Spring Cloud OAuth 实现微服务内部Token传递的源码解析-低调大师

Spring Cloud OAuth 实现微服务内部Token传递的源码解析

2019-04-22 1020

背景分析

1.客户端携带认证中心发放的token,请求资源服务器A（Spring Security OAuth 发放Token 源码解析）

2.客户端携带令牌直接访问资源服务器，资源服务器通过对token 的校验（Spring Cloud OAuth2 资源服务器CheckToken 源码解析）判断用户的合法性，并保存到上下文中

3.A服务接口接收到请求，需要通过Feign或者其他RPC框架调用B服务来组装返回数据

本文主要来探讨第三部 A --> B ，token 自定维护的源码实现

如何实现token 传递

配置OAuth2FeignRequestInterceptor 即可

此类是Feign 的拦截器实现

@Bean
@ConditionalOnProperty("security.oauth2.client.client-id")
public RequestInterceptor oauth2FeignRequestInterceptor(OAuth2ClientContext oAuth2ClientContext,
														OAuth2ProtectedResourceDetails resource,) {
	return new OAuth2FeignRequestInterceptor(oAuth2ClientContext, resource);
}

源码解析

获取上下文中的token ，组装到请求头

public class OAuth2FeignRequestInterceptor implements RequestInterceptor {
	// 给请求增加 token
	@Override
	public void apply(RequestTemplate template) {
		template.header(header, extract(tokenType));
	}
	
	protected String extract(String tokenType) {
		OAuth2AccessToken accessToken = getToken();
		return String.format("%s %s", tokenType, accessToken.getValue());
	}

	// 从spring security 上下文中获取token
	public OAuth2AccessToken getToken() {

		OAuth2AccessToken accessToken = oAuth2ClientContext.getAccessToken();
		if (accessToken == null || accessToken.isExpired()) {
			try {
				accessToken = acquireAccessToken();
			}
		}
		return accessToken;
	}

}

再来看AccessTokenContextRelay，上下文token 中转器.非常简单从上下文获取认证信息得到把 token 放到上下文

public class AccessTokenContextRelay {

	private OAuth2ClientContext context;

	public AccessTokenContextRelay(OAuth2ClientContext context) {
		this.context = context;
	}
    
	public boolean copyToken() {
		if (context.getAccessToken() == null) {
			Authentication authentication = SecurityContextHolder.getContext()
					.getAuthentication();
			if (authentication != null) {
				Object details = authentication.getDetails();
				if (details instanceof OAuth2AuthenticationDetails) {
					OAuth2AuthenticationDetails holder = (OAuth2AuthenticationDetails) details;
					String token = holder.getTokenValue();
					DefaultOAuth2AccessToken accessToken = new DefaultOAuth2AccessToken(
							token);
					String tokenType = holder.getTokenType();
					if (tokenType != null) {
						accessToken.setTokenType(tokenType);
					}
					context.setAccessToken(accessToken);
					return true;
				}
			}
		}
		return false;
	}

}

什么时候执行中转，oauth2 资源服务器非常简单暴力，加了个拦截器给转发。

源码非常简单

谈谈spring security oauth 实现的问题

1、当请求上下文没有Token,如果调用feign 会直接，这个OAuth2FeignRequestInterceptor 肯定会报错，因为上下文copy 失败

2、如果设置线程隔离，这里也会报错。导致安全上下问题传递不到子线程中。

3、强制使用拦截器去处理 token 转发到这里上下文，使用的业务场景只有这里，影响性能高

这三个问题，大家在使用的过程中一定会遇到

自定义OAuth2FeignRequestInterceptor

通过外部条件是否执行token中转

public void apply(RequestTemplate template) {
	Collection<String> fromHeader = template.headers().get(SecurityConstants.FROM);
	if (CollUtil.isNotEmpty(fromHeader) && fromHeader.contains(SecurityConstants.FROM_IN)) {
		return;
	}

	accessTokenContextRelay.copyToken();
	if (oAuth2ClientContext != null
		&& oAuth2ClientContext.getAccessToken() != null) {
		super.apply(template);
	}
}

手动调用accessTokenContextRelay的copy，当然需要覆盖原生oauth 客户端的配置

项目参考：https://gitee.com/log4j/pig

微信关注我们

原文链接：https://blog.roncoo.com/article/1120239049222238209

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Redis 在项目中合理使用经验总结

背景1.Redis是一个开源的内存数据结构存储系统。2.可以作为数据库、缓存和消息中间件使用。3.支持多种类型的数据结构。4.Redis 内置了复制（replication），LUA脚本（Lua scripting）， LRU驱动事件（LRU eviction），事务（transactions）和不同级别的磁盘持久化（persistence）。5.通过 Redis 哨兵（Sentinel）和 Redis 集群（Cluster）的自动分区，提供高可用性（high availability）。基本数据类型字符串（strings） 1、string 的过期时间在重新设置值之后会被清除 127.0.0.1:6379> set hello 3OK127.0.0.1:6379> get hello"3"127.0.0.1:6379> ttl hello(integer) -1127.0.0.1:6379> expire hello 3000(integer) 1127.0.0.1:6379> set hello 4OK127.0.0.1:6379> tt...

2019-04-09

862

现在在线教育平台越来越成为教育的主流，归根到底是因为线上教育的优势很大，打破地域与时间局限之外，可以轻易扩大招生规模，还可以在线直播与学生互动，让线上有更多的体验，把体验用户转化为自己的固定学生，吸引学生不仅在线上课堂，同时还可以到线下参与互动，直接感受课堂的气氛。此外拥有自己的在线教育平台，还可以塑造自己的品牌形象和知名度，对以后的帮助很有显著。那么，到底如何才能快速搭建出在线教育平台呢？方案一：自建平台，从零开始（前期投资大，时间周期长）在线教育平台搭建首先需要从功能需求入手，分析、策划、设计、UI到代码功能实现都要提前策划好，正常来说需要招聘一个团队。方案二：基于开源项目进行二次开发（前期投资小，时间周期稍长）基于开源项目，需要有较强的技术人员，对开源项目进行熟悉和二次开发。方案三：购买一套成熟稳定的系统（前期投资一般，时间周期短）购买成熟的商业系统，一般情况下会有培训服务，可以最快搭建出在线教育平台。不符合自己的需求，一般也会有定制服务。领课教育系统（一套开源免费的在线教育系统）领课教育系统（roncoo-education）是基于领课网络多年的在线教育平台开发和运...

2019-04-26

897

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。