JWT 令牌实现（它还公开了 /check_token 端点）。 Tokens overview 和 API docs 可能是一个很好的起点。

【讨论】：

tokenServices.setCheckTokenEndpointUrl("http://<server-url>: <port>/oauth/check_token"); 有没有办法避免硬编码的网址？我想直接调用任何一个身份验证服务器实例（从注册表服务器获取运行时 url）或从 redis 检查令牌。 （在 auth 中使用 redis 令牌存储）这有可能吗？