领先一步
VMware 提供培训和认证,以加速您的进步。
了解更多Spring 技巧:RSocket 和 Spring Security
大家好,Spring 爱好者们!在 Spring 技巧 第 7 季的第一期中,我们将了解如何使用 Spring Security 锁定 RSocket 服务。
大家好,Spring 爱好者们!在这一期中,我们将了解如何将 Spring Security 和 RSocket 结合使用。RSocket 是 Netflix 和 Facebook 的工程师开发的有效负载和平台无关的线路协议,它支持线路上的响应式流概念。该协议是以状态连接为中心的协议:请求者节点连接并保持连接到另一个响应者节点。连接后,任何一方都可以随时传输信息。连接是多路复用的,这意味着一个连接可以处理多个请求。RSocket 从一开始就被设计为支持传播带外信息,如标头和服务健康信息,以及有效负载本身。因此,一个用户可以使用与一个服务的连接,或者多个用户可以使用同一个连接。
在此视频中,我们以 Spring Framework 5.2 的核心 RSocket 支持(以及非常方便的 @MessageMapping 组件模型)为基础,构建一个 RSocket 客户端,然后以安全的方式连接到 RSocket 服务。
让我们介绍一个基本的 RSocket 服务。您需要访问 Spring Initializr 并生成一个新项目,选择 RSocket 和 Security,并且 - 重要的是 - 选择 Spring Boot 2.3 或更高版本。
package com.example.greetingsservice;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.handler.annotation.MessageExceptionHandler;
import org.springframework.messaging.handler.annotation.MessageMapping;
import org.springframework.messaging.rsocket.RSocketStrategies;
import org.springframework.messaging.rsocket.annotation.support.RSocketMessageHandler;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.rsocket.EnableRSocketSecurity;
import org.springframework.security.config.annotation.rsocket.RSocketSecurity;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.core.context.ReactiveSecurityContextHolder;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.userdetails.MapReactiveUserDetailsService;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.messaging.handler.invocation.reactive.AuthenticationPrincipalArgumentResolver;
import org.springframework.security.rsocket.core.PayloadSocketAcceptorInterceptor;
import org.springframework.stereotype.Controller;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;
import java.security.Principal;
import java.time.Duration;
import java.time.Instant;
import java.util.function.Supplier;
import java.util.stream.Stream;
@SpringBootApplication
public class GreetingsServiceApplication {
public static void main(String[] args) {
SpringApplication.run(GreetingsServiceApplication.class, args);
}
}
@Data
@AllArgsConstructor
@NoArgsConstructor
class GreetingResponse {
private String message;
}
@Controller
class GreetingController {
@MessageMapping("greetings")
Flux<GreetingResponse> greet(@AuthenticationPrincipal Mono<UserDetails> user) {
return user.map(UserDetails::getUsername).flatMapMany(GreetingController::greet);
}
private static Flux<GreetingResponse> greet(String name) {
return Flux.fromStream(
Stream
.generate(() -> new GreetingResponse("Hello " + name + " @ " + Instant.now().toString())))
.delayElements(Duration.ofSeconds(1));
}
}
我已经制作了另外两个关于 RSocket 和 Spring 对 RSocket 的支持的视频,您可以在观看此视频之前查阅。第一个介绍了原始 RSocket API,第二个介绍了 Spring 中的组件模型。请参考这些视频以了解此控制器中发生的事情。
Spring Security 提供了三种机制来保护基于 RSocket 的服务。BASIC 身份验证有点像 HTTP BASIC - 它支持用户名和密码。它现在也已弃用。因此,我们将在本视频中重点介绍简单身份验证。简单身份验证也是基于用户名和密码的。RSocket 还支持基于 JWT 的身份验证。JWT 支持基于令牌的身份验证,并且可能是用于复杂安全用例的更有趣的机制。(基于 RSocket 的 JWT 身份验证可能会是另一个视频的主题。)
由于 RSocket 连接可以是有状态且共享的,因此我们需要决定:我们是在连接创建时进行身份验证,还是为每个通过连接发送的消息进行身份验证?如果它是共享的,我们将希望每个用户为每个请求提供他们自己的身份验证。
Spring Security 解决了两个问题:身份验证和授权。这些是相关的,但又是正交的问题。身份验证回答了问题:谁在向系统发出请求?授权回答了问题:一旦他们进入系统,他们被允许做什么?
让我们介绍一下应用程序的 Spring Security 配置。
@Configuration
@EnableRSocketSecurity
class RSocketSecurityConfiguration {
@Bean
RSocketMessageHandler messageHandler(RSocketStrategies strategies) {
var mh = new RSocketMessageHandler();
mh.getArgumentResolverConfigurer().addCustomResolver(new AuthenticationPrincipalArgumentResolver());
mh.setRSocketStrategies(strategies);
return mh;
}
@Bean
MapReactiveUserDetailsService authentication() {
var jlong = User.withDefaultPasswordEncoder().username("jlong").password("pw").roles("USER").build();
var rwinch = User.withDefaultPasswordEncoder().username("rwinch").password("pw").roles("ADMIN", "USER").build();
return new MapReactiveUserDetailsService(jlong, rwinch);
}
@Bean
PayloadSocketAcceptorInterceptor authorization(RSocketSecurity security) {
return security
.authorizePayload(spec ->
spec
.route("greetings").authenticated()
.anyExchange().permitAll()
)
.simpleAuthentication(Customizer.withDefaults())
.build();
}
}
安全配置包含三个 Bean。第一个,messageHandler,激活了 Spring Security 组件模型的各个部分,使我们可以将经过身份验证的用户(使用 @AuthenticatedPrincipal 注释)注入到我们的处理程序方法(那些用 @MessageMapping 注释的方法)中。
第二个 Bean,authentication,安装了一个简单的用户名和密码字典。您可以与任意数量的不同身份提供者进行通信,但为了便于演示,我配置了一个内存中的 MapReactiveUserDetailsService。
第三个 Bean,authorization,至少在我看来,是最有趣的。此 Bean 的目标是告诉框架哪些 RSocket 路由(在本例中为 greetings)可供请求访问。这有望自我描述:对 greetings 的所有请求都应经过身份验证。否则,任何其他请求都可以未经检查地通过。
现在我们已经启动并运行了它,让我们看看客户端。
package com.example.greetingsclient;
import io.rsocket.metadata.WellKnownMimeType;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.SneakyThrows;
import lombok.extern.log4j.Log4j2;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.context.event.ApplicationReadyEvent;
import org.springframework.boot.rsocket.messaging.RSocketStrategiesCustomizer;
import org.springframework.context.ApplicationListener;
import org.springframework.context.annotation.Bean;
import org.springframework.messaging.rsocket.RSocketRequester;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.rsocket.metadata.SimpleAuthenticationEncoder;
import org.springframework.security.rsocket.metadata.UsernamePasswordMetadata;
import org.springframework.util.MimeType;
import org.springframework.util.MimeTypeUtils;
import reactor.core.publisher.Mono;
@Log4j2
@SpringBootApplication
public class GreetingsClientApplication {
private final MimeType mimeType = MimeTypeUtils.parseMimeType(WellKnownMimeType.MESSAGE_RSOCKET_AUTHENTICATION.getString());
private final UsernamePasswordMetadata credentials = new UsernamePasswordMetadata("jlong", "pw");
@SneakyThrows
public static void main(String[] args) {
SpringApplication.run(GreetingsClientApplication.class, args);
System.in.read();
}
@Bean
RSocketStrategiesCustomizer rSocketStrategiesCustomizer() {
return strategies -> strategies.encoder(new SimpleAuthenticationEncoder());
}
@Bean
RSocketRequester rSocketRequester(RSocketRequester.Builder builder) {
return builder
// .setupMetadata(this.credentials , this.mimeType)
.connectTcp("localhost", 8888)
.block();
}
@Bean
ApplicationListener<ApplicationReadyEvent> ready(RSocketRequester greetings) {
return event ->
greetings
.route("greetings")
.metadata(this.credentials, this.mimeType)
.data(Mono.empty())
.retrieveFlux(GreetingResponse.class)
.subscribe(gr -> log.info("secured response: " + gr.toString()));
}
}
@Data
@AllArgsConstructor
@NoArgsConstructor
class GreetingResponse {
private String message;
}
我们将向服务发送元数据。我们有两个选择。如果与 RSocket 连接的连接是共享的,那么我们希望为每个请求发送元数据。这就是我们在本例中所做的,因为它更有可能出现的情况。另一方面,如果您只需要进行一次身份验证,那么可以在 rSocketRequester bean 中建立连接时发送元数据。
我们在事件监听器中使用 RSocketRequester 客户端,我们在其中调用服务上的 greetings 路由。它基本上与一直以来的相同,只是略有不同,即我们在请求中编码元数据以进行身份验证。
我们才刚开始触及此博客中的服务表面 - 观看视频以获取更多详细信息! :D