Gateway, Zuul, Oauth2.0, 前后端分离, 定制页面,登录回调接口的处理

        由于公司与Alexa平台接入了语音控制的功能,需要将公司的账号与Alexa的账号进行绑定,所以需要账号授权的操作,也就是使用授权码模式。开发过程中遇到了很多坑,网上关于前后端分离的定制页面的介绍又很少,前前后后花了一个月多的时间才搞定。空闲下来准备总结一下,希望可以帮到大家。

        关于授权码模式的介绍网上已经有很多的文章了,我这里就不在进行过多的介绍,需要了解的可以看下这两篇文章。

https://blog.csdn.net/qq_41489540/article/details/122813480

oauth2.0授权码模式详解_[虚幻私塾】的博客-CSDN博客_oauth2 授权码

关于前后端分离页面

        Oauth2.0虽然自带登录页面,但登录页面太丑,而且对于有网关层面的服务来说,我们一般只会将网关的域名暴漏出去,不会将后端服务的IP暴漏出去,这样用原生的页面的话,也存在不能访问的问题。

        比如网关域名是https://xxgateway.com,而auth服务的所在的服务器的IP是192.168.20.2,端口是xxxx。而如果使用Oauth2.0自带的页面,那么当我们使用https://xxgateway.com/xxx/auth/oauth/authorize去获取授权码时,Oauth2.0如果检测到未进行权限认证,会访问http://192.168.20.2:xxxx/login,但一般公网是无法访问192.168.20.2:xxxx的,所以页面都无法加载。

        现在一般项目都采用前后端分离,前端使用VUE,后端可能是springboot或者是springCloud.前端项目也需要一个容器来部署,可以使用tomcat或者Nginx。下面用nginx来举例:

  1. 首先在nginx.conf中添加server,监听某一个端口,比如8089,然后配置location,alias就是前端页面部署的目录,index就是页面,这样访问http://ngnix服务器ip:8089/saber时就会跳到对应的页面上去。到这里前端页面就部署好了。Gateway, Zuul, Oauth2.0, 前后端分离, 定制页面,登录回调接口的处理_第1张图片
  2. 关于登录页面定制,oauth2.0原生的登录页面的action映射是/login,这种映射并不会经过gateway,所以前后端分离的登录页面,需要修改一下action的值,需要让action经过网关转到auth服务去。比如https://xxgateway.com/xxx/auth/login,这样才会使用oauth2.0去校验我们输入的用户名密码。Gateway, Zuul, Oauth2.0, 前后端分离, 定制页面,登录回调接口的处理_第2张图片
  3. 关于定制登录页面的配置,前后端分离的认证,需要将部署的前端页面地址配置到后台去,具体是在WebSecurityConfigurer的类中。其中.loginPage中就需要填写前端页面配置地址http://ngnix服务器ip:8089/saber。
    @Override
    	protected void configure(HttpSecurity http) throws Exception {
    		/*http
    				.authorizeRequests()
    				//.antMatchers("/api.auth2/v1/**").authenticated() // 需要验证Token的URL
    				.anyRequest().permitAll();//部分微服务依赖Auth-service的接口,所以都允许访问
    		http.csrf().disable();*/
    
            http.formLogin().permitAll()
                    .loginPage("")
                    .loginProcessingUrl("/login")
                    .and().logout().permitAll();
            http.authorizeRequests()
                    .antMatchers("/oauth/**").authenticated()
                    .anyRequest().permitAll();
            http.csrf().disable();
    	}

        4、关于校验成功之后的回调地址问题,当时遇到的问题是alexa配置https://xxgateway.com/xxx/auth/oauth/authorize地址去获取授权码,但其实该地址后面是携带了一些参数的,比如state等,state参数每个请求都是不同的,成功之后需要继续访问这个地址并携带上state参数,这样才能再alexa上进行下一步流程。而oauth2.0认证成功之后的重定向地址也是不会经过网关的,所以回调地址肯定是不对的。当时想了很多办法都不行,后来经和同事商量,决定在gateway进行location重写,因为成功之后的重定向地址是根据location的值来重定向的。我们的网关采用的是zuul, 在网关写了一个filter对location进行重写。其中newUrl的值就是https://xxgateway.com/xxx/auth/oauth/authorize,这样可以替换重定向地址location中的前一部分,而后面的state等参数不变,将地址和参数拼接起来

@Override
    public Object run() throws ZuulException {
        try {
            RequestContext requestContext = RequestContext.getCurrentContext();
            int code = requestContext.getResponseStatusCode();
            String newUrl = "XXXXX";
            StringBuilder builder = new StringBuilder(newUrl);
            if (code == 302) {
                log.info("ConvertZuulResponseFilter running...");
                List> list =  requestContext.getZuulResponseHeaders();
                for (Pair pair : list) {
                    if (pair.first().equals(GatewayConstants.LOCATION) && pair.second().contains(GatewayConstants.OAUTH_AUTHORIZE)) {
                        builder.append(pair.second().substring(pair.second().indexOf("?")));
                        log.info("ConvertZuulResponseFilter newUrl:{}", builder.toString());
                        pair.setSecond(builder.toString());
                    }
                }
            }
        }catch (Exception e){
            log.error("Convert Zuul Response Headers exception:",e);
        }

        return null;
    }

你可能感兴趣的:(springboot,前端,java)