上篇文章讲了SpringCloud OAuth 的实战篇,但是在微服务环境下,常常会有一个认证中心。
而普通服务接收到请求后,判断token是否有效并不是自己处理的,因为token的管理统一交给认证中心,token也理应被认证中心统一管理(职责专一性)。
那么这篇文章会介绍如何搭建认证中心,并介绍普通服务是如何处理token的。
1:认证中心的搭建(OAuth Center)
1.1:回顾
先看下上篇文章:SpringCloud-OAuth2(二):实战篇
上篇文章其实就已经简单搭建好了一个认证中心,因为我写了一个认证中心的配置。
可以看上文的这部分地方↓↓↓↓↓↓↓↓↓
1.2:我的项目结构图
wfw-auth-center:认证中心
wfw-auth-client:认证客户端
wfw-auth-common:common包
2:认证客户端的配置
只需要做两件事:properties配置、资源服务配置
关于pom:用上篇的或者参考我的github。
2.1:application配置
#认证中心地址
auth.server.address=127.0.0.1:8123
#认证客户端校验token的配置
security.oauth2.client.client-id=admin
security.oauth2.client.client-secret=admin
security.oauth2.client.access-token-uri=http://${auth.server.address}/oauth/token
security.oauth2.resource.jwt.key-uri=http://${auth.server.address}/oauth/token_key
security.oauth2.client.grant-type=password
security.oauth2.client.scope=all
2.2:资源服务配置
参考认证中心的配置做一定的更改即可。
@Configuration
@EnableResourceServer
public class WebClientResourceConfig extends ResourceServerConfigurerAdapter {
private final AuthClientExceptionHandler authClientExceptionHandler;
public WebClientResourceConfig(AuthClientExceptionHandler authClientExceptionHandler) {
this.authClientExceptionHandler = authClientExceptionHandler;
}
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
resources.resourceId("admin").stateless(true).authenticationEntryPoint(authClientExceptionHandler);
}
@Override
public void configure(HttpSecurity http) throws Exception {
// 资源链路
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
// 登录放通
.and()
.authorizeRequests()
.antMatchers("/oauth/**")
.permitAll()
// 其他请求都需认证
.and()
.authorizeRequests()
.anyRequest()
.authenticated()
// 跨域
.and()
.cors()
// 关闭跨站请求防护
.and()
.csrf()
.disable();
}
}
3:测试
3.1:先获取token
3.2:携带token访问其他服务的接口
3.3:uml图
认证中心颁发token、对token鉴权,携带token访问其他服务的接口,这是个闭环,合情合理。
4:再聊聊认证中心
每个普通服务一定要配置认证中心的的相关配置吗?答案是否定的。
先看看下面这张图:
当一个请求通过网关的转发之后,其他服务之间还需要通信,当请求到达订单服务,还会通过用户服务、支付服务。
在业务比较复杂的情况下,调用链有可能会更加复杂。
而每个服务都要去认证中心鉴定一下token是否合法,假设每鉴定一次token的耗时为50ms,那么调用链越长耗时更长。
总结:强校验、高耗时。
这种设计几乎是难以容忍的,那么是否可以更好管理token和资源呢?
再看看这张图:
前面就说过了,认证中心除了管理token,理应也具备管理权限、资源的功能,因为服务器之间的调用链可能会非常复杂,
如果每个服务在处理请求之前,都需要去认证中心找一下token是否有效,完全是浪费资源的。
而微服务之间的通信基本是基于内网的,不可能每个服务都暴露在外网,因此我们只需要在统一的入口:网关层 做token、权限资源的校验即可。
这种做法既保证了系统的安全性,也降低了在权限校验上的时间成本。
总结:一次校验、畅通无阻。