- 1vue 请求代理 proxy_proxy vue
- 2Sm3国标加密_sm3在线加密
- 3为什么说 Mybatis 是半ORM 映射工具?_mybatis为什么是半orm
- 4sklearn中的RandomForestClassifier参数详解
- 5算法学习Day1——【数据结构】单调栈
- 6本地运行 LLAMA & GPT-3.5-TURBO开源项目_gpt4all-lora-quantized.bin模型下载
- 72023下半年,软件测试怎么样?_2023软件测试行业下半年发展趋势
- 8基于STM32单片机智能语音识别智能垃圾桶_stm32单片机应用在垃圾桶的优点
- 9大模型中的RAG指的是什么?_大模型rag是什么意思
- 10mysql 错误码 1267_mysql错误1267的解决方法
SpringCloud实操(二)搭建OAuth2认证授权服务_springcloud鉴权 oauth2
赞
踩
1. 概念部分
1.1 为什么需要做一个单独的认证授权服务
为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。
在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实
这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验逻辑变得相当麻烦,一处改,处处改。所以我们需要把认证授权服务单独出来,做成一个服务进行调用。
2. 授权服务的使用场景有哪些
授权服务并不是每个应用的接口直接去调用,判断哪些用户有权限访问接口。 而是通过API网关进行统一调用。用户所有的请求都必须先通过API网关,API网关在进行路由转发之前对该请求进行前置校验,我们可以方便的使用OAuth2认证授权服务来做单点登录等操作。
可以使用OAuth2来实现对多个服务的统一认证授权。
1.3 本项目主要操作流程
关于OAuth2的协议此处不再介绍,本项目演示主要的认证和授权步骤,简单来说就是客户端根据约定的ClientID、ClientSecret、Scope来从Access Token URL地址获取AccessToken,并经过AuthURL认证,用得到的AccessToken来访问其他资源接口。
项目结构如下,其中核心部分为core包下的config包中的三个配置类
从上往下分别是是授权服务配置,资源服务配置和安全配置
2. 代码示例
新建一个SpringBoot项目 auth-server,在项目中添加依赖build.gradle
- dependencies {
- compile('org.springframework.cloud:spring-cloud-starter-oauth2')
- compile('org.springframework.cloud:spring-cloud-starter-security')
- compile('org.springframework.boot:spring-boot-starter-data-mongodb')
- compile('org.springframework.boot:spring-boot-starter-data-redis')
- compile('org.springframework.cloud:spring-cloud-starter-eureka')
- testCompile('org.springframework.boot:spring-boot-starter-test')
- }
新建配置文件application.yml
- #服务器配置
- server:
- #端口
- port: 8020
-
- #服务器发现注册配置
- eureka:
- client:
- serviceUrl:
- #配置服务中心(可配置多个,用逗号隔开)
- defaultZone: https://www.apiboot.cn/eureka
-
- #spring配置
- spring:
- #应用配置
- application:
- #名称: OAuth2认证授权服务
- name: auth-server
- #数据库配置
- data:
- mongodb:
- port: 27017
- database: auth_server
-
- #安全配置
- security:
- #oauth2配置
- oauth2:
- resource:
- filter-order: 3
应用启动类添加注解
- /**
- * OAuth2认证授权服务
- * @ EnableDiscoveryClient 启用服务注册发现
- */
- @SpringBootApplication
- @EnableDiscoveryClient
- public class AuthServerApplication {
-
- public static void main(String[] args) {
- SpringApplication.run(AuthServerApplication.class, args);
- }
-
- }
新建账户实体类 Account.java
- /**
- * 账户实体类
- */
- public class Account {
- @Id
- private String id; // 主键
- private String userName; // 用户名
- private String passWord; // 密码
- private String[] roles; // 角色
-
- public String getId() {
- return id;
- }
-
- public void setId(String id) {
- this.id = id;
- }
-
- public String getUserName() {
- return userName;
- }
-
- public void setUserName(String userName) {
- this.userName = userName;
- }
-
- public String getPassWord() {
- return passWord;
- }
-
- public void setPassWord(String passWord) {
- this.passWord = passWord;
- }
-
- public String[] getRoles() {
- return roles;
- }
-
- public void setRoles(String[] roles) {
- this.roles = roles;
- }
- }
新建账户表数据操作类,MongoDB操作接口 AccountRepository.java
- /**
- * 账户数据库操作类
- * MongoDB操作接口
- */
- @Component
- public interface AccountRepository extends MongoRepository<Account, String> {
-
- /**
- * 根据用户名查找账户信息
- * @param username 用户名
- * @return 账户信息
- */
- Account findByUserName(String username);
- }
新建用户信息控制器 UserController.java
- /**
- * 用户信息控制器
- */
- @RestController
- public class UserController {
-
- @Autowired
- private AccountRepository accountRepository; // 账户数据操作
-
- /**
- * 初始化用户数据
- */
- @Autowired
- public void init(){
-
- // 为了方便测试,这里添加了两个不同角色的账户
- accountRepository.deleteAll();
-
- Account accountA = new Account();
- accountA.setUserName("admin");
- accountA.setPassWord("admin");
- accountA.setRoles(new String[]{"ROLE_ADMIN","ROLE_USER"});
- accountRepository.save(accountA);
-
- Account accountB = new Account();
- accountB.setUserName("guest");
- accountB.setPassWord("pass123");
- accountB.setRoles(new String[]{"ROLE_GUEST"});
- accountRepository.save(accountB);
- }
-
- /**
- * 获取授权用户的信息
- * @param user 当前用户
- * @return 授权信息
- */
- @GetMapping("/user")
- public Principal user(Principal user){
- return user;
- }
- }
新建用户信息服务类,实现 Spring Security的UserDetailsService接口方法,用于身份认证 DomainUserDetailsService.java
- /**
- * 用户信息服务
- * 实现 Spring Security的UserDetailsService接口方法,用于身份认证
- */
- @Service
- public class DomainUserDetailsService implements UserDetailsService {
-
- @Autowired
- private AccountRepository accountRepository; // 账户数据操作接口
-
- /**
- * 根据用户名查找账户信息并返回用户信息实体
- * @param username 用户名
- * @return 用于身份认证的 UserDetails 用户信息实体
- * @throws UsernameNotFoundException
- */
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- Account account = accountRepository.findByUserName(username);
- if (account!=null){
- return new User(account.getUserName(),account.getPassWord(), AuthorityUtils.createAuthorityList(account.getRoles()));
- }else {
- throw new UsernameNotFoundException("用户["+username+"]不存在");
- }
- }
- }
新建授权服务配置类AuthorizationServerConfig.java,继承AuthorizationServerConfigurerAdapter
- /**
- * 授权服务器配置
- * @ EnableAuthorizationServer 启用授权服务
- */
- @Configuration
- @EnableAuthorizationServer
- public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
-
- @Autowired
- private AuthenticationManager authenticationManager; // 认证管理器
-
- @Autowired
- private RedisConnectionFactory redisConnectionFactory; // redis连接工厂
-
- /**
- * 令牌存储
- * @return redis令牌存储对象
- */
- @Bean
- public TokenStore tokenStore() {
- return new RedisTokenStore(redisConnectionFactory);
- }
-
- @Override
- public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
- endpoints.authenticationManager(this.authenticationManager);
- endpoints.tokenStore(tokenStore());
- }
-
- @Override
- public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
- security
- .tokenKeyAccess("permitAll()")
- .checkTokenAccess("isAuthenticated()");
- }
-
- @Override
- public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
- clients.inMemory()
- .withClient("android")
- .scopes("xx")
- .secret("android")
- .authorizedGrantTypes("password", "authorization_code", "refresh_token")
- .and()
- .withClient("webapp")
- .scopes("xx")
- .authorizedGrantTypes("implicit");
- }
-
- }
新建资源服务配置类,继承ResourceServerConfigurerAdapter
ResourceServerConfig.java
- /**
- * 资源服务配置
- * @ EnableResourceServer 启用资源服务
- */
- @Configuration
- @EnableResourceServer
- public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
-
- @Override
- public void configure(HttpSecurity http) throws Exception {
- http.requestMatcher(new OAuth2RequestedMatcher())
- .authorizeRequests()
- .antMatchers(HttpMethod.OPTIONS).permitAll()
- .anyRequest().authenticated();
- }
-
- /**
- * 定义OAuth2请求匹配器
- */
- private static class OAuth2RequestedMatcher implements RequestMatcher {
- @Override
- public boolean matches(HttpServletRequest request) {
- String auth = request.getHeader("Authorization");
- //判断来源请求是否包含oauth2授权信息,这里授权信息来源可能是头部的Authorization值以Bearer开头,或者是请求参数中包含access_token参数,满足其中一个则匹配成功
- boolean haveOauth2Token = (auth != null) && auth.startsWith("Bearer");
- boolean haveAccessToken = request.getParameter("access_token")!=null;
- return haveOauth2Token || haveAccessToken;
- }
- }
-
- }
新建安全配置类,继承WebSecurityConfigurerAdapter
SecurityConfig.java
- /**
- * 安全配置
- * @ EnableWebSecurity 启用web安全配置
- * @ EnableGlobalMethodSecurity 启用全局方法安全注解,就可以在方法上使用注解来对请求进行过滤
- */
- @Configuration
- @EnableWebSecurity
- @EnableGlobalMethodSecurity(prePostEnabled = true)
- public class SecurityConfig extends WebSecurityConfigurerAdapter {
-
- /**
- * 注入用户信息服务
- * @return 用户信息服务对象
- */
- @Bean
- public UserDetailsService userDetailsService() {
- return new DomainUserDetailsService();
- }
-
- /**
- * 全局用户信息
- * @param auth 认证管理
- * @throws Exception 用户认证异常信息
- */
- @Autowired
- public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
- auth.userDetailsService(userDetailsService());
- }
-
- /**
- * 认证管理
- * @return 认证管理对象
- * @throws Exception 认证异常信息
- */
- @Override
- @Bean
- public AuthenticationManager authenticationManagerBean() throws Exception {
- return super.authenticationManagerBean();
- }
-
- /**
- * http安全配置
- * @param http http安全对象
- * @throws Exception http安全异常信息
- */
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- http.authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll().anyRequest().authenticated().and()
- .httpBasic().and().csrf().disable();
- }
-
- }
3. 演示
假设我们现在要直接访问 /user接口,我们打开PoatMan直接请求该接口
发现返回了401状态码,并且报了Unauthorized 未经授权的错误,提示信息显示 访问此资源需要完全身份验证。 添加了Spring Security+OAuth2后,所有的资源访问都需要通过token
3.1 获取access_token
启动服务,打开PostMan切换到Authorization页卡,Type类型选择Basic Auth,Username和Password填写授权服务配置中对应的withClient和secret的值,这里都写android
点击Update Request,切换到Headers页卡,发现请求头里多了个Authorization参数,参数值就是根据Authorization页卡填写的授权信息生成的,要获取token必须有该参数值
使用post方法访问授权服务的 /oauth/token地址,post参数需要填写grant_type、username、password。点击send请求,将会返回如下access_token信息。
拿到access_token后,就可以在请求其他资源接口的时候携带上该token参数值获取该角色可获取的资源,打开浏览器访问 /user接口并携带上 access_token参数值
3.2 使用正确的姿势获取access_token,并根据access_token获取资源
切换到Authorization页卡,选择OAuth2.0,点击Get New Access Token
TokenName可以随意填写,其他信息根据实际情况填写。点击Request Token后,将会跳出输入用户名和密码的页面(这个操作其实就是根据用户名和密码登录并获取AccessToken)
登录成功后,我们看到左侧有个我们刚刚新建的auth,点击auth,右侧会显示该请求获取到的AccessToken信息。点击UseToken
点击Use Token后,发现请求头Headers页卡里添加了Authorization的参数值
点击Send,请求/user接口,正常返回用户授权信息
到此 OAuth2认证授权服务已经搭建完毕了,关于api-gateway和OAuth2认证授权服务的整合调用,会在下一篇文章中写到,敬请期待。
