SpringCloud-OAuth2(三):进阶篇 

上篇文章讲了SpringCloud OAuth 的实战篇,但是在微服务环境下,常常会有一个认证中心。
而普通服务接收到请求后,判断token是否有效并不是自己处理的,因为token的管理统一交给认证中心,token也理应被认证中心统一管理(职责专一性)。

那么这篇文章会介绍如何搭建认证中心,并介绍普通服务是如何处理token的。

1:认证中心的搭建(OAuth Center)

1.1:回顾

先看下上篇文章:SpringCloud-OAuth2(二):实战篇
上篇文章其实就已经简单搭建好了一个认证中心,因为我写了一个认证中心的配置。
可以看上文的这部分地方↓↓↓↓↓↓↓↓↓

1.2:我的项目结构图

wfw-auth-center:认证中心
wfw-auth-client:认证客户端
wfw-auth-common:common包

2:认证客户端的配置

只需要做两件事:properties配置、资源服务配置
关于pom:用上篇的或者参考我的github。

为什么需要些资源服务配置?
因为客户端本身是一个服务,需要管理自己资源。但是我们可以将资源交给中心统一管理,这个后面会细说。

2.1:application配置

properties
#认证中心地址
auth.server.address=127.0.0.1:8123
#认证客户端校验token的配置
security.oauth2.client.client-id=admin
security.oauth2.client.client-secret=admin
security.oauth2.client.access-token-uri=http://${auth.server.address}/oauth/token
security.oauth2.resource.jwt.key-uri=http://${auth.server.address}/oauth/token_key
security.oauth2.client.grant-type=password
security.oauth2.client.scope=all

2.2:资源服务配置

参考认证中心的配置做一定的更改即可。

java
@Configuration
@EnableResourceServer
public class WebClientResourceConfig extends ResourceServerConfigurerAdapter {

    private final AuthClientExceptionHandler authClientExceptionHandler;

    public WebClientResourceConfig(AuthClientExceptionHandler authClientExceptionHandler) {
        this.authClientExceptionHandler = authClientExceptionHandler;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId("admin").stateless(true).authenticationEntryPoint(authClientExceptionHandler);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 资源链路
        http
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                // 登录放通
                .and()
                .authorizeRequests()
                .antMatchers("/oauth/**")
                .permitAll()
                // 其他请求都需认证
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                // 跨域
                .and()
                .cors()
                // 关闭跨站请求防护
                .and()
                .csrf()
                .disable();
    }

}

3:测试

3.1:先获取token

3.2:携带token访问其他服务的接口

3.3:uml图

认证中心颁发token、对token鉴权,携带token访问其他服务的接口,这是个闭环,合情合理。

4:再聊聊认证中心

每个普通服务一定要配置认证中心的的相关配置吗?答案是否定的。

先看看下面这张图:

当一个请求通过网关的转发之后,其他服务之间还需要通信,当请求到达订单服务,还会通过用户服务、支付服务。
在业务比较复杂的情况下,调用链有可能会更加复杂。
而每个服务都要去认证中心鉴定一下token是否合法,假设每鉴定一次token的耗时为50ms,那么调用链越长耗时更长。

总结:强校验、高耗时。

这种设计几乎是难以容忍的,那么是否可以更好管理token和资源呢?

再看看这张图:

前面就说过了,认证中心除了管理token,理应也具备管理权限、资源的功能,因为服务器之间的调用链可能会非常复杂,
如果每个服务在处理请求之前,都需要去认证中心找一下token是否有效,完全是浪费资源的。
而微服务之间的通信基本是基于内网的,不可能每个服务都暴露在外网,因此我们只需要在统一的入口:网关层 做token、权限资源的校验即可。
这种做法既保证了系统的安全性,也降低了在权限校验上的时间成本。

总结:一次校验、畅通无阻。

posted @   dreamw  阅读(1057)  评论(0编辑  收藏  举报
编辑推荐:
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
阅读排行:
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)
历史上的今天:
2020-06-29 你喜欢写代码吗,你热爱写代码吗?
点击右上角即可分享
微信分享提示