分布式认证授权(一)
-
创建eureka子模块
-
pom
<dependencies>
<dependency>
<groupId>com.mengxuegu</groupId>
<artifactId>mengxuegu-cloud-oauth2-base</artifactId>
<version>${mengxuegu-security.version}</version>
</dependency>
<!-- 导入Eureka-server 服务端依赖 -->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-server</artifactId>
</dependency>
</dependencies>
- yml
server:
port: 6001 # 服务端口
eureka:
instance:
hostname: localhost # eureka服务端的实例名称
client:
registerWithEureka: false # 服务注册,false表示不将自已注册到Eureka服务中
fetchRegistry: false # 服务发现,false表示自己不从Eureka服务中获取注册信息
serviceUrl: # Eureka客户端与Eureka服务端的交互地址
defaultZone: http://${eureka.instance.hostname}:${server.port}/eureka/
- 启动类
@EnableEurekaServer // 标识它是Eureka服务器
@SpringBootApplication
public class EurekaServer_6001 {
public static void main(String[] args) {
SpringApplication.run(EurekaServer_6001.class, args);
}
}
-
启动注册中心模块,打开浏览器测试
-
将认证服务器和资源服务器注册到eureka服务注册中心
# 在认证服务器子模块中添加如下
# 导入依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
# 启动类添加注解
@EnableEurekaClient
# 配置yml
eureka:
client:
registerWithEureka: true # 服务注册开关
fetchRegistry: true # 服务发现开关
serviceUrl: # 注册到哪一个Eureka Server服务注册中心,多个中间用逗号分隔
defaultZone: http://localhost:6001/eureka
instance:
instanceId: ${spring.application.name}:${server.port} # 指定实例ID,页面会显示主机名
preferIpAddress: true #访问路径可以显示IP地址
spring:
application:
name: auth-server # Eureka页面显示
# 重启认证服务器器子模块
# 在资源服务器子模块中添加如下
# 导入依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
# 启动类添加注解
@EnableEurekaClient
# yml配置
eureka:
client:
registerWithEureka: true # 服务注册开关
fetchRegistry: true # 服务发现开关
serviceUrl: # 注册到哪一个Eureka Server服务注册中心,多个中间用逗号分隔
defaultZone: http://localhost:6001/eureka
instance:
instanceId: ${spring.application.name}:${server.port} # 指定实例ID,页面会显示主机名
preferIpAddress: true #访问路径可以显示IP地址
spring:
application:
name: product-server # Eureka页面显示
# 启动资源服务器子模块
-
查看服务注册中心 -> http://localhost:6001
-
创建gateway子模块作为网关
# pom
<dependencies>
<dependency>
<groupId>com.mengxuegu</groupId>
<artifactId>mengxuegu-cloud-oauth2-base</artifactId>
<version>${mengxuegu-security.version}</version>
</dependency>
<!-- 一样作为资源服务器,所以要引入 -->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
<!--zuul路由网关依赖-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-zuul</artifactId>
</dependency>
</dependencies>
# yml
server:
port: 7001 # 端口号
spring:
application:
name: zuul-gateway
eureka:
client:
registerWithEureka: true # 服务注册开关
fetchRegistry: true # 服务发现开关
serviceUrl: # 注册到哪一个Eureka Server服务注册中心,多个中间用逗号分隔
defaultZone: http://localhost:6001/eureka
instance:
instanceId: ${spring.application.name}:${server.port} # 指定实例ID,页面会显示主机名
preferIpAddress: true #访问路径可以显示IP地址
zuul: # 网关配置
sensitive-headers: null # 默认Zuul认为请求头中 "Cookie", "Set-Cookie", "Authorization" 是敏感信息,它不会转发请求,因为把它设置为空,就会转发了
add-host-header: true # 正确的处理重定向操作
routes:
authentication: # 路由名称,名称任意,保持所有路由名称唯一
path: /auth/** # 访问路径,转发到 auth-server 服务处理
serviceId: auth-server # 指定服务ID,会自动从Eureka中找到此服务的ip和端口
stripPrefix: false # 代理转发时去掉前缀,false:代理转发时不去掉前缀 例如:为true时请求 /product/get/1,代理转发到/get/1
product: # 商品服务路由配置
path: /product/** # 转发到 product-server 服务处理
serviceId: product-server
stripPrefix: false
# 启动类
@EnableZuulProxy //开启zuul的功能
@EnableEurekaClient
@SpringBootApplication
public class ZuulServer_7001 {
public static void main(String[] args) {
SpringApplication.run(ZuulServer_7001.class, args);
}
}
-
启动网关模块,查看注册中心
-
jwt令牌管理和配置网关的资源配置类 -
认证服务器和资源服务器相对于网关来说,就是资源;这里将网关看成认证服务器和资源服务器的资源服务器,当请求经过网关的时候,使用公钥解密,复制public.txt到resource目录下
-
加载公钥解密
@Configuration
public class TokenConfig {
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
// 非对称加密,资源服务器使用公钥解密 public.txt
ClassPathResource resource = new ClassPathResource("public.txt");
String publicKey = null;
try {
publicKey = IOUtils.toString(resource.getInputStream(), "UTF-8");
} catch (IOException e) {
e.printStackTrace();
}
converter.setVerifierKey(publicKey);
return converter;
}
@Bean
public TokenStore tokenStore() {
// Jwt管理令牌
return new JwtTokenStore(jwtAccessTokenConverter());
}
}
- 配置资源的访问权限(即通过网关转发到认证服务器时设置为不需要权限,通过网关访问资源服务器时需要PRODUCT_API权限)
@Configuration
public class ResourceServerConfig {
public static final String RESOURCE_ID = "product-server";
@Autowired
private TokenStore tokenStore;
// 认证服务资源
@Configuration
@EnableResourceServer
public class AuthResourceServerConfig extends ResourceServerConfigurerAdapter{
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId(RESOURCE_ID)
.tokenStore(tokenStore)
;
}
@Override
public void configure(HttpSecurity http) throws Exception {
// 关于请求认证服务器资源,则所有请求放行
http.authorizeRequests()
.anyRequest().permitAll();
}
}
// 商品资源服务器的资源
@Configuration
@EnableResourceServer
public class ProductResourceServerConfig extends ResourceServerConfigurerAdapter{
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId(RESOURCE_ID)
.tokenStore(tokenStore)
;
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/product/**")
.access("#oauth2.hasScope('PRODUCT_API')");
}
}
}
- 编写security配置类,放行访问网关的所有请求
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 当前将所有请求放行,交给资源配置类进行资源权限判断
* 因为默认情况下会拦截所有请求
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().permitAll();
}
}
自定义过滤器转发请求
将解析后的用户信息转发给目标微服务,这样目标微服务可以判断用户可访问的权限。
自定义过虑器需要继承 ZuulFilter,ZuulFilter是一个抽象类,需要覆盖它的4个方法,如下:
filterType:返回字符串代表过滤器的类型,返回值有:
pre:在请求路由之前执行
route:在请求路由时调用
post:请求路由之后调用, 也就是在route和errror过滤器之后调用
error:处理请求发生错误时调用
filterOrder:此方法返回整型数值,通过此数值来定义过滤器的执行顺序,数字越小优先级越高。
shouldFilter:返回Boolean值,判断该过滤器是否执行。返回true表示要执行此过虑器,false不执行。
run:过滤器的业务逻辑
- 具体代码
/**
* 请求资源前,先通过此 过滤器进行用户信息解析和校验 转发
*/
@Component
public class AuthenticationFilter extends ZuulFilter {
Logger logger = LoggerFactory.getLogger(getClass());
// 表示执行当前过滤器
@Override
public String filterType() {
return "pre";
}
// 指定0,值越小,优先级越高
@Override
public int filterOrder() {
return 0;
}
// 设置为true时,表示执行下面的run方法
@Override
public boolean shouldFilter() {
return true;
}
@Override
public Object run() throws ZuulException {
Authentication authentication =
SecurityContextHolder.getContext().getAuthentication();
// 如果解析到令牌就会封装到OAuth2Authentication对象
if( !(authentication instanceof OAuth2Authentication)) {
return null;
}
logger.info("网关获取到认证对象:" + authentication);
// 用户名,没有其他用户信息
Object principal = authentication.getPrincipal();
// 获取用户所拥有的权限
Collection<? extends GrantedAuthority> authorities
= authentication.getAuthorities();
// 将权限放到set集合
Set<String> authoritySet = AuthorityUtils.authorityListToSet(authorities);
// 获取请求描述
Object details = authentication.getDetails();
// 将以上信息放到map集合
Map<String, Object> result = new HashMap<>();
result.put("principal", principal);
result.put("authorities", authoritySet);
result.put("details", details);
// 获取当前请求上下文
RequestContext context = RequestContext.getCurrentContext();
// 将用户信息和权限信息转成json,再通过base64进行编码
String base64 = Base64Utils.encodeToString(JSON.toJSONString(result).getBytes());
// 添加到请求头,传给下游服务
context.addZuulRequestHeader("auth-token", base64);
return null;
}
}
- 解决跨域
@Configuration
public class GatewayConfig {
// 配置全局解决zuul服务中的cors跨域问题
@Bean
public CorsFilter corsFilter() {
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
final CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedHeader("*");
corsConfiguration.addAllowedOrigin("*");
corsConfiguration.addAllowedMethod("*");
//↓核心代码
corsConfiguration.addExposedHeader("Authorization");
source.registerCorsConfiguration("/**", corsConfiguration);
return new CorsFilter(source);
}
}
