全部标签
写点什么
MySQLOpenHarmony云计算程序员行业资讯算法Python人工智能区块链Linux前端个人成长面试架构师编程企业动态新基建敏捷安全读书笔记高效工作团队管理创业生涯规划知识管理运维产品经理 查看更多

Springcloud Oauth2 HA 篇

作者:Xiao8
  • 2022 年 6 月 09 日

  • 本文字数:2268 字

    阅读完需:约 7 分钟

在 浅谈微服务安全架构设计 一文中,介绍了基于 Springcloud 结合了 Oauth2 分析了其各种模式下的鉴权认证,今天主要分析如何结合 k8s 作实现鉴权的高可用。


假设我们的项目中有几个模块:


  • 鉴权中心:Oauth2 服务

  • 订单系统:客户端 A

  • 用户管理系统:客户端 B


在上面的系统中,每个服务之间的耦合性很低,但是又有着很频繁的调用,这就涉及到 UI 与其之间的频繁流量交互。如何做到其 HA,这里引入 k8s 的 Service 方法:


在 Spring Cloud Kubernetes 之实战服务注册与发现一文中,就讲解了 k8s 的 Service 方式创建服务,然后可以部署多个 pod,同时结合 Spring Cloud Kubernetes 之实战网关 Gateway 来实现 LB,类似通过域名来解析其服务,并根据所定义的规则进行 LB。同样,本文则是 Oauth2 的基础上,结合这些来实现微服务的 LB。同时此处利用了 k8s 来作主要处理,如果是其他语言(Python、Go、Rust 等)的客户端服务,则自身可以通过逻辑来控制其鉴权以及获取流量的。


注意点:由于各微服务与鉴权中心有交互,故鉴权中心需要提供HA服务,即先在启动类加入@EnableDiscoveryClient ,后续在注入bean时,@LoadBalanced来实现LB鉴权中心。


@EnableOAuth2Sso@Configuration@EnableAutoConfiguration@ComponentScan(basePackages = {"com.damon"})@EnableConfigurationProperties(EnvConfig.class)@EnableDiscoveryClient #为LB多节点鉴权中心准备public class AdminApp {
    public static void main(String[] args) {        SpringApplication.run(AdminApp.class, args);    }
}
复制代码


在客户端项目模块中,调用鉴权中心时,需要实现 LB:



@Configurationpublic class BeansConfig {  @Resource  private Environment env;
  @LoadBalanced  @Bean  public RestTemplate restTemplate() {    SimpleClientHttpRequestFactory requestFactory = new SimpleClientHttpRequestFactory();    requestFactory.setReadTimeout(env.getProperty("client.http.request.readTimeout", Integer.class, 15000));    requestFactory.setConnectTimeout(env.getProperty("client.http.request.connectTimeout", Integer.class, 3000));    RestTemplate rt = new RestTemplate(requestFactory);    return rt;  }
}
复制代码


另外本身在配置交互的时候,需要加上域名等形式来实现 LB,这里利用了 k8s 的 Service 来实现。


cas-server-url: http://cas-server-service #这里配置成HA地址
security:  oauth2: #与cas-server对应的配置    client:      client-id: admin-web      client-secret: admin-web-123      user-authorization-uri: ${cas-server-url}/oauth/authorize #是授权码认证方式需要的      access-token-uri: ${cas-server-url}/oauth/token #是密码模式需要用到的获取 token 的接口    resource:      loadBalanced: true      id: admin-web      user-info-uri: ${cas-server-url}/api/user #指定user info的URI      prefer-token-info: false
复制代码


这样,一个客户端关于鉴权的核心就是如此了,同样需要把消费客户端以 service 形式提供给 UI,此时需要借助 Spring Cloud Kubernetes之实战网关Gateway 和 nginx 代理服务,我们来测试下:curl -X POST -d "username=admin&password=123456&grant_type=password&client_id=admin-web&client_secret=admin-web-123" http://192.168.8.10:5556/cas-server/oauth/token


看到结果:


{"access_token":"5a7892b0-7483-4f60-89fd-44255a429ff6","token_type":"bearer","refresh_token":"23f2e8ea-f091-4ab0-822c-f28bebc4ec08","expires_in":3599,"scope":"all"}
复制代码


通过获取到的 access_token 来访问对应的客户端:curl -H "Accept: application/json" -H "Authorization:bearer 5a7892b0-7483-4f60-89fd-44255a429ff6" -X GET http://192.168.8.10:5556/admin-web/api/user/getCurrentUser


输出结果:


{"authorities":[{"authority":"admin"}],"details":{"remoteAddress":"10.244.0.196","sessionId":null,"tokenValue":"5a7892b0-7483-4f60-89fd-44255a429ff6","tokenType":"bearer","decodedDetails":null},"authenticated":true,"userAuthentication":{"authorities":[{"authority":"admin"}],"details":{"authorities":[{"authority":"admin"}],"details":{"remoteAddress":"10.244.0.201","sessionId":null,"tokenValue":"5a7892b0-7483-4f60-89fd-44255a429ff6","tokenType":"Bearer","decodedDetails":null},"authenticated":true,"userAuthentication":{"authorities":[{"authority":"admin"}],"details":{"client_secret":"admin-web-123","grant_type":"password","client_id":"admin-web","username":"admin"},"authenticated":true,"principal":{"password":null,"username":"admin","authorities":[{"authority":"admin"}],"accountNonExpired":true,"accountNonLocked":true,"credentialsNonExpired":true,"enabled":true},"credentials":null,"name":"admin"},"oauth2Request":{"clientId":"admin-web","scope":["all"],"requestParameters":{"grant_type":"password","client_id":"admin-web","username":"admin"},"resourceIds":[],"authorities":[],"approved":true,"refresh":false,"redirectUri":null,"responseTypes":[],"extensions":{},"grantType":"password","refreshTokenRequest":null}………
复制代码


最后,这里鉴权的高可用通过 k8s 的 service,进行默认的轮询方式的访问鉴权中心,鉴权中心如果鉴权时不管使用 redis 还是 jwt,来管理 token,都是可以的。

划线
评论
复制
发布于: 刚刚阅读数: 4

版权声明: 本文为 InfoQ 作者【Xiao8】的原创文章。

原文链接:【http://xie.infoq.cn/article/8773b4825db46258d6fc5b2a0】。文章转载请联系作者。

6月月更
用户头像

Xiao8

关注

God bless the fighters. 2020.03.11 加入

欢迎关注公众号:程序猿Damon,长期从事Java开发,研究Springcloud的微服务架构设计。目前主要从事基于K8s云原生架构研发的工作,Golang开发,长期研究边缘计算框架KubeEdge、调度框架Volcano、容器云KubeSphere研究

评论

发布
暂无评论
Copyright © 2022, Geekbang Technology Ltd. All rights reserved. 极客邦控股(北京)有限公司 | 京 ICP 备 16027448 号 - 5京公网安备京公网安备 11010502039052号
Springcloud Oauth2 HA篇_6月月更_Xiao8_InfoQ写作社区