oauth-2.0 - 为什么 Jhipster 网关将没有访问令牌的请求转发到微服务 api?
问题描述
我已经使用 Jhipster 生成了一个微服务应用程序。我还生成了一个 Eureka 注册表、Zuul 网关和用于身份验证的 UAA 服务器(使用 Oauth2)。我想使用授权类型“密码”进行身份验证,客户端在请求中发送用户名、密码并获取访问令牌作为回报,该令牌将用于后续交互。
我能够让所有东西都启动并运行,还可以创建一个用户并获取他的访问令牌。但是当我在没有任何访问令牌的情况下向微服务 API 发送任何请求时,网关会处理(运行一些过滤器)并将请求转发给微服务 API。我期待它返回一个 403 错误,说明需要身份验证。在调试时,我看到有一个 spring 'OAuth2AuthenticationProcessingFilter' 运行并阻止具有过期令牌的任何请求,但如果不存在令牌,它允许请求通过并命中微服务 api。
我对此感到困惑,这是否意味着我们需要编写自定义代码才能让 oauth2 与 Jhipster 一起使用?我是否应该为此编写自己的过滤器来检查访问令牌并使用 UAA 进行验证?浏览 Jhipster 文档,我觉得它应该开箱即用。如果这是一个愚蠢的问题,我没有使用 Spring security 或 Jhipster 的经验,所以很抱歉。
解决方案
推荐阅读
- angular - 需要帮助使用 Git Lab 使用 .gitlab-ci.yml 文件将我的 Angular9 应用程序部署到 Firebase
- spring-boot - 在 Spring Boot Admin Server 上开发 ui
- excel - (Excel)有没有办法根据另一个单元格的值从一系列单元格中对单元格进行条件格式设置?
- typescript - 具有重载函数的可索引类型
- kubernetes - 使用 Argo 进行微服务部署
- python - 火车功能内部和外部的不同结果
- google-cloud-platform - 通过 nodejs 使用不记名令牌进行谷歌云身份验证
- r - 在 R 中使用 lpSolve 找到初始解决方案
- vb6 - 是什么在连接字符串的 vb6 中产生错误 10001?
- arm - ARM频率控制