反向代理分离资源服务器分析

参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/proxy/README.adoc
和前文相似,使用SpringSession实现HttpSession共享,UI服务器同时是反向代理服务器,根据需求将请求转发到资源服务器,这里同时将请求头转发,资源服务器从请求头得到Token,进行Token解码,得到认证授权信息.这种思路省去了跨域问题.主要原理看下图:

1.浏览器向UI服务器进行认证授权
2.将认证授权信息存储在Redis服务器
3.浏览器向UI服务器发出请求
4.UI服务器将请求转发到资源服务器
5.Resource服务器从请求头得到Token,向Redis服务器获取认证授权信息
最后返回资源到UI服务器，再返回资源给浏览器.

使用spring要创建一个反向代理是件简单的事情.
1.加入pom.xml

 <dependencyManagement>        <dependencies>            <dependency>                <groupId>org.springframework.cloud</groupId>                <artifactId>spring-cloud-dependencies</artifactId>                <version>Angel.SR6</version>                <type>pom</type>                <scope>import</scope>            </dependency>        </dependencies>    </dependencyManagement>    <dependencies>        <dependency>            <groupId>org.springframework.cloud</groupId>            <artifactId>spring-cloud-starter-zuul</artifactId>        </dependency>    <dependencies>

2.在application.yml配置路由映射信息

zuul:  routes:    resource:      path: /resource/**      url: http://localhost:9000

3.在主应用类加入注解@EnableZuulProxy,启动就可以测试了.这种思路可以解决上节的跨域问题.

上面是不需要权限控制的代理服务器配置,如果要进行权限控制,还要往下走:
1.在在UI服务器和Resource服务器都配置spring session.
2.在UI服务器加入以下配置,意思是转发时,同时转发请求头,

zuul:  routes:    resource:      sensitive-headers:

3.在Resource服务器加入安全控制,禁止弹出认证对话框.@SpringBootApplication

public class ResourceApplication extends WebSecurityConfigurerAdapter {    @Override    protected void configure(HttpSecurity http) throws Exception {        http.httpBasic().disable();        http.authorizeRequests().anyRequest().authenticated();    }}

同时,资源服务器没必要创建session,在application.properties加入
security.sessions: NEVER

security session创建策略详解:
如果使用了spring boot,spring boot自带一套HttpSecurity配置:

@Autowiredprivate SecurityProperties security;org.springframework.boot.autoconfigure.security.SpringBootWebSecurityConfiguration.ApplicationWebSecurityConfigurerAdapter#configure{http.sessionManagement().sessionCreationPolicy(this.security.getSessions());}

spring boot自带的这套HttpSecurity配置,很明显它从SecurityProperties里去取,如果没有在application.properties配置,那么它的默认值就是STATELESS,security不会去创建session.如果在application.properties配置了值,当然是配置的值.
如果我们有需求要覆盖这套HttpSecurity配置(一般都要覆盖),覆盖的原理参考

org.springframework.security.web.FilterChainProxy#getFilters(javax.servlet.http.HttpServletRequest){    for (SecurityFilterChain chain : filterChains) {        if (chain.matches(request)) {            return chain.getFilters();        }    }    return null;}

主要看filterChains,如果配了两套HttpSecurity,filterChains至少会各自对应一个SecurityFilterChain(可能配置忽略Url,就会再多几个SecurityFilterChain),上面的方法是如果匹配,就直接从SecurityFilterChain拿到里面的Filters返回.这段代码会先涉及到:1是否匹配,只有匹配才会从里面取Filter;2.谁先匹配,就先从它那里取Filter.知道这两点,spring boot自带的那套HttpSecurity产生的SecurityFilterChain没有做路径排除,就会匹配所有路径,要想从其它的HttpSecurity产生的SecurityFilterChain拿Filter,就要让这个SecurityFilterChain装在filterChains的前面.
解决方法:因为spring boot自带的org.springframework.boot.autoconfigure.security.SpringBootWebSecurityConfiguration.ApplicationWebSecurityConfigurerAdapter上有@Order(SecurityProperties.BASIC_AUTH_ORDER),那么我们自定义的WebSecurityConfigurerAdapter的order比它小就可以了,比如使用@Order(SecurityProperties.BASIC_AUTH_ORDER-1)或使用@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)也好.

@Overridepublic void configure(HttpSecurity http) throws Exception {}

重写的这个方法,如果没有使用http.sessionManagement().sessionCreationPolicy(this.security.getSessions());,那么application.properties配置什么值都没用,因为它不会自动用上,它的默认值就是org.springframework.security.config.annotation.web.configurers.SessionManagementConfigurer#sessionPolicy的默认值SessionCreationPolicy.IF_REQUIRED;
对于security session的几个值的详细意义就参考org.springframework.security.config.http.SessionCreationPolicy的API文档.
了解这些,对于有时你想创建session的情况,你却设置了不创建session,可能你就无法登录.对于使用了oauth,客户端解token,就无必要创建session.后面使用jwt,也没必要创建session.因为可以使用jwt的无状态认证机制,服务端可以不创建session认证信息.