保障微服务 Spring Cloud 安全 Oauth2

Posted 2023-02-16

技术标签:

【中文标题】保障微服务 Spring Cloud 安全 Oauth2【英文标题】：Securing micro-service spring cloud security Oauth2 【发布时间】：2018-03-17 02:49:06 【问题描述】：

我正在使用 Spring 云安全和 Oauth2 来保护我的微服务。现在的Pom如下：

http://maven.apache.org/xsd/maven-4.0.0.xsd"> 4.0.0

<groupId>com.oreilly.cloud</groupId>
<artifactId>spring-microservices-oauth-server</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>jar</packaging>

<name>spring-microservices-oauth-server</name>
<description>Demo project for Spring Boot</description>

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.5.7.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <java.version>1.8</java.version>
    <spring-cloud.version>Dalston.SR3</spring-cloud.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.hsqldb</groupId>
        <artifactId>hsqldb</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>$spring-cloud.version</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
    </plugins>
</build>

<repositories>
    <repository>
        <id>spring-snapshots</id>
        <name>Spring Snapshots</name>
        <url>https://repo.spring.io/snapshot</url>
        <snapshots>
            <enabled>true</enabled>
        </snapshots>
    </repository>
    <repository>
        <id>spring-milestones</id>
        <name>Spring Milestones</name>
        <url>https://repo.spring.io/milestone</url>
        <snapshots>
            <enabled>false</enabled>
        </snapshots>
    </repository>
</repositories>

Spring-boot主类如下：

package com.oreilly.cloud;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@SpringBootApplication
@EnableAuthorizationServer
@EnableResourceServer
@RestController
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SpringMicroservicesOauthServerApplication 

    @RequestMapping("/resource/endpoint")
    @PreAuthorize("hasRole('ADMIN')")
    public String endpoint()
        return "This message is protected by the resource server.";
    

    public static void main(String[] args) 
        SpringApplication.run(SpringMicroservicesOauthServerApplication.class, args);

授权服务器配置如下：

package com.oreilly.cloud;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;

@Configuration
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter 

    @Autowired
    private AuthenticationManager authManager;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception 
        endpoints.authenticationManager(authManager);
    

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception 
        clients.inMemory().withClient("webapp").secret("websecret").authorizedGrantTypes("password")
                .scopes("read,write,trust");

请注意，身份验证管理器会自动连接到授权配置中

在下面的类中，Authentication Manager 被配置并返回为 abean，以便它可以自动装配到上面的类：

package com.oreilly.cloud;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter 

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception 
        return super.authenticationManagerBean();
    

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        auth.inMemoryAuthentication().withUser("user1").password("password1").roles("USER").and().withUser("admin")
                .password("password2").roles("ADMIN");

现在application.properties如下：

server.port=9090

现在我运行 Spring boot 应用程序如下：

mvn spring-boot:run

应用程序成功启动并准备好接受本地主机上端口 9090 上的请求

现在我正在使用邮递员发送一个发布请求以获取 access_token。一点背景是这里使用的 Aoauth2 流程是密码授予。因此，在上面的 AuthorizationServerConfig 类中，我定义了一个密码授予流程，并使用客户端名称和密码注册了一个简单的 Web 应用程序。可以看出客户端配置在内存中。

从授权服务器获取访问令牌的post man请求如下：它的post请求，带有Basic auth header header有用户名为 webapp，密码为 websecret。

http://localhost:9090/oauth/token?grant_type=password&username=user1&password=password1

此请求成功返回，并带有访问令牌 json，如下所示：


    "access_token": "2d632e54-17c3-41f7-af3b-935ca3022d78",
    "token_type": "bearer",
    "expires_in": 43199,
    "scope": "read,write,trust"

现在，当我尝试使用上述访问令牌访问 /resource/endpoint 时，如下所示：

http://localhost:9090/resource/endpoint?access_token=2d632e54-17c3-41f7-af3b-935ca3022d78

它不是返回从服务/资源/端点返回的文本，而是返回登录页面，如下所示：

<html>
    <head>
        <title>Login Page</title>
    </head>
    <body onload='document.f.username.focus();'>
        <h3>Login with Username and Password</h3>
        <form name='f' action='/login' method='POST'>
            <table>
                <tr>
                    <td>User:</td>
                    <td>
                        <input type='text' name='username' value=''>
                    </td>
                </tr>
                <tr>
                    <td>Password:</td>
                    <td>
                        <input type='password' name='password'/>
                    </td>
                </tr>
                <tr>
                    <td colspan='2'>
                        <input name="submit" type="submit" value="Login"/>
                    </td>
                </tr>
                <input name="_csrf" type="hidden" value="8dbc1c38-6f89-43c5-a8f8-797c920722a1" />
            </table>
        </form>
    </body>
</html>

任何人都可以帮助我在这里缺少什么吗？？？？？？。

注意我在同一个应用程序中同时配置了授权服务器和资源服务器。这是一个 POC，所以我正在尝试 Spring-cloud 安全性，稍后我会将两者分开......但那是以后的事了。

【问题讨论】：

你的问题到底是什么？在你的令牌中 expires_in 的值看起来很有趣。它映射到什么，肯定不是滴答声，你能检查一下吗？ @WilliamHampshire 我的问题是我通过点击以下 URL 成功获取了访问令牌：localhost:9090/oauth/… 使用基本身份验证标头指定客户端用户名和密码但是，如果我尝试访问受保护的资源 (/资源/端点/）将 access_token 参数设置为上述访问令牌，我得到一个登录页面，而不是我的端点应该返回的文本响应 【参考方案1】：

我通过查看 Spring Boot 的根调试日志发现了这个问题。

如果您使用的是yml：

src/main/resources/application.yml
----------------------------------
logging:
  level:
    root: DEBUG

或者如果properties:

src/main/resources/application.properties
----------------------------------
logging.level.root=DEBUG

我意识到我没有通过GET 传递任何用户身份验证信息：

o.s.s.w.a.ExceptionTranslationFilter: Access is denied (user is anonymous); ...

所以你可以做两件事中的一件：

1。通过 url 参数添加凭据，例如。

curl -X GET \
  'http://localhost:9090/resource/endpoint?
  username=user1&password=password1&access_token=xxxx'

或

2。通过基本身份验证添加凭据，例如。

curl -X GET \
  'http://localhost:9090/resource/endpoint?username=user1' \
  -H 'Authorization: Basic xxxxxxxxxxxxx

您是否也从 safaribooksonline 上的 Building Microservices With Spring 课程中得到了这个？ :)

我发现了为什么老师没有遇到问题。他之前一定已经授权了用户名/密码——它似乎被缓存在某个地方，因为在你 GET 一次资源之后，如果你只用 auth_token 再次调用它，它就可以工作。

【讨论】：

以上是关于保障微服务 Spring Cloud 安全 Oauth2的主要内容，如果未能解决你的问题，请参考以下文章

Spring Cloud+Spring Boot+Mybatis+ElementUI 实现前后端分离之企业快速开发平台业务服务

Spring cloud微服务安全实战完整教程

Spring Cloud微服务安全实战_4-1_微服务网关安全_概述&微服务安全面临的挑战

Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0

Spring Cloud微服务安全实战_6-1_微服务之间的通讯安全之概述

Spring cloud微服务安全实战-4-4 OAuth2协议与微服务安全