文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Spring Cloud Feign如何实现JWT令牌中继以传递认证信息

2024-12-02 19:21

关注

令牌难道不能在Feign自动中继吗?

如果我们携带Token去访问A服务,A服务肯定能够鉴权,但是A服务又通过Feign调用B服务,这时候A的令牌是无法直接传递给B服务的。

这里来简单说下原因,服务间的调用通过Feign接口来进行。在调用方通常我们编写类似下面的Feign接口:

  1. @FeignClient(name = "foo-service",fallback = FooClient.Fallback.class) 
  2. public interface FooClient { 
  3.     @GetMapping("/foo/bar"
  4.     Rest> bar(); 
  5.  
  6.     @Component 
  7.     class Fallback implements FooClient { 
  8.         @Override 
  9.         public Rest> bar() { 
  10.             return RestBody.fallback(); 
  11.         } 
  12.     } 

当我们调用Feign接口后,会通过动态代理来生成该接口的代理类供我们调用。如果我们不打开熔断我们可以从Spring Security提供SecurityContext对象中提取到资源服务器的认证对象JwtAuthenticationToken,它包含了JWT令牌然后我们可以通过实现Feign的拦截器接口RequestInterceptor把Token放在请求头中,伪代码如下:

  1.  
  2. static class BearerTokenRequestInterceptor implements RequestInterceptor { 
  3.         @Override 
  4.         public void apply(RequestTemplate template) { 
  5.             final String authorization = HttpHeaders.AUTHORIZATION
  6.             Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); 
  7.              
  8.             if (authentication instanceof JwtAuthenticationToken){ 
  9.                 JwtAuthenticationToken jwtAuthenticationToken = (JwtAuthenticationToken) authentication; 
  10.                 String tokenValue = jwtAuthenticationToken.getToken().getTokenValue(); 
  11.                 template.header(authorization,"Bearer "+tokenValue); 
  12.             } 
  13.         } 
  14.     } 

如果我们不开启熔断这样搞问题不大,为了防止调用链雪崩服务熔断基本没有不打开的。这时候从SecurityContextHolder就无法获取到Authentication了。因为这时Feign调用是在调用方的调用线程下又开启了一个子线程中进行的。由于我使用的熔断组件是Resilience4J,对应的线程源码在Resilience4JCircuitBreaker中:

  1. Supplier> futureSupplier = () -> executorService.submit(toRun::get); 

SecurityContextHolder保存信息是默认是通过ThreadLocal实现的,我们都知道这个是不能跨线程的,而Feign的拦截器这时恰恰在子线程中,因此开启了熔断功能(circuitBreaker)的Feign无法直接进行令牌中继。

熔断组件有过时的Hystrix、Resilience4J、还有阿里的哨兵Sentinel,它们的机制可能有小小的不同。

实现令牌中继

虽然直接不能实现令牌中继,但是我从中还是找到了一些信息。在Feign接口代理的处理器FeignCircuitBreakerInvocationHandler中发现了下面的代码:

  1. private Supplier asSupplier(final Method method, final Object[] args) { 
  2.   final RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes(); 
  3.   return () -> { 
  4.    try { 
  5.     RequestContextHolder.setRequestAttributes(requestAttributes); 
  6.     return this.dispatch.get(method).invoke(args); 
  7.    } 
  8.    catch (RuntimeException throwable) { 
  9.     throw throwable; 
  10.    } 
  11.    catch (Throwable throwable) { 
  12.     throw new RuntimeException(throwable); 
  13.    } 
  14.    finally { 
  15.     RequestContextHolder.resetRequestAttributes(); 
  16.    } 
  17.   }; 
  18.  } 
  19. 这是Feign代理类的执行代码,我们可以看到在执行前:

    1. final RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes(); 

    这里是获得调用线程中请求的信息,包含了ServletHttpRequest、ServletHttpResponse等信息。紧接着又在lambda代码中把这些信息又Setter了进去:

    1. RequestContextHolder.setRequestAttributes(requestAttributes); 

    如果这是一个线程中进行的简直就是吃饱了撑的,事实上Supplier返回值是在另一个线程中执行的。这样做的目的就是为了跨线程保存一些请求的元数据。

    InheritableThreadLocal

    1. public abstract class RequestContextHolder  { 
    2.   
    3.  private static final ThreadLocal requestAttributesHolder = 
    4.    new NamedThreadLocal<>("Request attributes"); 
    5.  
    6.  private static final ThreadLocal inheritableRequestAttributesHolder = 
    7.    new NamedInheritableThreadLocal<>("Request context"); 
    8. // 省略 

    RequestContextHolder 维护了两个容器,一个是不能跨线程的ThreadLocal,一个是实现了InheritableThreadLocal的NamedInheritableThreadLocal。InheritableThreadLocal是可以把父线程的数据传递到子线程的,基于这个原理RequestContextHolder把调用方的请求信息带进了子线程,借助于这个原理就能实现令牌中继了。

    实现令牌中继

    把最开始的Feign拦截器代码改动了一下就实现了令牌的中继:

    1.  
    2. static class BearerTokenRequestInterceptor implements RequestInterceptor { 
    3.     private static final Pattern BEARER_TOKEN_HEADER_PATTERN = Pattern.compile("^Bearer (?[a-zA-Z0-9-._~+/]+=*)$"
    4.             Pattern.CASE_INSENSITIVE); 
    5.  
    6.     @Override 
    7.     public void apply(RequestTemplate template) { 
    8.         final String authorization = HttpHeaders.AUTHORIZATION
    9.         ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes(); 
    10.         if (Objects.nonNull(requestAttributes)) { 
    11.             String authorizationHeader = requestAttributes.getRequest().getHeader(HttpHeaders.AUTHORIZATION); 
    12.             Matcher matcher = BEARER_TOKEN_HEADER_PATTERN.matcher(authorizationHeader); 
    13.             if (matcher.matches()) { 
    14.                 // 清除token头 避免传染 
    15.                 template.header(authorization); 
    16.                 template.header(authorization, authorizationHeader); 
    17.             } 
    18.         } 
    19.     } 

    这样当你调用FooClient.bar()时,在foo-service中资源服务器(OAuth2 Resource Server)也可以获得调用方的令牌,进而获得用户的信息来处理资源权限和业务。

    不要忘记将这个拦截器注入Spring IoC。

    总结

     

     

     

    微服务令牌中继是非常重要的,保证了用户状态在调用链路的传递。而且这也是微服务的难点。今天借助于Feign的一些特性和ThreadLocal的特性实现了令牌中继供大家参考。

     

    免责声明:

    ① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

    ② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

    软考中级精品资料免费领

    • 历年真题答案解析
    • 备考技巧名师总结
    • 高频考点精准押题
    • 资料下载
    • 历年真题
    • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

      难度     813人已做
      查看
    • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

      难度     354人已做
      查看
    • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

      难度     318人已做
      查看
    • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

      难度     435人已做
      查看
    • 2024年上半年系统架构设计师考试综合知识真题

      难度     224人已做
      查看

    相关文章

    发现更多好内容
    咦!没有更多了?去看看其它编程学习网 内容吧