好好學習,天天向上
本文已收錄至我的Github倉庫DayDayUP:github.com/RobodLee/DayDayUP,歡迎Star,更多文章請前往:目錄導航
介紹
OAuth(開放授權)是一個開放標準,允許使用者授權第三方應用訪問他們儲存在另外的服務提供者上的資訊,而不需要將使用者名稱和密碼提供給第三方應用或分享他們資料的所有內容。OAuth2.0的系統大致分由客戶端,認證授權伺服器以及資源伺服器三部分組成。客戶端如果想要訪問資源伺服器中的資源,就必須要持有認證授權伺服器頒發的Token。認證流程如下圖所示:
這篇文章將通過一個具體的案例來展示如何搭建一個分散式的OAuth2.0系統。整體的結構圖如下所示。有閘道器,認證授權服務以及資源服務三個部分組成。既然OAuth2是一個標準,如果我們想用的話,必然是用它的實現,也就是Spring-Security-OAuth2,它可以很方便地和Spring Cloud整合。OAuth2.0的更多細節會在案例中繼續介紹。
那麼就開始吧!
資料庫
要完成這套系統,需要準備好用到的一些資料表。
- oauth_client_details:這個資料庫存放了客戶端的配置資訊,客戶端有什麼樣的許可權才可以訪問伺服器。表中的欄位是固定的,下面會詳細提到。
- oauth_code:使用者資料庫存取授權碼模式存放授權碼的,表中的欄位也是固定的,下面會詳細說明。
- 後面的5張表存放了使用者的一些資訊,如果角色、許可權等資訊。登入驗證的時候需要。
建表的sql我放在了原始碼的README.md檔案中,下載地址見文末。
註冊中心
微服務專案得先有個註冊中心吧,我們選用Eureka。先搭建一個父工程OAuth2Demo,然後在父工程中建立一個Module叫oauth2_eureka。然後新增配置檔案及啟動類即可。所需要的依賴我就不在這裡貼了,太佔篇幅了。有需要的小夥伴直接去我原始碼中拷就行了。
spring:
application:
name: eureka
server:
port: 8000 #啟動埠
…………
@SpringBootApplication
@EnableEurekaServer
public class EurekaApplication {
public static void main(String[] args) {
SpringApplication.run(EurekaApplication.class,args);
}
}
這樣註冊中心就搭建好了。
認證授權服務
服務搭建
在OAuth2Demo中建立一個Module叫oauth2_uaa作為認證服務。新增啟動類和配置檔案。
spring.application.name=uaa
server.port=8001
eureka.client.serviceUrl.defaultZone = http://localhost:8000/eureka/
…………
@SpringBootApplication
@EnableEurekaClient
@MapperScan("com.robod.uaa.mapper")
public class UaaApplication {
public static void main(String[] args) {
SpringApplication.run(UaaApplication.class, args);
}
}
配置
回顧上一篇Spring Security的文章中提到的幾點內容
- 使用者來源的Service實現UserDetailsService介面,實現loadUserByUsername()方法,從資料庫中獲取資料
- Spring Security的配置類繼承自WebSecurityConfigurerAdapter,重寫裡面的兩個configure()方法
public interface UserService extends UserDetailsService {
}
//-----------------------------------------------------------
@Service("userService")
public class UserServiceImpl implements UserService {
…………
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser sysUser = userMapper.findByUsername(username);
return sysUser;
}
}
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
…………
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
@Override
protected AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}
//認證使用者的來源
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
}
//配置SpringSecurity相關資訊
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1")
.antMatchers("/login*").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
}
解釋一下上面的程式碼,WebSecurityConfig是Spring Security的配置類,第一個configure()方法配置的是使用者的來源,這裡配置了自定義的實現了UserDetailsService介面的UserService,裡面的loadUserByUsername()方法從資料庫中查詢出對應的實現了UserDetails介面的SysUser物件,裡面的SysPermission封裝了使用者所擁有的許可權。然後就交給後續的過濾器去處理了,我們就不用去管了。
然後我們就可以去進行OAuth2.0的相關配置了,方法很簡單,只要在配置類上新增@EnableAuthorizationServer註解並讓其繼承自AuthorizationServerConfigurerAdapter。最後重寫其中的三個configure()方法即可。
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager; //從WebSecurityConfig中獲取的
@Autowired
private AuthorizationCodeServices authorizationCodeServices; //本類中的,授權碼模式需要
@Autowired
private TokenStore tokenStore; //TokenConfig中的
@Autowired
private PasswordEncoder passwordEncoder;//從WebSecurityConfig中獲取的
@Autowired
private ClientDetailsService clientDetailsService; //本類中的
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter; //TokenConfig中的
//用來配置令牌端點的安全約束
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security.tokenKeyAccess("permitAll") // /oauth/token_key 提供公有密匙的端點 允許任何人訪問
.checkTokenAccess("permitAll") // /oauth/check_token :用於資源服務訪問的令牌解析端點 允許任何人訪問
.allowFormAuthenticationForClients(); //表單認證(申請令牌)
}
//用來配置客戶端詳情服務,客戶端詳情資訊在這裡進行初始化,
//你能夠把客戶端詳情資訊寫死在這裡或者是通過資料庫來儲存調取詳情資訊
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.withClientDetails(clientDetailsService);
}
//用來配置令牌(token)的訪問端點(url)和令牌服務(token services)
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager) //認證管理器,密碼模式需要
.authorizationCodeServices(authorizationCodeServices) //授權碼服務,授權碼模式需要
.tokenServices(tokenService())
.allowedTokenEndpointRequestMethods(HttpMethod.POST); //允許post提交
}
@Bean
public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
//設定授權碼模式的授權碼存取到資料中
return new JdbcAuthorizationCodeServices(dataSource);
}
//客戶端詳情服務,從資料庫中獲取
@Bean
public ClientDetailsService clientDetailsService(DataSource dataSource) {
ClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
((JdbcClientDetailsService)clientDetailsService).setPasswordEncoder(passwordEncoder);
return clientDetailsService;
}
//令牌管理服務
@Bean
public AuthorizationServerTokenServices tokenService() {
DefaultTokenServices service = new DefaultTokenServices();
service.setClientDetailsService(clientDetailsService); //客戶端資訊服務
service.setSupportRefreshToken(true); //支援自動重新整理
service.setTokenStore(tokenStore);
//令牌增強
TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));
service.setTokenEnhancer(tokenEnhancerChain);
service.setAccessTokenValiditySeconds(7200); //令牌預設有效期2小時
service.setRefreshTokenValiditySeconds(259200); //重新整理令牌預設有效期3天
return service;
}
}
現在來解釋一下上面程式碼中的內容
-
ClientDetailsService
我們配置了從資料庫中獲取客戶端配置。但是是怎麼從資料庫中獲取的呢,這裡用到了一個JdbcClientDetailsService,點選原始碼裡看看?
可以看到,它是從 oauth_client_details 這張表裡查出來的,所以我們的資料庫中只要建立出這張表,表裡再新增這些欄位即可。
-
JdbcAuthorizationCodeServices
原理和JdbcClientDetailsService差不多,都是建立出指定的表。
-
TokenStore 和 JwtAccessTokenConverter
為了方便管理,我們使用TokenConfig這個類去配置Token相關的內容。新增了@Bean註解將其新增到Spring容器後就可以在其它的類中去注入使用了。
@Configuration public class TokenConfig { private String SIGNING_KEY = "robod_hahaha"; //對稱加密的金鑰 @Bean public TokenStore tokenStore() { //JWT令牌方案 return new JwtTokenStore(jwtAccessTokenConverter()); } @Bean public JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey(SIGNING_KEY); //對稱祕鑰,資源伺服器使用該祕鑰來驗證 return converter; } }採用了JWT令牌管理方式,然後使用了對稱金鑰去進行加密。還有另外幾種令牌管理方式:
- InMemoryTokenStore:在記憶體中儲存令牌(預設)
- JdbcTokenStore:令牌儲存在資料庫中
- RedisTokenStore:令牌儲存在Redis中
-
AuthorizationServerTokenServices
這個是用來配置令牌管理服務的,我們配置了客戶端詳情服務,令牌增強等內容。
申請令牌的四種方式
到現在為止,我們的認證授權服務就已經配置好了,那麼現在就可以去申請令牌了,申請令牌的方式一共有四種:
-
授權碼模式第一步申請授權碼
注意,這裡的client_id,scope和redirect_uri都是在
oauth_client_details表中設定過的,要一一對應上,否則不行,response_type授權碼模式固定為code。成功訪問後,在頁面上輸入使用者名稱和密碼,驗證通過後,在瀏覽器的位址列中就可以看到返回的授權碼。然後我們拿著授權碼就可以向伺服器去申請Token了,引數列表必須和資料庫中配置的一致。
-
簡化模式在簡化模式下,我們只需要去指定client_id,response_type,scope和redirect_uri即可,請求成功後,就會跳轉到指定的uri介面,然後令牌就在url中。
-
密碼模式在密碼模式下,我們需要將使用者名稱和密碼傳到伺服器中,驗證通過後,伺服器會直接將Token返回給我們
-
客戶端模式該模式最簡單,也是最不安全的。
閘道器
搭建完了認證授權服務再來建立閘道器服務。在父工程下建立一個名為oauth2_gateway的Module。啟動類沒什麼好說的,配置檔案中有幾點需要注意:
spring.application.name=gateway
server.port=8010
zuul.routes.uaa.stripPrefix = false
zuul.routes.uaa.path = /uaa/**
zuul.routes.order.stripPrefix = false
zuul.routes.order.path = /order/**
eureka.client.serviceUrl.defaultZone = http://localhost:8000/eureka/
…………
我們配置了微服務的名稱及埠,還配置了將路徑為/zuul/uaa/**和 /zuul/order/**的請求轉發給uaa和order微服務。
老樣子,第一步進行一些安全配置
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/**").permitAll()
.and().csrf().disable();
}
}
我們在這裡設定了可以接收任何請求,不需要任何的許可權。
接下來就需要對具體的資源服務進行配置:
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
public static final String RESOURCE_ID = "res1";
@Autowired
private TokenStore tokenStore;
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
resources.tokenStore(tokenStore)
.resourceId(RESOURCE_ID)
.stateless(true);
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/uaa/**")
.permitAll()
.antMatchers("/order/**")
.access("#oauth2.hasScope('ROLE_API')");
}
}
在這裡面,配置了訪問認證服務不需要任何的許可權。訪問訂單資源服務需要使用者必須具有 “ROLE_API”的scope許可權。其中注入的tokenStore和認證服務中的TokenConfig一致。
因為訂單微服務還沒有建立,所以我們來測試一下閘道器訪問認證授權服務。閘道器的埠是8010。
來測試一下,先是通過閘道器獲取令牌,閘道器微服務的埠是8010。
可以看到,申請到了令牌,說明請求成功地被轉發到了認證服務。
訂單資源服務
最後,我們就可以去建立資源服務了。在父工程下建立一個名為oauth2_order的Module。
第一步,先進行一些安全配置:
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/r/**").authenticated() //所有/r/**的請求必須認證通過
.anyRequest().permitAll(); //除了/r/**,其它的請求可以訪問
}
}
這個@EnableGlobalMethodSecurity是幹嗎的呢?是為了開啟註解許可權控制的,只有開啟了之後,我們才可以在需要進行許可權控制的地方去新增註解實現許可權控制。
接下來就是對資源伺服器的配置了。在@Configuration註解的配置類上新增@EnableResourceServer註解,然後繼承自ResourceServerConfigurerAdapter類,然後重寫裡面的configure()方法即可。
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
public static final String RESOURCE_ID = "res1"; //資源服務的id
@Autowired
private TokenStore tokenStore; //管理令牌的方式,TokenConfig中的
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId(RESOURCE_ID)
.tokenStore(tokenStore)
.stateless(true);
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/**").access("#oauth2.hasScope('ROLE_ADMIN')")
.and().csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
}
接下來就是在需要進行許可權控制的方法上面新增註解。
@RestController
public class OrderController {
@GetMapping(value = "/r1")
@PreAuthorize("hasAuthority('p1')")//擁有p1許可權方可訪問此url
public String r1() {
return "訪問資源成功";
}
}
ok!成功了。再來試一下通過閘道器去訪問order中的資源,用一個沒有許可權的使用者訪問試試。
說明閘道器成功轉發了我們請求,並且我們配置的許可權控制也起了作用。
總結
使用OAuth2.0搭建分散式系統到這裡就結束了。內容還是挺多的,希望小夥伴們能有靜下心來細品。因為考慮到篇幅,很多非核心的內容我都沒有貼出來,比如pom檔案,配置檔案的部分內容等。小夥伴們可以下載原始碼再配合著這篇文章看。
碼字不易,看完請點贊!點贊!點贊!
要是有什麼好的意見歡迎在下方留言。讓我們下期再見!