好好學習百框，天天向上

本文已收錄至我的Github倉庫DayDayUP：github.com/RobodLee/DayDayUP，歡迎Star寡具，更多文章請前往：目錄導航

介紹

OAuth（開放授權）是一個開放標準秤茅，允許用戶授權第三方應用訪問他們存儲在另外的服務提供者上的信息，而不需要將用戶名和密碼提供給第三方應用或分享他們數(shù)據(jù)的所有內容晒杈。OAuth2.0的系統(tǒng)大致分由客戶端嫂伞，認證授權服務器以及資源服務器三部分組成。客戶端如果想要訪問資源服務器中的資源帖努，就必須要持有認證授權服務器頒發(fā)的Token撰豺。認證流程如下圖所示：

image

這篇文章將通過一個具體的案例來展示如何搭建一個分布式的OAuth2.0系統(tǒng)。整體的結構圖如下所示拼余。有網(wǎng)關污桦，認證授權服務以及資源服務三個部分組成。既然OAuth2是一個標準匙监，如果我們想用的話凡橱，必然是用它的實現(xiàn)，也就是Spring-Security-OAuth2亭姥，它可以很方便地和Spring Cloud集成稼钩。OAuth2.0的更多細節(jié)會在案例中繼續(xù)介紹。

image

那么就開始吧达罗！

數(shù)據(jù)庫

要完成這套系統(tǒng)坝撑，需要準備好用到的一些數(shù)據(jù)表。

image

• oauth_client_details：這個數(shù)據(jù)庫存放了客戶端的配置信息粮揉，客戶端有什么樣的權限才可以訪問服務器巡李。表中的字段是固定的，下面會詳細提到扶认。
• oauth_code：用戶數(shù)據(jù)庫存取授權碼模式存放授權碼的侨拦，表中的字段也是固定的，下面會詳細說明辐宾。
• 后面的5張表存放了用戶的一些信息狱从，如果角色、權限等信息螃概。登錄驗證的時候需要矫夯。

建表的sql我放在了源碼的README.md文件中鸽疾，下載地址見文末吊洼。

注冊中心

微服務項目得先有個注冊中心吧，我們選用Eureka制肮。先搭建一個父工程OAuth2Demo冒窍，然后在父工程中創(chuàng)建一個Module叫oauth2_eureka。然后添加配置文件及啟動類即可豺鼻。所需要的依賴我就不在這里貼了综液，太占篇幅了。有需要的小伙伴直接去我源碼中拷就行了儒飒。

spring:
  application:
    name: eureka
server:
  port: 8000 #啟動端口
…………

@SpringBootApplication
@EnableEurekaServer
public class EurekaApplication {
    public static void main(String[] args) {
        SpringApplication.run(EurekaApplication.class,args);
    }
}

這樣注冊中心就搭建好了谬莹。

認證授權服務

服務搭建

在OAuth2Demo中創(chuàng)建一個Module叫oauth2_uaa作為認證服務。添加啟動類和配置文件。

spring.application.name=uaa
server.port=8001
eureka.client.serviceUrl.defaultZone = http://localhost:8000/eureka/
…………

@SpringBootApplication
@EnableEurekaClient
@MapperScan("com.robod.uaa.mapper")
public class UaaApplication {
    public static void main(String[] args) {
        SpringApplication.run(UaaApplication.class, args);
    }
}

配置

回顧上一篇Spring Security的文章中提到的幾點內容

• 用戶來源的Service實現(xiàn)UserDetailsService接口附帽，實現(xiàn)loadUserByUsername()方法埠戳，從數(shù)據(jù)庫中獲取數(shù)據(jù)
• Spring Security的配置類繼承自WebSecurityConfigurerAdapter，重寫里面的兩個configure()方法

image

public interface UserService extends UserDetailsService {
}
//-----------------------------------------------------------
@Service("userService")
public class UserServiceImpl implements UserService {
    …………
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = userMapper.findByUsername(username);
        return sysUser;
    }
}

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    …………
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    //認證用戶的來源
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    //配置SpringSecurity相關信息
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1")
                .antMatchers("/login*").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin();
    }

}

解釋一下上面的代碼蕉扮，WebSecurityConfig是Spring Security的配置類整胃，第一個configure()方法配置的是用戶的來源，這里配置了自定義的實現(xiàn)了UserDetailsService接口的UserService喳钟，里面的loadUserByUsername()方法從數(shù)據(jù)庫中查詢出對應的實現(xiàn)了UserDetails接口的SysUser對象屁使，里面的SysPermission封裝了用戶所擁有的權限。然后就交給后續(xù)的過濾器去處理了奔则，我們就不用去管了蛮寂。

然后我們就可以去進行OAuth2.0的相關配置了，方法很簡單易茬，只要在配置類上添加@EnableAuthorizationServer注解并讓其繼承自AuthorizationServerConfigurerAdapter共郭。最后重寫其中的三個configure()方法即可。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;    //從WebSecurityConfig中獲取的

    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;    //本類中的疾呻，授權碼模式需要

    @Autowired
    private TokenStore tokenStore;  //TokenConfig中的

    @Autowired
    private PasswordEncoder passwordEncoder;//從WebSecurityConfig中獲取的

    @Autowired
    private ClientDetailsService clientDetailsService;   //本類中的

    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;    //TokenConfig中的

    //用來配置令牌端點的安全約束
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll")    // /oauth/token_key 提供公有密匙的端點 允許任何人訪問
                .checkTokenAccess("permitAll")  // /oauth/check_token ：用于資源服務訪問的令牌解析端點 允許任何人訪問
                .allowFormAuthenticationForClients();   //表單認證（申請令牌）
    }

    //用來配置客戶端詳情服務,客戶端詳情信息在這里進行初始化,
    //你能夠把客戶端詳情信息寫死在這里或者是通過數(shù)據(jù)庫來存儲調取詳情信息
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetailsService);
    }

    //用來配置令牌（token）的訪問端點（url）和令牌服務(token services)
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)  //認證管理器,密碼模式需要
                .authorizationCodeServices(authorizationCodeServices)   //授權碼服務,授權碼模式需要
                .tokenServices(tokenService())
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);   //允許post提交
    }

    @Bean
    public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
        //設置授權碼模式的授權碼存取到數(shù)據(jù)中
        return new JdbcAuthorizationCodeServices(dataSource);
    }

    //客戶端詳情服務除嘹，從數(shù)據(jù)庫中獲取
    @Bean
    public ClientDetailsService clientDetailsService(DataSource dataSource) {
        ClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
        ((JdbcClientDetailsService)clientDetailsService).setPasswordEncoder(passwordEncoder);
        return clientDetailsService;
    }

    //令牌管理服務
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service = new DefaultTokenServices();
        service.setClientDetailsService(clientDetailsService);  //客戶端信息服務
        service.setSupportRefreshToken(true);               //支持自動刷新
        service.setTokenStore(tokenStore);
        //令牌增強
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));
        service.setTokenEnhancer(tokenEnhancerChain);

        service.setAccessTokenValiditySeconds(7200);        //令牌默認有效期2小時
        service.setRefreshTokenValiditySeconds(259200);     //刷新令牌默認有效期3天
        return service;
    }
}

現(xiàn)在來解釋一下上面代碼中的內容

• ClientDetailsService

  我們配置了從數(shù)據(jù)庫中獲取客戶端配置。但是是怎么從數(shù)據(jù)庫中獲取的呢岸蜗，這里用到了一個JdbcClientDetailsService尉咕，點擊源碼里看看??

image

可以看到，它是從 oauth_client_details 這張表里查出來的璃岳，所以我們的數(shù)據(jù)庫中只要創(chuàng)建出這張表年缎，表里再添加這些字段即可。

• JdbcAuthorizationCodeServices

  原理和JdbcClientDetailsService差不多铃慷，都是創(chuàng)建出指定的表单芜。

• TokenStore 和 JwtAccessTokenConverter

  為了方便管理，我們使用TokenConfig這個類去配置Token相關的內容犁柜。添加了@Bean注解將其添加到Spring容器后就可以在其它的類中去注入使用了洲鸠。

  @Configuration
  public class TokenConfig {
  
      private String SIGNING_KEY = "robod_hahaha";    //對稱加密的密鑰
  
      @Bean
      public TokenStore tokenStore() {
          //JWT令牌方案
          return new JwtTokenStore(jwtAccessTokenConverter());
      }
  
      @Bean
      public JwtAccessTokenConverter jwtAccessTokenConverter() {
          JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
          converter.setSigningKey(SIGNING_KEY); //對稱秘鑰，資源服務器使用該秘鑰來驗證
          return converter;
      }
  
  }
  

  采用了JWT令牌管理方式馋缅，然后使用了對稱密鑰去進行加密扒腕。還有另外幾種令牌管理方式：

  • InMemoryTokenStore：在內存中存儲令牌(默認)
  • JdbcTokenStore：令牌存儲在數(shù)據(jù)庫中
  • RedisTokenStore：令牌存儲在Redis中

• AuthorizationServerTokenServices

  這個是用來配置令牌管理服務的，我們配置了客戶端詳情服務萤悴，令牌增強等內容瘾腰。

申請令牌的四種方式

到現(xiàn)在為止，我們的認證授權服務就已經(jīng)配置好了覆履，那么現(xiàn)在就可以去申請令牌了蹋盆，申請令牌的方式一共有四種：

• 授權碼模式

  image

  第一步申請授權碼

  http://localhost:8001/uaa/oauth/authorize?client_id=c1&response_type=code&scope=ROLE_ADMIN&redirect_uri=http://localhost

  注意费薄，這里的client_id，scope和redirect_uri都是在oauth_client_details表中設置過的栖雾，要一一對應上义锥，否則不行，response_type授權碼模式固定為code岩灭。成功訪問后拌倍，在頁面上輸入用戶名和密碼，驗證通過后噪径，在瀏覽器的地址欄中就可以看到返回的授權碼柱恤。

  image

  然后我們拿著授權碼就可以向服務器去申請Token了，參數(shù)列表必須和數(shù)據(jù)庫中配置的一致找爱。

  image

• 簡化模式

  http://localhost:8001/uaa/oauth/authorize?client_id=c1&response_type=token&scope=ROLE_ADMIN&redirect_uri=http://localhost

  在簡化模式下梗顺，我們只需要去指定client_id，response_type车摄，scope和redirect_uri即可寺谤，請求成功后，就會跳轉到指定的uri界面吮播，然后令牌就在url中变屁。

  image

• 密碼模式

  在密碼模式下，我們需要將用戶名和密碼傳到服務器中意狠，驗證通過后粟关，服務器會直接將Token返回給我們

  image

• 客戶端模式

  該模式最簡單希俩，也是最不安全的嘹锁。

  image

網(wǎng)關

搭建完了認證授權服務再來創(chuàng)建網(wǎng)關服務星立。在父工程下創(chuàng)建一個名為oauth2_gateway的Module崖面。啟動類沒什么好說的，配置文件中有幾點需要注意：

spring.application.name=gateway
server.port=8010

zuul.routes.uaa.stripPrefix = false
zuul.routes.uaa.path = /uaa/**

zuul.routes.order.stripPrefix = false
zuul.routes.order.path = /order/**

eureka.client.serviceUrl.defaultZone = http://localhost:8000/eureka/
…………

我們配置了微服務的名稱及端口辟躏，還配置了將路徑為/zuul/uaa/**和 /zuul/order/**的請求轉發(fā)給uaa和order微服務辆憔。

老樣子渣蜗，第一步進行一些安全配置

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").permitAll()
                .and().csrf().disable();
    }

}

我們在這里設置了可以接收任何請求拦止，不需要任何的權限县遣。

接下來就需要對具體的資源服務進行配置：

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    public static final String RESOURCE_ID = "res1";

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.tokenStore(tokenStore)
                .resourceId(RESOURCE_ID)
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/uaa/**")
                .permitAll()
                .antMatchers("/order/**")
                .access("#oauth2.hasScope('ROLE_API')");
    }

}

在這里面，配置了訪問認證服務不需要任何的權限创泄。訪問訂單資源服務需要用戶必須具有 “ROLE_API”的scope權限艺玲。其中注入的tokenStore和認證服務中的TokenConfig一致。

因為訂單微服務還沒有創(chuàng)建鞠抑，所以我們來測試一下網(wǎng)關訪問認證授權服務。網(wǎng)關的端口是8010忌警。

來測試一下搁拙，先是通過網(wǎng)關獲取令牌秒梳，網(wǎng)關微服務的端口是8010。

image

可以看到箕速，申請到了令牌酪碘，說明請求成功地被轉發(fā)到了認證服務。

訂單資源服務

最后盐茎，我們就可以去創(chuàng)建資源服務了兴垦。在父工程下創(chuàng)建一個名為oauth2_order的Module。

第一步字柠，先進行一些安全配置：

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/r/**").authenticated()   //所有/r/**的請求必須認證通過
                .anyRequest().permitAll();  //除了/r/**探越，其它的請求可以訪問
    }

}

這個@EnableGlobalMethodSecurity是干嗎的呢？是為了開啟注解權限控制的窑业，只有開啟了之后钦幔，我們才可以在需要進行權限控制的地方去添加注解實現(xiàn)權限控制。

接下來就是對資源服務器的配置了常柄。在@Configuration注解的配置類上添加@EnableResourceServer注解鲤氢，然后繼承自ResourceServerConfigurerAdapter類，然后重寫里面的configure()方法即可西潘。

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    public static final String RESOURCE_ID = "res1";    //資源服務的id

    @Autowired
    private TokenStore tokenStore;  //管理令牌的方式卷玉，TokenConfig中的

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId(RESOURCE_ID)
                .tokenStore(tokenStore)
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").access("#oauth2.hasScope('ROLE_ADMIN')")
                .and().csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

}

接下來就是在需要進行權限控制的方法上面添加注解。

@RestController
public class OrderController {

    @GetMapping(value = "/r1")
    @PreAuthorize("hasAuthority('p1')")//擁有p1權限方可訪問此url
    public String r1() {
        return "訪問資源成功";
    }

}

ok喷市！成功了揍庄。再來試一下通過網(wǎng)關去訪問order中的資源，用一個沒有權限的用戶訪問試試东抹。

image

說明網(wǎng)關成功轉發(fā)了我們請求蚂子，并且我們配置的權限控制也起了作用。

總結

使用OAuth2.0搭建分布式系統(tǒng)到這里就結束了缭黔。內容還是挺多的食茎，希望小伙伴們能有靜下心來細品。因為考慮到篇幅馏谨，很多非核心的內容我都沒有貼出來别渔，比如pom文件，配置文件的部分內容等惧互。小伙伴們可以下載源碼再配合著這篇文章看哎媚。

點擊下載代碼

碼字不易，看完請點贊喊儡！點贊拨与！點贊！

要是有什么好的意見歡迎在下方留言艾猜。讓我們下期再見买喧！

微信公眾號