上一节在认证服务器里,将token 由uuid改造成了JWT,之前在网关上拿到令牌access_token后,需要去认证服务器校验令牌,将令牌信息转换为用户信息。
现在有了jwt后,由于jwt是自包含的,已经包含了用户的身份信息,所以在网关上不需要去认证服务器验令牌了。
之前在网关上所做的这些去认证服务器验令牌信息,转换为用户信息,去认证服务器做权限的判断,这些其实SpringSecurity-OAuth都已经实现好了的。之前之所以手写是为了理解SpringSecurity-OAuth内部的实现。
1,删掉网关上filter包里的过滤器
2,在网关项目里加上依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
3,配置获取jwt验签的key的uri
认证服务器生成Jwt的时候,是进行了签名的,有一个签名的key;解析Jwt,需要验签,也需要这个key值,所以需要告诉网关,去哪里获取这个签名的key。
在网关的配置文件里配置: (这个uri具体在org.springframework.security.oauth2.provider.endpoint.TokenKeyEndpoint里处理)
资源服务器启动的时候,就会去认证服务器拿这个key,所以启动网关前必须要保证认证服务器是启动的。
security:
oauth2:
resource:
jwt:
key-uri: http://auth.nb.com:9090/oauth/token_key #获取解析jwt,验签名key的路径
client:
client-id: gateway #获取验签key需要身份认证,这里是网关的clientId
client-secret: 123456 #获取验签key需要身份认证,这里是网关的secret
4,网关作为一个资源服务器,配置其安全配置
/** * 作为一个资源服务器存在 */ @Configuration @EnableResourceServer public class GatewaySecurityConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/token/**").permitAll() //放过/token开头的请求,是在申请令牌 .anyRequest().authenticated(); } }
5,各个微服务的改造
之前各个微服务需要用到用户信息的时候,在网关上,网关从认证服务器解析令牌,获取到用户信息后,是将用户名以明文的方式放在了请求头里,各个微服务从请求头里获取到明文的username参数,这样是有安全问题的。
此时,各个微服务也需要解析jwt,获取用户信息。所以各个微服务就需要跟网关一样,解析jwt,所以也需要从认证服务器获取验签的key,故需要做和网关一样的配置。
在订单微服务,引入 SpringSecurity-OAuth依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
订单微服务也作为资源服务器存在,所以需要给订单微服务打上资源服务器的标记 @EnableResourceServer
在订单微服务,获取用户信息 也要用注解 @AuthenticationPrincipal String username 。
实验:
1,先启动 认证服务器,因为各个微服务启动的时候就会去认证服务器拿jwt验签的key。
2.启动网关。
发现报如下异常 Caused by: org.springframework.web.client.HttpClientErrorException$NotFound: 404 null
这个异常的意思是,在拿jwt验签key的时候,找不到该服务,为什么呢?在认证服务器上,配置jwt tokenStore的时候,需要做一下特殊处理:
需要将 JwtAccessTokenConverter 暴露为Spring的Bean,而且必须为public的。
再次重启认证服务器,重启网关,正常启动。
postman调用网关,获取令牌 http://localhost:9070/token/oauth/token
客户端信息表
通过网关,拿access_token去订单服务创建订单 http://localhost:9070/order/orders
处理办法:
1,在oauth_client_details表里的orderApp应用的resource_ids 字段里,配置上网关的resourceId,前提是网关代码里也配置了resourceId。这样安全性更高,只是需要维护这些资源服务器id。
调用成功
2,如果对安全性要求不高,可以把oauth_client_details表里 orderApp的resource_ids 字段设置为空,这样给orderApp客户端发出的jwt就可以访问任何的微服务了。
在微服务之间传递jwt令牌信息
比如订单微服务调用了加个微服务,那么订单微服务怎么把用户信息传递给价格微服务呢?之前的做法是,将用户信息放在请求头里,进行传递。
其实SpringSecurity-OAuth已经替你把这些事情做好了。可以在微服务之间传递jwt令牌,传过去的jwt会被解析为用户信息。
下面改造订单微服务和价格微服务,在他们之间传递用户信息。
价格微服务也作为资源服务器存在
@SpringBootApplication @EnableResourceServer//作为资源服务器 public class NbPriceApiApplication { public static void main(String[] args) { SpringApplication.run(NbPriceApiApplication.class, args); System.err.println("============= Price Api 启动完成 ============"); } }
价格微服务也加入SpringCloud和SpringSecurity-OAuth的依赖
<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency>
dependencyManagement里:
<!--spring cloud-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Greenwich.SR2</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
价格微服务获取用户信息 : @AuthenticationPrincipal String username
能在微服务之间自动传递jwt令牌信息, 主角就是:OAuth2RestTemplate,它能从请求上下文中拿到jwt 令牌,然后将其放入请求头,在其他微服务里,就可以通过@AuthenticationPrincipal 注解来获得用户信息了。
在订单微服务里配置OAuth2RestTemplate
@Configuration @SpringBootApplication @EnableResourceServer//作为资源服务器存在 public class NbOrderApiApplication { //声名OAuth2RestTemplate //会从请求的上下文里拿到令牌,放到请求头里,发出去。需要两个参数,springboot会自动出入进来 @Bean public OAuth2RestTemplate oAuth2RestTemplate(OAuth2ProtectedResourceDetails resource, OAuth2ClientContext context){ return new OAuth2RestTemplate(resource,context); } public static void main(String[] args) { SpringApplication.run(NbOrderApiApplication.class, args); System.err.println("============= Order Api 启动完成 ============"); } }
随便用某个客户端生成一个jwt令牌
然后通过网关调用创建订单服务器
查看订单服务和价格服务里,是否打印了用户名
订单服务日志,网关已经把jwt传递给了订单服务,而且订单服务把jwt解析成了用户信息
查看价格微服务,看订单服务是否把jwt传给了价格服务
至此,在网关上已经实现了由SpringSecurity-OAuth替我们实现各种认证啊、授权的过滤器。前面系列文章说的都是自己实现这些过滤器,自己实现是为了了解其中的原理。
目前的架构,前面文章说的两个问题:
1,在网关上再去认证服务器验令牌,认证服务器压力变大
解决:token 信息是 jwt,已经自包含身份信息。不用再去认证服务器验令牌。减少了一次请求,网关、认证服务器的压力减小了。
2,明文在微服务之间的请求头里传递用户信息
解决:JWT是自包含身份信息的,用OAuth2RestTemplate发请求,SpringSecurity-OAuth会自动从请求上下文拿到jwt信息,放进请求头,下游微服务拿到后会解析jwt。
到目前来说,各个微服务(包括网关),都是资源服务器,需要在它们配置类上打上 @EnableResourceServer 注解,使其成为资源服务器。而且各个资源服务器需要引入SpringCloud的依赖以及 spring-cloud-starter-oauth2 依赖。
目前的架构图是这样的
代码:https://github.com/lhy1234/springcloud-security/tree/chapt-6-2-jwt02
欢迎关注个人公众号一起交流学习: