Spring Security Cloud:通过 ZUUL 网关安全设置的 UI 服务

【问题标题】:Spring Security Cloud: UI service through a ZUUL gateway security setupSpring Security Cloud:通过 ZUUL 网关安全设置的 UI 服务
【发布时间】:2017-11-21 17:46:29
【问题描述】:

我在 UI 服务中正确设置身份验证和授权时遇到问题。

我目前有以下设置(全部使用 Spring.* 和 Spring Cloud.*):

- Config Service;
- Registry Service;
- Gateway Service (Zuul);
- Authentication Service (Spring Cloud Security, JWT);
- Company backend service (db <-> rest);
- Ui service;

就后端安全而言,一切正常:您通过来自身份验证服务的网关请求带有凭据的 JWT 令牌,如果所有匹配,则通过 REST 返回。

公司服务知道新令牌并在它出现时对其进行验证。

问题出在 UI 服务上。我目前正在做的是使用 Spring Boot 和 Thymeleaf 并手动构造 HttpHeaders、HttpEntity 和 Cookie 对象,而无需在前端部分使用 Spring Cloud Security 来访问 webapp 的某些部分。这是很多愚蠢的不必要的代码。我知道我无法理解如何将 Spring Cloud 安全性集成到我的 UI 服务中。

这是控制器方法之一的示例(非常丑陋):

@RequestMapping("/firms")
public String firm (Model model,
                    HttpServletRequest servletRequest,
                    HttpServletResponse servletResponse,
                    HttpSession httpSession) throws IOException {
    final String returnPage;
    Cookie cookie = authService.findCookie(servletRequest, servletResponse);
    HttpHeaders httpHeaders = authService.createJwtAuthHeader(cookie);
    HttpEntity requestEntity = new HttpEntity(httpHeaders);
    ResponseEntity <UserObject> userObjectResponse = authService.createUserResponseEntity(requestEntity, servletResponse);
    authService.setUserSessionDetails(userObjectResponse, httpSession);
    if (userObjectResponse != null && userObjectResponse.getBody() != null) {
        log.info(CommonMessages.GOT_COOKIE_FROM_AUTH_SERVICE.toString(), cookie.getName());
        returnPage = "firm";

    } else {
        log.error(CommonMessages.NO_COOKIES_FOUND_NO_ACCESS_REDIRECTING.toString());
        httpSession.setAttribute("authorized", false);
        returnPage = "error";
    }
    return returnPage;
}

也许有人遇到了类似的问题并找到了我可以用来将 Spring Cloud Security 正确集成到我的 UI 服务中的资源或示例?

谢谢!

【问题讨论】:

  • 你找到docs.spring.io/spring-security/site/docs/4.2.3.RELEASE/…了吗?
  • @Jeff 为此,我需要将我当前的设置与 UI 服务中的 Spring Cloud Security 集成。我不知道该怎么做。
  • 当前端向后端发出请求时,它必须传递令牌,这是在授权标头中完成的。我会试着找到一个例子
  • Thymeleaf 似乎提供了集成:thymeleaf.org/doc/articles/springsecurity.html。但我在那里没有经验..
  • @Jeff 对不起,这是另一个问题。当我拥有 Oauth Spring 云授权微服务时,我需要了解如何设置自定义 Spring Cloud 安全性。

标签: java spring-mvc spring-security spring-cloud


【解决方案1】:

这是一个方便的示例,您可能想看看:https://github.com/ddewaele/spring-cloud-security-samples/blob/master/sample1/gateway/src/main/resources/application.yml

这里的主要想法是用@EnableOAuth2Sso 标记您的服务,这样它就可以表现为OAuth 2.0 Client。这意味着它将执行以下操作:

  • 将用户重定向到授权服务器,以便他们可以在那里输入他们的凭据。
  • 在成功输入凭据后,期望最终用户使用授权代码从授权服务器重定向回来。这个授权码会自动换成Access Token。
  • 可以使用OAuth2RestTemplate 调用其他微服务,该微服务会自动将访问令牌注入您的输出请求。在这种情况下,您调用的微服务必须使用 @EnableResourceServer 进行注释,这意味着它需要访问令牌才能处理请求。

有关此主题的更多信息,您可以查看我的另一个帖子here

【讨论】:

猜你喜欢
  • 2020-09-27
  • 2017-11-21
  • 2016-03-09
  • 2016-05-07
  • 2021-02-02
  • 2017-07-27
  • 2020-02-23
  • 2015-01-18
  • 2018-10-13
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode