OAuth2密碼模式已死,最先進的Spring Cloud認證授權方案在這裡

碼農小胖哥發表於2022-05-15

舊的Spring Security OAuth2停止維護已經有一段時間了,99%Spring Cloud微服務專案還在使用這些舊的體系,嚴重青黃不接。很多同學都在尋找新的解決方案,甚至還有念念不忘密碼模式的。胖哥也在前面寫了一篇解決思路的文章。好像還是不過癮,今天看到這篇文章的同學有福了,問題將在這裡得到解決。

方案

目前這應該是Spring生態中最新的解決方案,沒有之一。先看下流程,微服務無關的其它的元件這裡先遮蔽了,剩下圖的幾個元件:

詳細流程為

  • ①使用者向閘道器請求登入或者通過閘道器請求資源伺服器的資源。

  • ②閘道器發現使用者沒有授權發起基於OAuth2授權碼的OIDC流程,向授權伺服器Id Server發起授權請求。

  • ③授權伺服器Id Server收到授權請求重定向到使用者登入頁面要求使用者登入認證,以發起授權。

  • ④使用者輸入使用者名稱密碼進行登入認證。

  • Id Server授權伺服器處理使用者認證並重定向到閘道器約定的OAuth2 Redirect URI,這個過程屬於標準的OIDC授權碼流程。

  • ⑥閘道器獲得AccessTokenIdToken

    • 如果最初發起的是登入就重定向到/
    • 如果最初發起的是請求資源伺服器資源就令牌中繼重定向到對應的資源。
  • 資源伺服器通過⑦⑧兩個鏈路響應使用者的請求。

請注意,上述流程中生成的AccessTokenIdToken不允許提供給使用者側,否則會引起中間人攻擊,預設提供的是一個cookie策略,大部分情況下這種策略是夠用的,如果你需要自定義必須深刻了解其機制,你可以通過我的Spring Security OAuth2專欄進行學習。

具體實現

根據上面的方案,我們需要三個應用,分別是閘道器Spring Cloud Gateway應用、資源伺服器應用Resource ServerOAuth2授權伺服器Id Server

Spring Cloud Gateway

Spring Cloud Gateway 應用,埠8080,它不僅僅是一個閘道器還是一個在授權伺服器Id Server註冊的OAuth2客戶端,通過Id Server你可以在一分鐘內完成配置。它需要配置到資源伺服器的路由規則和令牌中繼功能。核心配置為:

spring:
  application:
    name: gateway
  security:
    oauth2:
      client:
        registration:
          # 這裡為客戶端名稱可自行更改
          gatewayclient:
            client-id: e4da4a32-592b-46f0-ae1d-784310e88423
            # 密碼為註冊客戶端時的密碼
            client-secret: secret
            # 只能選擇一個
            redirect-uri: http://127.0.0.1:8080/login/oauth2/code/gatewayclient
            # 其它兩種方式為refresh_token,client_credentials
            authorization-grant-type: authorization_code
            client-authentication-method: client_secret_basic
            scope: message.write,userinfo,message.read,openid
        provider:
          gatewayclient:
            # 要保證授權伺服器地址可以被客戶端訪問
            issuer-uri: http://localhost:9000
  cloud:
    gateway:
      routes:
        - id: resource-server
          uri: http://127.0.0.1:8084
          predicates:
            - Path=/res/**
          filters:
            - TokenRelay

Resource Server

資源伺服器就是我們平常編寫的業務介面的伺服器,埠這裡定義為8084,它需要整合Spring Security及其Resource Server元件。它要負責定義資源介面的訪問許可權,例如:

         // 只有message.read才有資格訪問資源/res/foo
        httpSecurity.authorizeRequests()
                .antMatchers("/res/foo").hasAnyAuthority("SCOPE_message.read")
 

另外它還要和授權伺服器Id Server通訊獲取AccessToken的解碼公鑰:

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          jwk-set-uri: http://localhost:9000/oauth2/jwks

獲取解碼公鑰的原理在我的Spring Security OAuth2專欄有詳細介紹,這裡不再贅述。

Id Server

倉庫地址:https://github.com/NotFound403/id-server 歡迎star,歡迎貢獻。

Id Server是一個基於Spring Authorization Server的開源的授權伺服器,它大大降低OAuth2授權伺服器的學習使用難度,提供UI控制檯,動態許可權控制,方便OAuth2客戶端管理,可一鍵生成Spring Security配置,開箱即用,少量配置修改就可部署,程式碼開源,方便二次開發,支援OAuth2四種客戶端認證方式和三種授權模式。它是目前Spring安全生態中重要的組成部分,也是未來的技術發展趨勢,更多資訊請參閱Id Server專案倉庫的介紹

Id Server在本文扮演的是OAuth2授權伺服器的角色,負責對授權請求進行處理,維護客戶端註冊資訊,授權使用者資訊,後續會加入IDP支援,各種三方登入的使用者也可以動態在這裡進行登入,就像這樣:

聯合登入

根據業務需要第三方OAuth2授權登入也能優雅的接入,當然,接入的登入方式需要OIDC或者OAuth2的支援。

DEMO以及使用方法

上述完整DEMOId Server的倉庫中的samples下。使用方法:

  • 拉取Id Server專案並載入依賴。
  • IntelliJ IDEA中依次單獨對samples資料夾下的所有專案的pom.xml進行右鍵選單選中Add As Maven Project,這一步很重要。
  • 依次啟動Id Servergatewayresource-server三個專案。

測試登入

  • 瀏覽器訪問http://127.0.0.1:8080/login,點選http://localhost:9000
  • 輸入使用者名稱密碼user/user
  • 能檢視到認證資訊就證明成功了,再次重申,在生產中該資訊十分敏感,不應該直接對前端暴露。
  • 瀏覽器訪問http://127.0.0.1:8080/res/foo,可以訪問到資源伺服器的資源。

另一種測試

關閉瀏覽器重新開啟,瀏覽器訪問http://127.0.0.1:8080/res/foo,你看看會發生什麼?

總結

通過OAuth2客戶端、Spring Cloud GatewayOAuth2授權伺服器、OAuth2資源伺服器的聯動,你會發現授權碼模式也可以實現完整的微服務認證授權,而且比密碼模式更加安全。後續Id Server實現了聯合登入之後,其它第三方登入也可以無縫整合進來。多多關注,更多先進的黑科技等著你。

關注公眾號:Felordcn 獲取更多資訊

個人部落格:https://felord.cn

相關文章