Spring Cloud Security обеспечивает поддержку использования OAuth2 и JWT в распределенных системах. Spring Cloud Gateway — это сервис шлюза, основанный на Spring Framework 5, Spring Boot 2 и Project Reactor. Он предоставляет простой и эффективный способ микросервисной архитектуры предоставлять API-интерфейсы внешнему миру.

Интегрируйте Spring Cloud Security и Spring Cloud Gateway

Во-первых, нам нужно добавить зависимость Spring Cloud Security к зависимостям Spring Cloud Gateway, чтобы мы могли использовать поддержку OAuth2 и JWT, предоставляемую Spring Cloud Security в шлюзе. В проекте Maven нам нужно добавить в файл pom.xml следующие зависимости:

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>

Добавить конфигурацию безопасности

Далее нам нужно использовать Spring Cloud Gatewayсередина Добавить конфигурацию безопасность. В этом примере мы будем использовать OAuth2 и JWT для защиты нашего API. Нам нужно использовать Spring Cloud Добавьте следующий код в класс конфигурации шлюза:

@EnableWebFluxSecurity
public class SecurityConfig {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        return http.authorizeExchange()
                .pathMatchers("/api/**").authenticated()
                .and()
                .oauth2Login()
                .and()
                .oauth2ResourceServer()
                .jwt()
                .and()
                .and().build();
    }

}

В этой конфигурации безопасности мы включаем безопасность WebFlux с помощью аннотации @EnableWebFluxSecurity и определяем компонент Bean с именем securityWebFilterChain. В этом компоненте мы определяем путь для защиты и используемый метод аутентификации, включая OAuth2 и JWT.

Настройте OAuth2 и JWT

Чтобы использовать OAuth2 и JWT, нам нужно добавить в файл конфигурации следующие свойства:

spring:
  security:
    oauth2:
      client:
        registration:
          my-client:
            client-id: my-client
            client-secret: my-client-secret
            scope: read,write
            authorization-grant-type: authorization_code
            redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
            client-name: My Client
        provider:
          my-provider:
            authorization-uri: https://my-provider.com/oauth/authorize
            token-uri: https://my-provider.com/oauth/token
            user-info-uri: https://my-provider.com/userinfo
            user-name-attribute: sub
      resource-server:
        jwt:
          issuer-uri: https://my-provider.com/oauth/token
          jwk-set-uri: https://my-provider.com/oauth/token_keys

В этой конфигурации мы определяем сведения о клиенте и поставщике OAuth2, включая идентификатор и секрет клиента, тип разрешения, URI перенаправления и URI конечной точки поставщика. Мы также определяем URI эмитента JWT и URI набора JWK.

Пример

Допустим, у нас есть микросервис под названием User Service, который содержит конечную точку API с именем /users. мы хотим

Защитите эту конечную точку, чтобы доступ к ней могли получить только прошедшие проверку подлинности пользователи. Мы можем добавить следующие правила маршрутизации в класс конфигурации Spring Cloud Gateway:

@Bean
public RouteLocator customRouteLocator(RouteLocatorBuilder builder) {
    return builder.routes()
            .route("user-service", r -> r.path("/users/**")
                    .filters(f -> f.stripPrefix(1))
                    .uri("lb://user-service"))
            .build();
}

Это правило маршрутизации перенаправляет все запросы, начинающиеся с /users, в микросервис с именем user-service. Однако доступ к этой конечной точке требует аутентификации. Поэтому нам нужно использовать Spring Cloud Gatewayсередина Добавить конфигурацию безопасности,использоватьOAuth2иJWTчтобы защитить эту конечную точку。

Теперь мы можем запросить наш API, используя любое клиентское приложение, поддерживающее OAuth2 и JWT. Например, мы можем использовать Curl для имитации такого запроса:

curl -X GET http://localhost:8080/users -H "Authorization: Bearer [JWT token]"

В этом запросе мы передаем токен JWT в качестве учетных данных аутентификации. Этот токен содержит идентификационную информацию пользователя и права доступа. Spring Cloud Gateway аутентифицирует пользователя на основе этого токена и разрешит или отклонит запрос.