SpringCloud微服务间安全调用实现

如果对你有用，请记得点赞哦！！！！

SpringCloud服务间安全调用实现

目前项目中用到了微服务认证这块的技术，查看了相当一大部分的资料发现现在网上的资料都很不全，很零散。而且很多都运行不起来。

简单的介绍一下认证。
传统的项目都是使用session来管理用户的登录信息，返回前端sessionId保存在cookie中。但是在分布式情况下利用session去管理的场景就很少了，也不是不可以，如果你对session很热爱使用它的话，那就没必要继续往下看了。

在我们微服务restful风格下，应该怎么去保证安全信息呢。相信大家可能了解过token，也就是我们熟说的令牌，有人问我什么是token，Token 和 Session ID 不同，并非只是一个 key。Token 一般会包含用户的相关信息，通过验证 Token 就可以完成身份校验。

这里我们先简单介绍一下我们使用的token格式。

采用jwt（JSON WEB TOKEN）
JWT 是由三段信息构成的，第一段为头部（Header），第二段为载荷（Payload)，第三段为签名（Signature）。每一段内容都是一个 JSON 对象，将每一段 JSON 对象采用 BASE64 编码，将编码后的内容用. 链接一起就构成了 JWT 字符串。

认证协议采用Oauth2.0
OAuth 是一种开放的协议，为桌面程序或者基于 BS 的 web 应用提供了一种简单的，标准的方式去访问需要用户授权的 API 服务。OAUTH 认证授权具有以下特点：

简单：不管是 OAuth 服务提供者还是应用开发者，都很容易于理解与使用；

安全：没有涉及到用户密钥等信息，更安全更灵活；

开放：任何服务提供商都可以实现 OAuth，任何软件开发商都可以使用 OAuth；

关于jwt和Oauth我们就不做过多的介绍了。大家直接去百度一大堆，这种内容写出来就没有技术含量了。

思考一个问题：就是在分布式情况下，我们怎么去生成这个token？在哪里生成是最好的呢？

现在我们举例说明，有三个服务，会员，订单，支付，这个三个服务，他们都需要用户验证，我们不可能在每个系统中去写一个认证过程，所以，我们的认证是一个单独的服务。

认证流程：用户提供用户信息，到认证中心验证，成功就返回一个token，访问其他服务的时候在请求头携带上token信息，服务只需要去解析token的值就可以了，这样做既满足了微服务轻量级的需求，也避免了了浏览器禁用cookie的情况，岂不美哉。

我们要知道一个事情，对于我们的认证服务器来说，只有两种服务，那就是认证服务器和资源服务器，所有我们这里的会员，订单，支付服务，对于认证服务器来说都是资源服务器。

搭建认证服务

我们采用SpringSecurity Oauth2.0 JWT Redis搭建服务

采用SpringSecurity的密码模式，其他模式请自行百度参考，这里提供当前认证的最需求的做法。

pom.xml

<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>1.5.2.RELEASE</version><relativePath /> <!-- lookup parent from repository --></parent><properties><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding><java.version>1.8</java.version></properties><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework.security.oauth</groupId><artifactId>spring-security-oauth2</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-jwt</artifactId></dependency><dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.40</version></dependency></dependencies><dependencyManagement><dependencies><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><version>Dalston.RC1</version><type>pom</type><scope>import</scope></dependency></dependencies></dependencyManagement><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId><configuration><archive><manifest><mainClass>com.cdhenren.AuthApplication</mainClass></manifest></archive></configuration></plugin></plugins></build><repositories><repository><id>spring-milestones</id><name>Spring Milestones</name><url>https://repo.spring.io/milestone</url><snapshots><enabled>false</enabled></snapshots></repository></repositories>

配置文件application.yml

server:port: 8080
spring:redis:host: 127.0.0.1password: nullport: 6379pool:max-idle: 100min-idle: 1max-active: 1000max-wait: -1
logging:level: per.lx: DEBUG

配置认证服务

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {// 资源IDprivate static final String SOURCE_ID = "order";private static final int ACCESS_TOKEN_TIMER = 60 * 60 * 24;private static final int REFRESH_TOKEN_TIMER = 60 * 60 * 24 * 30;@AutowiredAuthenticationManager authenticationManager;@AutowiredRedisConnectionFactory redisConnectionFactory;@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("myapp").resourceIds(SOURCE_ID).authorizedGrantTypes("password", "refresh_token").scopes("all").authorities("ADMIN").secret("lxapp").accessTokenValiditySeconds(ACCESS_TOKEN_TIMER).refreshTokenValiditySeconds(REFRESH_TOKEN_TIMER);}@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {endpoints.accessTokenConverter(accessTokenConverter());endpoints.tokenStore(tokenStore()).authenticationManager(authenticationManager);}@Overridepublic void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {// 允许表单认证oauthServer.allowFormAuthenticationForClients();}// JWT@Beanpublic JwtAccessTokenConverter accessTokenConverter() {JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter() {/**** 重写增强token方法,用于自定义一些token总需要封装的信息*/@Overridepublic OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {String userName = authentication.getUserAuthentication().getName();// 得到用户名，去处理数据库可以拿到当前用户的信息和角色信息（需要传递到服务中用到的信息）final Map<String, Object> additionalInformation = new HashMap<>();// Map假装用户实体Map<String, String> userinfo = new HashMap<>();userinfo.put("id", "1");userinfo.put("username", "LiaoXiang");userinfo.put("qqnum", "438944209");userinfo.put("userFlag", "1");additionalInformation.put("userinfo", JSON.toJSONString(userinfo));((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInformation);OAuth2AccessToken enhancedToken = super.enhance(accessToken, authentication);return enhancedToken;}};// 测试用,资源服务使用相同的字符达到一个对称加密的效果,生产时候使用RSA非对称加密方式accessTokenConverter.setSigningKey("SigningKey");return accessTokenConverter;}@Beanpublic TokenStore tokenStore() {RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFactory);return tokenStore;}}

安全认证配置

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {// 请配置这个，以保证在刷新Token时能成功刷新@Autowiredpublic void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {// 配置用户来源于数据库auth.userDetailsService(userDetailsService());}@Bean@Overrideprotected UserDetailsService userDetailsService() {// 这里是添加两个用户到内存中去，实际中是从#下面去通过数据库判断用户是否存在InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("user_1").password("123456").authorities("USER").build());manager.createUser(User.withUsername("user_2").password("123456").authorities("USER").build());return manager;// #####################实际开发中在下面写从数据库获取数据###############################// return new UserDetailsService() {// @Override// public UserDetails loadUserByUsername(String username) throws// UsernameNotFoundException {// // 通过用户名获取用户信息// boolean isUserExist = false;// if (isUserExist) {// //创建spring security安全用户和对应的权限（从数据库查找）// User user = new User("username", "password",// AuthorityUtils.createAuthorityList("admin", "manager"));// return user;// } else {// throw new UsernameNotFoundException("用户[" + username + "]不存在");// }// }// };}@Overrideprotected void configure(HttpSecurity http) throws Exception {// @formatter:offhttp.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/oauth/**").permitAll();// @formatter:on}
}

到这里一个认证服务器就搭建成功了。

我们写一个启动类来启动

@SpringBootApplication
public class AuthApp {public static void main(String[] args) {SpringApplication.run(AuthApp.class, args);}
}

启动后发现控制台输出了我们的请求连接（表明集成成功）

然后我们用postman进行请求模拟

请求参数中的信息来自于配置文件，不同的话不能生成成功。用户信息请自行修改代码从数据库获取

可以看到我们的返回信息中包含的信息，其中有固定的信息和我们自定义的信息。

顺便看看我们的Redis中存储的认证信息，可以看到redis新增了很多信息

到这里我们的认证服务就搭建成功了，就可以用来访问其他的服务了
#######################################################################

我们这里来搭建资源服务器，也就是通过TOKEN去访问的服务

pom.xml

<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>1.5.2.RELEASE</version><relativePath /></parent><properties><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding><java.version>1.8</java.version></properties><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework.security.oauth</groupId><artifactId>spring-security-oauth2</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-jwt</artifactId></dependency><dependency><groupId>commons-lang</groupId><artifactId>commons-lang</artifactId><version>2.6</version></dependency><dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.40</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.7.0</version></dependency></dependencies><dependencyManagement><dependencies><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><version>Dalston.RC1</version><type>pom</type><scope>import</scope></dependency></dependencies></dependencyManagement><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId><configuration><archive><manifest><mainClass>com.cdhenren.AuthApplication</mainClass></manifest></archive></configuration></plugin></plugins></build><repositories><repository><id>spring-milestones</id><name>Spring Milestones</name><url>https://repo.spring.io/milestone</url><snapshots><enabled>false</enabled></snapshots></repository></repositories>

新建一个资源服务配置文件ResourceConfiguration.java
我们这里配置以/order/*开头的请求不用认证

@Configuration
@EnableResourceServer
public class ResourceConfiguration extends ResourceServerConfigurerAdapter {private static final String SOURCE_ID = "order";@Autowiredprivate RedisConnectionFactory redisConnectionFactory;@Override@CrossOriginpublic void configure(ResourceServerSecurityConfigurer resources) {resources.resourceId(SOURCE_ID).stateless(true);resources.tokenServices(defaultTokenServices());}@Overridepublic void configure(HttpSecurity http) throws Exception {// @formatter:off// 我们这里放开/order/*的请求，以/order/*开头的请求不用认证http.authorizeRequests().antMatchers("/order/*").permitAll().and().authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll().anyRequest().authenticated();// @formatter:on}// 自定义的Token存储器，存到Redis中@Beanpublic TokenStore tokenStore() {RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFactory);return tokenStore;}// Token转换器@Beanpublic JwtAccessTokenConverter accessTokenConverter() {JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter() {};accessTokenConverter.setSigningKey("SigningKey");return accessTokenConverter;}/*** 创建一个默认的资源服务token*/@Beanpublic ResourceServerTokenServices defaultTokenServices() {final DefaultTokenServices defaultTokenServices = new DefaultTokenServices();// 使用自定义的Token转换器defaultTokenServices.setTokenEnhancer(accessTokenConverter());// 使用自定义的tokenStoredefaultTokenServices.setTokenStore(tokenStore());return defaultTokenServices;}
}

然后我们写一个工具类，去获取二手手游卖号平台我们在认证端传过来的userinfo

public class AuthUtils {public static String getReqUser(HttpServletRequest req) {String header = req.getHeader("Authorization");String token = StringUtils.substringAfter(header, "bearer");Claims claims;try {claims = Jwts.parser().setSigningKey("SigningKey".getBytes("UTF-8")).parseClaimsJws(token).getBody();} catch (Exception e) {return null;}String localUser = (String) claims.get("userinfo");// 拿到当前用户return localUser;}
}

到这里我们就配置完了我们的所有请求，我们编写一个Controller进行验证。

@RestController
public class TestEndpoints {@GetMapping("/product/{id}")public String getProduct(@PathVariable String id, HttpServletRequest req) {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();System.out.println("用户名  : " + JSON.toJSONString(authentication.getPrincipal()));System.out.println("封装的传递信息  : " + AuthUtils.getReqUser(req));return "(Need Auth Request)product id : " + id;}@GetMapping("/order/{id}")public String getOrder(@PathVariable String id) {return "(No Auth Request)order id : " + id;}
}

这下我们就测试完成了
首先访问我们不需要认证的请求：127.0.0.1:8081/order/1，可以正常访问返回数据

然后不带我们的token进行访问另外一个链接（需要认证）：127.0.0.1:8081/product/1

可以看到返回没有认证不能访问的提示，如下图

下面我们在请求头里面带上我们的token，这里注意一下，token是携带在Header中的Authorization属性中，而且我们需要用token类型+token的方式进行传递，这里我们的类型默认是bearer，加上我们的请求头就可以正常访问到数据了。如下图

现在，我们可以直接拿去集成到我们真实的微服务项目中去了，保证我们的项目从这一篇博客开始。

如果对你有用，请记得点赞。

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

DHCP与DHCP中继简介
一、DHCP与DHCP中继简介 DHCP:（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。 1、主要用途：给内部网络或和内部网络商供应商自…...
2024/4/19 23:52:33
分糖果 CSP-J2021
题目背景红太阳幼儿园的小朋友们开始分糖果啦！ 题目描述红太阳幼儿园有 nn 个小朋友，你是其中之一。保证 n≥2。有一天你在幼儿园的后花园里发现无穷多颗糖果，你打算拿一些糖果回去分给幼儿园的小朋友们。由于你只是个平平无奇的幼儿…...
2024/4/28 8:48:40
Uni-app 安卓篇离线打包 | 超详细最方便
Uni-app 安卓篇离线打包超详细序言： 本人一直在使用uniapp自带的云打包，可视化窗口，配置好证书文件每次打包输入密码即可，非常的方便，便捷。！！！然而，最大的缺点就是&…...
2024/4/18 22:38:39
Codeforces Round #752 (Div. 1) 部分题解
前言 A 令 bib_ibi 表示，有多少个 j(j≤i)j(j \le i)j(j≤i) 不后于 iii 被删除。那么答案为 NO 当且仅当: 对于每个合法的 bbb，均存在一个 i∈[1,n]i \in [1,n]i∈[1,n] 使得 (bi1)∣ai(b_i1)|a_i(bi1)∣ai。不难发现 bbb 与 n!n!n! 种删数方…...
2024/4/19 14:28:20
【程序厨】40多场面试，浓缩成了这篇文章
哈喽，大家好，我是厨子，我又来更新啦！ 如果你正在准备明年秋招，我这个老学长，非常建议你收藏这篇文章。我在秋招时，共参加了 40 多场面试，刚开始不知道怎么面，不是在二…...
2024/4/15 16:21:02
12. 整数转罗马数字
实在不知道这道题有啥难的，只是我没写的很标准而已 class Solution { public: string intToRoman(int num) {string strret"";auto divid num/1000;for(int i0; i<divid; i)strret M;num % 1000;divid num/100;if(divid9)strret "CM";e…...
2024/4/15 16:21:17
RabbitMq官网下载教程
RabbitMq官网下载教程官方网站：https://www.rabbitmq.com/download.html 第一步： 第二步： 点击这里就可以下载到安装包了....
2024/4/18 23:39:59
【Redis】-替代Mybatis二级缓存
文章目录1、二级缓存1.1、cache使用1.2、原理2、Redis替代二级缓存2.1、获取ApplicationContext2.2、自定义cache实现类2.3、关联查询的缓存处理3、缓存优化策略3.1、对key进行优化编程不良人Redis链接Redis面经属实有点懵，回头补一下1、二级缓存作缓存的对象类型需…...
2024/4/17 10:35:22
第二章基于STM32F427的电机调试和时钟配置
第二章基于STM32F427的电机调试和时钟配置上一章我们移植好了单片机，于是在我们兴奋地看到自己点亮了LED之后，开始着手准备驱动的设置，那么这里面又会有什么问题呢？我把我遇到的困难和问题记录在此，同时也为你们答疑…...
2024/4/27 16:23:51
浅谈CDC在微服务中的应用
CDC(Change Data Capture)是一种通过监测数据变更（变更包括新增、修改、删除等）而对变更的数据进行进一步处理的一种设计模式，通常应用在数据仓库以及和数据库密切相关的一些应用上，比如数据同步、备份、审计、ETL等。实际上&…...
2024/4/15 16:20:57
微服务架构之「 API网关」
在微服务架构的系列文章中，前面已经通过文章《架构设计之「服务注册」》介绍过了服务注册的原理和应用，今天这篇文章我们来聊一聊「 API网关」。「 API网关」是任何微服务架构的重要组成部分。有了它我们可以在一个独立的模块上方便的处理一些非业务…...
2024/4/27 2:19:33
js---javascript常用对象（Math）
前端入门笔记之js(13) Math 对象用于执行数学任务。使用 Math 的属性和方法的语法： var pi_valueMath.PI; var sqrt_valueMath.sqrt(15); 注意：Math 对象并不像 Date 和 String 那样是对象的类，因此没有构造函数 Math()，像 Math…...
2024/4/25 18:20:58
如何判断及预防常见的几种网络病毒及攻击（软考）
1.跨站脚本主要采用脚本语言设计的计算机病毒。现在流行的脚本病毒大都是利用JavaScript和VBScript脚本语言编写。脚本病毒通常有如下前缀：VBS、JS（表明是脚本文件格式） 访问日志关键字判断：相关的函数代码（例&#…...
2024/4/15 16:21:07
hive学习笔记之三：内部表和外部表，java面试手写算法
删除表时数据会被删除； 以下命令创建的就是内部表，可见前面两篇文章中创建的表都是内部表： create table t6(id int, name string) row format delimited fields terminated by ‘,’; 向t6表新增一条记录： insert into t6…...
2024/4/27 14:16:19
浅谈微服务架构中的鉴权体系
在微服务架构中，有一个核心的问题是处理好“集权”（中心化）和“放权”（去中心化）的关系。虽然微服务的主旋律是把数据和业务拆成小而独立的模块，但我们仍然需要一个强力的中央安保体系来确保“数据分散&…...
2024/4/6 11:31:27
NOI.1.6.06校门外的树
描述某校大门外长度为L的马路上有一排树，每两棵相邻的树之间的间隔都是1米。我们可以把马路看成一个数轴，马路的一端在数轴0的位置，另一端在L的位置；数轴上的每个整数点，即0，1，2，……...
2024/4/19 16:50:08
windows10多用户远程桌面
目录目的准备主机建立用户账户在自己电脑上远程完目的在局域网内，多人同时使用同一台win10设备准备在需要被多人使用的win10主机上配置： windows多用户远程登录工具 RDPWrap配置 https://blog.csdn.net/qq_41102371/article/details/121021226 主…...
2024/4/18 11:22:55
java 访问修饰符
前言在生活中，我们经常会遇到这样一个情况：对于一份信息，有的人可以对它进行访问，而有的人却不能，如何界定谁可以去查看或操作文件，我们用访问权限来形容这种规则在 java 中也会有这样的问题，…...
2024/4/20 7:46:29
用wireshark捕捉查看登录时账号密码的传输方式
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。今天我们来简单介绍怎样用wireshark捕捉网页的用户名和密码。 1、打开wireshark，在界面中选择“WLAN” 打开后页面如下图&#xff0c…...
2024/4/15 16:21:12
力扣-500题键盘行（C++）- 哈希
题目链接：https://leetcode-cn.com/problems/keyboard-row/ 题目如下： class Solution { public:vector<string> findWords(vector<string>& words) {unordered_set<char> uset1 {q,w,e,r,t,y,u,i,o,p};unordered_set<char&…...
2024/4/6 11:31:22

SpringCloud微服务间安全调用实现

相关文章

最新文章