spring-cloud-gateway 到底对我的UAA做了什么

哈哈,这可能就是典型的标题党了

首先说一下问题,最近正好负责微服务下的一个子项目

认证中心  UAA

认证中心基于spring-security-oauth2,选用这个框架也是为了以后的扩展,第一就是方便接入第三方登录,第二嘛是为了别人方便接入我们,哈哈哈,以后中小企业,可以选择用微信登录,支付宝登录,还有PIP登录。。。

但行好事,莫问前程,我只管铺好了路,后面谁走都会很顺畅

springboot的版本是2.0.4.RELEASE,cloud的版本是对应的Finchley.SR1,基本上都是最新的。

Oauth2的出现就是为了解决信任问题,允许第三方客户端访问资源所有者的私有资源,在最开始接触这个协议时,总是转不过来角色,总把自己当做用户,其实在你去实现整个UAA时,你就是微信,就是Google了,角色转换了,整个认知就很舒服了。

但是跟gateway有啥关系呢?

公司所有服务都在网关下,不暴露在公网上,所以UAA也不例外

设计之初,UAA本身既是认证服务器,也是资源服务器,除此之外,如果再加资源服务器的话,需要在相应的微服务子项目上加一些代码。

不论出于什么考虑,在网关做鉴权都是合理合法的,但是看了好多官方的issue,gateway和oauth2还是存在一些问题,spring成员回复在spring5的webflux好像支持了,但是下面也被人回怼说还是一大顿bug。。。

框架的问题我解决不了,gateway的项目也不是我负责,所以只能退而求其次,只让gateway路由,其他不做任何事情。

但是!!

重点来了,在本地测试时,整个认证流程没有任何问题,上到测试环境,就卡在第一步,获取accessToken就是拿不到,一直返回401。。

经过多方排查,基本确定是网关拦截了一些信息,导致总是返回401

经过网关

curl --request POST \
  --url 'https://localhost:9016/uaa/oauth/token?username=123456789&password=123456&grant_type=password&scope=USER_INFO&client_id=XnRFHdwI7KmOQ5nZ' \
  --header 'Authorization: Basic WG5SRkhkd0k3S21PUTVuOkM2TzlLbTJORFg4VnRuWnl1ZEFnRjhFNkdTaU8zZWtG'

{
    "timestamp": 1541216762332,
    "status": 401,
    "error": "Unauthorized",
    "message": "Unauthorized",
    "path": "/oauth/token"
}
复制代码

不经过网关

curl --request POST \
  --url 'https://localhost:9000/oauth/token?username=123456789&password=123456&grant_type=password&scope=USER_INFO&client_id=XnRFHdwI7KmOQ5nZ' \
  --header 'Authorization: Basic WG5SRkhkd0k3S21PUTVuOkM2TzlLbTJORFg4VnRuWnl1ZEFnRjhFNkdTaU8zZWtG'
{
    "access_token": "cdb2f737-34fa-44ab-aa0d-0e7bbbf91d4c",
    "token_type": "bearer",
    "refresh_token": "6b059fa5-d93a-4991-8c1e-46d5b716bc6e",
    "expires_in": 299,
    "scope": "USER_INFO"
}
复制代码

除了端口号不一致之外,参数全部一致,可就是返回401!!

怎么回事呢??

答案揭晓:

gateway就算不搭配spring-cloud-oauth2,也会抹除一些敏感信息

例如:

header 'Authorization: Basic WG5SRkhkd0k3S21PUTVuOkM2TzlLbTJORFg4VnRuWnl1ZEFnRjhFNkdTaU8zZWtG'
复制代码

没法做basic认证,当然返回401了。

所以最后在gateway配置了一下,不要抹除敏感信息

zuul:
  ignored-services: "*"
  routes:
     shop-user: /sys/user/**
  sensitive-headers:


 

上一篇:SpringCloud Alibaba实战 -引入服务网关Gateway


下一篇:记一次使用Docker 部署 SpringCloud(Alibaba),微服务在 bridge 网络无法注册 Nacos 的解决方案