关于gateway与oauth2的兼容问题处理

给自己做减法2024-07-26 9:03

文章目录

前言

令牌鉴权方案的选择上,比较流行的有spring security + 自定义的令牌(比如JWT令牌)、spring security+oauth2,假如使用了spring security + oauth2的方案,在使用上oauth2提供有ResourceServerTokenServices用于解决资源服务对令牌的权限的校验,当访问资源服务的时候,token令牌经过ResourceServerTokenServices的loadAuthentication方法完成验证。

但是当服务无需做非常细致的服务划分的时候,也就是将一个项目当做一个整体资源,这个时候就涉及到在网关校验即可,其他微服务无需二次校验。

问题

目前流行的网关方案是spring gateway(spring框架),但是gateway为了实现高效,底层使用Spring WebFlux,Spring WebFlux是Spring 5.0引入的新的响应式框架,区别于SpringMVC,它不需要依赖Servlet API,它是完全异步非阻塞的,所以引入oauth2-resource的时候会发现启动报错,配置需要基于servlet。

解决方案

手写RPC

手写http访问oauth2的check_token接口实现对token令牌的校验,实现起来比较简单,可以用在网关的过滤器上。下面举个例子

复制代码 
  WebClient webClient = WebClient.create("http://localhost:9900");
        webClient.post()
                .uri("/oauth/check_token?token=" + token.substring(7))
                .header("Authorization", basic)
                .exchange()
                .flatMap(response -> {
                    HttpStatus status = response.statusCode();
                    if (status.is2xxSuccessful()) {
                        return response.bodyToMono(Map.class);
                    } else {
                        return response.createException().flatMap(Mono::error);
                    }
                }).subscribe(responseBody -> {
            log.info("post请求响应数据:{}", responseBody);
            if (Objects.isNull(responseBody) || responseBody.isEmpty()) {
                return;
            }
        }, error -> {
            log.error("post请求发生异常:", error);
        });

采用spring feign调用

据说在高版本需要对feign调用进行改造完成响应式的feign,因为spring自身并没有提供解决方案,暂时不在考虑范围。目前基于jdk8的最高版本也就是2.7.18,并没有这困扰。

下面Mono是用于测试响应式的feign调用

复制代码 
@FeignClient(name = ServerNameConstant.AUTHORITY_CENTER, path = "/authorityCenter/auth", fallback = AuthRemoteFallback.class)
public interface AuthRemote {

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUser")
    ResponseVO<UserResDTO> getUser(@RequestBody GetUserReqDTO in);

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUserMono")
    Mono<ResponseVO<UserResDTO>> getUserMono(@RequestBody GetUserReqDTO in);

}

网关过滤器中调用

复制代码 
ResponseVO<UserResDTO> res = oauthRemote.getUser(new GetUserReqDTO(token));

采用JWT解析

JWT具有去中心化的特点,也就能实现无需访问oauth2的鉴权服务就能自行解析令牌,但是也会带来风险,就是秘钥泄露,所以这种方案不能用于安全性要求高的服务。

oauth2也针对JWT提供一个方案(假设不是用resource依赖包,等你升级到spring 3版本以后就能知道了,低版本还可以用spring cloud oauth2,高版本就必须用resource),这个方案考虑到秘钥安全,采用数字自签证书实现公钥的分发,就能很好的避免伪造令牌问题(除非私钥也泄密,那就另外采取一套措施保护私钥)。

相关推荐
A叶子叶2 天前
Kong网关部署研究
python·spring cloud·微服务·gateway·kong
甜可儿4 天前
Gateway实战入门(四)、断言-请求头以及请求权重分流等
java·spring cloud·gateway
INFINI Labs4 天前
实现极限网关(INFINI Gateway)配置动态加载
gateway
brhhh_sehe9 天前
【Java面试系列】初识GateWay网关
java·面试·gateway
程序媛学姐9 天前
SpringCloud网关:Gateway路由配置与过滤器链
java·spring cloud·gateway
时雨h11 天前
微服务架构-网关学习 以Spring Cloud Gateway为例 详细功能模块解读
微服务·架构·gateway
ronshi14 天前
Spring Cloud Gateway 使用ribbon以及nacos实现灰度发布
ribbon·nacos·gateway·灰度
carfied-feifei15 天前
云安全相关博客阅读(四)
云原生·gateway·云安全
你啊我啊你好19 天前
Spring cloud Gateway中的GlobalFilter接口及其方法
java·开发语言·缓存·gateway·软件工程
qw94921 天前
SpringCloud——Gateway新一代网关
spring boot·spring cloud·gateway
热门推荐
01我决定放弃搞 Java 了02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程05苍穹外卖面试总结06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07RAG 实践- Ollama+RagFlow 部署本地知识库08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09如何本地部署AI智能体平台,带你手搓一个AI Agent10Android下HWC以及drm_hwcomposer普法(上)