首頁 > 軟體

基於OpenID Connect及Token Relay實現Spring Cloud Gateway

2022-06-22 14:02:05

前言

當與Spring Security 5.2+ 和 OpenID Provider(如KeyClope)結合使用時,可以快速為OAuth2資源伺服器設定和保護Spring Cloud Gateway。

Spring Cloud Gateway旨在提供一種簡單而有效的方式來路由到API,併為API提供跨領域的關注點,如:安全性、監控/指標和彈性。

我們認為這種組合是一種很有前途的基於標準的閘道器解決方案,具有理想的特性,例如對使用者端隱藏令牌,同時將複雜性保持在最低限度。

我們基於WebFlux的閘道器貼文探討了實現閘道器時的各種選擇和注意事項,本文假設這些選擇已經導致了上述問題。

實現

我們的範例模擬了一個旅遊網站,作為閘道器實現,帶有兩個用於航班和酒店的資源伺服器。我們使用Thymeleaf作為模板引擎,以使技術堆疊僅限於Java並基於Java。每個元件呈現整個網站的一部分,以在探索微前端時模擬域分離。

Keycloak

我們再一次選擇使用keyclope作為身份提供者;儘管任何OpenID Provider都應該工作。設定包括建立領域、使用者端和使用者,以及使用這些詳細資訊設定閘道器。

閘道器

我們的閘道器在依賴關係、程式碼和設定方面非常簡單。

依賴項

  • OpenID Provider的身份驗證通過org.springframework.boot:spring-boot-starter-oauth2-client
  • 閘道器功能通過org.springframework.cloud:spring-cloud-starter-gateway
  • 將令牌中繼到代理的資源伺服器來自org.springframework.cloud:spring-cloud-security

程式碼

除了常見的@SpringBootApplication註釋和一些web控制器endpoints之外,我們所需要的只是:

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,
    ReactiveClientRegistrationRepository clientRegistrationRepository) {
  // Authenticate through configured OpenID Provider
  http.oauth2Login();

  // Also logout at the OpenID Connect provider
  http.logout(logout -> logout.logoutSuccessHandler(
    new OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)));

  // Require authentication for all requests
  http.authorizeExchange().anyExchange().authenticated();

  // Allow showing /home within a frame
  http.headers().frameOptions().mode(Mode.SAMEORIGIN);

  // Disable CSRF in the gateway to prevent conflicts with proxied service CSRF
  http.csrf().disable();
  return http.build();
}

設定

設定分為兩部分;OpenID Provider的一部分。issuer uri屬性參照RFC 8414 Authorization Server後設資料端點公開的bij Keyclope。如果附加。您將看到用於通過openid設定身份驗證的詳細資訊。請注意,我們還設定了user-name-attribute,以指示客戶機使用指定的宣告作為使用者名稱。

spring:
  security:
    oauth2:
      client:
        provider:
          keycloak:
            issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm
            user-name-attribute: preferred_username
        registration:
          keycloak:
            client-id: spring-cloud-gateway-client
            client-secret: 016c6e1c-9cbe-4ad3-aee1-01ddbb370f32

閘道器設定的第二部分包括到代理的路由和服務,以及中繼令牌的指令。

spring:
  cloud:
    gateway:
      default-filters:
      - TokenRelay
      routes:
      - id: flights-service
        uri: http://127.0.0.1:8081/flights
        predicates:
        - Path=/flights/**
      - id: hotels-service
        uri: http://127.0.0.1:8082/hotels
        predicates:
        - Path=/hotels/**

TokenRelay啟用TokenRelayGatewayFilterFactory,將使用者承載附加到下游代理請求。我們專門將路徑字首匹配到與伺服器對齊的server.servlet.context-path

測試

OpenID connect使用者端設定要求設定的提供程式URL在應用程式啟動時可用。為了在測試中解決這個問題,我們使用WireMock記錄了keyclope響應,並在測試執行時重播該響應。一旦啟動了測試應用程式上下文,我們希望向閘道器發出經過身份驗證的請求。為此,我們使用Spring Security 5.0中引入的新SecurityMockServerConfigurers#authentication(Authentication)Mutator。使用它,我們可以設定可能需要的任何屬性;模擬閘道器通常為我們處理的內容。

資源伺服器

我們的資源伺服器只是名稱不同;一個用於航班,另一個用於酒店。每個都包含一個顯示使用者名稱的最小web應用程式,以突出顯示它已傳遞給伺服器。

依賴項

我們新增了org.springframework.boot:spring-boot-starter-oauth2-resource-server到我們的資源伺服器專案,它可傳遞地提供三個依賴項。

  • 根據設定的OpenID Provider進行的令牌驗證通過org.springframework.security:spring-security-oauth2-resource-server
  • JSON Web標記使用org.springframework.security:spring-security-oauth2-jose
  • 自定義令牌處理需要org.springframework.security:spring-security-config

程式碼

我們的資源伺服器需要更多的程式碼來客製化令牌處理的各個方面。

首先,我們需要掌握安全的基本知識;確保令牌被正確解碼和檢查,並且每個請求都需要這些令牌。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    // Validate tokens through configured OpenID Provider
    http.oauth2ResourceServer().jwt().jwtAuthenticationConverter(jwtAuthenticationConverter());
    // Require authentication for all requests
    http.authorizeRequests().anyRequest().authenticated();
    // Allow showing pages within a frame
    http.headers().frameOptions().sameOrigin();
  }

  ...
}

其次,我們選擇從keyclope令牌中的宣告中提取許可權。此步驟是可選的,並且將根據您設定的OpenID Provider和角色對映器而有所不同。

private JwtAuthenticationConverter jwtAuthenticationConverter() {
  JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
  // Convert realm_access.roles claims to granted authorities, for use in access decisions
  converter.setJwtGrantedAuthoritiesConverter(new KeycloakRealmRoleConverter());
  return converter;
}
[...]
class KeycloakRealmRoleConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
  @Override
  public Collection<GrantedAuthority> convert(Jwt jwt) {
    final Map<String, Object> realmAccess = (Map<String, Object>) jwt.getClaims().get("realm_access");
    return ((List<String>) realmAccess.get("roles")).stream()
      .map(roleName -> "ROLE_" + roleName)
      .map(SimpleGrantedAuthority::new)
      .collect(Collectors.toList());
  }
}

第三,我們再次提取preferred_name作為身份驗證名稱,以匹配我們的閘道器。

@Bean
public JwtDecoder jwtDecoderByIssuerUri(<a href="https://javakk.com/tag/oauth2" rel="external nofollow"  target="_blank" >OAuth2</a>ResourceServerProperties properties) {
  String issuerUri = properties.getJwt().getIssuerUri();
  NimbusJwtDecoder jwtDecoder = (NimbusJwtDecoder) JwtDecoders.fromIssuerLocation(issuerUri);
  // Use preferred_username from claims as authentication name, instead of UUID subject
  jwtDecoder.setClaimSetConverter(new UsernameSubClaimAdapter());
  return jwtDecoder;
}
[...]
class UsernameSubClaimAdapter implements Converter<Map<String, Object>, Map<String, Object>> {

  private final MappedJwtClaimSetConverter delegate = MappedJwtClaimSetConverter.withDefaults(Collections.emptyMap());

  @Override
  public Map<String, Object> convert(Map<String, Object> claims) {
    Map<String, Object> convertedClaims = this.delegate.convert(claims);
    String username = (String) convertedClaims.get("preferred_username");
    convertedClaims.put("sub", username);
    return convertedClaims;
  }

}

設定

在設定方面,我們又有兩個不同的關注點。

首先,我們的目標是在不同的埠和上下文路徑上啟動服務,以符合閘道器代理設定。

server:
  port: 8082
  servlet:
    context-path: /hotels/

其次,我們使用與閘道器中相同的頒發者uri設定資源伺服器,以確保令牌被正確解碼和驗證。

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm

測試

酒店和航班服務在如何實施測試方面都採取了略有不同的方法。Flights服務將JwtDecoder bean交換為模擬。相反,酒店服務使用WireMock回放記錄的keyclope響應,允許JwtDecoder正常引導。兩者都使用Spring Security 5.2中引入的new jwt()RequestPostProcessor來輕鬆更改jwt特性。哪種風格最適合您,取決於您想要具體測試的JWT處理的徹底程度和方面。

結論

有了所有這些,我們就有了功能閘道器的基礎。它將使用者重定向到keydeport進行身份驗證,同時對使用者隱藏JSON Web令牌。對資源伺服器的任何代理請求都使用適當的access_token來豐富,該token令牌經過驗證並轉換為JwtAuthenticationToken,以用於存取決策。

到此這篇關於基於OpenID Connect及Token Relay實現Spring Cloud Gateway的文章就介紹到這了,更多相關Spring Cloud Gateway內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!


相關文章

  • 德漢姆中學就讀條件 德漢姆中學就讀條件

    <em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011

    2021-06-01 09:32:01

  • 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列

    综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所

    2021-06-01 09:31:42

  • 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距! 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!

    除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让

    2021-06-01 09:31:34

  • IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢? IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?

    目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加

    2021-06-01 09:31:24

  • 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊

    开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的

    2021-06-01 09:30:48

  • iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎? iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?

    不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它

    2021-06-01 09:30:45

IT145.com E-mail:sddin#qq.com