
## 一、微服务安全概述

微服务架构下，安全是一个核心挑战：

**安全威胁：**
- 认证信息泄露
- Token被伪造
- 跨站请求攻击（CSRF）
- 越权访问

## 二、OAuth2.0协议

### 1. OAuth2.0授权流程

```
┌─────────┐     ┌─────────┐     ┌─────────┐     ┌─────────┐
│              用户                 │     │                 前端               │     │            认证服务器      │     │            资源服务器     │
└────┬────┘     └────┬────┘     └────┬────┘     └────┬────┘
                       │         					      │       				           │    					           │
    			 │ 1.点击登录  			 │             					  │      					         │
   			   │─────────>	│                                              │                                                  │
     		│               │ 2.跳转授权   │               │
     │<─────────────│               │               │
     │               │ 3.授权       │               │
     │─────────────>│               │               │
     │               │ 4.返回授权码│               │
     │<─────────────│               │               │
     │               │ 5.换Token   │               │
     │               │─────────────>│               │
     │               │<────────────│               │
     │               │ 6.Token    │               │
     │<─────────────│               │               │
     │               │ 7.请求资源   │               │
     │─────────────>│─────────────>│               │
     │               │<────────────│               │
     │<─────────────│               │               │
```

### 2. Spring Security + OAuth2.0实现

**依赖配置：**

```xml
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
```

**Security配置：**

```java
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
    
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .sessionManagement(session -> 
                session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/api/public/**", "/auth/**").permitAll()
                .requestMatchers("/api/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
            )
            .oauth2ResourceServer(oauth2 -> oauth2
                .jwt(jwt -> jwt.jwtDecoder(jwtDecoder()))
            );
        
        return http.build();
    }
    
    @Bean
    public JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withJwkSetUri("http://auth-server/oauth2/.well-known/jwks.json")
            .build();
    }
}
```

## 三、JWT实战

### 1. JWT结构

```
JWT = Header.Payload.Signature

Header: {"alg": "RS256", "typ": "JWT"}
Payload: {"sub": "123", "exp": 1704067200, "roles": ["USER"]}
Signature: RS256(Header.Payload, privateKey)
```

### 2. JWT生成

```java
@Service
public class JwtService {
    
    @Value("${jwt.private-key}")
    private String privateKey;
    
    public String generateToken(UserDetails user) {
        Map<String, Object> claims = new HashMap<>();
        claims.put("userId", user.getId());
        claims.put("roles", user.getRoles());
        
        return Jwts.builder()
            .setClaims(claims)
            .setSubject(user.getUsername())
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + 3600000))
            .signWith(getPrivateKey(), SignatureAlgorithm.RS256)
            .compact();
    }
    
    private PrivateKey getPrivateKey() {
        try {
            PKCS8EncodedKeySpec spec = 
                new PKCS8EncodedKeySpec(Base64.getDecoder().decode(privateKey));
            KeyFactory factory = KeyFactory.getInstance("RSA");
            return factory.generatePrivate(spec);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}
```

### 3. JWT验证

```java
@Service
public class JwtAuthService {
    
    @Value("${jwt.public-key}")
    private String publicKey;
    
    public Authentication authenticate(String token) {
        try {
            Claims claims = Jwts.parserBuilder()
                .setSigningKey(getPublicKey())
                .build()
                .parseClaimsJws(token)
                .getBody();
            
            String username = claims.getSubject();
            List<GrantedAuthority> authorities = 
                ((List<?>) claims.get("roles")).stream()
                    .map(role -> new SimpleGrantedAuthority("ROLE_" + role))
                    .collect(Collectors.toList());
            
            UserDetails userDetails = 
                User.builder().username(username).authorities(authorities).build();
            
            return new UsernamePasswordAuthenticationToken(
                userDetails, null, authorities);
                
        } catch (JwtException e) {
            throw new JwtAuthenticationException("Invalid token");
        }
    }
}
```

## 四、Token管理

### 1. Access Token + Refresh Token

```java
@Service
public class TokenService {
    
    public TokenPair generateTokens(User user) {
        // Access Token: 短期（1小时）
        String accessToken = jwtService.generateAccessToken(user);
        
        // Refresh Token: 长期（7天）
        String refreshToken = jwtService.generateRefreshToken(user);
        
        return new TokenPair(accessToken, refreshToken);
    }
    
    public String refreshAccessToken(String refreshToken) {
        Claims claims = jwtService.validateRefreshToken(refreshToken);
        String userId = claims.getSubject();
        
        User user = userService.getById(Long.parseLong(userId));
        return jwtService.generateAccessToken(user);
    }
}
```

### 2. Token黑名单

```java
@Service
public class TokenBlacklistService {
    
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    
    public void addToBlacklist(String token, long expiration) {
        redisTemplate.opsForValue().set(
            "blacklist:" + token, 
            "1", 
            expiration, 
            TimeUnit.SECONDS
        );
    }
    
    public boolean isBlacklisted(String token) {
        return Boolean.TRUE.equals(
            redisTemplate.hasKey("blacklist:" + token)
        );
    }
}
```

## 五、微服务认证

### 1. 网关统一认证

```java
@Component
public class JwtAuthFilter implements GatewayFilter {
    
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String token = extractToken(exchange.getRequest());
        
        if (token != null) {
            try {
                Authentication auth = jwtAuthService.authenticate(token);
                ServerWebExchangeUtils.put(exchange, 
                    "AUTHENTICATION", auth);
            } catch (Exception e) {
                exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
                return exchange.getResponse().setComplete();
            }
        }
        
        return chain.filter(exchange);
    }
}
```

### 2. Feign传递Token

```java
@Configuration
public class FeignConfig {
    
    @Bean
    public RequestInterceptor requestInterceptor() {
        return template -> {
            // 从上下文获取Token
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
            if (auth != null && auth.getCredentials() instanceof String) {
                String token = (String) auth.getCredentials();
                template.header("Authorization", "Bearer " + token);
            }
        };
    }
}
```

## 六、安全最佳实践

### 1. HTTPS强制

```yaml
# application.yml
server:
  ssl:
    enabled: true
    key-store: classpath:keystore.p12
    key-store-password: password
    key-store-type: PKCS12
```

### 2. 密码加密

```java
@Service
public class PasswordEncoder {
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}

// 使用BCrypt
@Bean
public PasswordEncoder bcryptEncoder() {
    return new BCryptPasswordEncoder(12);
}
```

### 3. 限流防刷

```java
@Component
public class RateLimitFilter implements GatewayFilter {
    
    @Autowired
    private RedisTemplate<String, String> redisTemplate;
    
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String ip = getClientIp(exchange.getRequest());
        String key = "ratelimit:" + ip;
        
        Long count = redisTemplate.opsForValue().increment(key);
        if (count != null && count == 1) {
            redisTemplate.expire(key, 60, TimeUnit.SECONDS);
        }
        
        if (count != null && count > 100) {
            exchange.getResponse().setStatusCode(HttpStatus.TOO_MANY_REQUESTS);
            return exchange.getResponse().setComplete();
        }
        
        return chain.filter(exchange);
    }
}
```

## 七、总结

微服务安全架构核心要点：

- **OAuth2.0**：标准授权协议
- **JWT**：无状态Token
- **网关认证**：统一入口
- **Token管理**：有效期+黑名单

---

*个人观点，仅供参考*

【架构实战】微服务安全架构：OAuth2.0 + JWT实战

微服务架构下，安全是一个核心挑战：

研发部经理

后端

安全

架构设计

微服务安全架构详解：涵盖OAuth2.0授权流程、JWT结构解析、Token管理策略及Spring Security实现方案。重点介绍微服务认证机制、HTTPS加密、密码保护等安全最佳实践，帮助开发者构建安全的分布式系统。

微服务架构

服务器

4核4G3M云服务器 新用户低至38元/年！

2026采购季 | AI焕新·智启新局

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

【架构实战】微服务安全架构：OAuth2.0 + JWT实战-腾讯云开发者社区-腾讯云

【架构实战】微服务安全架构：OAuth2.0 + JWT实战

【架构实战】微服务安全架构：OAuth2.0 + JWT实战

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐