保障微服务 Spring Cloud 安全 Oauth2

【问题标题】:Securing micro-service spring cloud security Oauth2保障微服务 Spring Cloud 安全 Oauth2
【发布时间】:2018-03-17 02:49:06
【问题描述】:

我正在使用 Spring 云安全和 Oauth2 来保护我的微服务。现在的Pom如下:

http://maven.apache.org/xsd/maven-4.0.0.xsd"> 4.0.0

<groupId>com.oreilly.cloud</groupId>
<artifactId>spring-microservices-oauth-server</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>jar</packaging>

<name>spring-microservices-oauth-server</name>
<description>Demo project for Spring Boot</description>

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.5.7.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <java.version>1.8</java.version>
    <spring-cloud.version>Dalston.SR3</spring-cloud.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.hsqldb</groupId>
        <artifactId>hsqldb</artifactId>
        <scope>runtime</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>${spring-cloud.version}</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
    </plugins>
</build>

<repositories>
    <repository>
        <id>spring-snapshots</id>
        <name>Spring Snapshots</name>
        <url>https://repo.spring.io/snapshot</url>
        <snapshots>
            <enabled>true</enabled>
        </snapshots>
    </repository>
    <repository>
        <id>spring-milestones</id>
        <name>Spring Milestones</name>
        <url>https://repo.spring.io/milestone</url>
        <snapshots>
            <enabled>false</enabled>
        </snapshots>
    </repository>
</repositories>

Spring-boot主类如下:

package com.oreilly.cloud;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@SpringBootApplication
@EnableAuthorizationServer
@EnableResourceServer
@RestController
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SpringMicroservicesOauthServerApplication {

    @RequestMapping("/resource/endpoint")
    @PreAuthorize("hasRole('ADMIN')")
    public String endpoint(){
        return "This message is protected by the resource server.";
    }

    public static void main(String[] args) {
        SpringApplication.run(SpringMicroservicesOauthServerApplication.class, args);
    }
}

授权服务器配置如下:

package com.oreilly.cloud;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;

@Configuration
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authManager;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authManager);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("webapp").secret("websecret").authorizedGrantTypes("password")
                .scopes("read,write,trust");
    }

}

请注意,身份验证管理器会自动连接到授权配置中

在下面的类中,Authentication Manager 被配置并返回为 abean,以便它可以自动装配到上面的类:

package com.oreilly.cloud;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("user1").password("password1").roles("USER").and().withUser("admin")
                .password("password2").roles("ADMIN");
    }

}

现在application.properties如下:

server.port=9090

现在我运行 Spring boot 应用程序如下:

mvn spring-boot:run

应用程序成功启动并准备好接受本地主机上端口 9090 上的请求

现在我正在使用邮递员发送一个发布请求以获取 access_token。一点背景是这里使用的 Aoauth2 流程是密码授予。因此,在上面的 AuthorizationServerConfig 类中,我定义了一个密码授予流程,并使用客户端名称和密码注册了一个简单的 Web 应用程序。可以看出客户端配置在内存中。

从授权服务器获取访问令牌的post man请求如下:它的post请求,带有Basic auth header header有 用户名为 webapp,密码为 websecret。

http://localhost:9090/oauth/token?grant_type=password&username=user1&password=password1

此请求成功返回,并带有访问令牌 json,如下所示:

{
    "access_token": "2d632e54-17c3-41f7-af3b-935ca3022d78",
    "token_type": "bearer",
    "expires_in": 43199,
    "scope": "read,write,trust"
}

现在,当我尝试使用上述访问令牌访问 /resource/endpoint 时,如下所示:

http://localhost:9090/resource/endpoint?access_token=2d632e54-17c3-41f7-af3b-935ca3022d78

它不是返回从服务/资源/端点返回的文本,而是返回登录页面,如下所示:

<html>
    <head>
        <title>Login Page</title>
    </head>
    <body onload='document.f.username.focus();'>
        <h3>Login with Username and Password</h3>
        <form name='f' action='/login' method='POST'>
            <table>
                <tr>
                    <td>User:</td>
                    <td>
                        <input type='text' name='username' value=''>
                    </td>
                </tr>
                <tr>
                    <td>Password:</td>
                    <td>
                        <input type='password' name='password'/>
                    </td>
                </tr>
                <tr>
                    <td colspan='2'>
                        <input name="submit" type="submit" value="Login"/>
                    </td>
                </tr>
                <input name="_csrf" type="hidden" value="8dbc1c38-6f89-43c5-a8f8-797c920722a1" />
            </table>
        </form>
    </body>
</html>

任何人都可以帮助我在这里缺少什么吗??????。

注意 我在同一个应用程序中同时配置了授权服务器和资源服务器。这是一个 POC,所以我正在尝试 Spring-cloud 安全性,稍后我会将两者分开......但那是以后的事了。

【问题讨论】:

  • 你的问题到底是什么?
  • 在你的令牌中 expires_in 的值看起来很有趣。它映射到什么,肯定不是滴答声,你能检查一下吗?
  • @WilliamHampshire 我的问题是我通过点击以下 URL 成功获取了访问令牌:localhost:9090/oauth/… 使用基本身份验证标头指定客户端用户名和密码但是,如果我尝试访问受保护的资源 (/资源/端点/)将 access_token 参数设置为上述访问令牌,我得到一个登录页面,而不是我的端点应该返回的文本响应

标签: java spring security spring-boot microservices


【解决方案1】:

我通过查看 Spring Boot 的根调试日志发现了这个问题。

如果您使用的是yml

src/main/resources/application.yml
----------------------------------
logging:
  level:
    root: DEBUG

或者如果properties:

src/main/resources/application.properties
----------------------------------
logging.level.root=DEBUG

我意识到我没有通过GET 传递任何用户身份验证信息:

o.s.s.w.a.ExceptionTranslationFilter: Access is denied (user is anonymous); ...

所以你可以做两件事中的一件:

1。通过 url 参数添加凭据,例如。

curl -X GET \
  'http://localhost:9090/resource/endpoint?
  username=user1&password=password1&access_token=xxxx'

2。通过基本身份验证添加凭据,例如。

curl -X GET \
  'http://localhost:9090/resource/endpoint?username=user1' \
  -H 'Authorization: Basic xxxxxxxxxxxxx

您是否也从 safaribooksonline 上的 Building Microservices With Spring 课程中得到了这个? :)

我发现了为什么老师没有遇到问题。他之前一定已经授权了用户名/密码——它似乎被缓存在某个地方,因为在你 GET 一次资源之后,如果你只用 auth_token 再次调用它,它就可以工作。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2014-12-27
    • 2018-10-25
    • 2020-04-17
    • 2018-03-25
    • 2020-08-17
    • 2020-09-27
    • 2020-08-14
    • 2018-04-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode