舊的Spring Security OAuth2停止維護已經(jīng)有一段時間了式矫,99%的Spring Cloud微服務(wù)項目還在使用這些舊的體系,嚴(yán)重青黃不接预明。很多同學(xué)都在尋找新的解決方案缩赛,甚至還有念念不忘密碼模式的。胖哥也在前面寫了一篇解決思路的文章撰糠。好像還是不過癮酥馍,今天看到這篇文章的同學(xué)有福了,問題將在這里得到解決阅酪。
方案
目前這應(yīng)該是Spring生態(tài)中最新的解決方案旨袒,沒有之一汁针。先看下流程,微服務(wù)無關(guān)的其它的組件這里先屏蔽了砚尽,剩下圖的幾個組件:
詳細(xì)流程為:
①用戶向網(wǎng)關(guān)請求登錄或者通過網(wǎng)關(guān)請求資源服務(wù)器的資源施无。
②網(wǎng)關(guān)發(fā)現(xiàn)用戶沒有授權(quán)發(fā)起基于OAuth2授權(quán)碼的OIDC流程,向授權(quán)服務(wù)器Id Server發(fā)起授權(quán)請求必孤。
③授權(quán)服務(wù)器Id Server收到授權(quán)請求重定向到用戶登錄頁面要求用戶登錄認(rèn)證帆精,以發(fā)起授權(quán)。
④用戶輸入用戶名密碼進行登錄認(rèn)證隧魄。
⑤Id Server授權(quán)服務(wù)器處理用戶認(rèn)證并重定向到網(wǎng)關(guān)約定的OAuth2 Redirect URI,這個過程屬于標(biāo)準(zhǔn)的OIDC授權(quán)碼流程隘蝎。
-
⑥網(wǎng)關(guān)獲得AccessToken和IdToken:
- 如果最初發(fā)起的是登錄就重定向到
/购啄。 - 如果最初發(fā)起的是請求資源服務(wù)器資源就令牌中繼重定向到對應(yīng)的資源。
- 如果最初發(fā)起的是登錄就重定向到
資源服務(wù)器通過⑦⑧兩個鏈路響應(yīng)用戶的請求嘱么。
請注意狮含,上述流程中生成的AccessToken和IdToken不允許提供給用戶側(cè),否則會引起中間人攻擊曼振,默認(rèn)提供的是一個cookie策略几迄,大部分情況下這種策略是夠用的,如果你需要自定義必須深刻了解其機制冰评,你可以通過我的Spring Security OAuth2專欄進行學(xué)習(xí)映胁。
具體實現(xiàn)
根據(jù)上面的方案,我們需要三個應(yīng)用甲雅,分別是網(wǎng)關(guān)Spring Cloud Gateway應(yīng)用解孙、資源服務(wù)器應(yīng)用Resource Server和OAuth2授權(quán)服務(wù)器Id Server。
Spring Cloud Gateway
Spring Cloud Gateway 應(yīng)用抛人,端口8080弛姜,它不僅僅是一個網(wǎng)關(guān)還是一個在授權(quán)服務(wù)器Id Server注冊的OAuth2客戶端,通過Id Server你可以在一分鐘內(nèi)完成配置妖枚。它需要配置到資源服務(wù)器的路由規(guī)則和令牌中繼功能廷臼。核心配置為:
spring:
application:
name: gateway
security:
oauth2:
client:
registration:
# 這里為客戶端名稱可自行更改
gatewayclient:
client-id: e4da4a32-592b-46f0-ae1d-784310e88423
# 密碼為注冊客戶端時的密碼
client-secret: secret
# 只能選擇一個
redirect-uri: http://127.0.0.1:8080/login/oauth2/code/gatewayclient
# 其它兩種方式為refresh_token,client_credentials
authorization-grant-type: authorization_code
client-authentication-method: client_secret_basic
scope: message.write,userinfo,message.read,openid
provider:
gatewayclient:
# 要保證授權(quán)服務(wù)器地址可以被客戶端訪問
issuer-uri: http://localhost:9000
cloud:
gateway:
routes:
- id: resource-server
uri: http://127.0.0.1:8084
predicates:
- Path=/res/**
filters:
- TokenRelay
Resource Server
資源服務(wù)器就是我們平常編寫的業(yè)務(wù)接口的服務(wù)器,端口這里定義為8084绝页,它需要集成Spring Security及其Resource Server組件荠商。它要負(fù)責(zé)定義資源接口的訪問權(quán)限,例如:
// 只有message.read才有資格訪問資源/res/foo
httpSecurity.authorizeRequests()
.antMatchers("/res/foo").hasAnyAuthority("SCOPE_message.read")
另外它還要和授權(quán)服務(wù)器Id Server通訊獲取AccessToken的解碼公鑰:
spring:
security:
oauth2:
resourceserver:
jwt:
jwk-set-uri: http://localhost:9000/oauth2/jwks
獲取解碼公鑰的原理在我的Spring Security OAuth2專欄有詳細(xì)介紹续誉,這里不再贅述结啼。
Id Server
倉庫地址:https://github.com/NotFound403/id-server 歡迎star,歡迎貢獻屈芜。
Id Server是一個基于Spring Authorization Server的開源的授權(quán)服務(wù)器郊愧,它大大降低OAuth2授權(quán)服務(wù)器的學(xué)習(xí)使用難度朴译,提供UI控制臺,動態(tài)權(quán)限控制属铁,方便OAuth2客戶端管理眠寿,可一鍵生成Spring Security配置,開箱即用焦蘑,少量配置修改就可部署盯拱,代碼開源,方便二次開發(fā)例嘱,支持OAuth2四種客戶端認(rèn)證方式和三種授權(quán)模式狡逢。它是目前Spring安全生態(tài)中重要的組成部分,也是未來的技術(shù)發(fā)展趨勢拼卵,更多信息請參閱Id Server項目倉庫的介紹奢浑。
Id Server在本文扮演的是OAuth2授權(quán)服務(wù)器的角色,負(fù)責(zé)對授權(quán)請求進行處理腋腮,維護客戶端注冊信息雀彼,授權(quán)用戶信息,后續(xù)會加入IDP支持即寡,各種三方登錄的用戶也可以動態(tài)在這里進行登錄徊哑,就像這樣:
根據(jù)業(yè)務(wù)需要第三方OAuth2授權(quán)登錄也能優(yōu)雅的接入,當(dāng)然聪富,接入的登錄方式需要OIDC或者OAuth2的支持莺丑。
DEMO以及使用方法
上述完整DEMO在Id Server的倉庫中的samples下。使用方法:
- 拉取Id Server項目并加載依賴墩蔓。
- 在IntelliJ IDEA中依次單獨對
samples文件夾下的所有項目的pom.xml進行右鍵菜單選中Add As Maven Project窒盐,這一步很重要。 - 依次啟動Id Server钢拧、gateway蟹漓、resource-server三個項目。
測試登錄
- 瀏覽器訪問
http://127.0.0.1:8080/login源内,點擊http://localhost:9000葡粒。 - 輸入用戶名密碼
user/user。 - 能查看到認(rèn)證信息就證明成功了膜钓,再次重申嗽交,在生產(chǎn)中該信息十分敏感,不應(yīng)該直接對前端暴露颂斜。
- 瀏覽器訪問
http://127.0.0.1:8080/res/foo夫壁,可以訪問到資源服務(wù)器的資源。
另一種測試
關(guān)閉瀏覽器重新打開沃疮,瀏覽器訪問http://127.0.0.1:8080/res/foo盒让,你看看會發(fā)生什么梅肤?
總結(jié)
通過OAuth2客戶端、Spring Cloud Gateway邑茄、OAuth2授權(quán)服務(wù)器姨蝴、OAuth2資源服務(wù)器的聯(lián)動,你會發(fā)現(xiàn)授權(quán)碼模式也可以實現(xiàn)完整的微服務(wù)認(rèn)證授權(quán)肺缕,而且比密碼模式更加安全左医。后續(xù)Id Server實現(xiàn)了聯(lián)合登錄之后,其它第三方登錄也可以無縫集成進來同木。多多關(guān)注浮梢,更多先進的黑科技等著你。
關(guān)注公眾號:碼農(nóng)小胖哥彤路,獲取更多資訊
