基础
spring
JavaspringmybatisMySQLnetwork
spring
JavaspringmybatisMySQLnetwork
  • 基础知识
    • Spring Core
      • 依赖注入(DI)
        • Spring 容器
        • 装配
        • bean 的作用域
      • bean 的生命周期
      • 面向切面编程(AOP)
        • AOP 术语
        • Spring 对 AOP 的支持
        • 通过切点来选择连接点
          • 编写切点
          • 在切点中选择 bean
        • 使用注解创建切面
          • 定义切面
          • 创建环绕通知
          • 处理通知中的参数
          • 通过注解引入新功能
            • 实例
    • Spring MVC
      • Spring MVC请求的处理流程
      • 搭建 Spring MVC
      • Spring MVC 高级配置
        • 添加其他的 Servlet 和 Filter
        • 处理 multipart 形式的数据
      • 控制器编写技巧
        • 参数传递
        • 表单校验
          • 使用方式
          • 校验相关注解
        • 处理异常
        • 控制器通知
        • 跨重定向请求传递数据
        • UriComponentBuilder
      • REST
        • ContentNegotiatingViewResolver
        • 使用 HTTP 消息转换器
    • Spring Data
      • Page
      • Spring Data Redis
        • 连接到 Redis
        • Redis Template
        • 操作 Redis 数据
        • key 和 value 的序列化器
        • Redis 事务
    • Spring Security
      • 过滤 Web 请求
      • 编写简单的安全性配置
      • 配置用户存储
        • 使用基于内存的用户存储
        • 基于数据库表进行认证
        • 配置自定义的用户服务
      • 拦截请求
        • 使用 Spring 表达式进行安全保护
        • 强制通道的安全性(https)
        • 防止跨站请求伪造(CSRF)
      • 认证用户
        • 启用 HTTP Basic 认证
        • 启用 Remember-me 功能
        • 退出(logout)
  • Group 1
    • Spring Cloud
      • 微服务架构
        • 云计算
        • 微服务不只是编写代码
          • 核心开发模式
          • 路由模式
          • 客户端弹性模式
          • 安全模式
          • 日志记录和跟踪模式
          • 应用程序度量模式
          • 构建/部署模式
        • 什么是 Spring Cloud
          • Spring Cloud Config
          • Spring Cloud Stream
          • Spring Cloud 服务发现
          • Spring Cloud API Gateway
          • Spring Cloud LoadBalancer 和 Resilience4j
          • Spring Cloud Sleuth
          • Spring Cloud Security
      • 微服务设计
        • 云原生开发原则
        • 十二要素应用程序最佳实践
        • 角色分配
          • 架构师
          • 开发人员
          • DevOps
        • 何时不要使用微服务
      • 使用 spring boot 构建微服务
        • 创建项目
        • 集成 swagger
        • 添加国际化支持
        • 集成 Spring HATEOAS(失败)
        • 集成docker
      • Spring Cloud Config
        • 配置管理的四原则
        • 构建 Config 服务端
          • 本地文件系统
          • Git
        • Spring Boot 客户端集成 Config 服务
        • 刷新属性
        • 保护敏感配置信息
      • 服务发现 Eureka
        • 服务发现机制
        • 构建 Eureka 服务端
        • 客户端注册
        • 使用服务发现来查找服务
          • 使用 Spring Discovery Client 查找服务实例
          • 使用带有 Load Balancer 功能的 RestTemplate 调用服务
          • 使用 Netflix Feign 客户端调用服务
        • 集群
      • 客户端弹性模式Resilience4j
        • 客户端弹性模式
          • 客户端弹性模式是什么
          • 为什么需要客户端弹性模式
          • 客户端负载均衡模式
          • 断路器模式
          • 后备模式
          • 舱壁模式
        • 重试模式
        • 限流模式
        • ThreadLocal与Resilience4j
      • 网关Spring Cloud Gateway
        • 什么是服务网关?
        • Spring Cloud Gateway
          • 构建网关服务
          • 在Spring Cloud Gateway中配置路由
            • 使用服务发现进行自动路由映射
            • 使用服务发现进行手动路由映射
            • 动态重新加载路由配置
          • 谓词和过滤器工厂
            • 内置的谓词工厂
            • 内置的过滤器工厂
              • RequestRateLimiter
              • TokenRelay
              • CircuitBreaker
            • 自定义过滤器
          • CORS
        • 实例:关联ID
          • 预过滤器
          • 在服务中使用关联ID
          • 构建一个接收关联ID的后过滤器
      • Securing
        • OAuth2
          • 资源拥有者凭据许可
          • 客户端凭据许可
          • 授权码许可
          • 隐式许可
          • 令牌刷新
        • Keycloak
          • Docker 容器
          • 配置 Keycloak
          • 使用用户进行认证
        • 实例
          • 使用Keycloak保护 organization 服务
          • 传递访问令牌
          • 解析JWT中的字段
        • 关于微服务安全性的一些建议
      • Spring Cloud Stream
        • 消息传递架构
        • 引入 Spring Cloud Stream
          • 绑定(Bindings)
          • 目标绑定器(Destination Binders)
          • 配置选项
        • 编写一个简单的消息生产者和消费者
          • 配置Apache Kafka和Redis
          • 在organization服务中编写消息生产者
          • 在licensing服务中编写消息消费者
          • 使用avro
        • Spring Cloud Stream 使用范例: 分布式缓存
          • 使用Redis缓存
      • Spring Cloud Sleuth 和 Zipkin
        • Micrometer Tracing
        • 分布式追踪
        • 日志聚合
    • Spring Cloud Alibaba
      • 版本说明
      • Nacos
        • 什么是 Nacos?
        • 安装 Nacos Server
          • Windows
          • Docker
        • 与 Spring Cloud Gateway 集成
        • 使用 Nacos Client
          • 服务注册与发现
          • 配置管理
            • 自定义 namespace 的配置
            • 自定义 Group 的配置
            • 自定义扩展的 Data Id 配置
            • 完全关闭配置
  • Group 2
    • 遇到的问题
      • resilience4j
      • oauth2
      • 在Spring Cloud Stream中混合使用avro和JSON
      • Spring Cloud Stream 消费avro数据
      • 因为IDEA断点阻塞引起的一个乌龙
    • Spring 如何解决循环依赖问题
      • Spring 为什么不能解决构造器的循环依赖?
      • Spring 为什么不能解决 prototype 作用域循环依赖?
      • 为什么要使用三级缓存呢?二级缓存能解决循环依赖吗?
    • Spring 框架中用到了哪些设计模式?
    • Spring 事务
    • spring boot 问题
      • SpringBoot自动配置的原理
      • Spring Boot的核心注解
      • SpringBoot 打成 jar 和普通的 jar 有什么区别?
    • Quartz
      • Page 1
      • https://www.cnblogs.com/konglxblog/p/17110558.html
Powered by GitBook
On this page
  • 修改服务网关配置
  • 修改 Licensing 服务
  • 配置与 organization 服务一样
  • RestTemplate
  1. Group 1
  2. Spring Cloud
  3. Securing
  4. 实例

传递访问令牌

Previous使用Keycloak保护 organization 服务Next解析JWT中的字段

Last updated 1 year ago

下图展示了用户令牌是如何通过网关、licensing 服务,然后传递到 organization 服务的:

  1. 用户已经通过Keycloak服务器进行了身份认证,并调用了O-stock Web应用程序。

    • 用户的访问令牌存储在用户的会话中。

    • O-stock Web应用程序需要检索一些许可数据并调用 licensing 服务的REST端点。

    • 在调用许可REST端点的过程中,O-stock Web应用程序通过HTTP Authentication 标头添加了访问令牌。

  2. 服务网关查找 licensing 服务端点,然后将调用转发到 licensing 服务的其中一个服务器。服务网关复制传入调用的HTTP Authentication 标头,并确保将HTTP标头转发到新的端点。

  3. licensing 服务接收传入的调用。

    1. 由于 licensing 服务是受保护资源,licensing 服务将使用Keycloak服务器验证令牌,然后检查用户的角色以获取适当的权限。

    2. licensing 服务调用 organization 服务。在执行该操作时,licensing 服务需要将用户的访问令牌传播到organization 服务。

  4. 当organization 服务接收到调用时,它获取HTTP Authentication 标头并使用Keycloak服务器验证令牌。

修改服务网关配置

首先需要修改网关以便将访问令牌传递给 licensing服务。默认情况下,网关不会将诸如 Cookie、Set-cookie和Authorization之类的敏感HTTP标头转发到下游服务。为了允许HTTP Authorization 标头的传播,我们需要在Spring Cloud Config存储库中的gateway-server.yml配置文件中添加以下默认过滤器:

spring:
  cloud:
    gateway:
      default-filters:
        - RemoveRequestHeader=Cookie,Set-Cookie

这个配置表示一个敏感标头的黑名单,网关将阻止这些标头传播到下游服务。在RemoveRequestHeader列表中不包含 Authorization 值意味着网关将允许该标头传递。如果我们不设置这个配置属性,网关会自动阻止所有三个值(Cookie、Set-Cookie和Authorization)的传播。

修改 Licensing 服务

接下来,我们需要配置 licensing 服务以包含Keycloak和Spring Security的依赖项,并设置服务所需的授权规则。最后,我们需要将Keycloak属性添加到配置服务器中的应用程序属性文件。

配置与 organization 服务一样

RestTemplate

如果没有Spring Security,我们将不得不编写一个servlet过滤器来获取传入 licensing 服务调用的HTTP标头,然后将其添加到 licensing 服务中的每个出站服务调用中。

找了一圈,无论是 keycloak 还是 spring 都没有准确的配置方案,官方文档上给出的方案均证明失效!!

最后,没有办法,只能根据 Spring Security 中的做法自定义一个 Interceptor:

OAuth2TokenInterceptor 
@Component
public class OAuth2TokenInterceptor implements
        ClientHttpRequestInterceptor, RequestInterceptor {
    @Override
    public ClientHttpResponse intercept(
            HttpRequest request, byte[] body,
            ClientHttpRequestExecution execution)
            throws IOException {

        String token = getToken();
        if (token != null)
            request.getHeaders().setBearerAuth(token);
        return execution.execute(request, body);
    }

    @Override
    public void apply(RequestTemplate template) {
        String token = getToken();
        if (token != null)
            template.header(HttpHeaders.AUTHORIZATION, "Bearer " + token);
    }

    private String getToken() {
        Authentication authentication = SecurityContextHolder
                .getContext().getAuthentication();
        if (authentication != null) {
            Object credentials = authentication.getCredentials();
            if (credentials instanceof AbstractOAuth2Token) {
                AbstractOAuth2Token token = (AbstractOAuth2Token)
                        credentials;
                return token.getTokenValue();
            }
        }
        return null;
    }
}

将 OAuth2TokenInterceptor 注入到 RestTemplate 中:

RestTemplate Bean
@Bean
@LoadBalanced
public RestTemplate restTemplate() {
    RestTemplate template = new RestTemplate();
    List<ClientHttpRequestInterceptor> interceptors = template.getInterceptors();
    // Adds UserContextInterceptor to the RestTemplate instance
    if (interceptors == null) {
        interceptors = Arrays.asList(oAuth2TokenInterceptor, userContextInterceptor);
        template.setInterceptors(interceptors);
    } else {
        interceptors.add(oAuth2TokenInterceptor);
        interceptors.add(userContextInterceptor);
        template.setInterceptors(interceptors);
    }
    return template;
}

注意:

OAuth2TokenInterceptor 的原理是 Spring Security 提供了一个拦截器,将请求中传递的 Authroization 头保存到了 SecurityContextHolder 中,而 SecurityContextHolder 很明显是基于 ThreadLocal 来保存Authorization 对象的。

因此,如果使用 CircuitBreakerFactory 的方式调用远程服务,因为 ThreadLocal 传递不进去,因此哪怕将 OAuth2TokenInterceptor 注入了 RestTemplate,一样无法传播,需要在代码中进行手动处理:

final Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        try {
            return circuitBreakerFactory.create(ORGANIZATION_SERVICE).run(
                    () -> {
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                        log.debug("CircuitBreakerFactory Correlation id: {}",
                                UserContextHolder.getContext().getCorrelationId());
                        return organizationFeignClient.getOrganization(organizationId);
                    },
                    throwable -> getOrgBackup(organizationId, throwable)
            );
        } catch (Exception e) {
使用Keycloak保护 organization 服务