Spring Cloud Gateway整合OAuth2思路分享

作者：碼農(nóng)小胖哥 2022-04-11 07:34:46

如果有多個Gateway節(jié)點(diǎn)和UAA節(jié)點(diǎn)，可能要結(jié)合Spring Session去實(shí)現(xiàn)分布式Session以及對一些客戶端信息、用戶信息進(jìn)行分布式管理。

微服務(wù)做用戶認(rèn)證和授權(quán)一直都是一個難點(diǎn)，隨著OAuth2.0的密碼模式被作廢，更是難上加難了。今天胖哥群里的一個群友搭建用戶認(rèn)證授權(quán)體系的時候遇到了一些棘手的問題，這讓胖哥覺得是時候分享一些思路出來了。

兩種思路

通常微服務(wù)的認(rèn)證和授權(quán)思路有兩種：

所有的認(rèn)證授權(quán)都由一個獨(dú)立的用戶認(rèn)證授權(quán)服務(wù)器負(fù)責(zé)，它只負(fù)責(zé)發(fā)放Token，然后網(wǎng)關(guān)只負(fù)責(zé)轉(zhuǎn)發(fā)請求到各個微服務(wù)模塊，由微服務(wù)各個模塊自行對Token進(jìn)行校驗(yàn)處理。
另一種是網(wǎng)關(guān)不但承擔(dān)了流量轉(zhuǎn)發(fā)作用，還承擔(dān)認(rèn)證授權(quán)流程，當(dāng)前請求的認(rèn)證信息由網(wǎng)關(guān)中繼給下游服務(wù)器。

第一種非常簡單，而且我在多個微服務(wù)項(xiàng)目中都是這樣設(shè)計(jì)的。如果你從來沒有設(shè)計(jì)過，我其實(shí)建議按這個思路去做，你只需要搞一個負(fù)責(zé)管理用戶、角色權(quán)限的服務(wù)器，其它的微服務(wù)模塊都作為資源服務(wù)器自行和這個用戶授權(quán)服務(wù)器進(jìn)行交互，加上三戶模型體系就足以應(yīng)對各種場景了。

第二種結(jié)合了OAuth2體系，網(wǎng)關(guān)不僅僅承擔(dān)流量轉(zhuǎn)發(fā)功能，認(rèn)證授權(quán)也是在網(wǎng)關(guān)層處理的，令牌會中繼給下游服務(wù)。這種模式下需要搭建一個UAA(User Account And Authentication)服務(wù)。它非常靈活，它可以管理用戶，也可以讓受信任的客戶端自己管理用戶，它只負(fù)責(zé)對客戶端進(jìn)行認(rèn)證(區(qū)別于用戶認(rèn)證)和對客戶端進(jìn)行授權(quán)。目前使用OAuth2對微服務(wù)進(jìn)行安全體系建設(shè)的都使用這種方式。

接下來分享一下我在第二種思路上的成果。

Spring Cloud Gateway 結(jié)合OAuth2提供UAA服務(wù)

用的技術(shù)有：

Spring Cloud Gateway
Spring Authorization Server
Spring Security 5.0 OAuth2 Client
OIDC 1.0

大致的思路

UAA服務(wù)器自然由 Spring Authorization Server承擔(dān)。它負(fù)責(zé)整個用戶的管理，當(dāng)然你還可以分離一個專門的用戶服務(wù)器，只不過UAA需要通過Spring Cloud OpenFeign和用戶服務(wù)通信;另外它還是一個OAuth2授權(quán)服務(wù)器，管理OAuth2客戶端，處理OAuth2授權(quán)。重點(diǎn)來了，網(wǎng)關(guān)Gateway需要作為OAuth2客戶端注冊到UAA服務(wù)器，并作為一個OAuth2客戶端。