文章目录

  • 说明 本文较长,要想直接使用脚手架,请移步至[github](https://github.com/LiveMyLifeSun/spring-boot-oauth-jwt)
  • Oauth2概要
  • Oauth2的基本流程以及角色说明
  • 角色说明
  • 流程说明(基于code模式)
  • Oauth2客户端的授权模式
  • JWT概要
  • JWT原理
  • Spring Security OAuth2的使用
  • 1. AuthorizationServerConfigurerAdapter
  • 1.1 第三方客户端基本信息配置说明
  • 1.2 token的存储以及token的生成相关
  • 1.2.1 TokenStore
  • 1.2.2 JWT Token
  • 1.2.3 Token 增强器
  • 1.2.4 端点接入-endpoints
  • 2 WebSecurityConfigurerAdapter
  • 3 ResourceServerConfigurerAdapter


说明 本文较长,要想直接使用脚手架,请移步至github

Oauth2概要

这里只是做一个简单的重要介绍,让你可以看得懂代码中这个字段属性的含义是什么。想了解更加详细的请看Oauth2.0介绍

Oauth2的基本流程以及角色说明

springboot 集成svn springboot 集成oauth客户端_OAuth2

角色说明

client:第三方应用(即App或向外提供接口)
Resource Owner:资源所有者(即用户)
Authentication Server:授权认证服务(发配Access Token)
Resource Server:资源服务器(存储用户资源信息等资源)

流程说明(基于code模式)

1.第三方应用请求用户授权;
2.用户同意授权,并返回一个授权码(code);
3.第三方应用根据授权码(code)向授权认证服务进行授权;
4.授权服务器根据授权码(code),校验通过,并返回给第三方应用令牌(Access Token);
5.第三方应用根据令牌(Access Token)向资源服务请求相关资源;
6.资源服务器验证令牌(Access Token),校验通过,并返回第三方所请求的资源。

Oauth2客户端的授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials
以上的四种模式非常重要,在代码中都会有体现。而且经常会出现。

JWT概要

JWT原理

JWT的原理是,客户端请求服务器,服务器收到请求后,会生成一个JSON对象,发回给用户,就像下面。

{
	"username":"a",
	"role":"b",
	....
}

当然不可能是明文的,服务器在生成这个对象的时候,会加上签名(具体的请自行百度)。以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。服务器就不保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展。

Spring Security OAuth2的使用

Spring boot 开发Oauth2以及JWT可以使用Spring Security OAuth2。
下面我们看一下请求Oauth2示例(基于Postman)
请求地址是你的IP:端口/oauth/token ( /oauth/token )照抄

springboot 集成svn springboot 集成oauth客户端_springboot 集成svn_02


在设置中我们需要输入Username和Password,这两个值非常重要,分别代表

Username: 客户端的的唯一标识

Password: 客户端的标识凭证

我们还需要设置几项。

springboot 集成svn springboot 集成oauth客户端_JWT_03


springboot 集成svn springboot 集成oauth客户端_OAuth2_04


这里body设置了四个值

socpe: 用户的范围

grant_type: OAuth2客户端授权模式,我这里是password模式

username: 用户的用户名(和Authorization不同)

password: 用户的密码(和Authorization不同)

在以上的请求示例中我们看到了6个字段需要我们去设置分别是
Username
Password
socpe
grant_type
username
password
我们是如何设置的这几个值的呢, Spring Security OAuth2已经为我们封装好了。我们只需要继承AuthorizationServerConfigurerAdapter即可实现相关既可以。

1. AuthorizationServerConfigurerAdapter
1.1 第三方客户端基本信息配置说明

AuthorizationServerConfigurerAdapter这个是类用来配置第三方客户端详情的,token的存储方式以及token的生成方式。
先看Username、Password、socpe、grant_type怎么设置,
我们通过继承 AuthorizationServerConfigurerAdapter需要重写一个方法来设置这四个。代码如下

@Configuration
@AllArgsConstructor
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    /**
     * 数据源
     */
   // private final DataSource dataSource;
    /**
     * 加密方式
     */
    private final BCryptPasswordEncoder passwordEncoder;
    /**
     * @param clients 用户的相关配置载体
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
       String secret = passwordEncoder.encode("secret");
        //配置客户端
        clients.
                //使用内存设置
                        inMemory()
                //设置clientID
                .withClient("client")
                //client_secret 要进行加密
                .secret(secret)
                //授权类型
                .authorizedGrantTypes("password", "refresh_token")
                //授权范围
                .scopes("read,writer");
        //clients.jdbc(dataSource);
        super.configure(clients);
    }
}

以上重写方法是基于jvm内存来设置的,如设置数据库相关,直接clients.jdbc(dataSource)就可以,同时在数据库添加以下表

DROP TABLE IF EXISTS `oauth_client_details`;
CREATE TABLE `oauth_client_details` (
  `client_id` varchar(256) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types` varchar(256) DEFAULT NULL,
  `web_server_redirect_uri` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO oauth_client_details (
	client_id,
	resource_ids,
	client_secret,
	scope,
	authorized_grant_types,
	web_server_redirect_uri,
	authorities,
	access_token_validity,
	refresh_token_validity,
	additional_information,
	autoapprove
)
VALUES
	(
	    'client',
	    NULL,
	    '{noop}secret',
	    'all',
	    'password,authorization_code,refresh_token,implicit,client_credentials',
	    NULL,
		NULL,
		NULL,
		NULL,
		NULL,
		'true'
	);

看到了client_id就是我们的Username,client_secret就是我们的Password,scope对应着socpe,authorized_grant_types对应着grant_type注意这里的grant_type为了刷新token还有一种模式

  • refresh_token:获取access token时附带的用于刷新新的token模式

上面已经四个属性已经都有了,接下来就是用户名和密码了。
设置用户名和密码通过实现UserDetailsService这个类
下面是代码

@Component
public class AquamanUserDetailsService  implements UserDetailsService {

    //这里需要mapper
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // TODO 这个地方可以通过username从数据库获取正确的用户信息,包括密码和权限等。
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
        //grantedAuthorityList.add(new MyGrantedAuthority("MY_ROLE1", "MY_MENU1"));
        grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_USER"));
        grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        //admin123加密后$2a$10$WIDPnAxDUfQq/asUAnMkROiAHUEvkJ/eI9TWlyCoa6QMW2YJUkNEW
        return new User(username, "$2a$10$WIDPnAxDUfQq/asUAnMkROiAHUEvkJ/eI9TWlyCoa6QMW2YJUkNEW", grantedAuthorityList);
    }
}

还是实现AuthorizationServerConfigurerAdapter这个类,重写以下方法,将实现的UserDetailsService 设置到AuthorizationServerEndpointsConfigurer 即可。

@Configuration
@AllArgsConstructor
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    /**
     * oauth2模式相关的东西
     */
    private final AuthenticationManager authenticationManagerBean;
    /**
     * 加密方式
     */
    private final BCryptPasswordEncoder passwordEncoder;
    /**
     * 用户相关东西
     */
    private final AquamanUserDetailsService userDetailsService;
    /**
     * 用来配置拦截的相关东西
     *
     * @param endpoints 请求的拦截点
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManagerBean)//使用密码模式
                .userDetailsService(userDetailsService) //不添加的话会出错
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)//设置允许的请求方式
               // .tokenStore(tokenStore())//设置tokenStore存储在哪里
        //.tokenEnhancer(tokenEnhancer())//设置token的增强器
                //.accessTokenConverter(jwtAccessTokenConverter())
        ;
        super.configure(endpoints);
    }   
}

以上就是OAuth2对应的每个字段的代码对应。

1.2 token的存储以及token的生成相关
1.2.1 TokenStore

创建AccessToken完之后,除了发放给第三方,肯定还得保存起来,才可以使用。因此,TokenStore为我们完成这一操作,将令牌(AccessToken)保存或持久化。
TokenStore也有一个默认的实现类InMemoryTokenStore,从名字就知道是通过保存到内存进而实现保存Access Token。
TokenStore的实现有多种类型,可以根据业务需求更改Access Token的保存类型:

InMemoryTokenStore: 这个是OAuth2默认采用的实现方式。在单服务上可以体现出很好特效(即并发量不大,并且它在失败的时候不会进行备份),大多项目都可以采用此方法。毕竟存在内存,而不是磁盘中,调试简易。
JdbcTokenStore: 这个是基于JDBC的实现,令牌(Access Token)会保存到数据库。这个方式,可以在多个服务之间实现令牌共享。
RedisTokenStore: 基于redis的存储token,保存后是二进制格式的。
JwtTokenStore: jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘),因为它可以把相关信息数据编码存放在令牌里。JwtTokenStore 不会保存任何数据,但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。但有两个缺点:

  • 撤销一个已经授权的令牌会很困难,因此只适用于处理一个生命周期较短的以及撤销刷新令牌。
  • 令牌占用空间大,如果加入太多用户凭证信息,会存在传输冗余
1.2.2 JWT Token

想使用jwt令牌,需要在授权服务中配置JwtTokenStore。之前说了,jwt将一些信息数据编码后存放在令牌,那么其实在传输的时候是很不安全的,所以Spring OAuth2提供了JwtAccessTokenConverter来怼令牌进行编码和解码。适用JwtAccessTokenConverter可以自定义秘签(SigningKey)。SigningKey用处就是在授权认证服务器生成进行签名编码,在资源获取服务器根据SigningKey解码校验。

@Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("aquaman");
        return converter;
    }
1.2.3 Token 增强器
@Bean   
 public TokenEnhancer tokenEnhancer() {
        return (oAuth2AccessToken, oAuth2Authentication) -> {
            final Map<String, Object> additionalInfo = new HashMap<>();
            additionalInfo.put("license", "aquaman");
            ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(additionalInfo);
            return oAuth2AccessToken;
        };
    }
1.2.4 端点接入-endpoints

我们在前面设置用户的信息时介绍过这个类下面是一个详细的介绍
1.)端点(endpoints)的相关属性配置:

  • authenticationManager:认证管理器。若我们上面的Grant Type设置为password,则需设置一个AuthenticationManager对象
  • userDetailsService:若是我们实现了UserDetailsService,来管理用户信息,那么得设我们的userDetailsService对象
  • authorizationCodeServices:授权码服务。若我们上面的Grant Type设置为authorization_code,那么得设一个AuthorizationCodeServices对象
  • tokenStore:这个就是我们上面说到,把我们想要是实现的Access Token类型设置
  • accessTokenConverter:Access Token的编码器。也就是JwtAccessTokenConverter
  • tokenEnhancer:token的拓展。当使用jwt时候,可以实现TokenEnhancer来进行jwt对包含信息的拓展
  • tokenGranter:当默认的Grant Type已经不够我们业务逻辑,实现TokenGranter 接口,授权将会由我们控制,并且忽略Grant Type的几个属性。

2).端点(endpoints)的授权url:
要授权认证,肯定得由url请求,才可以传输。因此OAuth2提供了配置授权端点的URL。
AuthorizationServerEndpointsConfigurer ,还是这个配置对象进行配置,其中由一个pathMapping()方法进行配置授权端点URL路径,默认提供了两个参数defaultPath和customPath:

public AuthorizationServerEndpointsConfigurer pathMapping(String defaultPath, String customPath) {
		this.patternMap.put(defaultPath, customPath);
		return this;
}

pathMapping的defaultPath有:

/oauth/authorize:授权端点
/oauth/token:令牌端点
/oauth/confirm_access:用户确认授权提交端点
/oauth/error:授权服务错误信息端点
/oauth/check_token:用于资源服务访问的令牌解析端点
/oauth/token_key:提供公有密匙的端点,如果使用JWT令牌的话

以上就是AuthorizationServerConfigurerAdapter的一些相关的使用。设置以上以上的所有还不能成为一个认证中心。还需要设置继承一个类,再次配置用户名和密码的。

2 WebSecurityConfigurerAdapter

这个类比较简单用来配置用户名和密码就可以,同时还可以设置忽略某个接口的拦截等,与AuthorizationServerConfigurerAdapter相互配合

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private AquamanUserDetailsService userDetailsService;

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 将 check_token 暴露出去,否则资源服务器访问时报 403 错误
        web.ignoring().antMatchers("/oauth/check_token");
        super.configure(web);
    }

	    /**
     * 设置模式相关
     *
     * @return 模式相关
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 设置加密方式
     *
     * @return 加密方式
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        //使用默认加密方式
        return new BCryptPasswordEncoder();
    }

    /**
     * 设置用户的信息
     *
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
        super.configure(auth);
    }
}
3 ResourceServerConfigurerAdapter

ResourceServerConfigurerAdapter使用来设置资源服务器相关的,资源服务器就是存放一些受令牌保护的资源,只有令牌并且有效正确才能获取到资源。 内部是通过Spring OAuth2的Spring Security Authentication filter 的过滤链来进行保护。如果服务即是授权中心,又是资源服务器。只需要进行如下的配置

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/**").authenticated()//所有服务都需要保护,来检查token否有效
                .anyRequest().authenticated();
    }
}

如果授权服务和资源服务器是分开的,不仅要以上的配置还需要配置,检查验证token相关的东西。而Jwt方式和其他方式是不同的。
如果是JWT的需要在application.yml进行如下配置

security:
  oauth2:
    resource:
      jwt:
        key-value: aquaman

这里的key-value的值是在设置JWT Token时jwtAccessTokenConverter 的setSigningKey(“aquaman”)属性。
如果不是JWT的方式加一下配置

security:
  oauth2:
    client:
      client-id: client
      client-secret: secret
      scope: all
      access-token-uri:  http://授权服务IP:授权服务端口/oauth/token
      user-authorization-uri: http://授权服务IP:授权服务端口/oauth/authorize
    resource:
      token-info-uri: http://授权服务IP:授权服务端口/oauth/check_token