我已将 Spring Cloud Gateway 与 OAuth2 服务器集成。它与单实例网关配合得很好。这是我的安全配置。
@EnableWebFluxSecurity
public class GatewaySecurityConfiguration {
@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
http
.authorizeExchange().pathMatchers("/user/v3/api-docs", "/actuator/**").permitAll()
.anyExchange().authenticated()
.and()
.oauth2Login()
.and()
.csrf().disable();
return http.build();
}
但是,当我将网关扩展到 2 个实例时,某些请求按预期工作,但某些请求返回 401。
load balancer (kubernetes nodeport service)
/ \
gateway gateway
\ /
(microservice clusters)
当我登录网关的第一个实例时,主体对象已成功创建,并将会话分配给redis。如果下一个请求到达第二个实例,它将返回 401,因为它没有主体。
我该如何解决这个问题?
ps:我正在使用 redis 进行 Web 会话,以共享网关之间的会话信息。
TL;博士
您可以通过WebSession共享Redis上的会话主体信息。但您无法共享访问令牌(JWT),因为它们存储在服务器的内存中。
长答案
来自 Spring Cloud 文档 (https://cloud.spring.io/spring-cloud-static/Greenwich.SR5/multi/multi__more_detail.html);
ReactiveOAuth2AuthorizedClientService的默认实现 TokenRelayGatewayFilterFactory 使用内存中的数据存储。 您需要提供自己的实现 ReactiveOAuth2AuthorizedClientService 如果您需要更强大的 解决方案。
您知道的第一件事:当您成功登录时,oauth2服务器返回访问令牌(作为jwt),服务器创建会话,并将该会话映射到ConcurrentHashMap(authorizedClients实例InMemoryReactiveOAuth2AuthorizedClientService类)上的访问令牌。
当您使用会话 ID 请求 API Gateway 访问微服务时,网关中的 TokenRelayGatewayFilterFactory 会解析访问令牌(jwt),并将此访问令牌设置在 Authorization header 中,并将请求转发到微服务。
那么,让我解释一下 TokenRelayGatewayFilterFactory 的工作原理(假设您通过 Redis 使用 WebSession,并且您有 2 个网关实例,并且您在实例 1 上登录。)
解决方案-1
因此,您的请求应始终发送到您登录的服务器以获取有效的访问令牌。
解决方案-2
InMemoryReactiveOAuth2AuthorizedClientService 只是 ReactiveOAuth2AuthorizedClientService 的实现。因此,创建使用 Redis 的新实现,然后执行 primary bean。
@RequiredArgsConstructor
@Slf4j
@Component
@Primary
public class AccessTokenRedisConfiguration implements ReactiveOAuth2AuthorizedClientService {
private final SessionService sessionService;
@Override
@SuppressWarnings("unchecked")
public <T extends OAuth2AuthorizedClient> Mono<T> loadAuthorizedClient(String clientRegistrationId, String principalName) {
log.info("loadAuthorizedClient for user {}", principalName);
Assert.hasText(clientRegistrationId, "clientRegistrationId cannot be empty");
Assert.hasText(principalName, "principalName cannot be empty");
// TODO: When changed immutability of OAuth2AuthorizedClient, return directly object without map.
return (Mono<T>) sessionService.getSessionRecord(principalName, "accessToken").cast(String.class)
.map(mapper -> {
return new OAuth2AuthorizedClient(clientRegistration(), principalName, accessToken(mapper));
});
}
@Override
public Mono<Void> saveAuthorizedClient(OAuth2AuthorizedClient authorizedClient, Authentication principal) {
log.info("saveAuthorizedClient for user {}", principal.getName());
Assert.notNull(authorizedClient, "authorizedClient cannot be null");
Assert.notNull(principal, "principal cannot be null");
return Mono.fromRunnable(() -> {
// TODO: When changed immutability of OAuth2AuthorizedClient , persist OAuthorizedClient instead of access token.
sessionService.addSessionRecord(principal.getName(), "accessToken", authorizedClient.getAccessToken().getTokenValue());
});
}
@Override
public Mono<Void> removeAuthorizedClient(String clientRegistrationId, String principalName) {
log.info("removeAuthorizedClient for user {}", principalName);
Assert.hasText(clientRegistrationId, "clientRegistrationId cannot be empty");
Assert.hasText(principalName, "principalName cannot be empty");
return null;
}
private static ClientRegistration clientRegistration() {
return ClientRegistration.withRegistrationId("login-client")
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.clientId("dummy").registrationId("dummy")
.redirectUriTemplate("dummy")
.authorizationUri("dummy").tokenUri("dummy")
.build();
}
private static OAuth2AccessToken accessToken(String value) {
return new OAuth2AccessToken(OAuth2AccessToken.TokenType.BEARER, value, null, null);
}
}
备注:
TokenRelayGatewayFilterFactory使用内存数据存储来存储包含(JWT)访问令牌的OAuth2AuthorizedClient。该数据存储不在多个网关之间共享。
要通过 Redis 与 Spring Session 共享 OAuth2AuthorizedClient 信息,请提供以下配置:
@Bean
public OAuth2AuthorizedClientRepository authorizedClientRepository() {
return new HttpSessionOAuth2AuthorizedClientRepository();
}
对于反应式 WebSession:
@Bean
public ServerOAuth2AuthorizedClientRepository authorizedClientRepository() {
return new WebSessionServerOAuth2AuthorizedClientRepository();
}
有关此配置的更多信息,请访问 https://github.com/spring-projects/spring-security/issues/7889