8 }& @- m" M$ h: P4 t; u 对于身份认证和用户授权,之前写过几篇关于Shiro和Security的文章从发送口令获取源码的反馈来看,大家还是比较认可的今天给大家带来一种新的授权方式:oauth2理论OAuth是一个关于授权(authorization
$ Y$ g. e, f$ |( y9 N! v' H5 [ )的开放网络标准,用来授权第三方应用获取用户数据,是目前最流行的授权机制,它当前的版本是2.0应用场景假如你正在“网站A”上冲浪,看到一篇帖子表示非常喜欢,当你情不自禁的想要点赞时,它会提示你进行登录操作。 , x; P, { E! l! Z* }
打开登录页面你会发现,除了最简单的账户密码登录外,还为我们提供了微博、微信、QQ等快捷登录方式。假设选择了快捷登录,它会提示我们扫码或者输入账号密码进行登录。 8 ^+ Z0 J' \( T1 _7 B6 ^
登录成功之后便会将QQ/微信的昵称和头像等信息回填到“网站A”中,此时你就可以进行点赞操作了名词定义在详细讲解oauth2之前,我们先来了解一下它里边用到的名词定义吧:Client:客户端,它本身不会存储用户快捷登录的账号和密码,只是通过资源拥有者的授权去请求资源服务器的资源,即例子中的网站A;。 ) B* P+ o% w- v& l" M% _/ V9 T
Resource Owner:资源拥有者,通常是用户,即例子中拥有QQ/微信账号的用户;Authorization Server:认证服务器,可以提供身份认证和用户授权的服务器,即给客户端颁发token
) Z4 N' u$ P2 J. g6 E 和校验token;Resource Server:资源服务器,存储用户资源的服务器,即例子中的QQ/微信存储的用户信息;认证流程 / W% E: ~; G( k3 Y. D; S' a2 i% j
如图是oauth2官网的认证流程图,我们来分析一下:A客户端向资源拥有者发送授权申请;B资源拥有者同意客户端的授权,返回授权码;C客户端使用授权码向认证服务器申请令牌token;D认证服务器对客户端进行身份校验,认证通过后发放令牌; / G5 s: \) ?$ U2 u( s R8 y
E客户端拿着认证服务器颁发的令牌去资源服务器请求资源;F资源服务器校验令牌的有效性,返回给客户端资源信息;为了大家更好的理解,阿Q特地画了一张图: + q7 @3 o: R5 p. J# o8 F+ n) d, d# E
到这儿,相信大家对理论知识已经掌握的差不多了,接下来我们就进入实战训练吧实战在正式开始搭建项目之前我们先来做一些准备工作:要想使用oauth2的服务,我们得先创建几张表数据库oauth2相关的建表语句可以参考官方初始化sql,也可以查看阿Q项目中的。
6 a) v$ d0 }5 g: ~0 ^ init.sql文件,回复“oauth2”获取源码。 7 i9 |1 o% f( u+ `) }3 Y& n
至于表结构,大家可以先大体了解下,其中字段的含义,在init.sql文件中阿Q已经做了说明oauth_client_details:存储客户端的配置信息,操作该表的类主要是JdbcClientDetailsService.java。 2 r7 b O4 O9 Y+ i: r
;oauth_access_token:存储生成的令牌信息,操作该表的类主要是JdbcTokenStore.java;oauth_client_token:在客户端系统中存储从服务端获取的令牌数据,操作该表的类主要是
1 C3 b. }& q$ n+ {' F JdbcClientDetailsService.java;oauth_code:存储授权码信息与认证信息,即只有grant_type为authorization_code时,该表才会有数据,操作该表的类主要是
0 q1 t) v! T1 t) Y* E9 Y' N JdbcAuthorizationCodeServices.java;oauth_approvals:存储用户的授权信息;oauth_refresh_token:存储刷新令牌的refresh_token
" t3 T) `$ D6 R9 c2 Y3 W& `' m ,如果客户端的grant_type不支持refresh_token,那么不会用到这张表,操作该表的类主要是JdbcTokenStore;在oauth_client_details表中添加一条数据client_id:cheetah_one //客户端名称,必须唯一
; B( k: }( Z5 a6 {, z resource_ids:product_api //客户端所能访问的资源id集合,多个资源时用逗号(,)分隔
* ^* w1 u+ \) U client_secret 2a$1
8 X E/ j. o* i: L, B, P, D 0$h/TmLPvXozJJHXDyJEN22ensJgaciomfpOc9js9OonwWIdAnRQeoi //客户端的访问密码
5 y" m1 `9 D* M" v: y+ L Q% Q scope:read,write //客户端申请的权限范围,可选值包括 $ S& q6 z& y& i& L. i4 [
read,write,trust若有多个权限范围用逗号(,)分隔: ]& Q" F' _ X- W& H" ]5 P
authorized_grant_types:client_credentials,implicit,authorization_code,refresh_token,password //指定客户端支持的grant_type,可选值包括authorization_code,password,refresh_token,implicit,client_credentials, 若支持多个grant_type用逗号(,)分隔
9 `6 {4 A0 {- Y4 g4 M web_server_redirect_uri:http:。 ; i( G, r1 v- p: y" n2 l
//www.baidu.com //客户端的重定向URI,可为空, 当grant_type为authorization_code或implicit时, 在Oauth的流程中会使用并检查与注册时填写的redirect_uri是否一致6 V0 Z/ K( ^$ S
access_token_validity: : K W1 ~8 |% [+ f" ]8 Q
43200 //设定客户端的access_token的有效时间值(单位:秒),可选, 若不设定值则使用默认的有效时间值(60 * 60 * 12, 12小时)
; s' ~5 B. \9 Z5 r( K* F q1 g8 X autoapprove:false //设置用户是否自动Approval操作, 默认值为 2 c1 m+ p: U6 f) ]
false, 可选值包括 true,false, read,write数据库中对密码进行了加密处理,大家可以在此路径下自行生成 5 U6 v1 ?4 ]5 e) x' K
用户角色相关的表也在init.sql文件中,表结构非常简单,大家自行查阅。我的初始化数据为 7 p$ E2 P7 X, c& c: e
依赖引入org.springframework.bootspring-boot-starter-web ) {8 E3 Z4 R: B1 j3 m7 h/ n8 v
>org.springframework.cloudspring-cloud-starter-security
+ i, r; y* z; }2 K org.springframework.cloudspring-cloud-starter-oauth2 $ `- ?4 _9 P: T
org.springframework.securityspring-security-jwt
) j) {3 X+ Z' {8 C% `8 ?8 d 至于其它依赖,大家可以根据需要自行引入,不再赘述,回复“oauth2”获取源码资源服务配置文件对服务端口、应用名称、数据库、mybatis和日志进行了配置。 , L8 Y- H7 ^0 e6 a6 U- u3 u
写了一个简单的控制层代码,用来模拟资源访问@RestController@RequestMapping("/product")publicclassProductController{3 S; ` K' K2 @- h5 t. {8 u; H
, u" o& C$ J4 _. y @GetMapping( # u- Q& r' C$ \( b. v U
"/findAll")public String findAll(){
- i4 {' D7 k) S1 B/ p1 J+ b/ w' ] return"产品列表查询成功";
. e! d. `$ ]7 V( D# ] }0 x7 X, H, r1 e7 @" ^+ {1 Y0 y6 W4 r
}
! p, r9 f: r0 s9 L/ E0 o; Z 接着创建配置类继承ResourceServerConfigurerAdapter
: j: z' I$ |! `1 [1 p5 k3 o0 c8 [! j 并增加@EnableResourceServer注解开启资源服务,重写两个configure方法/**
8 i1 `4 y" L6 u9 P% z" V * 指定token的持久化策略
% Q# N) m) Z c1 o% ]9 ]* c * InMemoryTokenStore 表示将token存储在内存中# l& N+ m; z, g8 K4 p4 H
* RedisTokenStore 表示将token存储在redis中% I4 T9 A! `" Z7 u
* JdbcTokenStore 表示将token存储在数据库中3 r+ {; |: ^7 A0 T: O( y2 J1 t
* @return
( M7 Q/ T! q" Y* Z, H& @ */ ) _6 T4 E+ D$ M7 p" Z* d1 s2 ~
@Bean6 }( p' q: L. @; j% Y
public TokenStore jdbcTokenStore(){
0 {, t% ?9 l# w, z4 p$ z- A* f returnnewJdbcTokenStore(dataSource);, \5 n8 f/ T/ D! B. x& C3 _
}
9 P8 x% J& J% M5 ? ?* K r, b3 }
/**# ?$ e/ v3 h' M1 q5 m. k! P( f
* 指定当前资源的id和token的存储策略
7 P3 I/ s0 K4 _( j6 o * @param resources
* y* x$ G. v( K. q$ N * @throws Exception
k5 J H1 [/ B1 I2 N+ }% `8 b% L, j */ g! ^3 {$ p: Y2 A$ A4 {
; R6 ?- u' v- r) Z ~6 ? @Overridepublicvoidconfigure(ResourceServerSecurityConfigurer resources) throwsException {
$ }8 J& P6 q$ L0 _, i9 c* M, L //此处的id可以写在配置文件中,这里我们先写死 ! q0 [/ L* ?9 L( l( K7 K
resources.resourceId("product_api").tokenStore(jdbcTokenStore());# J# G! K* H" L
}
4 k! T; j U' e4 Q& ^( E# E6 ?3 i* o" L6 S$ {/ P/ P
% M# v6 W/ O, Z% H /**" X0 w( |! n; q' P; @
* 设置请求权限和header处理" j- c7 A5 i& @. r
* @param http
0 m! j) ~' U+ W+ M9 b * @throws Exception& }% ] B$ [& ?) w8 y6 L3 Y2 `. B
*/ y. _) |5 D% d: t/ v/ \' G" z
* T* y4 E. d$ v7 ?1 j' ~ @Overridepublicvoidconfigure(HttpSecurity http) throwsException {+ ]+ {# C- U$ j D- _; l# C
//固定写法http.authorizeRequests()* R: }6 N0 ?7 V y- f0 E' L. ~: a
9 a$ W/ `4 q) b/ x2 {
//指定不同请求方式访问资源所需的权限,一般查询是read,其余都是write.antMatchers(HttpMethod.GET,"/**").access("#oauth2.hasScope(read)"
9 H9 g7 Y' R7 t% B) `+ P/ `. X )
* ~" |: Y( i* E3 ]- q .antMatchers(HttpMethod.POST,"/**").access("#oauth2.hasScope(write)")1 I5 I- }4 u9 m2 R
.antMatchers(HttpMethod.PATCH, & `# \( s' x# T8 L) n0 w. \
"/**").access("#oauth2.hasScope(write)")6 E4 k9 V& G; e( a
.antMatchers(HttpMethod.PUT,"/**").access("#oauth2.hasScope(write)" 0 k2 F( F6 ^5 l* C- b3 N# O7 K
)! ^: O$ f1 c- H
.antMatchers(HttpMethod.DELETE,"/**").access("#oauth2.hasScope(write)"): M4 L* ?" ]) R
.and()
% z* ^% o) V7 Q+ H' w( F; l .headers().addHeaderWriter
8 g W! T/ e* g ((request,response) -> {. C2 c: e4 P0 O0 _) c% i0 \
//域名不同或者子域名不一样并且是ajax请求就会出现跨域问题//允许跨域response.addHeader("Access-Control-Allow-Origin" 7 ~5 \$ R: J, V( {- i* P* u
,"*");
% L0 o+ ~4 r" z/ f; g //跨域中会出现预检请求,如果不能通过,则真正请求也不会发出//如果是跨域的预检请求,则原封不动向下传递请求头信息,否则预检请求会丢失请求头信息(主要是token信息)if(request.getMethod().equals(
7 p' N1 g) c0 {. t* q% P "OPTIONS")){
: x& s U# V: ^' I, u response.setHeader("Access-Control-Allow-Methods",request.getHeader("Access-Control-Allow-Methods" 3 ?8 d8 ]& n7 E! _
));! L, |6 P% {' D) y! Y
response.setHeader("Access-Control-Allow-Headers",request.getHeader("Access-Control-Allow-Headers" , V( L: L: l/ P/ c, V, @# f
));
# p5 b6 j+ I7 e+ V' t! J+ n4 {7 c }4 J+ Y4 z+ N" B9 w% N# G' e3 q
});
5 @7 Q: x; o7 o& ^9 a4 C& `; a }8 H* D( x% K- I1 |$ J
当然我们也可以配置忽略校验的url,在上边的public void configure(HttpSecurity http) throws Exception中进行配置
+ P7 y* R! ]; y; U, L ExpressionUrlAuthorizationConfigurer
3 j8 u1 G3 B# }* H1 H% A+ V .ExpressionInterceptUrlRegistry config = http.requestMatchers().anyRequest()
0 _4 x( N: Y6 i# I, m* |& X. K . 0 l- H x; i `5 q' K1 y
and()2 Y/ H' F' f* c1 ?9 @' Z8 u# b
.authorizeRequests();
% Y# i: p+ Q% Y) B* b3 b" k) }9 b properties.getUrls().forEach(e -> {+ [1 r5 ~, A# H3 O
config.antMatchers(e).permitAll();0 Q8 d1 l J2 |( C1 X5 r
});
8 G5 W' d$ `- v `" Y ) I* w! [+ `( K, B
因为我们是需要进行校验的,所以我把对应的代码给注释掉了,大家可以回复“oauth2”下载源码自行查看然后将实现了UserDetails的SysUser和实现了GrantedAuthority的SysRole。
! m! K3 a5 ]. f z5 l) h 放到项目中,当请求发过来时,oauth2会帮我们自行校验认证服务配置文件对服务端口、应用名称、数据库、mybatis和日志进行了配置Security配置还是和之前Security+JWT组合拳的配置大同小异,不了解的可以先看下该文。 8 I- O' P9 O% x8 Y8 x$ r
①将继承了UserDetailsService的ISysUserService的实现类SysUserServiceImpl重写loadUserByUsername方法@Overridepublic UserDetails ( L$ j2 z" Z+ i0 ]4 W& P
loadUserByUsername(String username)throws UsernameNotFoundException {$ g5 U7 p2 l' b% p
returnthis.baseMapper.selectOne(
+ [+ N$ }, o7 q' g new LambdaQueryWrapper().eq(SysUser::getUsername, username));
; r- K( c& X8 s$ }& j) D }
: j9 J4 l9 D/ C ②继承WebSecurityConfigurerAdapter 8 n7 x- m) t% M
类,增加@EnableWebSecurity注解并重写方法/**
/ {, c( c" [# }0 ~& D. L * 指定认证对象的来源和加密方式
- a4 R! v& f7 @5 M3 A; n4 ? * @param auth Q6 e5 }- m ]$ I6 p$ o& x, f9 N
* @throws Exception
' Y$ ^( S( n* ~" N: W */@Overridepublic
}3 W3 v* N6 h5 E3 L6 s i voidconfigure(AuthenticationManagerBuilder auth)throws Exception {
- ^: {% s f. A, n" i4 ] auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
; `0 a- c2 g# \ }
3 u" k; ^* l) S6 _1 G# A9 a) D. ^3 z! G( s, q
* B0 \5 x" F. g1 k
/**
2 r+ `" t, u" x+ O. d# l * 安全拦截机制(最重要), q9 E( F3 A+ ^, j0 K% @
* @param httpSecurity8 j+ i" B. n& S! R4 }: T
* @throws Exception; z0 N" S) C; I% u$ @1 }6 ]
*/@Overridepublicvoidconfigure(HttpSecurity httpSecurity) 3 V4 j5 G! \* Z
throws Exception {
7 S# S+ h4 R- e& t5 E+ ?2 A httpSecurity
' l" C9 ]( I0 b# } //CSRF禁用,因为不使用session$ k4 G6 v% v `3 b
.csrf().disable()4 r8 P6 n: p3 J9 u1 r5 n8 O8 z
.authorizeRequests()
- l9 q$ b5 a- q3 D0 T9 P3 Z) R' R + S, X" L. k+ ]& i
//登录接口和静态资源不需要认证
' n% k7 O% V5 i1 G) g/ R+ d0 [" y .antMatchers("/login*","/css/*").permitAll()
, y9 S& Q9 ]! s8 w; L) ~. | //除上面的所有请求全部需要认证通过才能访问
+ a0 X, V0 ?3 ]" \" A- T .anyRequest().authenticated()
+ | T- f9 G6 O$ K- `+ n R % g- E7 U# c3 D6 l
//返回HttpSecurity以进行进一步的自定义,证明是一次新的配置的开始
) G+ p/ y. v8 Z# }( L9 L .and()$ ]5 }% o! T% n
.formLogin()
5 Y0 |3 B. W) P7 ]9 w //如果未指定此页面,则会跳转到默认页面// .loginPage("/login.html") , c0 q+ g/ V0 U4 c: b
( F8 T6 ~* A2 [; d; J* |. G4 J; t
.loginProcessingUrl("/login")
) R0 X& \4 \& f .permitAll()
% C5 j9 u0 I) R4 O# q //认证失败处理类" m7 `- d. d* b
.failureHandler(customAuthenticationFailureHandler);2 I e# S; X$ a- s
}
! Y8 E' J4 i, a8 o$ q0 f0 v4 H7 l8 {8 U9 \7 `
% `# [" G6 `4 e9 h* r1 `, o
/**
5 m1 G& Y" @& D" L+ C8 o" s * AuthenticationManager 对象在OAuth2.0认证服务中要使用,提前放入IOC容器中
! ^0 K/ w9 L- E' a- D9 B+ P# P * @return% n- Y4 a% @$ T. O! \
* @throws Exception
( C3 x' b" H2 l/ @4 X# k" e+ f- P */@Override
, `2 ~7 F6 @ y- ^$ p. o @Beanpublic AuthenticationManager authenticationManagerBean()throws Exception {& T- L( t! s* Z1 I& @
returnsuper.authenticationManagerBean();# n4 p3 U$ f& v/ ^2 f+ G
}
! C& ^/ F" ~0 W- m, h2 X# w" O
+ c: f n& b2 s; D1 B AuthorizationServer配置①继承AuthorizationServerConfigurerAdapter类,增加@EnableAuthorizationServer注解开启认证服务②依赖注入,注入7个实例 3 D/ f% `' K' H: x
Bean对象/**1 U8 | _* Q# _, s# y2 m! n' b$ H) i
* 数据库连接池对象
; i0 X+ Q7 ~; r5 W */privatefinal DataSource dataSource;; Y% N8 \3 I# {, _# j. \
( W9 \ ~+ f4 i7 z5 S0 _7 _! n
/**
6 E4 R2 ^3 s: W" ^) V! I * 认证业务对象8 {0 z/ G; {8 d) n4 S
*/privatefinal ISysUserService userService;" Q1 k/ w$ J& E! I6 W% A
/ o& ^# F2 a( a6 Y" C. i
9 z, E. N1 L" W0 b: s. o7 j
/**5 u9 H; M3 ?* C6 ?$ N- Q
* 授权码模式专用对象
& G O7 d4 V5 X" D, w6 _0 n */privatefinal AuthenticationManager authenticationManager;
5 u( ~& g: m' F \6 U6 C, @8 H( [) g5 c0 w
/*** `6 F; A% ]" J% y
* 客户端信息来源
1 S% `2 v, `7 r' a! C+ n, o * @return
- q- V2 P" Y/ X! {) X {, C% v# ?- r+ a; t% v
*/@Beanpublic JdbcClientDetailsService jdbcClientDetailsService(){$ t( Y# E3 k \) ?' n0 c& _' `5 |
returnnew JdbcClientDetailsService(dataSource);
# A3 Q/ u# ^+ C. Q+ {# l }& U2 C3 X9 W- Z
0 t8 p+ g/ p3 ?5 Q2 z5 b 7 \7 ~1 ~: b: n( r+ r$ ~3 {$ D
/**
8 L5 ?$ H! w% S7 o( n3 p; f7 N * token保存策略
" @; G# Y% t: L% n! K. R * @return( E' v, v, s$ `' l Z
*/@Beanpublic TokenStore tokenStore(){
' c) Q5 Q! i4 a0 L8 Q& d returnnew JdbcTokenStore(dataSource);
+ M" L$ F: \7 g" K. u }
c6 i; Z0 g8 h& U# ^) P1 S
: ~( k9 R7 A$ L
$ R( w D C0 `3 k+ n: p /**
; l7 T6 d' @" w/ f: E7 M+ ? * 授权信息保存策略
& w, p$ y( M! s0 X' ] * @return
6 D* b+ q: h$ d0 p, m: K */@Beanpublic ApprovalStore approvalStore(){
) g3 D6 a6 V! e6 Y* Q1 V+ x returnnew JdbcApprovalStore(dataSource);
. q+ t( V) ^& y% x' W }
# T& i( Y9 z* f% k" x% i
. U+ f6 k0 P) j3 t
& c! d: J1 |- n! N- h* u K* | i /**
9 l. ]" T* q5 n( {, c$ l1 Q. l * 授权码模式数据来源& p+ T& P$ j5 I8 l
* @return
U0 X5 O2 B$ \' _7 A0 J */@Beanpublic AuthorizationCodeServices authorizationCodeServices(){! |8 V- B+ j( m
return
) a/ e+ t2 ]* w5 R3 }0 |% _ new JdbcAuthorizationCodeServices(dataSource);
. U( }9 o' A/ l/ \" ` }
9 u. Z* J7 N% M( o ③重写方法进行配置/**
% q# L, |& B! [8 c- @: m( M8 v1 P- ^ * 用来配置客户端详情服务(ClientDetailsService)
- S. ]# i$ J! I * 客户端详情信息在这里进行初始化2 Y- U2 P6 ~# k8 t" D
* 指定客户端信息的数据库来源
$ O, }& j" ~5 _4 x9 S ` *
: I" S) c: h" S$ g- x @param clients
O0 _6 [9 K' y, s" T$ D5 N * @throws Exception# n& x+ r; C( b% \2 o9 r6 o& T. Y
*/@Overridepublicvoidconfigure(ClientDetailsServiceConfigurer clients) , q; T9 S2 }$ `
throws Exception { k- Z V) g3 d; G( e
clients.withClientDetails(jdbcClientDetailsService());. G( H$ f) |! t$ d% n& }, C% Z+ t
}+ G. Q5 f: }7 P, ]0 ^: D
; ^( Z7 E8 M$ p
/**& H B# f) n5 ~8 c; k
* 检测 token 的策略. C+ b' I, u; y( V5 Z% N: J5 u
*
/ I# T% N' n, \; M4 p, f( x @param security
0 t; @' S2 B, g2 W! y; ^/ @& G * @throws Exception
- z3 }- n z5 G ]+ N8 Q! T- ]2 f B */@Overridepublicvoidconfigure(AuthorizationServerSecurityConfigurer security) & Y8 J7 B+ i2 V; u0 @% R0 _! e5 T
throws Exception {
) d1 \: G0 I0 d security
3 ^# K* L) n3 J, r! X9 ? //允许客户端以form表单的方式将token传达给我们
' U9 j- H8 ]+ S& e8 L" l .allowFormAuthenticationForClients()
% _1 b. r6 o! _2 O9 l7 |2 s / r6 P+ y" n9 l6 Z! [7 p( |
//检验token必须需要认证3 M% l; f$ X& m% W" g
.checkTokenAccess("isAuthenticated()");/ q9 q3 u& ^! G* ?& z
}
9 |9 ]" y3 U3 Z& g$ Y, Q& j9 _- m( ~4 G* r8 j
S- h+ G S3 F4 L/ r /**$ Z/ `! t# e7 C
* OAuth2.0的主配置信息$ G) R- E8 h5 w4 O8 G" w
* @param endpoints. f4 B5 Z# t) G- S
*
8 R$ S- ~! G8 {7 n1 Y' q @throws Exception
/ w$ O& u1 D' V, f1 j */@Overridepublicvoidconfigure(AuthorizationServerEndpointsConfigurer endpoints)throws
! \3 w5 \9 {# S9 ? Exception {
# }; q. d; T% D endpoints
* R8 O7 \$ r$ q. y$ _" X8 q //刷新token时会验证当前用户是否已经通过认证
8 D) @5 p! i' M4 e# i- N ? .userDetailsService(userService)
4 g1 y) C+ Q" ^/ j: I5 g .approvalStore(approvalStore())
6 a4 Q$ X a6 c .authenticationManager(authenticationManager)
) ?* F6 g( w7 n0 x4 C w .authorizationCodeServices(authorizationCodeServices())# C4 D# F; B3 o5 J
.tokenStore(tokenStore());
0 U4 D i* b+ E0 R }
, Y8 [" a: O1 n9 f. T" l- m6 V9 C
4 r* Y$ T! E' K0 R+ L* R 其它关于用户表和权限表的代码可参考源码,回复“oauth2”获取源码模式授权码模式我们前边所讲的内容都是基于授权码模式,授权码模式被称为最安全的一种模式,它获取令牌的操作是在两个服务端进行的,极大的减小了令牌泄漏的风险。
6 `- R4 k6 u0 H y( T 启动两个服务,当我们再次请求127.0.0.1:9002/product/findAll接口时会提示以下错误{
' i+ S' ]% y ?, n) D/ O "error": "unauthorized",; w/ o" [% x9 R, g! v Y* B0 r( S
"error_description" " w2 |+ ?: G% @1 h3 z6 Y
: "Full authentication is required to access this resource"
2 r: R/ _6 @7 ?5 `. R }
- n- B7 k3 {# M) }( Y# e ①调用接口获取授权码发送127.0.0.1:9001/oauth/authorize?response_type=code&client_id=cheetah_one
& y9 I7 m0 M, o' J& p. H( p 请求,前边的路径是固定形式的,response_type=code表示获取授权码,client_id=cheetah_one表示客户端的名称是我们数据库配置的数据。 % M/ m" I$ q, t; {0 [$ ~$ w9 x7 t9 ^
该页面是oauth2的默认页面,输入用户的账户密码点击登录会提示我们进行授权,这是数据库oauth_client_details表我们设置autoapprove为false起到的效果。
W7 x8 v0 O* t 选择Approve点击Authorize按钮,会发现我们设置的回调地址(oauth_client_details表中的web_server_redirect_uri)后边拼接了code值,该值就是授权码。
1 C" j/ }1 Y: ?+ q5 Q' g7 E6 K7 U 查看数据库发现oauth_approvals和oauth_code表已经存入数据了。拿着授权码去获取token 1 p0 H% `. l( g' V0 X5 H9 G0 ~
获取到token之后oauth_access_token和oauth_refresh_token表中会存入数据以用于后边的认证而oauth_code表中的数据被清除了,这是因为code值是直接暴漏在网页链接上的,。 9 X i* M2 {* k1 \* R
oauth2为了防止他人拿到code非法请求而特意设置为仅用一次。拿着获取到的token去请求资源服务的接口,此时有两种请求方式 
7 q& {$ k$ i. s/ }. a 接下来我们再来看一下oauth2的其它模式。简化模式所谓简化模式是针对授权码模式进行的简化,它将授权码模式中获取授权码的步骤省略了,直接去请求获取token。
2 i# J w% Z' a 流程:发送请求127.0.0.1:9001/oauth/authorize?response_type=token&client_id=cheetah_one跳转到登录页进行登录,response_type=token
0 s) G% m* ?5 y, N z2 N2 k% l n5 d 表示获取token。输入账号密码登录之后会直接在浏览器返回token,我们就可以像授权码方式一样携带token去请求资源了。 . x+ K. O2 ]% R% H1 B1 j0 L
该模式的弊端就是token直接暴漏在浏览器中,非常不安全,不建议使用。密码模式密码模式下,用户需要将账户和密码提供给客户端向认证服务器申请令牌,所以该种模式需要用户高度信任客户端。 $ f5 l* e& [- d8 C) E' d
流程:请求如下
/ Z; A8 ?1 `5 n/ a6 X5 _ 获取成功之后可以去访问资源了客户端模式客户端模式已经不太属于oauth2的范畴了,用户直接在客户端进行注册,然后客户端去认证服务器获取令牌时不需要携带用户信息,完全脱离了用户,也就不存在授权问题了
2 s4 U, D! K: l5 i! b 发送请求如下 1 n: l* r) I7 h' r6 ~: ]" @2 C2 R
获取成功之后可以去访问资源了。刷新token
( p, S B( _ ?$ z5 x# ` 权限校验除了我们在数据库中为客户端配置资源服务外,我们还可以动态的给用户分配接口的权限①开启Security内置的动态配置在开启资源服务时给ResourceServerConfig类增加注解@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)。
0 x' d, \) j; w' G ②给接口增加权限@GetMapping("/findAll")@Secured("ROLE_PRODUCT")public String findAll(){
, x- q% H- x: n7 x return"产品列表查询成功";
( M2 e R3 ^. I$ h6 l; M }
2 q8 C& l5 O) |; a6 d+ p
# W7 |# u k# h( N) h- \ ③在用户登录时设置用户权限@Overridepublic UserDetails loadUserByUsername(String username)throws UsernameNotFoundException
3 p8 g! H7 i4 x2 ~3 U# D Q {
( `) d; Q$ o6 ]8 L) ] SysUser sysUser = this.baseMapper.selectOne(new LambdaQueryWrapper().eq(SysUser::getUsername, username));) Q8 s8 w- q6 D. T
sysUser.setRoleList(AuthorityUtils.commaSeparatedStringToAuthorityList( : Q2 d6 ^9 H* N5 i' j
"ROLE_PRODUCT"));
8 t) T1 |7 T6 P6 j: u& t: b8 d return sysUser;* D, w, A, v3 F1 {; [ S* ~
}
l2 z0 z. m5 y0 M; H2 O- Q( p) M* M
然后测试会发现可以正常访问采坑包名问题当我在创建项目的时候,给product和server两个模块设置了不同的包名,导致发送请求获取资源时报错。
6 q* \. p, W9 R6 N- S0 q 经过分析得知,在登录账号时会将用户的信息存储到oauth_access_token表的authentication中,在进行token校验时会根据token_id取出该字段进行反序列化,如果此时发现包名不一致便会导致解析
/ R% w# \: M5 F7 z) J+ I7 v token失败,因此请求资源失败解决思路两个项目的包名改为一致;可以将用户和权限的实体抽成单独的模块,供其它模块引用;loadUserByUsername方法中使用的用户实体类不需要继承UserDetailsService。
( \# K2 w8 W, W$ B! J' Q 类,每次返回时用user类包装一下即可;数据库问题当我在进行权限校验测试时,在设置权限时发现少打了一个单词,导致请求一直出错修改完成之后继续请求,仍提示权限不足于是我将数据库中oauth_refresh_token。
: R3 S. J$ Q+ B I 和oauth_access_token的数据清除,重新开始测试就可以了个人认为是生成token时发现数据库中token存在,故不刷新token,但进行校验时却用带有权限标识的token前去校验导致失败至于其它的小坑在这不再赘述,如果遇到问题,建议按照流程对比我的源码仔细检查,回复“oauth2”获取源码。 9 R: |8 \( Q' k0 t6 S
小结本文从原理、应用场景、认证流程出发,对oauth2进行了基本的讲解,并且手把手带大家完成了项目的搭建大家在对授权码模式、简化模式、密码模式、客户端模式进行测试的同时要将重点放到授权码模式上来源:阿Q说代码。 & U0 F! r7 Z% T- Z" k5 X& R/ X+ N
3 ?4 t) a) i# j( D7 p2 N2 Q# J
" q) @& l9 f. u t! d+ Z& z" B r: A3 z* h( c d3 T$ R- G
6 \) Z1 Q3 ~6 } ~% | |