29

我目前正在开发基于微服务架构的应用程序。我们使用使用 Spring Cloud Netfix 的 Zuul 服务器实现的 API-Gateway 将请求路由到我们的微服务。

为了实现我们所有服务的单点登录,我目前正在使用 Spring Cloud Security 设置 OAuth2 服务器。服务器基本上只是 Dave Syer 的回购中实现的副本和过去:https ://github.com/dsyer/spring-security-angular/tree/master/oauth2/authserver

主要区别在于我想通过 Zuul 代理将请求路由到我的 OAuth 服务器。这样我就不必直接公开我的 OAuth 服务器,并且可以动态添加和删除登录服务器。

问题是我不了解如何正确配置此设置。当我尝试访问 OAuth 服务器上的受保护资源时,我被转发到登录页面。这当然是意料之中的。但我不知道如何设置转发时使用的主机名和端口。我想要发生的是服务器转发到 Zuul 服务器上的端点,该端点将被代理回 OAuth 服务器。(Zuul API-Gateway 应该是客户端曾经与之交谈的唯一服务器。其他所有内容都将被隐藏。)

因为它是从HttpServletRequestin读取主机和端口LoginUrlAuthenticationEntryPoint。但是服务器看到的请求是Zuul代理发送的请求。所以我被转发到一个内部 IP 而不是代理上的端点。

我试图将登录页面的 URL 设置WebSecurityConfigurerAdapter.configure(HttpSecurity)为我的 Zuul 代理的绝对 URL。但这只是导致我的应用程序抱怨重定向太多。(可能在那里造成了循环。)

设置它的最佳方法是什么?

4

2 回答 2

20

更新:可以在这里找到 POC https://github.com/kakawait/uaa-behind-zuul-sample

您是否尝试过以下设置(在zuul服务器上):

zuul:
  routes:
    uaa-service:
      path: /uaa/**
      stripPrefix: false

security:
  # Disable Spring Boot basic authentication
  basic:
    enabled: false
  oauth2:
    sso:
      loginPath: /login
    client:
      accessTokenUri: https://<zuul hostname>/uaa/oauth/token
      userAuthorizationUri: https://<zuul hostname>/uaa/oauth/authorize
      ...

基本上它适用于我的项目,我唯一要做的就是禁用路由CSRF保护。/uaa/oauth/token

身份验证服务器应该打开

server:
  # Use different context-path to avoid session cookie overlapping
  context-path: /uaa

测试使用Spring-Cloud.Brixton.M3

感谢@thomas-letsch,你应该像下面这样调整你的安全性(示例)

public void configure(HttpSecurity http) throws Exception { 
    http.logout().and()
        .antMatcher("/**").authorizeRequests() 
        .antMatchers("/index.html", "/home.html", "/", "/uaa/oauth/**").permitAll() 
        .anyRequest().authenticated().and() 
        .csrf().csrfTokenRepository(getCSRFTokenRepository()).ignoringAntMatchers("/uaa/‌​oauth/token").and() 
        .addFilterAfter(createCSRFHeaderFilter(), CsrfFilter.class); 
}
于 2015-12-23T21:50:35.187 回答
4

据我了解您的问题,spring-cloud-security(对于EnableOauth2Sso部分)和spring-cloud(对于zuul),这是不可能使用zuul代理对授权服务器的调用。主要原因是spring-cloud-security独立保护网关(并且在考虑之前)Zuul 路由的逻辑。

这意味着(来自 Dave Syer 的OAuth2示例的示例配置)spring.oauth2.client.*配置

spring:
  oauth2:
    client:
      accessTokenUri: http://localhost:9999/uaa/oauth/token
      userAuthorizationUri: http://localhost:9999/uaa/oauth/authorize
      clientId: acme
      clientSecret: acmesecret

在允许任何访问 Zuul 的路线之前考虑zuul.routes.*

此外,此设置使客户端代理能够存储两个 Cookie:一个用于网关,一个用于授权服务器。

我希望这有帮助。

于 2015-06-19T12:41:47.903 回答