使用spring-session在微服务之间传播凭据的最佳方式

问题描述 投票:4回答:2

我们使用的架构非常类似于this great guide on spring.io中描述的架构。我们的网关处理身份验证,会话使用spring-session存储在Redis中。我们的微服务端点是安全的,也使用spring-session。

在微服务中,我需要调用另一个微服务的端点。我通过发现客户端轻松获取URL,但我需要提供凭据,而且我不确定实现该目标的最佳方法。

我正在考虑从HttpRequest获取SESSION cookie,将其存储在某种线程局部变量或请求范围bean中,并在RestTemplate中使用它来调用第二个微服务。我需要这个请求范围的bean,因为RestTemplate将在服务层中使用,即不在MVC控制器中使用,我不想用我从cookie获得的会话标识符污染我的服务层方法。

有没有更好的方法来满足这种需求? Spring Cloud中是否已经为此提供了一些支持?

非常感谢您的投入

spring-cloud spring-session
2个回答
3
投票

此时访问Spring Session id的最简单方法是使用RequestContextHolder.getRequestAttributes().getId()。一旦您有权访问,您可以编写自定义ClientHttpRequestInterceptor以在请求中包含会话ID:

public SpringSessionClientHttpRequestInterceptor implements ClientHttpRequestInterceptor {
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
            throws IOException {
        boolean isMyService = ...;

        // very important not to send the session id to external services
        if(isMyService) {
            request.getHeaders().add("x-auth-token", RequestContextHolder.getRequestAttributes().getId());
        }
    }
}

然后,当您创建RestTemplate时,请确保添加SpringSessionClientHttpRequestInterceptor

RestTemplate rest = new RestTemplate();
rest.getInterceptors().add(new SpringSessionClientHttpRequestInterceptor());
0
投票

我有一个类似的场景,我还需要在RestTemplate中传递CSRF令牌。我知道你不想在控制器中实现它,但也许它会提供一些额外的见解(因为这个问题帮助我解决了这个问题)。以下是我在控制器中实现的方法:

@RequestMapping(value = "/assets/download", method = RequestMethod.POST, produces = MediaType.APPLICATION_OCTET_STREAM_VALUE)
public ResponseEntity<Resource> downloadAssets(HttpSession session, @RequestBody SelectedAssets selectedAssets){
    ...
    ...

    CsrfToken token = (CsrfToken) session.getAttribute("org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN");  

    RestTemplate restTemplate = new RestTemplate();
    HttpHeaders headers = new HttpHeaders();
    headers.set("Cookie", "SESSION=" + session.getId() + "; XSRF-TOKEN=" + token.getToken());
    headers.set("X-XSRF-TOKEN", token.getToken());
    HttpEntity<SelectedAssets> selectedAssetsEntity = new HttpEntity<>(selectedAssets, headers);
    ResponseEntity<JobResponse> jobResponseResponseEntity = restTemplate.postForEntity("http://localhost:8102/jobs/package", selectedAssetsEntity, JobResponse.class);

    ...
    ...
}
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.