使用 spring-session 在微服务之间传播凭据的最佳方式
Best way to propagate credentials between micro services using spring-session
我们使用的架构与 this great guide on spring.io 中描述的架构非常相似。我们的网关处理身份验证,会话使用 spring-session 存储在 Redis 中。我们的微服务端点是安全的,并且还使用 spring-session.
在微服务中,我需要调用另一个微服务的端点。我通过发现客户端轻松获得 URL,但我需要提供凭据,但我不确定实现此目的的最佳方法。
我正在考虑从 HttpRequest 获取 SESSION cookie,将其存储在某种线程局部变量或请求范围 bean 中,并在 RestTemplate 中使用它来调用第二个微服务。我需要这个请求范围的 bean,因为 RestTemplate 将在服务层中使用,即不在 MVC 控制器中使用,并且我不想用从 cookie 中获取的会话标识符污染我的服务层方法。
是否有更好的方法来满足这一需求? Spring Cloud 是否已经对此提供了一些支持?
非常感谢您的意见
目前访问 Spring 会话 ID 的最简单方法是使用 RequestContextHolder.getRequestAttributes().getId()。一旦您有权访问它,您就可以编写自定义 ClientHttpRequestInterceptor 以在请求中包含会话 ID:
public SpringSessionClientHttpRequestInterceptor implements ClientHttpRequestInterceptor {
public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
throws IOException {
boolean isMyService = ...;
// very important not to send the session id to external services
if(isMyService) {
request.getHeaders().add("x-auth-token", RequestContextHolder.getRequestAttributes().getId());
}
}
}
然后在创建 RestTemplate 时确保添加 SpringSessionClientHttpRequestInterceptor.
RestTemplate rest = new RestTemplate();
rest.getInterceptors().add(new SpringSessionClientHttpRequestInterceptor());
我有一个类似的场景,我还需要在 RestTemplate 中传递 CSRF 令牌。我知道您不想在控制器中实现它,但也许它会提供一些额外的见解(因为这个问题帮助我解决了这个问题)。这是我在我的控制器中实现它的方式:
@RequestMapping(value = "/assets/download", method = RequestMethod.POST, produces = MediaType.APPLICATION_OCTET_STREAM_VALUE)
public ResponseEntity<Resource> downloadAssets(HttpSession session, @RequestBody SelectedAssets selectedAssets){
...
...
CsrfToken token = (CsrfToken) session.getAttribute("org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN");
RestTemplate restTemplate = new RestTemplate();
HttpHeaders headers = new HttpHeaders();
headers.set("Cookie", "SESSION=" + session.getId() + "; XSRF-TOKEN=" + token.getToken());
headers.set("X-XSRF-TOKEN", token.getToken());
HttpEntity<SelectedAssets> selectedAssetsEntity = new HttpEntity<>(selectedAssets, headers);
ResponseEntity<JobResponse> jobResponseResponseEntity = restTemplate.postForEntity("http://localhost:8102/jobs/package", selectedAssetsEntity, JobResponse.class);
...
...
}
我们使用的架构与 this great guide on spring.io 中描述的架构非常相似。我们的网关处理身份验证,会话使用 spring-session 存储在 Redis 中。我们的微服务端点是安全的,并且还使用 spring-session.
在微服务中,我需要调用另一个微服务的端点。我通过发现客户端轻松获得 URL,但我需要提供凭据,但我不确定实现此目的的最佳方法。
我正在考虑从 HttpRequest 获取 SESSION cookie,将其存储在某种线程局部变量或请求范围 bean 中,并在 RestTemplate 中使用它来调用第二个微服务。我需要这个请求范围的 bean,因为 RestTemplate 将在服务层中使用,即不在 MVC 控制器中使用,并且我不想用从 cookie 中获取的会话标识符污染我的服务层方法。
是否有更好的方法来满足这一需求? Spring Cloud 是否已经对此提供了一些支持?
非常感谢您的意见
目前访问 Spring 会话 ID 的最简单方法是使用 RequestContextHolder.getRequestAttributes().getId()。一旦您有权访问它,您就可以编写自定义 ClientHttpRequestInterceptor 以在请求中包含会话 ID:
public SpringSessionClientHttpRequestInterceptor implements ClientHttpRequestInterceptor {
public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
throws IOException {
boolean isMyService = ...;
// very important not to send the session id to external services
if(isMyService) {
request.getHeaders().add("x-auth-token", RequestContextHolder.getRequestAttributes().getId());
}
}
}
然后在创建 RestTemplate 时确保添加 SpringSessionClientHttpRequestInterceptor.
RestTemplate rest = new RestTemplate();
rest.getInterceptors().add(new SpringSessionClientHttpRequestInterceptor());
我有一个类似的场景,我还需要在 RestTemplate 中传递 CSRF 令牌。我知道您不想在控制器中实现它,但也许它会提供一些额外的见解(因为这个问题帮助我解决了这个问题)。这是我在我的控制器中实现它的方式:
@RequestMapping(value = "/assets/download", method = RequestMethod.POST, produces = MediaType.APPLICATION_OCTET_STREAM_VALUE)
public ResponseEntity<Resource> downloadAssets(HttpSession session, @RequestBody SelectedAssets selectedAssets){
...
...
CsrfToken token = (CsrfToken) session.getAttribute("org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository.CSRF_TOKEN");
RestTemplate restTemplate = new RestTemplate();
HttpHeaders headers = new HttpHeaders();
headers.set("Cookie", "SESSION=" + session.getId() + "; XSRF-TOKEN=" + token.getToken());
headers.set("X-XSRF-TOKEN", token.getToken());
HttpEntity<SelectedAssets> selectedAssetsEntity = new HttpEntity<>(selectedAssets, headers);
ResponseEntity<JobResponse> jobResponseResponseEntity = restTemplate.postForEntity("http://localhost:8102/jobs/package", selectedAssetsEntity, JobResponse.class);
...
...
}