ldcaws的专栏

在springcloud微服务架构下，如何进行统一的认证、鉴权，一直是大家非常关心的问题，下面对微服务架构下的认证和鉴权继续聊聊，一是自己的再次思考总结，二是希望对小伙伴有所帮助。在微服务中，不应该把重复校验认证和鉴权的功能集成到每个业务服务中，应该在认证服务做统一认证，在网关中做统一校验，这样才是优雅的微服务架构的安全解决方案。下面搭建网关服务，它将作为oauth2的资源服务、客户端服务使用，对访问业务服务的请求进行统一的校验认证和鉴权，校验通过进行动态路由。

跨域请求时会先发送OPTIONS请求，而OPTIONS请求头并不会携带认证信息，需要放开。场景：访问oauth/token接口时，在认证授权服务中已添加了springboot2.7版本的跨域配置，且在WebSecurityConfig和ResourceServerConfig中均已开启去允许跨域，还是发生了跨域。其实，还可以采用在webSecurity中ignore请求类型为options的请求，并在AuthorizationServerConfig中的endpoints设置跨域的配置。

当业务微服务集成了security+oauth2，会出现跨域失效的情况，需要在WebSecurityConfig配置类和ResourceServerConfig配置类中开启CORS，如下。当gateway网关微服务集成了security+oauth2，又会出现跨域问题，则需要在ResourceServerConfig配置类中加入跨域过滤器，如下。当gateway网关服务设置了跨域，业务微服务也设置了跨域，则需要在网关的配置里加上重复请求头，如。注：需要去掉业务微服务的跨域配置，防止多次跨域配置。

一、Oauth21.1、Oauth2OAuth（Open Authorization，开放授权）是为用户资源的授权定义了一个安全、开放及简单的标准，第三方无需知道用户的账号及密码，就可获取到用户的授权信息。即允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本，但不向后兼容OAuth 1.0即完全废止了OAuth1.0。1.2、OAuth 2.0主要角色①客户应用 (Client A