提示:以下是本篇文章正文内容,SpringCloud 系列学习将会持续更新
微服务应用 - 分布式权限校验
前面我们已经完成了 SpringCloud Alibaba 的学习,我们对一个微服务项目的架构体系已经有了一定的了解,那么本章我们将在应用层面继续探讨微服务。
一、分布式的登录问题
虽然完成前面的部分,我们已经可以自己去编写一个比较中规中矩的微服务项目了,但是还有一个问题我们没有解决,登录问题。假如现在要求用户登录之后,才能进行图书的查询、借阅等操作,那么我们又该如何设计这个系统呢?
Ⅰ. 回顾我们之前进行权限校验的原理,服务器是如何判定一个请求是来自哪个用户的呢?
- 首先浏览器会向服务端发送请求,访问我们的网站。
- 服务端收到请求后,会创建一个
SESSION ID,并暂时存储在服务端,然后会发送给浏览器作为Cookie保存。 - 之后浏览器会一直携带此
Cookie访问服务器,这样在收到请求后,就能根据携带的Cookie中的SESSION ID判断是哪个用户了。 - 这样服务端和浏览器之间可以轻松地建立会话了。
Ⅱ. 但是我们想一下,我们现在采用的是分布式的系统,那么在用户服务进行登录之后,其他服务比如图书服务和借阅服务,它们会知道用户登录了吗?
实际上我们登录到用户服务之后,Session 中的用户数据只会在用户服务的内存中保存,而在其他服务中,并没有对应的信息。但是我们现在希望的是,所有的服务都能够同步这些 Session 信息,这样我们才能实现在用户服务登录之后其他服务都能知道,那么我们该如何实现 Session 的同步呢?
- 方案一:我们可以在每台服务器上都复制一份
Session,但是这样显然是很浪费时间的,并且用户验证数据占用的内存会成倍的增加。 - 方案二:将
Session移出服务器,用统一存储来存放,比如我们可以直接在Redis或是MySQL中存放用户的 Session 信息,这样所有的服务器在需要获取 Session 信息时,统一访问 Redis 或是 MySQL 即可,这样就能保证所有服务都可以同步 Session 了。(是不是越来越感觉只要有问题,没有什么是加一个中间件解决不了的)
Ⅲ. 那么,我们就着重来研究一下,然后实现 2 号方案,这里我们就使用 Redis 作为 Session 统一存储。
-
我们把一开始的拆分的项目重新解压一次,又来从头开始编写吧!项目 Gitee 地址
-
这里我们就只使用
Nacos就行了,和之前一样,我们把 Nacos 的包导入一下,然后进行一些配置:
-
使用
Feign实现服务间的远程调用吧!
二、引入依赖
现在我们需要为每个服务都添加验证机制,首先导入依赖:
<!-- SpringSession Redis支持 -->
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
</dependency>
<!-- 添加Redis的Starter -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
然后我们依然使用 SpringSecurity 框架作为权限校验框架:参考文章:SpringSecurity安全框架
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
三、配置文件
接着我们在每个服务都编写一下对应的配置文件:
spring:
session:
# 存储类型修改为redis
store-type: redis
redis:
# Redis服务器的信息,可以本地,也可以云服务器
host: 1.15.76.95
这样,默认情况下,每个服务的接口都会被 SpringSecurity 所保护,只有登录成功之后,才可以被访问。
注意:如果是云服务器的 redis,一定要设置防火墙允许访问 6379 端口,还得做 redis 配置修改
最后,一定记住要redis-server redis.conf重启redis的配置文件,否则修改不生效!!!
四、启动测试
①我们来打开 Nacos 看看:
②可以看到三个服务都正常注册了,接着我们去访问图书服务:http://localhost:8081/book/1
可以看到,直接把我们给重定向到登录页面了,也就是说必须登录之后才能访问,同样的方式去访问其他服务,也是一样的效果。
用户名:
user,密码:会打印到控制台,每个服务的登录密码不一样
同样可以退出登录:http://localhost:8083/logout
③由于现在是统一 Session 存储,那么我们就可以在任意一个服务登录之后,其他服务都可以正常访问,现在我们在当前页面登录,登录之后可以看到图书服务能够正常访问了:
同时用户服务也能正常访问了:
④我们可以查看一下 Redis 服务器中是不是存储了我们的 Session 信息:
五、弊端
当我们访问借阅服务的时候,就会发现炸了,我们来看看为什么:
Feign 在进行远程调用的时候,由于它的请求没有携带对应 SESSION 的 Cookie,所以导致验证失败,访问不成功,返回 401。
所以虽然这种方案看起来比较合理,但是在我们的实际使用中,还是存在很多问题的。那我们后续会学习 OAuth 2.0 实现单点登录。。。
总结:
提示:这里对文章进行总结:
本文是对微服务的学习,学习了使用 SpringSecurity 框架作为权限校验框架和一种分布式权限校验方案,但是也发现了不足之处。那我们后续会学习 OAuth 2.0 实现单点登录的。之后的学习内容将持续更新!!!