基于OpenID?Connect及Token?Relay怎么實現Spring?Cloud?Gateway

這篇文章主要介紹“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”的相關知識，小編通過實際案例向大家展示操作過程，操作方法簡單快捷，實用性強，希望這篇“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”文章能幫助大家解決問題。

前言

當與Spring Security 5.2+ 和 OpenID Provider（如KeyClope）結合使用時，可以快速為OAuth3資源服務器設置和保護Spring Cloud Gateway。

Spring Cloud Gateway旨在提供一種簡單而有效的方式來路由到API，并為API提供跨領域的關注點，如：安全性、監控/指標和彈性。

我們認為這種組合是一種很有前途的基于標準的網關解決方案，具有理想的特性，例如對客戶端隱藏令牌，同時將復雜性保持在最低限度。

我們基于WebFlux的網關帖子探討了實現網關時的各種選擇和注意事項，本文假設這些選擇已經導致了上述問題。

實現

我們的示例模擬了一個旅游網站，作為網關實現，帶有兩個用于航班和酒店的資源服務器。我們使用Thymeleaf作為模板引擎，以使技術堆棧僅限于Java并基于Java。每個組件呈現整個網站的一部分，以在探索微前端時模擬域分離。

Keycloak

我們再一次選擇使用keyclope作為身份提供者；盡管任何OpenID Provider都應該工作。配置包括創建領域、客戶端和用戶，以及使用這些詳細信息配置網關。

網關

我們的網關在依賴關系、代碼和配置方面非常簡單。

依賴項

• OpenID Provider的身份驗證通過org.springframework.boot:spring-boot-starter-oauth3-client

• 網關功能通過org.springframework.cloud:spring-cloud-starter-gateway

• 將令牌中繼到代理的資源服務器來自org.springframework.cloud:spring-cloud-security

代碼

除了常見的@SpringBootApplication注釋和一些web控制器endpoints之外，我們所需要的只是：

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http,
    ReactiveClientRegistrationRepository clientRegistrationRepository) {
  // Authenticate through configured OpenID Provider
  http.oauth3Login();

  // Also logout at the OpenID Connect provider
  http.logout(logout -> logout.logoutSuccessHandler(
    new OidcClientInitiatedServerLogoutSuccessHandler(clientRegistrationRepository)));

  // Require authentication for all requests
  http.authorizeExchange().anyExchange().authenticated();

  // Allow showing /home within a frame
  http.headers().frameOptions().mode(Mode.SAMEORIGIN);

  // Disable CSRF in the gateway to prevent conflicts with proxied service CSRF
  http.csrf().disable();
  return http.build();
}

配置

配置分為兩部分；OpenID Provider的一部分。issuer uri屬性引用RFC 8414 Authorization Server元數據端點公開的bij Keyclope。如果附加。您將看到用于通過openid配置身份驗證的詳細信息。請注意，我們還設置了user-name-attribute，以指示客戶機使用指定的聲明作為用戶名。

spring:
  security:
    oauth3:
      client:
        provider:
          keycloak:
            issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm
            user-name-attribute: preferred_username
        registration:
          keycloak:
            client-id: spring-cloud-gateway-client
            client-secret: 016c6e1c-9cbe-4ad3-aee1-01ddbb370f32

網關配置的第二部分包括到代理的路由和服務，以及中繼令牌的指令。

spring:
  cloud:
    gateway:
      default-filters:
      - TokenRelay
      routes:
      - id: flights-service
        uri: http://127.0.0.1:8081/flights
        predicates:
        - Path=/flights/**
      - id: hotels-service
        uri: http://127.0.0.1:8082/hotels
        predicates:
        - Path=/hotels/**

TokenRelay激活TokenRelayGatewayFilterFactory，將用戶承載附加到下游代理請求。我們專門將路徑前綴匹配到與服務器對齊的server.servlet.context-path。

測試

OpenID connect客戶端配置要求配置的提供程序URL在應用程序啟動時可用。為了在測試中解決這個問題，我們使用WireMock記錄了keyclope響應，并在測試運行時重播該響應。一旦啟動了測試應用程序上下文，我們希望向網關發出經過身份驗證的請求。為此，我們使用Spring Security 5.0中引入的新SecurityMockServerConfigurers#authentication(Authentication)Mutator。使用它，我們可以設置可能需要的任何屬性；模擬網關通常為我們處理的內容。

資源服務器

我們的資源服務器只是名稱不同；一個用于航班，另一個用于酒店。每個都包含一個顯示用戶名的最小web應用程序，以突出顯示它已傳遞給服務器。

依賴項

我們添加了org.springframework.boot:spring-boot-starter-oauth3-resource-server到我們的資源服務器項目，它可傳遞地提供三個依賴項。

• 根據配置的OpenID Provider進行的令牌驗證通過org.springframework.security:spring-security-oauth3-resource-server

• JSON Web標記使用org.springframework.security:spring-security-oauth3-jose

• 自定義令牌處理需要org.springframework.security:spring-security-config

代碼

我們的資源服務器需要更多的代碼來定制令牌處理的各個方面。

首先，我們需要掌握安全的基本知識；確保令牌被正確解碼和檢查，并且每個請求都需要這些令牌。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    // Validate tokens through configured OpenID Provider
    http.oauth3ResourceServer().jwt().jwtAuthenticationConverter(jwtAuthenticationConverter());
    // Require authentication for all requests
    http.authorizeRequests().anyRequest().authenticated();
    // Allow showing pages within a frame
    http.headers().frameOptions().sameOrigin();
  }

  ...
}

其次，我們選擇從keyclope令牌中的聲明中提取權限。此步驟是可選的，并且將根據您配置的OpenID Provider和角色映射器而有所不同。

private JwtAuthenticationConverter jwtAuthenticationConverter() {
  JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
  // Convert realm_access.roles claims to granted authorities, for use in access decisions
  converter.setJwtGrantedAuthoritiesConverter(new KeycloakRealmRoleConverter());
  return converter;
}
[...]
class KeycloakRealmRoleConverter implements Converter<Jwt, Collection<GrantedAuthority>> {
  @Override
  public Collection<GrantedAuthority> convert(Jwt jwt) {
    final Map<String, Object> realmAccess = (Map<String, Object>) jwt.getClaims().get("realm_access");
    return ((List<String>) realmAccess.get("roles")).stream()
      .map(roleName -> "ROLE_" + roleName)
      .map(SimpleGrantedAuthority::new)
      .collect(Collectors.toList());
  }
}

第三，我們再次提取preferred_name作為身份驗證名稱，以匹配我們的網關。

@Bean
public JwtDecoder jwtDecoderByIssuerUri(<a href="https://javakk.com/tag/oauth3" rel="external nofollow"  target="_blank" >OAuth3</a>ResourceServerProperties properties) {
  String issuerUri = properties.getJwt().getIssuerUri();
  NimbusJwtDecoder jwtDecoder = (NimbusJwtDecoder) JwtDecoders.fromIssuerLocation(issuerUri);
  // Use preferred_username from claims as authentication name, instead of UUID subject
  jwtDecoder.setClaimSetConverter(new UsernameSubClaimAdapter());
  return jwtDecoder;
}
[...]
class UsernameSubClaimAdapter implements Converter<Map<String, Object>, Map<String, Object>> {

  private final MappedJwtClaimSetConverter delegate = MappedJwtClaimSetConverter.withDefaults(Collections.emptyMap());

  @Override
  public Map<String, Object> convert(Map<String, Object> claims) {
    Map<String, Object> convertedClaims = this.delegate.convert(claims);
    String username = (String) convertedClaims.get("preferred_username");
    convertedClaims.put("sub", username);
    return convertedClaims;
  }

}

配置

在配置方面，我們又有兩個不同的關注點。

首先，我們的目標是在不同的端口和上下文路徑上啟動服務，以符合網關代理配置。

server:
  port: 8082
  servlet:
    context-path: /hotels/

其次，我們使用與網關中相同的頒發者uri配置資源服務器，以確保令牌被正確解碼和驗證。

spring:
  security:
    oauth3:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:8090/auth/realms/spring-cloud-gateway-realm

測試

酒店和航班服務在如何實施測試方面都采取了略有不同的方法。Flights服務將JwtDecoder bean交換為模擬。相反，酒店服務使用WireMock回放記錄的keyclope響應，允許JwtDecoder正常引導。兩者都使用Spring Security 5.2中引入的new jwt（）RequestPostProcessor來輕松更改jwt特性。哪種風格最適合您，取決于您想要具體測試的JWT處理的徹底程度和方面。

關于“基于OpenID Connect及Token Relay怎么實現Spring Cloud Gateway”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識，可以關注億速云行業資訊頻道，小編每天都會為大家更新不同的知識點。