6

我们使用的架构与spring.io 上的这篇出色指南中描述的架构非常相似。我们的网关处理身份验证,会话使用 spring-session 存储在 Redis 中。我们微服务的端点是安全的,也使用 spring-session。

在微服务中,我需要调用另一个微服务的端点。我通过发现客户端轻松获得了 URL,但我需要提供凭据,但我不确定实现这一目标的最佳方法。

我正在考虑从 HttpRequest 中获取 SESSION cookie,将其存储在某种线程局部变量或请求范围 bean 中,并在 RestTemplate 中使用它来调用第二个微服务。我需要这个请求范围的 bean,因为 RestTemplate 将用于服务层,即不在 MVC 控制器中,而且我不想用从 cookie 中获得的会话标识符污染我的服务层方法。

有没有更好的方法来满足这种需求?Spring Cloud 中是否已经对此提供了一些支持?

非常感谢您的意见

4

2 回答 2

5

此时访问 Spring Session id 最简单的方法是使用RequestContextHolder.getRequestAttributes().getId(). 一旦您有权访问它,您就可以编写一个自定义ClientHttpRequestInterceptor以在请求中包含会话 ID:

public SpringSessionClientHttpRequestInterceptor implements ClientHttpRequestInterceptor {
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
            throws IOException {
        boolean isMyService = ...;

        // very important not to send the session id to external services
        if(isMyService) {
            request.getHeaders().add("x-auth-token", RequestContextHolder.getRequestAttributes().getId());
        }
    }
}

然后,当您创建 RestTemplate 时,请确保添加SpringSessionClientHttpRequestInterceptor.

RestTemplate rest = new RestTemplate();
rest.getInterceptors().add(new SpringSessionClientHttpRequestInterceptor());
于 2015-08-10T15:43:48.360 回答
0

我有一个类似的场景,我还需要在RestTemplate. 我知道您不想在控制器中实现它,但也许它会提供一些额外的见解(因为这个问题帮助我解决了这个问题)。这是我在控制器中实现它的方式:

@RequestMapping(value = "/assets/download", method = RequestMethod.POST, produces = MediaType.APPLICATION_OCTET_STREAM_VALUE)
public ResponseEntity<Resource> downloadAssets(HttpSession session, @RequestBody SelectedAssets selectedAssets){
    ...
    ...

    CsrfToken token = (CsrfToken) session.getAttribute("org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN");  

    RestTemplate restTemplate = new RestTemplate();
    HttpHeaders headers = new HttpHeaders();
    headers.set("Cookie", "SESSION=" + session.getId() + "; XSRF-TOKEN=" + token.getToken());
    headers.set("X-XSRF-TOKEN", token.getToken());
    HttpEntity<SelectedAssets> selectedAssetsEntity = new HttpEntity<>(selectedAssets, headers);
    ResponseEntity<JobResponse> jobResponseResponseEntity = restTemplate.postForEntity("http://localhost:8102/jobs/package", selectedAssetsEntity, JobResponse.class);

    ...
    ...
}
于 2019-02-18T07:04:20.663 回答