关于gateway与oauth2的兼容问题处理

前言

令牌鉴权方案的选择上，比较流行的有spring security + 自定义的令牌（比如JWT令牌）、spring security+oauth2，假如使用了spring security + oauth2的方案，在使用上oauth2提供有ResourceServerTokenServices用于解决资源服务对令牌的权限的校验，当访问资源服务的时候，token令牌经过ResourceServerTokenServices的loadAuthentication方法完成验证。

但是当服务无需做非常细致的服务划分的时候，也就是将一个项目当做一个整体资源，这个时候就涉及到在网关校验即可，其他微服务无需二次校验。

问题

目前流行的网关方案是spring gateway（spring框架），但是gateway为了实现高效，底层使用Spring WebFlux，Spring WebFlux是Spring 5.0引入的新的响应式框架，区别于SpringMVC，它不需要依赖Servlet API，它是完全异步非阻塞的，所以引入oauth2-resource的时候会发现启动报错，配置需要基于servlet。

解决方案

手写RPC

手写http访问oauth2的check_token接口实现对token令牌的校验，实现起来比较简单，可以用在网关的过滤器上。下面举个例子

  WebClient webClient = WebClient.create("http://localhost:9900");
        webClient.post()
                .uri("/oauth/check_token?token=" + token.substring(7))
                .header("Authorization", basic)
                .exchange()
                .flatMap(response -> {
                    HttpStatus status = response.statusCode();
                    if (status.is2xxSuccessful()) {
                        return response.bodyToMono(Map.class);
                    } else {
                        return response.createException().flatMap(Mono::error);
                    }
                }).subscribe(responseBody -> {
            log.info("post请求响应数据：{}", responseBody);
            if (Objects.isNull(responseBody) || responseBody.isEmpty()) {
                return;
            }
        }, error -> {
            log.error("post请求发生异常：", error);
        });

采用spring feign调用

据说在高版本需要对feign调用进行改造完成响应式的feign，因为spring自身并没有提供解决方案，暂时不在考虑范围。目前基于jdk8的最高版本也就是2.7.18，并没有这困扰。

下面Mono是用于测试响应式的feign调用

@FeignClient(name = ServerNameConstant.AUTHORITY_CENTER, path = "/authorityCenter/auth", fallback = AuthRemoteFallback.class)
public interface AuthRemote {

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUser")
    ResponseVO<UserResDTO> getUser(@RequestBody GetUserReqDTO in);

    /**
     * 获取用户信息和权限
     *
     * @param in token
     * @return 用户信息
     * @author zfj
     * @date 2024/1/19
     */
    @PostMapping("/getUserMono")
    Mono<ResponseVO<UserResDTO>> getUserMono(@RequestBody GetUserReqDTO in);

}

网关过滤器中调用

ResponseVO<UserResDTO> res = oauthRemote.getUser(new GetUserReqDTO(token));

采用JWT解析

JWT具有去中心化的特点，也就能实现无需访问oauth2的鉴权服务就能自行解析令牌，但是也会带来风险，就是秘钥泄露，所以这种方案不能用于安全性要求高的服务。

oauth2也针对JWT提供一个方案（假设不是用resource依赖包，等你升级到spring 3版本以后就能知道了，低版本还可以用spring cloud oauth2，高版本就必须用resource），这个方案考虑到秘钥安全，采用数字自签证书实现公钥的分发，就能很好的避免伪造令牌问题（除非私钥也泄密，那就另外采取一套措施保护私钥）。