作者:355301_01c00c | 来源:互联网 | 2024-11-09 16:13
本文深入探讨了如何将微服务升级为OAuth2资源服务器,以订单服务为例,详细介绍了在POM文件中添加`spring-cloud-starter-oauth2`依赖,并配置SpringSecurity以实现对微服务的保护。通过这一过程,不仅增强了系统的安全性,还提高了资源访问的可控性和灵活性。文章还讨论了最佳实践,包括如何配置OAuth2客户端和资源服务器,以及如何处理常见的安全问题和错误。
1、将微服务改造为OAuth2资源服务器
以订单服务为例,将其修改为OAuth2资源服务器
1.1、pom中添加spring-cloud-starter-oauth2依赖
org.springframework.boot
spring-boot-dependencies
2.2.0.RELEASE
pom
import
org.springframework.cloud
spring-cloud-dependencies
Greenwich.SR2
pom
import
1.8
${java.version}
${java.version}
org.springframework.boot
spring-boot-starter-web
org.springframework.cloud
spring-cloud-starter-oauth2
org.projectlombok
lombok
1.2、ResourceServerConfig 资源服务器配置类
/**
* 资源服务器配置
*
* @author caofanqi
* @date 2020/2/1 20:10
*/
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
//该资源服务器id
resources.resourceId("order-server");
}
}
1.3、WebSecurityConfig Web安全配置类
/**
* Web安全配置类
*
* @author caofanqi
* @date 2020/2/1 20:13
*/
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 使用OAuth2AuthenticationManager,需要到认证服务器校验用户信息
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
OAuth2AuthenticationManager authenticationManager = new OAuth2AuthenticationManager();
authenticationManager.setTokenServices(tokenServices());
return authenticationManager;
}
/**
* 远程校验令牌相关配置
*/
@Bean
public ResourceServerTokenServices tokenServices(){
RemoteTokenServices tokenServices = new RemoteTokenServices();
tokenServices.setClientId("orderService");
tokenServices.setClientSecret("123456");
tokenServices.setCheckTokenEndpointUrl("http://127.0.0.1:9020/oauth/check_token");
return tokenServices;
}
}
1.4、可以在Controller方法中通过@AuthenticationPrincipal 获取用户名
@PostMapping
public OrderDTO create(@RequestBody OrderDTO orderDTO, @AuthenticationPrincipal String username) {
log.info("username is :{}", username);
PriceDTO price = restTemplate.getForObject("http://127.0.0.1:9070/prices/" + orderDTO.getProductId(), PriceDTO.class);
log.info("price is : {}", price.getPrice());
return orderDTO;
}
1.5、启动项目直接访问创建订单,此时返回401,没有进行身份认证,说明我们配置的资源服务器生效了
1.6、通过Authorization请求头,添加从认证服务器获取的令牌,访问成功,控制台打印出令牌所有者zhangsan。
项目源码:https://github.com/caofanqi/study-security/tree/dev-ResourceServer