Spring Cloud微服务安全实战_6-3_jwt认证之网关和服务改造

Posted 我俩绝配

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Cloud微服务安全实战_6-3_jwt认证之网关和服务改造相关的知识,希望对你有一定的参考价值。

上一节在认证服务器里,将token 由uuid改造成了JWT,之前在网关上拿到令牌access_token后,需要去认证服务器校验令牌,将令牌信息转换为用户信息。

现在有了jwt后,由于jwt是自包含的,已经包含了用户的身份信息,所以在网关上不需要去认证服务器验令牌了。

 

 

之前在网关上所做的这些去认证服务器验令牌信息,转换为用户信息,去认证服务器做权限的判断,这些其实SpringSecurity-OAuth都已经实现好了的。之前之所以手写是为了理解SpringSecurity-OAuth内部的实现。

1,删掉网关上filter包里的过滤器

 

 

 

2,在网关项目里加上依赖

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

3,配置获取jwt验签的key的uri
认证服务器生成Jwt的时候,是进行了签名的,有一个签名的key;解析Jwt,需要验签,也需要这个key值,所以需要告诉网关,去哪里获取这个签名的key。
在网关的配置文件里配置: (这个uri具体在org.springframework.security.oauth2.provider.endpoint.TokenKeyEndpoint里处理)
资源服务器启动的时候,就会去认证服务器拿这个key,所以启动网关前必须要保证认证服务器是启动的。
security:
oauth2:
resource:
jwt:
key-uri: http://auth.nb.com:9090/oauth/token_key #获取解析jwt,验签名key的路径
client:
client-id: gateway #获取验签key需要身份认证,这里是网关的clientId
client-secret: 123456 #获取验签key需要身份认证,这里是网关的secret

4,网关作为一个资源服务器,配置其安全配置

/**
 * 作为一个资源服务器存在
 */
@Configuration
@EnableResourceServer
public class GatewaySecurityConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/token/**").permitAll() //放过/token开头的请求,是在申请令牌
            .anyRequest().authenticated();
    }
}
5,各个微服务的改造
  
之前各个微服务需要用到用户信息的时候,在网关上,网关从认证服务器解析令牌,获取到用户信息后,是将用户名以明文的方式放在了请求头里,各个微服务从请求头里获取到明文的username参数,这样是有安全问题的。
  此时,各个微服务也需要解析jwt,获取用户信息。所以各个微服务就需要跟网关一样,解析jwt,所以也需要从认证服务器获取验签的key,故需要做和网关一样的配置。
  在订单微服务,引入 SpringSecurity-OAuth依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

 订单微服务也作为资源服务器存在,所以需要给订单微服务打上资源服务器的标记    @EnableResourceServer

 

 

 

在订单微服务,获取用户信息 也要用注解 @AuthenticationPrincipal String username 。
实验:

1,先启动 认证服务器,因为各个微服务启动的时候就会去认证服务器拿jwt验签的key。
2.启动网关。
发现报如下异常 Caused by: org.springframework.web.client.HttpClientErrorException$NotFound: 404 null

 

这个异常的意思是,在拿jwt验签key的时候,找不到该服务,为什么呢?在认证服务器上,配置jwt tokenStore的时候,需要做一下特殊处理:
需要将
JwtAccessTokenConverter 暴露为Spring的Bean,而且必须为public的。

 


 

再次重启认证服务器,重启网关,正常启动。

postman调用网关,获取令牌 http://localhost:9070/token/oauth/token

客户端信息表

 

 

 

 

 通过网关,拿access_token去订单服务创建订单  http://localhost:9070/order/orders

 

 

 处理办法:

1,在oauth_client_details表里的orderApp应用的resource_ids 字段里,配置上网关的resourceId,前提是网关代码里也配置了resourceId。这样安全性更高,只是需要维护这些资源服务器id。

     

调用成功

 

 

 

 

 2,如果对安全性要求不高,可以把oauth_client_details表里 orderApp的resource_ids 字段设置为空,这样给orderApp客户端发出的jwt就可以访问任何的微服务了。

 在微服务之间传递jwt令牌信息

比如订单微服务调用了加个微服务,那么订单微服务怎么把用户信息传递给价格微服务呢?之前的做法是,将用户信息放在请求头里,进行传递。

其实SpringSecurity-OAuth已经替你把这些事情做好了。可以在微服务之间传递jwt令牌,传过去的jwt会被解析为用户信息。

下面改造订单微服务和价格微服务,在他们之间传递用户信息。

价格微服务也作为资源服务器存在

@SpringBootApplication
@EnableResourceServer//作为资源服务器
public class NbPriceApiApplication {

    public static void main(String[] args) {
        SpringApplication.run(NbPriceApiApplication.class, args);
        System.err.println("============= Price Api 启动完成 ============");
    }

}

价格微服务也加入SpringCloud和SpringSecurity-OAuth的依赖

<dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
dependencyManagement里:
<!--spring cloud-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Greenwich.SR2</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>

价格微服务获取用户信息 :   @AuthenticationPrincipal String username

能在微服务之间自动传递jwt令牌信息, 主角就是:OAuth2RestTemplate,它能从请求上下文中拿到jwt 令牌,然后将其放入请求头,在其他微服务里,就可以通过@AuthenticationPrincipal 注解来获得用户信息了。

在订单微服务里配置OAuth2RestTemplate

@Configuration
@SpringBootApplication
@EnableResourceServer//作为资源服务器存在
public class NbOrderApiApplication {

    //声名OAuth2RestTemplate
    //会从请求的上下文里拿到令牌,放到请求头里,发出去。需要两个参数,springboot会自动出入进来
    @Bean
    public OAuth2RestTemplate oAuth2RestTemplate(OAuth2ProtectedResourceDetails resource, OAuth2ClientContext context){
        return new OAuth2RestTemplate(resource,context);
    }

    public static void main(String[] args) {
        SpringApplication.run(NbOrderApiApplication.class, args);
        System.err.println("============= Order Api 启动完成 ============");
    }

}

 

 

 

 

随便用某个客户端生成一个jwt令牌

 

 

 

 然后通过网关调用创建订单服务器

 

 

 

 查看订单服务和价格服务里,是否打印了用户名

订单服务日志,网关已经把jwt传递给了订单服务,而且订单服务把jwt解析成了用户信息

 

 

 查看价格微服务,看订单服务是否把jwt传给了价格服务

 

 

 至此,在网关上已经实现了由SpringSecurity-OAuth替我们实现各种认证啊、授权的过滤器。前面系列文章说的都是自己实现这些过滤器,自己实现是为了了解其中的原理。

目前的架构,前面文章说的两个问题:

1,在网关上再去认证服务器验令牌,认证服务器压力变大

  解决:token 信息是 jwt,已经自包含身份信息。不用再去认证服务器验令牌。减少了一次请求,网关、认证服务器的压力减小了。

2,明文在微服务之间的请求头里传递用户信息

  解决:JWT是自包含身份信息的,用OAuth2RestTemplate发请求,SpringSecurity-OAuth会自动从请求上下文拿到jwt信息,放进请求头,下游微服务拿到后会解析jwt。

到目前来说,各个微服务(包括网关),都是资源服务器,需要在它们配置类上打上 @EnableResourceServer 注解,使其成为资源服务器。而且各个资源服务器需要引入SpringCloud的依赖以及 spring-cloud-starter-oauth2 依赖。

目前的架构图是这样的

 

 

代码:https://github.com/lhy1234/springcloud-security/tree/chapt-6-2-jwt02

欢迎关注个人公众号一起交流学习:


 

以上是关于Spring Cloud微服务安全实战_6-3_jwt认证之网关和服务改造的主要内容,如果未能解决你的问题,请参考以下文章

Spring Cloud微服务安全实战_4-1_微服务网关安全_概述&微服务安全面临的挑战

Spring Cloud微服务安全实战_6-1_微服务之间的通讯安全之概述

Spring Cloud微服务安全实战_4-10_用spring-cloud-zuul-ratelimit做限流

Spring Cloud微服务安全实战_3-8_API安全之登录

Spring Cloud微服务安全实战_3-4_API安全机制之认证

Spring Cloud微服务安全实战_5-5_refresh token失效处理