以 Brixton.RC1 开头的 ZuulProxy 未传递授权标头

Question

在从 Spring Cloud Brixton.M5 切换到 Brixton.RC1 时，我的 ZuulProxy 不再将 Authorization 标头下游传递给我的代理服务。

在我的设置中有各种演员在起作用，但大多数都相当简单： - AuthorizationServer：单独运行；向客户分发 JWT - 客户端：从 OAuth 服务器获取 JWT；每个人都可以访问资源的子集。 - ResourceServers：使用 JWT 进行访问决策 - MyZuulProxy：代理各种资源服务器；应该中继 JWT。

需要注意的是，MyZuulProxy 没有任何安全依赖；它将收到的Authorization: Bearer {JWT} 标头传递给 ResourceServers，pre-RC1。 MyZuulProxy 本身明确不是客户端，目前不使用@EnableOAuth2SSO 或类似名称。

当使用 Spring Cloud Brixton.RC1 时，如何让 MyZuulProxy 再次将 JWT 中继到 ResourceServers？

要发布的代码很少：只有@EnableZuulProxy、@EnableAuthorizationServer 和@EnableResourceServer 在三个不同的 jar 中。我的客户不是 Spring 应用程序。

Answer 1

更新：已在 https://github.com/spring-cloud/spring-cloud-netflix/pull/963/files 中修复

敏感头也可以全局设置zuul.sensitiveHeaders。如果在路由上设置了sensitiveHeaders，这将覆盖全局sensitiveHeaders 设置。

所以使用：

# Pass Authorization header downstream
zuul:
  sensitiveHeaders: Cookie,Set-Cookie

---

所以等待https://github.com/spring-cloud/spring-cloud-netflix/issues/944 的修复，jebeaudet 提供了一个解决方法：

@Component
public class RelayTokenFilter extends ZuulFilter {

    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();

        // Alter ignored headers as per: https://gitter.im/spring-cloud/spring-cloud?at=56fea31f11ea211749c3ed22
        Set<String> headers = (Set<String>) ctx.get("ignoredHeaders");
        // We need our JWT tokens relayed to resource servers
        headers.remove("authorization");

        return null;
    }

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 10000;
    }
}

Answer 2

全局设置sensitiveHeaders帮助我解决了问题

 zuul:
  sensitiveHeaders: Cookie,Set-Cookie

请注意，属性名称是sensitiveHeaders 不是 sensitive-headers 【我用的是spring-cloud-starter-zuul版本：1.3.1.RELEASE】