OAuth2.0

OAuth 引入了一個(gè)授權(quán)層澈缺，用來(lái)分離兩種不同的角色：客戶端和資源所有者】簧簦客戶端來(lái)申請(qǐng)資源姐赡，資源所有者同意以后，資源服務(wù)器可以向客戶端頒發(fā)令牌柠掂∠罨客戶端通過(guò)令牌，去請(qǐng)求數(shù)據(jù)涯贞。也就是說(shuō)枪狂，OAuth 的核心就是向第三方應(yīng)用頒發(fā)令牌危喉。而且，OAuth 2.0 規(guī)定了四種獲得令牌的流程州疾。你可以選擇最適合自己的那一種辜限，向第三方應(yīng)用頒發(fā)令牌。

具體的OAuth學(xué)習(xí)建議仔細(xì)研讀阮一峰的教程严蓖，

• http://www.ruanyifeng.com/blog/2019/04/oauth_design.html

下面我們來(lái)使用spring cloud security 和 spring cloud oauth2兩個(gè)組件來(lái)簡(jiǎn)單實(shí)現(xiàn)授權(quán)流程薄嫡。

授權(quán)服務(wù)

下面我們來(lái)使用spring cloud security 實(shí)現(xiàn)一個(gè)授權(quán)服務(wù)，首先來(lái)引入依賴：

file

除了一個(gè)web組件谈飒，只引入了一個(gè)spring-cloud-starter-oauth2岂座，這是因?yàn)閟pring cloud下的oauth2組件已經(jīng)包含了security：

file

首先寫一個(gè)正常的登錄功能，application配置文件和啟動(dòng)類都不用增加特殊配置杭措，主要來(lái)配置security配置類：

file

這里面基本沒(méi)有特殊的配置费什，都是前面遇到過(guò)的熟悉的配置。有了這個(gè)配置類手素，基本的登錄功能就有了鸳址，要想有授權(quán)功能，還需要一個(gè)授權(quán)配置類泉懦，授權(quán)配置類需要繼承 AuthorizationServerConfigurerAdapter 類稿黍，并引入 @EnableAuthorizationServer 注解：

file

首先配置一個(gè)客戶端：

file

然后配置token的存儲(chǔ)和管理，此處使用secret作為秘鑰崩哩，后面會(huì)介紹使用非對(duì)稱加密的方式 ：

file

上面的token存儲(chǔ)在了內(nèi)存中巡球，token也可以存儲(chǔ)在數(shù)據(jù)庫(kù)或者redis中。最后配置授權(quán)端點(diǎn)的訪問(wèn)控制：

file

以上就是一個(gè)簡(jiǎn)答的授權(quán)服務(wù)邓嘹。

資源服務(wù)

下面來(lái)搭建一個(gè)資源服務(wù)酣栈，其實(shí)授權(quán)和資源服務(wù)是可以合二為一的，此處為了清晰汹押，將它們分開(kāi)矿筝。pom中引入的依賴和授權(quán)服務(wù)是一樣的，同樣棚贾，配置文件和啟動(dòng)類不需要做特殊配置窖维。首先來(lái)寫兩個(gè)簡(jiǎn)單的接口，一個(gè)定義為受保護(hù)妙痹，另一個(gè)不受保護(hù)：

file

然后定義一個(gè)資源服務(wù)配置類铸史，需要繼承 ResourceServerConfigurerAdapter 類，并引入 @EnableResourceServer 注解：

file

首先來(lái)看令牌驗(yàn)證的配置：

file

然后來(lái)看接口資源的攔截規(guī)則：

file

save開(kāi)頭的可以直接訪問(wèn)怯伊，不會(huì)被攔截琳轿，/user/save接口會(huì)被驗(yàn)證。

注意上面配置的clientId和secret都是單一的配置死的，如果需要對(duì)多客戶端動(dòng)態(tài)進(jìn)行認(rèn)真利赋，需要重寫水评，后面是通過(guò)http調(diào)用的方式解析訪問(wèn)令牌（主要是通過(guò)訪問(wèn)授權(quán)服務(wù)的/oauth/check_token解析）。

測(cè)試

我們來(lái)根據(jù)前面說(shuō)到的流程測(cè)試媚送，首先向授權(quán)服務(wù)申請(qǐng)一個(gè)授權(quán)碼：

• http://localhost:8015/oauth/authorize?client_id=clientId&response_type=code&redirect_uri=http://localhost:8015/

訪問(wèn)首先會(huì)跳轉(zhuǎn)到登錄頁(yè)面：

file

輸入配置中默認(rèn)的用戶名密碼登錄中燥，然后進(jìn)入下一個(gè)頁(yè)面：

file

這個(gè)頁(yè)面是真正的授權(quán)頁(yè)面，選擇Approve塘偎，點(diǎn)擊按鈕疗涉，同意授權(quán)，授權(quán)碼會(huì)通過(guò)回調(diào)地址獲取吟秩，如下圖：

file

然后攜帶授權(quán)碼申請(qǐng)?jiān)L問(wèn)令牌咱扣，需要訪問(wèn)下面的地址（需要使用post方式）：

• http://localhost:8015/oauth/token?grant_type=authorization_code&code=授權(quán)碼&redirect_uri=http://localhost:8015/&client_id=clientId&client_secret=secret

將授權(quán)碼替換上面地址中的授權(quán)碼三個(gè)字，然后在postman中訪問(wèn)：

file

其返回結(jié)果中涵防，包含access_token參數(shù)闹伪，就是我們需要的訪問(wèn)令牌，token_type 參數(shù)說(shuō)明了令牌的類型壮池，一般類型為bearer或者refresh_token可以在訪問(wèn)令牌過(guò)期后向授權(quán)服務(wù)申請(qǐng)新的令牌偏瓤，expires_in參數(shù)是令牌的有效時(shí)間，單位是秒椰憋，圖中顯示默認(rèn)是12個(gè)小時(shí)厅克。令牌已經(jīng)得到了，下面來(lái)訪問(wèn)資源接口橙依，首先試一下不受保護(hù)的資源：

file

可以看到直接就能訪問(wèn)证舟，然后訪問(wèn)受保護(hù)的資源接口：

file

得到這樣的結(jié)果說(shuō)明該接口需要認(rèn)證，我們來(lái)使用我們前面得到的令牌來(lái)訪問(wèn)窗骑，首先選擇正確的認(rèn)真協(xié)議：

file

然后在右側(cè)填寫前面獲取的access_token:

file

然后訪問(wèn)接口女责，就能看到受保護(hù)的資源通過(guò)令牌可以訪問(wèn)：

file

代碼地址 ： https://gitee.com/blueses/spring-boot-security 15 和 16