• UID20502
  • 登录2017-11-16
  • 粉丝0
  • 关注0
  • 发帖48
  • 主页
  • 金币124枚
万万558 发布于2017-11-10 10:18
1/38

整合spring cloud云架构 - SSO单点登录之OAuth2.0登录认证(1)

楼层直达
之前写了很多关于spring cloud的文章,今天我们对OAuth2.0的整合方式做一下笔记,首先我从网上找了一些关于OAuth2.0的一些基础知识点,帮助大家回顾一下知识点:
 

一、oauth中的角色

client:调用资源服务器API的应用
Oauth 2.0 Provider:包括Authorization Server和Resource Server
(1)Authorization Server:认证服务器,进行认证和授权
(2)Resource Server:资源服务器,保护受保护的资源
user:资源的拥有者




二、下面详细介绍一下Oauth 2.0 Provider



Authorization Server:

(1)AuthorizationEndpoint:进行授权的服务,Default URL: /oauth/authorize
(2)TokenEndpoint:获取token的服务,Default URL: /oauth/token  



Resource Server:

OAuth2AuthenticationProcessingFilter:给带有访问令牌的请求加载认证




三、下面再来详细介绍一下Authorization Server:

一般情况下,创建两个配置类,一个继承AuthorizationServerConfigurerAdapter,一个继承WebSecurityConfigurerAdapter,再去复写里面的方法。


主要出现的两种注解:

1、@EnableAuthorizationServer:声明一个认证服务器,当用此注解后,应用启动后将自动生成几个Endpoint:(注:其实实现一个认证服务器就是这么简单,加一个注解就搞定,当然真正用到生产环境还是要进行一些配置和复写工作的。)
/oauth/authorize:验证
/oauth/token:获取token
/oauth/confirm_access:用户授权
/oauth/error:认证失败
/oauth/check_token:资源服务器用来校验token
/oauth/token_key:如果jwt模式则可以用此来从认证服务器获取公钥
以上这些endpoint都在源码里的endpoint包里面。

2、@Beans:需要实现AuthorizationServerConfigurer
AuthorizationServerConfigurer包含三种配置:
ClientDetailsServiceConfigurer:client客户端的信息配置,client信息包括:clientId、secret、scope、authorizedGrantTypes、authorities
(1)scope:表示权限范围,可选项,用户授权页面时进行选择
(2)authorizedGrantTypes:有四种授权方式
  • Authorization Code:用验证获取code,再用code去获取token(用的最多的方式,也是最安全的方式)
  • Implicit: 隐式授权模式
  • Client Credentials (用來取得 App Access Token)
  • Resource Owner Password Credentials
(3)authorities:授予client的权限

这里的具体实现有多种,in-memory、JdbcClientDetailsService、jwt等。
AuthorizationServerSecurityConfigurer:声明安全约束,哪些允许访问,哪些不允许访问
AuthorizationServerEndpointsConfigurer:声明授权和token的端点以及token的服务的一些配置信息,比如采用什么存储方式、token的有效期等

client的信息的读取:在ClientDetailsServiceConfigurer类里面进行配置,可以有in-memory、jdbc等多种读取方式。
jdbc需要调用JdbcClientDetailsService类,此类需要传入相应的DataSource.



下面再介绍一下如何管理token:

AuthorizationServerTokenServices接口:声明必要的关于token的操作
(1)当token创建后,保存起来,以便之后的接受访问令牌的资源可以引用它。
(2)访问令牌用来加载认证
接口的实现也有多种,DefaultTokenServices是其默认实现,他使用了默认的InMemoryTokenStore,不会持久化token;



token存储方式共有三种分别是:

(1)InMemoryTokenStore:存放内存中,不会持久化
(2)JdbcTokenStore:存放数据库中
(3)Jwt: json web token



授权类型:

可以通过AuthorizationServerEndpointsConfigurer来进行配置,默认情况下,支持除了密码外的所有授权类型。相关授权类型的一些类:
(1)authenticationManager:直接注入一个AuthenticationManager,自动开启密码授权类型
(2)userDetailsService:如果注入UserDetailsService,那么将会启动刷新token授权类型,会判断用户是否还是存活的
(3)authorizationCodeServices:AuthorizationCodeServices的实例,auth code 授权类型的服务
(4)implicitGrantService:imlpicit grant
(5)tokenGranter:



endpoint的URL的配置:

(1)AuthorizationServerEndpointsConfigurer的pathMapping()方法,有两个参数,第一个是默认的URL路径,第二个是自定义的路径
(2)WebSecurityConfigurer的实例,可以配置哪些路径不需要保护,哪些需要保护。默认全都保护。



自定义UI:

(1)有时候,我们可能需要自定义的登录页面和认证页面。登陆页面的话,只需要创建一个login为前缀名的网页即可,在代码里,设置为允许访问,这样,系统会自动执行你的登陆页。此登陆页的action要注意一下,必须是跳转到认证的地址。
(2)另外一个是授权页,让你勾选选项的页面。此页面可以参考源码里的实现,自己生成一个controller的类,再创建一个对应的web页面即可实现自定义的功能。



下面梳理一下授权获取token流程:

(1)端口号换成你自己的认证服务器的端口号,client_id也换成你自己的,response_type类型为code。
localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
(2)这时候你将获得一个code值:http://www.baidu.com/?code=G0C20Z

(3)使用此code值来获取最终的token:
curl -X POST -H "Cant-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/uaa/oauth/token"
返回值:
{"access_token":"b251b453-cc08-4520-9dd0-9aedf58e6ca3","token_type":"bearer","expires_in":2591324,"scope":"app"}

(4)用此token值来调用资源服务器内容(如果资源服务器和认证服务器在同一个应用中,那么资源服务器会自己解析token值,如果不在,那么你要自己去做处理)
curl -H "Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3" "localhost:8081/service2(此处换上你自己的url)"



四、Resource Server:保护资源,需要令牌才能访问


在配置类上加上注解@EnableResourceServer即启动。使用ResourceServerConfigurer进行配置:(1)tokenServices:ResourceServerTokenServices的实例,声明了token的服务
(2)resourceId:资源Id,由auth Server验证。
(3)其它一些扩展点,比如可以从请求中提取token的tokenExtractor
(4)一些自定义的资源保护配置,通过HttpSecurity来设置

使用token的方式也有两种:
(1)Bearer Token(https传输方式保证传输过程的安全):主流
(2)Mac(http+sign)

如何访问资源服务器中的API?
如果资源服务器和授权服务器在同一个应用程序中,并且您使用DefaultTokenServices,那么您不必太考虑这一点,因为它实现所有必要的接口,因此它是自动一致的。如果您的资源服务器是一个单独的应用程序,那么您必须确保您匹配授权服务器的功能,并提供知道如何正确解码令牌的ResourceServerTokenServices。与授权服务器一样,您可以经常使用DefaultTokenServices,并且选项大多通过TokenStore(后端存储或本地编码)表示。
(1)在校验request中的token时,使用RemoteTokenServices去调用AuthServer中的/auth/check_token。
(2)共享数据库,使用Jdbc存储和校验token,避免再去访问AuthServer。
(3)使用JWT签名的方式,资源服务器自己直接进行校验,不借助任何中间媒介。



五、oauth client

在客户端获取到token之后,想去调用下游服务API时,为了能将token进行传递,可以使用RestTemplate.然后使用restTemplate进行调用Api。
注:
scopes和authorities的区别:
scopes是client权限,至少授予一个scope的权限,否则报错。
authorities是用户权限。  

以上是我从网上找到的一篇写的不错的博客,希望可以帮助大家快速了解OAuth2.0,下一篇文章我们正式介绍OAuth2.0在当前框架中的使用。


从现在开始,我这边会将近期研发的spring cloud微服务云架构的搭建过程和精髓记录下来,帮助更多有兴趣研发spring cloud框架的朋友,大家来一起探讨spring cloud架构的搭建过程及如何运用于企业项目。源码来源

0人打赏
  • UID20502
  • 登录2017-11-16
  • 粉丝0
  • 关注0
  • 发帖48
  • 主页
  • 金币124枚
万万558 发布于2017-11-10 10:18
沙发F
有兴趣可以加企鹅2147775633,希望可以帮助更多的好学者。
您需要登录后才可以回帖
发表回复
极贡献
技术问答
专题荟萃
程序人生
视觉设计
Android开发
iOS开发
编程语言
前端开发
后端开发
服务器架构
软件测试
运维方案
创业路上



最热文章墙

  • 79139/378   【精品推荐】200多种Android动画效果的强悍框架,太全了,不看这个,再有动画的问题,不理你了^@^

  • 45196/191   情人节福利,程序员表白的正确姿势:改几行代码就变成自己的表白了

  • 44909/0   Python爬虫:常用浏览器的useragent

  • 41330/260   【精品推荐】Android版产品级的音乐播放器源码,功能太强大了,最好的产品原型有木有?

  • 38619/145   省时省力的Android组件群来了,非常棒的原型参考

  • 29983/142   2016抢红包软件及源码

  • 29263/2   超全!整理常用的iOS第三方资源

  • 29251/71   原创表白APP,以程序员的姿势备战新年后的7夕,持续完善中!

  • 24271/160   Android版类似UC浏览器:非常赞,产品级的源码

  • 22850/30   麻省理工的一帮疯子,真的实现了随意操控万物!(绝对黑科技)

  • 22545/25   Android工程师面试题大全

  • 22452/27   2016程序员跳槽全攻略

  • 21936/9   GitHub上排名前50的iOS项目:总有一款你用得着

  • 20889/20   码魂:程序员的牛B漫画

  • 19016/85   Android小而全的博客源码:非常适合全面掌握开发技巧

  • 19010/73   【持续更新中】Android福利贴(二):资料源码大放送

  • 18996/10   2016年最全的Android面试考题+答案 精编版

  • 18869/42   一个绚丽的loading动效分析与实现!

  • 18735/3   吐槽那些程序员的搞笑牛逼注释

  • 17610/1   iOS 动画总结

  • 17602/45   惊艳的App引导页:背景图片切换加各个页面动画效果

  • 17455/82   仿京东商城客户端Android最新版,不错的原型和学习资料

  • 17415/104   Android带弹幕的视频播放器源码,来自大名鼎鼎的Bilibili弹幕网站

  • 17123/23   个人收集的Android 各类功能源代码

  • 16651/5   新一代Android渠道打包工具:1000个渠道包只需要5秒

  • 16587/21   Android福利第三波【Android电子书】

  • 16402/53   基于瀑布流的美女图片浏览App,有注释的源代码

  • 16387/10   女程序员的梦,众网友的神回复

  • 16361/81   【精品推荐】类似360安全卫士安Android源码:非常赞的产品原型

  • 16323/17   用JavaScript 来开发iOS和Android 原生应用:React Native开源框架中文版来啦

  • 16239/0   iOS中文版资源库,非常全

  • 16082/11   年会上现场review代码是怎么样的体验!

  • 16021/23   珍藏多年的素材,灵感搜寻网站

  • 15491/18   65条最常用正则表达式,你要的都在这里了

  • 14834/15   基于Android支付宝支付设计和开发方案

  • 14230/11   有木有这样一张酷图帮你集齐所有git命令超实用

  • 14164/17   什么是真正的黑客:收获12200+Stars,人气远超微软开源VS

  • 13927/46   在线音乐播放器完整版(商用级的源码):非常赞,可听免费高品质专辑

  • 13704/0   GitHub iOS 库和框架Top100 

  • 13627/61   【技巧一】搭配Android Studio,如何实现App远程真机debug?

  • 13550/7   用程序员的姿势抢过年的火车票

  • 13508/7   一张图搞定iOS学习路线,非常全面

  • 13120/10   成为Java顶尖程序员 ,看这11本书就够了

  • 13087/10   微信支付终于成功了(安卓,iOS),在此分享

  • 12983/18   一张图搞定Android学习路线,非常全面

  • 12793/29   【持续更新中】Android福利贴(一):资料源码

  • 12711/3   基于Node.js的强大爬虫,能直接发布抓取的文章哦

  • 12456/4   46 个非常有用的 PHP 代码片段

  • 11993/3   即时通信第三方库

  • 11432/8   流媒体视频直播方案

  • 11361/18   八个最优秀的Android Studio插件

  • 11239/9   B站建开源工作组:APP想支持炫酷弹幕的看过来

  • 11033/9   烧了5亿美金,这家神秘的公司即将颠覆人类未来!

  • 10996/2   【精品推荐】高质量PHP代码的50个实用技巧:非常值得收藏

  • 10930/10   中国黑客的隐秘江湖:攻守对立,顶尖高手月入千万美元

  • 10208/6   开箱即用!Android四款系统架构工具

  • 10011/10   十大技巧快速提升Android应用开发性能

  • 9952/3   10款GitHub上最火爆的国产开源项目——可以媲美西半球

  • 9899/1   Android性能优化视频,文档以及工具

  • 9763/3   一张图看清Linux 内核运行原理

  • 返回顶部