一 网关作用
网关整合
OAuth2.0
有
两种思路:
1.一种是认证服务器生成jwt令牌, 所有请求统一在网关层验证,判断权限等操作;
2.另一
种是由各资源服务处理,网关只做请求转发
。
本案例就是API
网关作为
OAuth2.0
的资源服务器角色,实现接入客户端权限拦截、令牌解析并转发当 前
登录用户信息(jsonToken)
给微服务,这样下游微服务就不需要关心令牌格式解析以及
OAuth2.0
相关机制了。
API
网关在认证授权体系里主要负责两件事:
(
1
)
作为OAuth2.0的资源服务器角色,实现接入方权限拦截。
(
2
)
令牌解析并转发当前登录用户信息(明文token)给微服务,
微服务拿到明文token(
明文
token
中包含登录用户的身份和权限信息
)
后也需要做两件事:
(
1
)
用户授权拦截(看当前用户是否有权访问该资源)
(
2
)
将用户信息存储进当前线程上下文(有利于后续业务逻辑随时获取当前用户信息)
二 . 工程搭建
2.1 工程结构
2.2 pom文件配置
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
<artifactId>spt-ds-oauth-server</artifactId>
<groupId>com.ljf.springsecurity.oauth</groupId>
<version>1.0-SNAPSHOT</version>
</parent>
<modelVersion>4.0.0</modelVersion>
<groupId>com.ljf.springsecurity.oauth</groupId>
<artifactId>spt-ds-gateway-api</artifactId>
<version>1.0-SNAPSHOT</version>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-hystrix</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-ribbon</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-openfeign</artifactId>
</dependency>
<dependency>
<groupId>com.netflix.hystrix</groupId>
<artifactId>hystrix-javanica</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.retry</groupId>
<artifactId>spring-retry</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-zuul</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>javax.interceptor</groupId>
<artifactId>javax.interceptor-api</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
</dependencies>
</project>2.3 application配置文件
spring.application.name=gateway-server
server.port=53010
spring.main.allow-bean-definition-overriding = true
logging.level.root = info
logging.level.org.springframework = info
zuul.retryable = true
zuul.ignoredServices = *
zuul.add-host-header = true
zuul.sensitiveHeaders = *
zuul.routes.uaa-service.stripPrefix = false
zuul.routes.uaa-service.path = /uaa/**
zuul.routes.order-service.stripPrefix = false
zuul.routes.order-service.path = /order/**
eureka.client.serviceUrl.defaultZone = http://localhost:53000/eureka/
eureka.instance.preferIpAddress = true
eureka.instance.instance-id = ${spring.application.name}:${spring.cloud.client.ip-address}:${spring.application.instance_id:${server.port}}
management.endpoints.web.exposure.include = refresh,health,info,env
feign.hystrix.enabled = true
feign.compression.request.enabled = true
feign.compression.request.mime-types[0] = text/xml
feign.compression.request.mime-types[1] = application/xml
feign.compression.request.mime-types[2] = application/json
feign.compression.request.min-request-size = 2048
feign.compression.response.enabled = true
统一认证服务(
UAA
)与统一用户服务都是网关下微服务,需要在网关上新增路由配置:
图中标红的部分需要根据实际情况进行修改
请求url若符合/order/**表达式,将被被转发至order-service(统一用户服务)。
请求url若符合/uaa/**表达式,将被被转发至uaa-service(授权服务)。 ???????
2.4?启动类
package com.ljf.springsecurity.oauth;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.cloud.client.discovery.EnableDiscoveryClient;
import org.springframework.cloud.netflix.zuul.EnableZuulProxy;
/**
* Hello world!
*
*/
@SpringBootApplication
@EnableZuulProxy
@EnableDiscoveryClient
public class GateWayApp
{
public static void main( String[] args )
{
SpringApplication.run(GateWayApp.class, args);
}
}
2.5 启动服务
三 . 网关的配置
3.1 token配置
资源服务器
由
于需要验证并解析令牌
,往往可以通过在授权服务器暴露
check_token
的
Endpoint
来
完成,而我们在
授权服务器使用的是对称加密的jwt
,因此知道密钥即可
,资源服务与授权服务本就是对称设计
?3.2?配置资源服务
在
ResouceServerConfifig
中定义资源服务配置,主要配置的内容就是定义一些匹配规则,描述某个接入客户端需要 什么样的权限才能访问某个微服务,如:
定义了两个微服务的资源,其中:
UAAServerConfifig
指定了若请求匹配
/uaa/**
网关不进行拦截。
OrderServerConfifig
指定了若请求匹配
/order/**
,也就是访问统一用户服务,接入客户端需要有
scope
中包含 read,并且
authorities(
权限
)
中需要包含
ROLE_API
。
由于
res1
这个接入客户端,
read
包括
ROLE_ADMIN,ROLE_USER,ROLE_API
三个权限。
将order服务工程中的: ResouceServerConfig配置文件复制过来。
1.uaa服务
2.resources服务
?3.3?安全配置
将WebSecurityConfig安全配置文件复制过来:
?3.3 配置转发明文token给微服务
通过Zuul过滤器的方式实现,目的是让下游微服务能够很方便的获取到当前的登录用户信息(明文token)
3.3.1?实现Zuul前置过滤器
实现Zuul前置过滤器,完成当前登录用户信息提取,并放入转发微服务的request中
3.3.2?将fifilter纳入spring 容器
