Spring Cloud OAuth 微服务内部Token传递的源码实现解析-低调大师

Spring Cloud OAuth 微服务内部Token传递的源码实现解析

2019-04-16 782

背景分析

1.客户端携带认证中心发放的token,请求资源服务器A（Spring Security OAuth 发放Token 源码解析）
2.客户端携带令牌直接访问资源服务器，资源服务器通过对token 的校验（[Spring Cloud OAuth2 资源服务器CheckToken 源码解析
](https://my.oschina.net/giegie/blog/3005999)）判断用户的合法性，并保存到上下文中
3.A服务接口接收到请求，需要通过Feign或者其他RPC框架调用B服务来组装返回数据

本文主要来探讨第三部 A --> B ，token 自定维护的源码实现

如何实现token 传递

配置OAuth2FeignRequestInterceptor 即可

此类是Feign 的拦截器实现

@Bean
@ConditionalOnProperty("security.oauth2.client.client-id")
public RequestInterceptor oauth2FeignRequestInterceptor(OAuth2ClientContext oAuth2ClientContext,
                                                        OAuth2ProtectedResourceDetails resource,) {
    return new OAuth2FeignRequestInterceptor(oAuth2ClientContext, resource);
}

源码解析

获取上下文中的token ，组装到请求头

public class OAuth2FeignRequestInterceptor implements RequestInterceptor {
    // 给请求增加 token
    @Override
    public void apply(RequestTemplate template) {
        template.header(header, extract(tokenType));
    }
    
    protected String extract(String tokenType) {
        OAuth2AccessToken accessToken = getToken();
        return String.format("%s %s", tokenType, accessToken.getValue());
    }

    // 从spring security 上下文中获取token
    public OAuth2AccessToken getToken() {

        OAuth2AccessToken accessToken = oAuth2ClientContext.getAccessToken();
        if (accessToken == null || accessToken.isExpired()) {
            try {
                accessToken = acquireAccessToken();
            }
        }
        return accessToken;
    }

}

再来看AccessTokenContextRelay，上下文token 中转器.非常简单从上下文获取认证信息得到把 token 放到上下文

public class AccessTokenContextRelay {

    private OAuth2ClientContext context;

    public AccessTokenContextRelay(OAuth2ClientContext context) {
        this.context = context;
    }
    
    public boolean copyToken() {
        if (context.getAccessToken() == null) {
            Authentication authentication = SecurityContextHolder.getContext()
                    .getAuthentication();
            if (authentication != null) {
                Object details = authentication.getDetails();
                if (details instanceof OAuth2AuthenticationDetails) {
                    OAuth2AuthenticationDetails holder = (OAuth2AuthenticationDetails) details;
                    String token = holder.getTokenValue();
                    DefaultOAuth2AccessToken accessToken = new DefaultOAuth2AccessToken(
                            token);
                    String tokenType = holder.getTokenType();
                    if (tokenType != null) {
                        accessToken.setTokenType(tokenType);
                    }
                    context.setAccessToken(accessToken);
                    return true;
                }
            }
        }
        return false;
    }

}

什么时候执行中转，oauth2 资源服务器非常简单暴力，加了个拦截器给转发。

源码非常简单

谈谈spring security oauth 实现的问题

当请求上线文没有Token,如果调用feign 会直接，这个OAuth2FeignRequestInterceptor 肯定会报错，因为上下文copy 失败
如果设置线程隔离，这里也会报错。导致安全上下问题传递不到子线程中。
强制使用拦截器去处理 token 转发到这里上下文，使用的业务场景只有这里，影响性能高

这三个问题，大家在使用的过程中一定会遇到

自定义OAuth2FeignRequestInterceptor

通过外部条件是否执行token中转

public void apply(RequestTemplate template) {
    Collection<String> fromHeader = template.headers().get(SecurityConstants.FROM);
    if (CollUtil.isNotEmpty(fromHeader) && fromHeader.contains(SecurityConstants.FROM_IN)) {
        return;
    }

    accessTokenContextRelay.copyToken();
    if (oAuth2ClientContext != null
        && oAuth2ClientContext.getAccessToken() != null) {
        super.apply(template);
    }
}

手动调用accessTokenContextRelay的copy，当然需要覆盖原生oauth 客户端的配置

微信关注我们

原文链接：https://yq.aliyun.com/articles/698628

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Arthas排查Kubernetes中的应用频繁挂掉重启问题

前言其实最终定位到的问题还是蛮好解决的，但是因为应用在Kubernetes容器中的特殊性,导致在使用Arthas过程中出现了各种问题，所以单独成文和大家分享下。照例先讲下问题发生的背景，一个很老的web系统部署在tomcat容器里。近期打成了镜像丢到了Kubernetes环境中运行，总是各种挂，在Kubernetes层面定位了很久没找到具体问题，但是初步定位到是因为系统中的报表导出接口导致的问题，最后使用Arthas找到问题并解决。 Kubernetes容器的特殊性首先说下，我们的Kubernetes容器中运行的应用都是基于自己构建的基础镜像打包的，如JDK，和tomcat基础镜像，为了减小打包后应用的体积，我们对JDK进行了大量的删减，只保留了最小的jre运行时环境。这样导致的后果是在应用出现问题需要使用jdk工具时，如jinfo、jmap、jstack等都没了，没了这些工具就相当于一个战士没了武器，束手无策了，但是最后忽然想到了Arthas，java线上排错利器。使用到的工具Arthas Arthas是阿里巴巴开源的一款在线诊断java应用程序的工具，是greys工具的升级版...

2019-04-16

766

前沿很早之前写过一篇相关文章，不过博客主机上跑路了之后数据没了，凭着记忆补了下相关资料 ipa安装包瘦身清理无用图片，图片压缩（PNG换WebP和JPG），处于某种不可抗拒的原因，导致有部分3X图没有被App Thining处理，这部分3x图是否可以删除只用2x图。（这一条一般收益很小，因为大部分团队都会注意）特殊字体文件如果有自己封装的库，检查下静态库和动态库情况，不要该打静态库的不注意输出的是动态库，这个我们之前犯过错App Code重构，找出无用代码（这个工作量大，但是对下面text段也有好处）检查编译优化设置（有些设置项最好检查下因为老工程很多都是以前老版本Xcode建立的，会导致设置还是以前老Xcode的设置），可参考： BuildSettings->Optimization Level，Xcode默认设置为“Fastest ,Smallest”，保持默认即可。Build Settings-> Linking->Dead Code Stripping 设置成 YESDeployment Postprocessing 设置成YESStrip Linked P...

2019-04-16

598

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。