Spring Security 配置:Basic Auth + Spring Cloud Gateway

【问题标题】:Spring Security Configuration: Basic Auth + Spring Cloud GatewaySpring Security 配置:Basic Auth + Spring Cloud Gateway
【发布时间】:2020-06-21 12:47:25
【问题描述】:

我有一个响应式 Spring Boot 应用程序,它负责使用 Spring Cloud Gateway(即它是一个 API 网关)将请求路由到下游服务。该应用程序有一些需要保护的执行器端点,因此我只想为此使用简单的安全性,例如基本身份验证。

我想配置应用程序,要求对 /actuator/refresh 的请求使用基本身份验证(使用配置的 Spring 安全用户和密码)进行授权。所有对其他端点的请求,即使它们包含基本身份验证,也只需要传递给下游服务。

我当前的 Spring 安全配置:

@Bean
@Order(1)
SecurityWebFilterChain securityWebFilterChain(final ServerHttpSecurity http) {
    http.authorizeExchange(exchanges -> {
        exchanges.matchers(EndpointRequest.toAnyEndpoint().excluding(HealthEndpoint.class, InfoEndpoint.class)).hasRole("ACTUATOR"); // requires Http Basic Auth
    });
    http.httpBasic(withDefaults()); // if not enabled, you cannot get the ACTUATOR role
    return http.build();
}

@Bean
@Order(2)
SecurityWebFilterChain permitAllWebFilterChain(final ServerHttpSecurity http) {
    http.authorizeExchange(exchanges -> exchanges.anyExchange().permitAll()); // allow unauthenticated access to any endpoint (other than secured actuator endpoints?)
    http.httpBasic(ServerHttpSecurity.HttpBasicSpec::disable); // disable Http Basic Auth for all other endpoints
    return http.build();
}

API 网关不会传播用于下游服务的请求。 Spring Boot 服务在此设置中返回 401,而预期/需要 200。

任何想法为什么这个配置不起作用/应该如何配置?

【问题讨论】:

  • 什么不起作用?
  • API 网关不传播用于下游服务的请求。 Spring Boot 服务在此设置中返回 401,而预期/需要 200。

标签: spring-boot spring-security spring-webflux spring-cloud-gateway


【解决方案1】:

我不确定是什么损坏了,但是您是否尝试过将它们组合在一起并只使用一个过滤器?

@EnableWebFluxSecurity
public class MyExplicitSecurityConfiguration {

    @Bean
    public MapReactiveUserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("user")
            .roles("ACTUATOR")
            .build();
        return new MapReactiveUserDetailsService(user);
    }

    @Bean
    SecurityWebFilterChain securityWebFilterChain(final ServerHttpSecurity http) {
        http.authorizeExchange(exchanges -> {
            exchanges.matchers(EndpointRequest.toAnyEndpoint()
                                              .excluding(HealthEndpoint.class, InfoEndpoint.class))
                                              .hasRole("ACTUATOR");
            exchanges.anyExchange().permitAll();
        }).httpBasic(withDefaults());
        return http.build();
    }
}

另一个好处可能是启用调试日志记录并查看失败的原因。

这是通过在application.properties中定义来完成的

logging.level.org.springframework.security=DEBUG

【讨论】:

  • 我相信我遇到了同样的问题,问题是当您将Authorization 标头传递给非执行器端点时,Spring Security 正在处理它并拒绝它而不是让它通过。
猜你喜欢
  • 1970-01-01
  • 2017-08-13
  • 1970-01-01
  • 2022-12-11
  • 1970-01-01
  • 2016-10-02
  • 2015-03-10
  • 2017-07-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode