之前寫了很多關(guān)于spring cloud的文章吕世,今天我們對(duì)OAuth2.0的整合方式做一下筆記缭裆,首先我從網(wǎng)上找了一些關(guān)于OAuth2.0的一些基礎(chǔ)知識(shí)點(diǎn)市咆,幫助大家回顧一下知識(shí)點(diǎn):
一慢宗、oauth中的角色
client:調(diào)用資源服務(wù)器API的應(yīng)用
Oauth 2.0 Provider:包括Authorization Server和Resource Server
(1)Authorization Server:認(rèn)證服務(wù)器犁享,進(jìn)行認(rèn)證和授權(quán)
(2)Resource Server:資源服務(wù)器余素,保護(hù)受保護(hù)的資源
user:資源的擁有者
二、下面詳細(xì)介紹一下Oauth 2.0 Provider
Authorization Server:
(1)AuthorizationEndpoint:進(jìn)行授權(quán)的服務(wù)炊昆,Default URL:?/oauth/authorize
(2)TokenEndpoint:獲取token的服務(wù)桨吊,Default URL:?/oauth/token?
Resource Server:
OAuth2AuthenticationProcessingFilter:給帶有訪問令牌的請(qǐng)求加載認(rèn)證
三威根、下面再來詳細(xì)介紹一下Authorization Server:
一般情況下,創(chuàng)建兩個(gè)配置類视乐,一個(gè)繼承AuthorizationServerConfigurerAdapter医窿,一個(gè)繼承WebSecurityConfigurerAdapter,再去復(fù)寫里面的方法炊林。
主要出現(xiàn)的兩種注解:
1姥卢、@EnableAuthorizationServer:聲明一個(gè)認(rèn)證服務(wù)器,當(dāng)用此注解后渣聚,應(yīng)用啟動(dòng)后將自動(dòng)生成幾個(gè)Endpoint:(注:其實(shí)實(shí)現(xiàn)一個(gè)認(rèn)證服務(wù)器就是這么簡(jiǎn)單独榴,加一個(gè)注解就搞定,當(dāng)然真正用到生產(chǎn)環(huán)境還是要進(jìn)行一些配置和復(fù)寫工作的奕枝。)
/oauth/authorize:驗(yàn)證
/oauth/token:獲取token
/oauth/confirm_access:用戶授權(quán)
/oauth/error:認(rèn)證失敗
/oauth/check_token:資源服務(wù)器用來校驗(yàn)token
/oauth/token_key:如果jwt模式則可以用此來從認(rèn)證服務(wù)器獲取公鑰
以上這些endpoint都在源碼里的endpoint包里面棺榔。
2、@Beans:需要實(shí)現(xiàn)AuthorizationServerConfigurer
AuthorizationServerConfigurer包含三種配置:
ClientDetailsServiceConfigurer:client客戶端的信息配置隘道,client信息包括:clientId症歇、secret、scope谭梗、authorizedGrantTypes忘晤、authorities
(1)scope:表示權(quán)限范圍,可選項(xiàng)激捏,用戶授權(quán)頁(yè)面時(shí)進(jìn)行選擇
(2)authorizedGrantTypes:有四種授權(quán)方式?
Authorization Code:用驗(yàn)證獲取code设塔,再用code去獲取token(用的最多的方式,也是最安全的方式)
Implicit: 隱式授權(quán)模式
Client Credentials (用來取得 App Access Token)
Resource Owner Password Credentials
(3)authorities:授予client的權(quán)限
這里的具體實(shí)現(xiàn)有多種远舅,in-memory闰蛔、JdbcClientDetailsService、jwt等图柏。
AuthorizationServerSecurityConfigurer:聲明安全約束序六,哪些允許訪問,哪些不允許訪問
AuthorizationServerEndpointsConfigurer:聲明授權(quán)和token的端點(diǎn)以及token的服務(wù)的一些配置信息蚤吹,比如采用什么存儲(chǔ)方式例诀、token的有效期等
client的信息的讀取:在ClientDetailsServiceConfigurer類里面進(jìn)行配置距辆,可以有in-memory余佃、jdbc等多種讀取方式。
jdbc需要調(diào)用JdbcClientDetailsService類跨算,此類需要傳入相應(yīng)的DataSource.
下面再介紹一下如何管理token:
AuthorizationServerTokenServices接口:聲明必要的關(guān)于token的操作
(1)當(dāng)token創(chuàng)建后,保存起來椭懊,以便之后的接受訪問令牌的資源可以引用它诸蚕。
(2)訪問令牌用來加載認(rèn)證
接口的實(shí)現(xiàn)也有多種步势,DefaultTokenServices是其默認(rèn)實(shí)現(xiàn),他使用了默認(rèn)的InMemoryTokenStore背犯,不會(huì)持久化token坏瘩;
token存儲(chǔ)方式共有三種分別是:
(1)InMemoryTokenStore:存放內(nèi)存中,不會(huì)持久化
(2)JdbcTokenStore:存放數(shù)據(jù)庫(kù)中
(3)Jwt: json web token
授權(quán)類型:
可以通過AuthorizationServerEndpointsConfigurer來進(jìn)行配置漠魏,默認(rèn)情況下倔矾,支持除了密碼外的所有授權(quán)類型。相關(guān)授權(quán)類型的一些類:
(1)authenticationManager:直接注入一個(gè)AuthenticationManager柱锹,自動(dòng)開啟密碼授權(quán)類型
(2)userDetailsService:如果注入U(xiǎn)serDetailsService哪自,那么將會(huì)啟動(dòng)刷新token授權(quán)類型,會(huì)判斷用戶是否還是存活的
(3)authorizationCodeServices:AuthorizationCodeServices的實(shí)例禁熏,auth code 授權(quán)類型的服務(wù)
(4)implicitGrantService:imlpicit grant
(5)tokenGranter:
endpoint的URL的配置:
(1)AuthorizationServerEndpointsConfigurer的pathMapping()方法壤巷,有兩個(gè)參數(shù),第一個(gè)是默認(rèn)的URL路徑瞧毙,第二個(gè)是自定義的路徑
(2)WebSecurityConfigurer的實(shí)例胧华,可以配置哪些路徑不需要保護(hù),哪些需要保護(hù)宙彪。默認(rèn)全都保護(hù)矩动。
自定義UI:
(1)有時(shí)候,我們可能需要自定義的登錄頁(yè)面和認(rèn)證頁(yè)面释漆。登陸頁(yè)面的話铅忿,只需要?jiǎng)?chuàng)建一個(gè)login為前綴名的網(wǎng)頁(yè)即可,在代碼里灵汪,設(shè)置為允許訪問檀训,這樣,系統(tǒng)會(huì)自動(dòng)執(zhí)行你的登陸頁(yè)享言。此登陸頁(yè)的action要注意一下峻凫,必須是跳轉(zhuǎn)到認(rèn)證的地址。
(2)另外一個(gè)是授權(quán)頁(yè)览露,讓你勾選選項(xiàng)的頁(yè)面荧琼。此頁(yè)面可以參考源碼里的實(shí)現(xiàn),自己生成一個(gè)controller的類差牛,再創(chuàng)建一個(gè)對(duì)應(yīng)的web頁(yè)面即可實(shí)現(xiàn)自定義的功能命锄。
下面梳理一下授權(quán)獲取token流程:
(1)端口號(hào)換成你自己的認(rèn)證服務(wù)器的端口號(hào),client_id也換成你自己的偏化,response_type類型為code脐恩。
?localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
(2)這時(shí)候你將獲得一個(gè)code值:http://www.baidu.com/?code=G0C20Z
(3)使用此code值來獲取最終的token:
curl -X POST -H "Cant-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/uaa/oauth/token"
返回值:
{"access_token":"b251b453-cc08-4520-9dd0-9aedf58e6ca3","token_type":"bearer","expires_in":2591324,"scope":"app"}
(4)用此token值來調(diào)用資源服務(wù)器內(nèi)容(如果資源服務(wù)器和認(rèn)證服務(wù)器在同一個(gè)應(yīng)用中,那么資源服務(wù)器會(huì)自己解析token值侦讨,如果不在驶冒,那么你要自己去做處理)
curl -H "Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3" "localhost:8081/service2(此處換上你自己的url)"
四苟翻、Resource Server:保護(hù)資源,需要令牌才能訪問
在配置類上加上注解@EnableResourceServer即啟動(dòng)骗污。使用ResourceServerConfigurer進(jìn)行配置:
(1)tokenServices:ResourceServerTokenServices的實(shí)例崇猫,聲明了token的服務(wù)
(2)resourceId:資源Id,由auth Server驗(yàn)證需忿。
(3)其它一些擴(kuò)展點(diǎn)诅炉,比如可以從請(qǐng)求中提取token的tokenExtractor
(4)一些自定義的資源保護(hù)配置,通過HttpSecurity來設(shè)置
使用token的方式也有兩種:
(1)Bearer Token(https傳輸方式保證傳輸過程的安全):主流
(2)Mac(http+sign)
如何訪問資源服務(wù)器中的API屋厘?
如果資源服務(wù)器和授權(quán)服務(wù)器在同一個(gè)應(yīng)用程序中涕烧,并且您使用DefaultTokenServices,那么您不必太考慮這一點(diǎn)擅这,因?yàn)樗鼘?shí)現(xiàn)所有必要的接口澈魄,因此它是自動(dòng)一致的。如果您的資源服務(wù)器是一個(gè)單獨(dú)的應(yīng)用程序仲翎,那么您必須確保您匹配授權(quán)服務(wù)器的功能痹扇,并提供知道如何正確解碼令牌的ResourceServerTokenServices。與授權(quán)服務(wù)器一樣溯香,您可以經(jīng)常使用DefaultTokenServices鲫构,并且選項(xiàng)大多通過TokenStore(后端存儲(chǔ)或本地編碼)表示。
(1)在校驗(yàn)request中的token時(shí)玫坛,使用RemoteTokenServices去調(diào)用AuthServer中的/auth/check_token结笨。
(2)共享數(shù)據(jù)庫(kù),使用Jdbc存儲(chǔ)和校驗(yàn)token湿镀,避免再去訪問AuthServer炕吸。
(3)使用JWT簽名的方式,資源服務(wù)器自己直接進(jìn)行校驗(yàn)勉痴,不借助任何中間媒介赫模。
五、oauth client
在客戶端獲取到token之后蒸矛,想去調(diào)用下游服務(wù)API時(shí)瀑罗,為了能將token進(jìn)行傳遞,可以使用RestTemplate.然后使用restTemplate進(jìn)行調(diào)用Api雏掠。
注:
scopes和authorities的區(qū)別:
scopes是client權(quán)限斩祭,至少授予一個(gè)scope的權(quán)限,否則報(bào)錯(cuò)乡话。
authorities是用戶權(quán)限摧玫。??
以上是我從網(wǎng)上找到的一篇寫的不錯(cuò)的博客,希望可以幫助大家快速了解OAuth2.0,下一篇文章我們正式介紹OAuth2.0在當(dāng)前框架中的使用蚊伞。
從現(xiàn)在開始席赂,我這邊會(huì)將近期研發(fā)的spring cloud微服務(wù)云架構(gòu)的搭建過程和精髓記錄下來吮铭,幫助更多有興趣研發(fā)spring cloud框架的朋友时迫,大家來一起探討spring cloud架構(gòu)的搭建過程及如何運(yùn)用于企業(yè)項(xiàng)目颅停。源碼來源
