码迷,mamicode.com
首页 > 编程语言 > 详细

Spring cloud微服务安全实战-4-6搭建OAuth2资源服务器

时间:2019-11-26 23:12:00      阅读:275      评论:0      收藏:0      [点我收藏+]

标签:包含   配置   ica   远程服务   资源   默认   访问   auth   方法   

认证服务器已经搭建好了。 可以通过认证服务器拿到令牌
下面改造订单服务,让它可以用这个令牌。
技术图片
争对订单服务要做三个事,
1。让订单服务知道它自己是Oauth协议里面的资源服务器。,它知道这个事后,它才会在自己的应用前面去加一个过滤器,然后去校验这个令牌。
2.让它知道自己是什么资源服务器。让它声明一下,因为我们之前在认证服务器上,下面这个地方配置了发出去的令牌只能访问order-server这样一个资源服务器。所以我让它自己知道它是order-server
技术图片
3.在订单服务上,配置怎么去验证这个令牌。去哪验,验的时候要带什么信息。这些都是在订单服务上要做的事情。

开始写代码

这里先注释掉。
技术图片
创建server.resources包
技术图片

pom.xml内引入oauth2的引用。这样就会把Oauth协议相关的资源引进来。
技术图片
有了依赖后,来写代码
继承这个适配器。
技术图片
技术图片
@EnableResourceServer告诉OrderService这个应用,它本身是作为oauth协议里面的资源服务器的角色存在的
技术图片
ResourceServerConfigurerAdapter有两个配置方法,一个是配资源服务器的,本身的相关的配置
两外一个是HttpSecurity相关的配置。
技术图片
@EbableResourceServer配置好了以后,表示它是一个资源服务器,下面只要配置资源服务器的id
技术图片

下面是认证中心的定义
技术图片
覆盖掉配置方法configure方法,一定要配置在认证中心定义的一样。叫做order-server
技术图片
那么我给orderAapp发出去的令牌现在只能访问order-server
技术图片

另一个方法实际上是在控制器权限

加上EnableResourceServer的注解后,所有发往order-api服务器的所有请求,它都会去你的头里面找Token。如果找不到token就不让你过。就是这样一个逻辑。
技术图片
这个逻辑实际上这里来控制的,这是默认的一个配置。anyRequest就是任何请求,authenticated 是一定要身份认证。
技术图片
所以就因为有了上面的配置,当我启动了以后,order-server里面提供所有的服务都会去验证token,没有token就不让过。有些情况下我们会去做权限控制。哪些请求需要验令牌,哪些请求不需要验令牌,当你需要做这样的控制的时候。就可以覆盖下面这个方法。重写里面的配置。
技术图片
除了哈哈这个请求意外,其他的都需要验证令牌。
技术图片
技术图片

验证令牌-配置文件

验证令牌怎么来验,我们写另外一个配置文件。
技术图片

技术图片

写上这两个注解
技术图片
从图里可以看到,我们验证令牌 需要发一个远程的请求到认证服务器。
技术图片
需要声明一个新的Bean来做这个事。资源服务器的令牌服务。ResourceServerTokenServices它是一个接口,我们会有各种各样的实现。
技术图片
我们用的这个实现叫做 RemoteTokenServices,从名字可以看出来,它是一个调用远程服务的TokenServices
技术图片

调用远程服务就要告诉他clientId和clientSecret。
setCheckTokenEndpointUrl:校验服务的地址。
技术图片
技术图片

还要让它知道调用这个服务去验token,所谓的验token,就是拿这个token去获取用户信息,问一下认证服务器,这个令牌对应的用户信息是什么样的

如果你想验证 跟用户相关的信息,应该用这个AuthenticationManager
技术图片

所以这里我要覆盖掉的方法是authenticationManager
技术图片
把AuthenticationManagger暴露成一个Bean。加上@Bean注解。
技术图片
这个时候就不能用系统默认的了 ,我们要自己写一个AuthenticationManager
技术图片
那么做了这个配置以后。当我们的资源服务器,也就是order-api拦截到请求里面的token的时候。他就会调用这个方法来验证这个token
技术图片
tokenServices里面配置的这个地址去验证token。获取token对应的用户信息。
技术图片

获取到用户信息之后,如何让我自己写的这个应用知道这个用户信息。比如创建订单的时候,带着一个令牌来访问创建订单的方法,那么在创建订单的方法里面,我如何知道这个令牌里的用户信息到底是哪个用户。
用@AuthenticationPrincipal 这样就拿到了用户名。这里目前写String,拿到用户名。
技术图片
日志输出拿到的用户名。技术图片

启动服务

技术图片
端口是9080
技术图片

调用创建订单的服务
技术图片
因为已经加上资源服务的配置了,所以调用的时候 就是401错误。需要认证认证了。
技术图片
之前拿令牌的方法 我们再去获取下
技术图片
 反复申请的令牌,如果没过期,他会把这个令牌再给你。只不过 过期时间减少了。
技术图片
在创建订单的服务上面 ,加上这个 authorization 值是复制过来的token令牌。
技术图片
httpBasic也是用的 authorization的请求头,那么服务器如果知道你是HttpBasic还是OAuth2的令牌。我们在token前面加上 bearer 空格+token。
这样服务器就知道这是Oauth2的令牌,他就会用不同的逻辑去解这个令牌。
技术图片

技术图片

控制台输出的用户名
技术图片

如果order-api的配置文件内把自己的resourceId改掉了,改成xxx-server
技术图片
再次启动orderAPi
技术图片
再去发送创建订单的请求
技术图片
access_denied:没权限

技术图片

这是一个无效的token,里面没有包含xxx-server的权限。
技术图片
token在下发的时候可以访问order-server。上面的服务器是xxx-server所以是访问不了的技术图片

获取到的用户名

就是我们在获取token的时候,传过去的用户名。

技术图片

调用创建订单的服务
技术图片
创建订单的服务里面,写这样一个注解 就拿到了令牌对应的用户名是谁了。技术图片

修改其他的

比如说修改ClientSecret改成 1234567 加了个7 这样就是错误的了。
技术图片
重启orderAPI的服务
去验证令牌的时候,信息传错了。
技术图片
技术图片
看下控制台的错误信息。401就是身份认证失败。为什么认证失败 就是因为clientSceret传错了。
技术图片
现在确实是通过一个远程的服务验证令牌的
技术图片

资源服务器相关的内容,暂时就讲到这里。

结束

 

Spring cloud微服务安全实战-4-6搭建OAuth2资源服务器

标签:包含   配置   ica   远程服务   资源   默认   访问   auth   方法   

原文地址:https://www.cnblogs.com/wangjunwei/p/11938696.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!