中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

基于OpenID?Connect及Token?Relay怎么實現Spring?Cloud?Gateway

發布時間:2022-06-22 13:47:08 來源:億速云 閱讀:236 作者:iii 欄目:開發技術

這篇文章主要介紹“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”的相關知識,小編通過實際案例向大家展示操作過程,操作方法簡單快捷,實用性強,希望這篇“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”文章能幫助大家解決問題。

前言

當與Spring Security 5.2+ 和 OpenID Provider(如KeyClope)結合使用時,可以快速為OAuth3資源服務器設置和保護Spring Cloud Gateway。

Spring Cloud Gateway旨在提供一種簡單而有效的方式來路由到API,并為API提供跨領域的關注點,如:安全性、監控/指標和彈性。

我們認為這種組合是一種很有前途的基于標準的網關解決方案,具有理想的特性,例如對客戶端隱藏令牌,同時將復雜性保持在最低限度。

我們基于WebFlux的網關帖子探討了實現網關時的各種選擇和注意事項,本文假設這些選擇已經導致了上述問題。

實現

我們的示例模擬了一個旅游網站,作為網關實現,帶有兩個用于航班和酒店的資源服務器。我們使用Thymeleaf作為模板引擎,以使技術堆棧僅限于Java并基于Java。每個組件呈現整個網站的一部分,以在探索微前端時模擬域分離。

Keycloak

我們再一次選擇使用keyclope作為身份提供者;盡管任何OpenID Provider都應該工作。配置包括創建領域、客戶端和用戶,以及使用這些詳細信息配置網關。

網關

我們的網關在依賴關系、代碼和配置方面非常簡單。

依賴項

  • OpenID Provider的身份驗證通過org.springframework.boot:spring-boot-starter-oauth3-client

  • 網關功能通過org.springframework.cloud:spring-cloud-starter-gateway

  • 將令牌中繼到代理的資源服務器來自org.springframework.cloud:spring-cloud-security

代碼

除了常見的@SpringBootApplication注釋和一些web控制器endpoints之外,我們所需要的只是:

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,
    ReactiveClientRegistrationRepository clientRegistrationRepository) {
  // Authenticate through configured OpenID Provider
  http.oauth3Login();

  // Also logout at the OpenID Connect provider
  http.logout(logout -> logout.logoutSuccessHandler(
    new OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)));

  // Require authentication for all requests
  http.authorizeExchange().anyExchange().authenticated();

  // Allow showing /home within a frame
  http.headers().frameOptions().mode(Mode.SAMEORIGIN);

  // Disable CSRF in the gateway to prevent conflicts with proxied service CSRF
  http.csrf().disable();
  return http.build();
}

配置

配置分為兩部分;OpenID Provider的一部分。issuer uri屬性引用RFC 8414 Authorization Server元數據端點公開的bij Keyclope。如果附加。您將看到用于通過openid配置身份驗證的詳細信息。請注意,我們還設置了user-name-attribute,以指示客戶機使用指定的聲明作為用戶名。

spring:
  security:
    oauth3:
      client:
        provider:
          keycloak:
            issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm
            user-name-attribute: preferred_username
        registration:
          keycloak:
            client-id: spring-cloud-gateway-client
            client-secret: 016c6e1c-9cbe-4ad3-aee1-01ddbb370f32

網關配置的第二部分包括到代理的路由和服務,以及中繼令牌的指令。

spring:
  cloud:
    gateway:
      default-filters:
      - TokenRelay
      routes:
      - id: flights-service
        uri: http://127.0.0.1:8081/flights
        predicates:
        - Path=/flights/**
      - id: hotels-service
        uri: http://127.0.0.1:8082/hotels
        predicates:
        - Path=/hotels/**

TokenRelay激活TokenRelayGatewayFilterFactory,將用戶承載附加到下游代理請求。我們專門將路徑前綴匹配到與服務器對齊的server.servlet.context-path

測試

OpenID connect客戶端配置要求配置的提供程序URL在應用程序啟動時可用。為了在測試中解決這個問題,我們使用WireMock記錄了keyclope響應,并在測試運行時重播該響應。一旦啟動了測試應用程序上下文,我們希望向網關發出經過身份驗證的請求。為此,我們使用Spring Security 5.0中引入的新SecurityMockServerConfigurers#authentication(Authentication)Mutator。使用它,我們可以設置可能需要的任何屬性;模擬網關通常為我們處理的內容。

資源服務器

我們的資源服務器只是名稱不同;一個用于航班,另一個用于酒店。每個都包含一個顯示用戶名的最小web應用程序,以突出顯示它已傳遞給服務器。

依賴項

我們添加了org.springframework.boot:spring-boot-starter-oauth3-resource-server到我們的資源服務器項目,它可傳遞地提供三個依賴項。

  • 根據配置的OpenID Provider進行的令牌驗證通過org.springframework.security:spring-security-oauth3-resource-server

  • JSON Web標記使用org.springframework.security:spring-security-oauth3-jose

  • 自定義令牌處理需要org.springframework.security:spring-security-config

代碼

我們的資源服務器需要更多的代碼來定制令牌處理的各個方面。

首先,我們需要掌握安全的基本知識;確保令牌被正確解碼和檢查,并且每個請求都需要這些令牌。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    // Validate tokens through configured OpenID Provider
    http.oauth3ResourceServer().jwt().jwtAuthenticationConverter(jwtAuthenticationConverter());
    // Require authentication for all requests
    http.authorizeRequests().anyRequest().authenticated();
    // Allow showing pages within a frame
    http.headers().frameOptions().sameOrigin();
  }

  ...
}

其次,我們選擇從keyclope令牌中的聲明中提取權限。此步驟是可選的,并且將根據您配置的OpenID Provider和角色映射器而有所不同。

private JwtAuthenticationConverter jwtAuthenticationConverter() {
  JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
  // Convert realm_access.roles claims to granted authorities, for use in access decisions
  converter.setJwtGrantedAuthoritiesConverter(new KeycloakRealmRoleConverter());
  return converter;
}
[...]
class KeycloakRealmRoleConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
  @Override
  public Collection<GrantedAuthority> convert(Jwt jwt) {
    final Map<String, Object> realmAccess = (Map<String, Object>) jwt.getClaims().get("realm_access");
    return ((List<String>) realmAccess.get("roles")).stream()
      .map(roleName -> "ROLE_" + roleName)
      .map(SimpleGrantedAuthority::new)
      .collect(Collectors.toList());
  }
}

第三,我們再次提取preferred_name作為身份驗證名稱,以匹配我們的網關。

@Bean
public JwtDecoder jwtDecoderByIssuerUri(<a href="https://javakk.com/tag/oauth3" rel="external nofollow"  target="_blank" >OAuth3</a>ResourceServerProperties properties) {
  String issuerUri = properties.getJwt().getIssuerUri();
  NimbusJwtDecoder jwtDecoder = (NimbusJwtDecoder) JwtDecoders.fromIssuerLocation(issuerUri);
  // Use preferred_username from claims as authentication name, instead of UUID subject
  jwtDecoder.setClaimSetConverter(new UsernameSubClaimAdapter());
  return jwtDecoder;
}
[...]
class UsernameSubClaimAdapter implements Converter<Map<String, Object>, Map<String, Object>> {

  private final MappedJwtClaimSetConverter delegate = MappedJwtClaimSetConverter.withDefaults(Collections.emptyMap());

  @Override
  public Map<String, Object> convert(Map<String, Object> claims) {
    Map<String, Object> convertedClaims = this.delegate.convert(claims);
    String username = (String) convertedClaims.get("preferred_username");
    convertedClaims.put("sub", username);
    return convertedClaims;
  }

}

配置

在配置方面,我們又有兩個不同的關注點。

首先,我們的目標是在不同的端口和上下文路徑上啟動服務,以符合網關代理配置。

server:
  port: 8082
  servlet:
    context-path: /hotels/

其次,我們使用與網關中相同的頒發者uri配置資源服務器,以確保令牌被正確解碼和驗證。

spring:
  security:
    oauth3:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm

測試

酒店和航班服務在如何實施測試方面都采取了略有不同的方法。Flights服務將JwtDecoder bean交換為模擬。相反,酒店服務使用WireMock回放記錄的keyclope響應,允許JwtDecoder正常引導。兩者都使用Spring Security 5.2中引入的new jwt()RequestPostProcessor來輕松更改jwt特性。哪種風格最適合您,取決于您想要具體測試的JWT處理的徹底程度和方面。

關于“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識,可以關注億速云行業資訊頻道,小編每天都會為大家更新不同的知識點。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

巫溪县| 潮安县| 那坡县| 健康| 陕西省| 绿春县| 进贤县| 正蓝旗| 梁平县| 广宗县| 新乡市| 易门县| 崇礼县| 吉林省| 城口县| 黄梅县| 鹿邑县| 北海市| 镇平县| 商城县| 东阳市| 航空| 富蕴县| 瑞丽市| 云南省| 南溪县| 汝州市| 双江| 眉山市| 兴城市| 莫力| 永平县| 克拉玛依市| 泸溪县| 元江| 福清市| 安多县| 和林格尔县| 普格县| 崇礼县| 临漳县|