ToB企服应用市场:ToB评测及商务社交产业平台

标题: 微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战 [打印本页]

作者: 自由的羽毛    时间: 2024-12-20 13:21
标题: 微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战
文章目录


Spring Authorization Server介绍

Spring Authorization Server 是一个框架,它提供了 OAuth 2.1 和 OpenID Connect 1.0 规范以及其他相干规范的实现。
它创建在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产物提供了一个安全、轻量级和可定制的根本。
说白了,Spring Authorization Server 就是一个认证(授权)服务器。
官方主页:https://spring.io/projects/spring-authorization-server
因为随着网络和设备的发展,原先的 OAuth 2.0 已经不能满意现今的需求了,OAuth 社区对 OAuth 2.0 中的几种授权模式进行了取舍和优化,并增长一些新的特性, 于是推出了 OAuth 2.1
而原先的 Spring Security OAuth 2.0 使用的是 OAuth 2.0 协议,为满意新的厘革,Spring Security 团队重新写了一套叫 Spring Authorization Server 的认证授权框架来替换原先的 Spring Security OAuth 2.0。
从官网中可以看到,原先的 Spring Security OAuth 2.0 已从 Spring Security 目录下被移除,接着是多出 Spring Authorization Server 作为单独项目。

Springboot2.x Oauth2实现:

Springboot3.x Oauth2实现:

OAuth2.0协议介绍

OAuth 2.0 (Open Authorization)是一种开放尺度的授权协议,答应用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和暗码)分享给第三方应用。
这种方式可以增长安全性,同时答应用户更好地控制其数据的访问权限。
OAuth2.0协议:https://datatracker.ietf.org/doc/html/rfc6749
角色


举例,我在京东的网址上进行微信扫码登录,我手机扫码后必要点击确认按钮,进行登录。
客户端就是京东;资源全部者就是我,我微信扫描并点击确认;京东拿到我的授权信息进行申请token,授权服务器进行相应的身份认证后就给京东颁发token;京东就能拿到这个token去访问微信的资源服务器了。
OAuth2.0协议的运行流程

OAuth 2.0的运行流程如下图,摘自RFC 6749:

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向授权服务器申请令牌。
(D)授权服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。
   令牌(token)与暗码(password)的作用是一样的,都可以进入系统,但是有三点差异。
  (1)令牌是短期的,到期会自动失效,用户自己无法修改。暗码一般恒久有效,用户不修改,就不会发生厘革。
  (2)令牌可以被数据全部者撤销,会立即失效。暗码一般不答应被他人撤销。
  (3)令牌有权限范围(scope)。对于网络服务来说,只读令牌就比读写令牌更安全。暗码一般是完整权限。
  上面这些设计,包管了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。
  应用场景

OAuth 2.0 在许多不同的应用场景中都能够发挥作用,尤其是那些涉及到第三方应用程序访问用户数据或资源的情况。以下是一些常见的 OAuth 2.0 应用场景:

这些只是 OAuth 2.0 可能应用的一些例子。基本上,任何必要实现安全的第三方应用程序访问用户数据或资源的情况下,OAuth 2.0 都可能是一个符合的解决方案。
授权模式详解

客户端凭证模式:适合无用户参与的应用
资源全部者暗码模式:官方应用
授权码模式:应用最广泛,适合web应用/app/前端
刷新令牌模式:适合令牌访问逾期后刷新令牌
客户端模式

客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行授权。
客户端模式是安全级别最低而且要求授权服务器对客户高度信任的模式,因为客户端向授权服务器请求认证授权的过程中,至始至终都没有效户的参与,未颠末用户答应,客户端凭提供自己在授权服务器注册的信息即可在授权服务器完成认证授权,而客户端获得认证授权以后,则拥有从资源服务器操作用户数据的权限,这种模式一般应用于公司内部系统或者有着高度保密责任的合作同伴之间的对接。

它的步骤如下:
(A)客户端向授权服务器进行身份认证,并要求一个访问令牌。
(B)授权服务器确认无误后,向客户端提供访问令牌。
客户端模式的时序图如下:

实现效果
暗码模式

假如你高度信任某个应用,RFC 6749 也答应用户把用户名和暗码,直接告诉该应用。该应用就使用你的暗码,申请令牌,这种方式称为"暗码模式"。
暗码模式是一种安全级别较低而且要求资源拥有者(用户)完全信任客户端的模式,该模式可以理解为在客户端模式的根本上增长了对用户的账号、暗码在认证服务器进行校验的操作,是客户端署理用户的操作。在 OAuth 2.1 中,暗码模式已经被废除,在第三方平台上,使用暗码模式,对于用户来说是一种非常不安全的行为,假设某平台客户端支持 QQ 登录,用户使用自己 QQ 的账号、暗码在该平台上输入进行登录,则该平台将拥有效户 QQ 的账号、暗码,对于用户来说,将自己 QQ 的账号、暗码提供给第三方平台,这种行为黑白常不安全的。
暗码模式一般适合应用在自己公司内部使用的系统和自己公司的 app 产物,比方一些 ERP、CRM、WMS 系统,因为都是自己公司的产物,这种情况下就不存在用户提供账号、暗码给第三方客户端进行署理登录的情形了。

它的步骤如下:
(A)用户向客户端提供用户名和暗码。
(B)客户端将用户名和暗码发给授权服务器,向后者请求令牌。
(C)授权服务器确认无误后,向客户端提供访问令牌。
暗码模式的时序图如下:

1:客户端起首在认证服务器注册好客户端信息。
2:认证服务器存储维护客户端信息。
3:用户提供认证平台的账号、暗码给客户端(这里的客户端可以是浏览器、APP、第三方应用的服务器)。
4:客户端带上 client_id、client_secret、grant_type(写死password)、username、password 等参数向认证服务器发起获取 token 请求。
5:认证服务器校验客户端信息,校验失败,则返回非常信息,校验通过,则往下继承校验用户验账号、暗码。
6:认证服务器校验用户账号、暗码,校验通过,则发放令牌(access_token),校验失败,则返回非常信息。
7:客户端成功获取到令牌(access_token)后,就可以带着令牌去访问资源服务器了。
实现效果
授权码模式

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该授权码获取令牌。
授权码模式是 OAuth 2.0 协议中安全级别最高的一种认证模式,他与暗码模式一样,都必要使用到用户的账号信息在认证平台的登录操作,但有所不同的是,暗码模式是要求用户直接将自己在认证平台的账号、暗码提供给第三方应用(客户端),由第三方平台进行署理用户在认证平台的登录操作;
而授权码模式则是用户在认证平台提供的界面进行登录,然后通过用户确认授权后才将一次性授权码提供给第三方应用,第三方应用拿到一次性授权码以后才去认证平台获取 token。
适用场景:目前市面上主流的第三方验证都是采用这种模式,比如在京东网址进行微信扫码登录,我扫码之后点击确认按钮

它的步骤如下:
(A)用户访问客户端,后者将前者导向授权服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,授权服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)授权服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
授权码模式的时序图如下:

1:客户端起首在认证服务器注册好客户端信息。
2:认证服务器存储维护客户端信息。
3:用户在客户端上发起登录。
4:向认证服务器发起认证授权请求,比方http://localhost:9000/auth/oauth/authorizeclient_id=xxx&response_type=code&scope=message.read&redirect_uri=http://www.baidu.com,留意,此时参数不必要client_secret。
5:认证服务器带上客户端参数,将操作引导至用户授权确认页面,用户在该页面进行授权确认操作。
6:用户在授权页面选择授权范围,点击确认提交,则带上客户端参数和用户授权范围向认证服务器获取授权码。留意,此处操作已经离开了客户端。
7:认证服务器校验客户端信息和授权范围(因为客户端在认证平台注册的时间,注册信息包含授权范围,假如用户选择的授权范围不在注册信息包含的范围内,则将因权限不足返回失败)。
8:校验通过,将授权码拼接到客户端注册的回调所在返回给客户端。
9:客户端拿到认证服务器返回的授权码后,带上客户端信息和授权码向认证服务器调换令牌(access_token)。
10:认证服务器校验授权码是否有效,假如有效,则返回令牌(access_token);假如无效,则返回非常信息。
11:客户端成功获取到令牌(access_token)后,就可以带着令牌去访问资源服务器了。
实现效果
简化模式

简化模式(也叫隐式模式)是相对于授权码模式而言的,对授权码模式的交互做了一下简化,省去了客户端使用授权码去认证服务器调换令牌(access_token)的操作,即用户在署理页面选择授权范围提交授权确认后,认证服务器通过客户端注册的回调所在直接就给客户端返回令牌(access_token)了。
这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。

它的步骤如下:
(A)客户端将用户导向授权服务器。
(B)用户决定是否给于客户端授权。
(C)假设用户给予授权,授权服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。
(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
(F)浏览器实行上一步获得的脚本,提取出令牌。
(G)浏览器将令牌发给客户端。
简化模式时序图如下:

1:客户端起首在认证服务器注册好客户端信息。
2:认证服务器存储维护客户端信息。
3:用户在客户端上发起登录。
4:向认证服务器发起认证授权请求,比方http://localhost:9000/auth/oauth/authorizeclient_id=xxx&response_type=token&scope=message.read&redirect_uri=http://www.baidu.com,留意,此时参数不必要 client_secret。
5:认证服务器带上客户端参数,将操作引导至用户授权确认页面,用户在该页面进行授权确认操作。
6:用户在授权页面选择授权范围,点击确认提交,则带上客户端参数和用户授权范围向认证服务器获取令牌(access_token)。留意,此处操作已经离开了客户端。
7:认证服务器校验署理页面提交的参数信息,校验通过,则将令牌(access_token)拼接到客户端注册的回调所在返回给客户端;校验失败,则返回非常信息。
8:客户端成功获取到令牌(access_token)后,就可以带着令牌去访问资源服务器了。
实现效果
token刷新模式

令牌的有效期到了,假如让用户重新走一遍上面的流程,再申请一个新的令牌,很可能体验不好,而且也没有必要。OAuth 2.0 答应用户自动更新令牌。
token刷新模式是对 access_token 逾期的一种补办操作,这种补办操作,减少了用户重新操作登录的流程。
OAuth 2.0 在给客户端颁发 access_token 的时间,同时也给客户端发放了 refresh_token,而 refresh_token 的有效期要宏大于 access_token 的有效期。当客户端带着已逾期的 access_token 去访问资源服务器中受保护的资源时,将会访问失败,此时就必要客户端使用 refresh_token 去获取新的 access_token。客户端端获取到新的 access_token 后,就可以带上他去访问资源服务器中受保护的资源了。

token 刷新模式时序图如下:

1:客户端向认证服务器请求认证授权。
2:认证服务器存返回 access_token、refresh_token、授权范围、逾期时间。
3:access_token 逾期后,客户端仍然带着逾期的 access_token 去请求资源服务器中受保护的资源。
4:资源服务器提示客户端,这黑白法的 access_token。
5:客户端使用 refresh_token 向认证服务器获取新的 access_token。
6:认证服务器校验 refresh_token 的有效性,校验通过,则给客户端颁发新的 access_token;校验失败,则返回非常信息。
7:客户端成功获取到新的 access_token 后,就可以带着新的 access_token 去访问资源服务器了。
具体方法是,B 网站颁发令牌的时间,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。
  1. > https://b.com/oauth/token?
  2. >   grant_type=refresh_token&    # grant_type参数为refresh_token表示要求更新令牌
  3. >   client_id=CLIENT_ID&
  4. >   client_secret=CLIENT_SECRET&
  5. >   refresh_token=REFRESH_TOKEN    # 用于更新令牌的令牌
  6. >
复制代码

OAuth 2.1 协议介绍

OAuth 2.1去掉了OAuth2.0中的暗码模式、简化模式,增长了设备授权码模式,同时也对授权码模式增长了PKCE扩展。
OAuth2.1协议 官网:https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-07
OAuth 2.1 的厘革 有道云笔记: https://note.youdao.com/s/DRnLx34U
授权码模式+PKCE扩展

在OAuth2.0版本的授权码的根本上,进行了扩展。下面的之前授权码模式的流程:
(A)用户访问客户端,后者将前者导向授权服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,授权服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)授权服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
在步骤C,授权服务器通过重定向URL,将授权码Code发送给客户端,此时可能会被黑客拦截,他得到了code,他去利用code进行申请token,进而去访问资源服务器。
为了减轻这种攻击,官方增长PKCE扩展,先来看一下官方的交互图:

A. 客户端通过“/oauth2/authorize”所在向认证服务器发起获取授权码请求的时间增长两个参数,即 code_challenge 和 code_challenge_method,其中,code_challenge_method 是加密方法(比方:S256 或 plain),code_challenge 是使用code_challenge_method加密方法加密后的值。
B. 认证服务器给客户端返回授权码,同时记载下 code_challenge、code_challenge_method 的值。
C. 客户端使用 code 向认证服务器获取 Access Token 的时间,带上 code_verifier 参数,其值为步骤A加密前的初始值。
D. 认证服务器收到步骤 C 的请求时,将 code_verifier 的值使用 code_challenge_method 的方法进行加密,然后将加密后的值与步骤A中的 code_challenge 进行比力,看看是否同等。
上面交互过程中,恶意程序假如在B处截获授权码后,使用授权码向认证服务器调换 Access Token,但由于恶意程序没有 code_verifier 的值,因此在认证服务器无法校验通过,从而获取 Access Token 失败。
对于怎样创建 code_challenge 的值,官网给出了下面两种对应的方法。

设备授权码模式

了解即可,微服务安全方面暂时用不到该模式
设备授权码模式,是一种为解决未便在当前设备上进行文本输入而提供的一种认证授权模式,比方:智能电视、媒体控制台、数字相框、打印机等。大家也可以脑补一下一些扫码登录的情形。使用设备授权码模式,有以下要求。
(1) 该设备已连接到互联网。
(2) 设备能够支持发出 HTTPS 请求。
(3) 设备能够显示或以其他通信方式将 URI 和 Code 发给用户。
(4) 用户有辅助设备(如个人电脑或智能手机),他们可以从中处置惩罚请求。
设备授权码登录官网交互图如下:

(A) 客户端带上包含客户端信息的参数向认证服务器(所在:/oauth2/device_authorization)发起授权访问。
(B) 认证服务器给客户端返回设备码、用户码及必要用户验证用户码的 URI。
客户端指示用户必要在另一设备进行访问授权的URI和用户码。
(D) 用户根据URI打开页面,输入用户码和确认授权,向认证服务器发起认证请求。
(E) 客户端在完成步骤(C)之后就开始带上客户端信息和设备码向认证服务器轮询获取令牌信息。
(F) 认证服务器收到客户端使用设备码获取令牌信息的请求后,查抄用户是否已提交授权确认,假如用户已提交授权确认,则返回令牌信息。

拓展授权模式

OAuth2.1 也提供拓展授权模式的操作实现。
虽然 OAuth2.1 移除了暗码模式(password),但是通过拓展授权模式可以实现暗码模式。
在实际应用中,客户端、授权服务器、资源服务器往往都是同一家公司的产物,那么这个时间,使用账号、暗码进行登录的情形也比力常见,此时就必要通过拓展授权模式来实现账号、暗码登录了。
   拓展授权模式官网文档: https://docs.spring.io/spring-authorization-server/docs/current/reference/html/guides/how-to-ext-grant-type.html
  OpenID Connect 1.0协议

官方文档
OpenID Connect 1.0 是 OAuth 2.0 协议之上的一个简朴的身份层。其实就是客户端向认证服务器请求认证授权的时间,多返回一个 id_token,该 id_token 是一串使用 jwt 加密过的字符串,如下如所示

Spring Authorization Server 实战

版本要求:

Spring Authorization Server是创建在SpringSecurity的根本之上的
Spring Authorization Server提供了 OAuth 2.1 和 OpenID Connect 1.0 规范以及其他相干规范的实现。
认证/授权服务器搭建

Spring Authorization Server紧张组件:

搭建

引入依赖
  1. <dependency>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
  4. </dependency>
复制代码
完整的pom.xml文件内容如下
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.     <modelVersion>4.0.0</modelVersion>
  5.     <parent>
  6.         <groupId>org.springframework.boot</groupId>
  7.         <artifactId>spring-boot-starter-parent</artifactId>
  8.         <version>3.1.4</version>
  9.         <relativePath/> <!-- lookup parent from repository -->
  10.     </parent>
  11.     <groupId>com.tuling</groupId>
  12.     <artifactId>auth-server</artifactId>
  13.     <version>0.0.1-SNAPSHOT</version>
  14.     <name>auth-server</name>
  15.     <description>auth-server</description>
  16.     <properties>
  17.         <java.version>17</java.version>
  18.     </properties>
  19.     <dependencies>
  20.         <dependency>
  21.             <groupId>org.springframework.boot</groupId>
  22.             <artifactId>spring-boot-starter-security</artifactId>
  23.         </dependency>
  24.         <dependency>
  25.             <groupId>org.springframework.boot</groupId>
  26.             <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
  27.         </dependency>
  28.         <dependency>
  29.             <groupId>org.springframework.boot</groupId>
  30.             <artifactId>spring-boot-starter-test</artifactId>
  31.             <scope>test</scope>
  32.         </dependency>
  33.     </dependencies>
  34.     <build>
  35.         <plugins>
  36.             <plugin>
  37.                 <groupId>org.springframework.boot</groupId>
  38.                 <artifactId>spring-boot-maven-plugin</artifactId>
  39.             </plugin>
  40.         </plugins>
  41.     </build>
  42. </project>
复制代码
yml配置文件
就指定一个服务端口、日记
  1. server:
  2.   port: 9000
  3. logging:
  4.   level:
  5.     org.springframework.security: trace
复制代码
配置授权服务器
直接从官网 配置文件将 SecurityConfig 拷贝放到config下
  1. package com.tuling.authserver.config;
  2. import com.nimbusds.jose.jwk.JWKSet;
  3. import com.nimbusds.jose.jwk.RSAKey;
  4. import com.nimbusds.jose.jwk.source.ImmutableJWKSet;
  5. import com.nimbusds.jose.jwk.source.JWKSource;
  6. import com.nimbusds.jose.proc.SecurityContext;
  7. import org.springframework.context.annotation.Bean;
  8. import org.springframework.context.annotation.Configuration;
  9. import org.springframework.core.annotation.Order;
  10. import org.springframework.http.MediaType;
  11. import org.springframework.security.config.Customizer;
  12. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  13. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  14. import org.springframework.security.core.userdetails.User;
  15. import org.springframework.security.core.userdetails.UserDetails;
  16. import org.springframework.security.core.userdetails.UserDetailsService;
  17. import org.springframework.security.oauth2.core.AuthorizationGrantType;
  18. import org.springframework.security.oauth2.core.ClientAuthenticationMethod;
  19. import org.springframework.security.oauth2.core.oidc.OidcScopes;
  20. import org.springframework.security.oauth2.jwt.JwtDecoder;
  21. import org.springframework.security.oauth2.server.authorization.client.InMemoryRegisteredClientRepository;
  22. import org.springframework.security.oauth2.server.authorization.client.RegisteredClient;
  23. import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;
  24. import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;
  25. import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer;
  26. import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;
  27. import org.springframework.security.oauth2.server.authorization.settings.ClientSettings;
  28. import org.springframework.security.provisioning.InMemoryUserDetailsManager;
  29. import org.springframework.security.web.SecurityFilterChain;
  30. import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
  31. import org.springframework.security.web.util.matcher.MediaTypeRequestMatcher;
  32. import java.security.KeyPair;
  33. import java.security.KeyPairGenerator;
  34. import java.security.interfaces.RSAPrivateKey;
  35. import java.security.interfaces.RSAPublicKey;
  36. import java.util.UUID;
  37. /**
  38. * https://docs.spring.io/spring-authorization-server/docs/1.1.2-SNAPSHOT/reference/html/getting-started.html
  39. */
  40. @Configuration
  41. @EnableWebSecurity
  42. public class SecurityConfig {
  43.         /**
  44.          *  Spring Authorization Server 相关配置
  45.          *  主要配置OAuth 2.1和OpenID Connect 1.0
  46.          * @param http
  47.          * @return
  48.          * @throws Exception
  49.          */
  50.         @Bean
  51.         @Order(1)
  52.         public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
  53.                         throws Exception {
  54.                 OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
  55.                 http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
  56.                         //开启OpenID Connect 1.0(其中oidc为OpenID Connect的缩写)
  57.                         .oidc(Customizer.withDefaults());        // Enable OpenID Connect 1.0
  58.                 http
  59.                         // Redirect to the login page when not authenticated from the
  60.                         // authorization endpoint
  61.                         //将需要认证的请求,重定向到login进行登录认证。
  62.                         .exceptionHandling((exceptions) -> exceptions
  63.                                 .defaultAuthenticationEntryPointFor(
  64.                                         new LoginUrlAuthenticationEntryPoint("/login"),
  65.                                         new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
  66.                                 )
  67.                         )
  68.                         // Accept access tokens for User Info and/or Client Registration
  69.                         // 使用jwt处理接收到的access token
  70.                         .oauth2ResourceServer((resourceServer) -> resourceServer
  71.                                 .jwt(Customizer.withDefaults()));
  72.                 return http.build();
  73.         }
  74.         /**
  75.          *  Spring Security 过滤链配置(此处是纯Spring Security相关配置)
  76.          */
  77.         @Bean
  78.         @Order(2)
  79.         public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
  80.                         throws Exception {
  81.                 http
  82.                         .authorizeHttpRequests((authorize) -> authorize
  83.                                 //设置所有请求都需要认证,未认证的请求都被重定向到login页面进行登录
  84.                                 .anyRequest().authenticated()
  85.                         )
  86.                         // Form login handles the redirect to the login page from the
  87.                         // authorization server filter chain
  88.                         // 由Spring Security过滤链中UsernamePasswordAuthenticationFilter过滤器拦截处理“login”页面提交的登录信息。
  89.                         .formLogin(Customizer.withDefaults());
  90.                 return http.build();
  91.         }
  92.         /**
  93.          *  Spring Security的配置
  94.          * 设置用户信息,校验用户名、密码
  95.          * 正常的流程是自定义一个service类,实现UserDetailsService接口,去查询DB 查询用户信息,封装为一个UserDetails对象返回
  96.          * 这里就直接写一个user存入内存中进行测试
  97.          * @return
  98.          */
  99.         @Bean
  100.         public UserDetailsService userDetailsService() {
  101.                 UserDetails userDetails = User.withDefaultPasswordEncoder()
  102.                                 .username("hushang")
  103.                                 .password("123456")
  104.                                 .roles("USER")
  105.                                 .build();
  106.                 //基于内存的用户数据校验
  107.                 return new InMemoryUserDetailsManager(userDetails);
  108.         }
  109.         /**
  110.          * 注册客户端信息
  111.          *
  112.          * 查询认证服务器信息
  113.          * http://127.0.0.1:9000/.well-known/openid-configuration
  114.          *
  115.          * 获取授权码
  116.          * http://localhost:9000/oauth2/authorize?response_type=code&client_id=oidc-client&scope=profile openid&redirect_uri=http://www.baidu.com
  117.          *
  118.          * 正常的流程是存在一个web前端页面提供给客户端进行注册,然后后端接口会将客户端注册信息保存在DB中,然后去查询DB,最后封装为一个RegisteredClient
  119.          * 我这里就直接写一个客户端,存放在内存中进行测试
  120.          */
  121.         @Bean
  122.         public RegisteredClientRepository registeredClientRepository() {
  123.                 RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
  124.                                 .clientId("oidc-client")
  125.                                 //{noop}开头,表示“secret”以明文存储
  126.                                 .clientSecret("{noop}secret")
  127.                                 // 就使用默认的认证方式
  128.                                 .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
  129.                                 // 配置授权码模式,刷新令牌,客户端模式
  130.                                 .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
  131.                                 .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
  132.                                 .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
  133.                                 .redirectUri("http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc")
  134.                                 //我们暂时还没有客户端服务,以免重定向跳转错误导致接收不到授权码
  135.                                 .redirectUri("http://www.baidu.com")
  136.                                 .postLogoutRedirectUri("http://127.0.0.1:8080/")
  137.                                 //设置客户端权限范围
  138.                                 .scope(OidcScopes.OPENID)
  139.                                 .scope(OidcScopes.PROFILE)
  140.                                 //客户端设置用户需要确认授权
  141.                                 .clientSettings(ClientSettings.builder().requireAuthorizationConsent(true).build())
  142.                                 .build();
  143.                 //配置基于内存的客户端信息
  144.                 return new InMemoryRegisteredClientRepository(oidcClient);
  145.         }
  146.         /**
  147.          * 配置 JWK,为JWT(id_token)提供加密密钥,用于加密/解密或签名/验签
  148.          * JWK详细见:https://datatracker.ietf.org/doc/html/draft-ietf-jose-json-web-key-41
  149.          */
  150.         @Bean
  151.         public JWKSource<SecurityContext> jwkSource() {
  152.                 KeyPair keyPair = generateRsaKey();
  153.                 RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
  154.                 RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
  155.                 RSAKey rsaKey = new RSAKey.Builder(publicKey)
  156.                                 .privateKey(privateKey)
  157.                                 .keyID(UUID.randomUUID().toString())
  158.                                 .build();
  159.                 JWKSet jwkSet = new JWKSet(rsaKey);
  160.                 return new ImmutableJWKSet<>(jwkSet);
  161.         }
  162.         /**
  163.          *  生成RSA密钥对,给上面jwkSource() 方法的提供密钥对
  164.          */
  165.         private static KeyPair generateRsaKey() {
  166.                 KeyPair keyPair;
  167.                 try {
  168.                         KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
  169.                         keyPairGenerator.initialize(2048);
  170.                         keyPair = keyPairGenerator.generateKeyPair();
  171.                 }
  172.                 catch (Exception ex) {
  173.                         throw new IllegalStateException(ex);
  174.                 }
  175.                 return keyPair;
  176.         }
  177.         /**
  178.          * 配置jwt解析器
  179.          */
  180.         @Bean
  181.         public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
  182.                 return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
  183.         }
  184.         /**
  185.          * 配置授权服务器请求地址
  186.          */
  187.         @Bean
  188.         public AuthorizationServerSettings authorizationServerSettings() {
  189.                 //什么都不配置,则使用默认地址
  190.                 return AuthorizationServerSettings.builder().build();
  191.         }
  192. }
复制代码

至此,一个简朴的认证授权服务端就搭建好了,该服务使用的端口是9000
我们可以使用背面的url查询认证服务器信息,这里的/.well-known/openid-configuration 是依赖包内部提供 默认的访问路径
http://127.0.0.1:9000/.well-known/openid-configuration
向授权服务器获取授权码,其中/oauth2/authorize也是内部提供的接口
  1. # response_type=code 表示当前是授权码模式     
  2. # client_id、scope这两个请求参数要和客户端往授权服务器注册信息对应上,如果客户端注册时没有profile openid中的某一个,那么授权服务器就不会返回code
  3. # redirect_uri 重定向地址,也就是用户授权之后 code应该发给谁,目前我们还没有编写客户端的接口,所以这里就直接写百度,然后从浏览器拿code进行测试
  4. http://localhost:9000/oauth2/authorize?response_type=code&client_id=oidc-client&scope=profile openid&redirect_uri=http://www.baidu.com
复制代码
授权码模式测试

使用 http://localhost:9000/oauth2/authorizeresponse_type=code&client_id=oidc-client&scope=profile openid&redirect_uri=http://www.baidu.com 请求获取授权码,则跳转至下面登录页面。

输入我们上面配置文件中配置的User,用户名:hushang,暗码:123456,则跳转至授权页面

勾选授权信息profile复选框,点击Submit Consent提交按钮,则返回如下效果

从浏览器所在栏中,我们看到授权服务器已经返回了授权码 code,接下来,我们使用授权 code 向http://localhost:9000/oauth2/token所在请求获取令牌。
postman测试
必要带上client_id和client_secret,这两个请求参数也必要和客户端往授权服务器注册时的内容对应上


在请求体中添加我们上一步获取到的code

请求体中指定的授权码模式,也是必要和客户端往授权服务器注册时的内容对应上

刷新令牌测试

当token逾期后,我们使用授权服务器返回的refresh_toke去进行刷新token
测试http://localhost:9000/oauth2/token 所在,参数授权范例 grant_type 的值改为 refresh_token,传入授权码模式返回的 refresh_token

客户端模式测试

客户端模式就比授权码模式要简朴
带上client_id,client_secret,指定客户端模式grant_type为client_credentials,访问http://localhost:9000/oauth2/token

oauth2客户端搭建

说明

客户端的紧张职责是辨认用户操作是否有身份认证,已认证,则放行,未认证,则拒绝或引导到认证服务器进行认证。
前面我们介绍了授权服务器的搭建,由于我们没有自己的客户端回调所在,在测试过程中,我们是使用http://www.baidu.com作为回调所在,获取到授权码code后,再使用postman去获取令牌信息的。
接下来,我们将搭建自己的客户端,实现连贯的令牌获取操作, 操作流程如下:

假设我们公司的web平台产物支持微信登录,那么对于微信平台来说,我们的web平台就是客户端(第三方),那么,起首我们就得必要在微信开辟者平台中注册客户端信息,比方:申请客户端id(client_id,微信平台叫appId)、密钥(secret)、配置授权码回调所在等。
前面我们搭建的授权服务器就类似微信平台的授权服务器,接下来要搭建的客户端auth-client就类似公司的web平台。
搭建客户端

因为我是在同一台机器上进行启动客户端和认证授权服务器的,ip都是127.0.0.1,在ip相同的情况下,会出现cookie覆盖的情形,这会导致认证服务器重定向到客户端所在时会出现[authorization_request_not_found]非常,为解决这个问题,可以在C:WindowsSystem32driversetc目录下的hosts文件添加了一行IP域名映射
  1. 127.0.0.1      spring-oauth-server         spring-oauth-client
复制代码
Spring Security OAuth2 Client组件介绍:

引入依赖
  1. <!--spring-boot-starter-oauth2-client-->
  2. <dependency>
  3.     <groupId>org.springframework.boot</groupId>
  4.     <artifactId>spring-boot-starter-oauth2-client</artifactId>
  5. </dependency>
  6. <!--spring-boot-starter-web-->
  7. <dependency>
  8.     <groupId>org.springframework.boot</groupId>
  9.     <artifactId>spring-boot-starter-web</artifactId>
  10. </dependency>
复制代码
完整是pom.xml文件
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.         <modelVersion>4.0.0</modelVersion>
  5.         <parent>
  6.                 <groupId>org.springframework.boot</groupId>
  7.                 <artifactId>spring-boot-starter-parent</artifactId>
  8.                 <version>3.1.4</version>
  9.                 <relativePath/> <!-- lookup parent from repository -->
  10.         </parent>
  11.         <groupId>com.tuling</groupId>
  12.         <artifactId>auth-client</artifactId>
  13.         <version>0.0.1-SNAPSHOT</version>
  14.         <name>auth-client</name>
  15.         <description>auth-client</description>
  16.         <properties>
  17.                 <java.version>17</java.version>
  18.         </properties>
  19.         <dependencies>
  20.                 <!--spring-boot-starter-oauth2-client-->
  21.                 <dependency>
  22.                         <groupId>org.springframework.boot</groupId>
  23.                         <artifactId>spring-boot-starter-oauth2-client</artifactId>
  24.                 </dependency>
  25.                 <!--spring-boot-starter-web-->
  26.                 <dependency>
  27.                         <groupId>org.springframework.boot</groupId>
  28.                         <artifactId>spring-boot-starter-web</artifactId>
  29.                 </dependency>
  30.                 <dependency>
  31.                         <groupId>org.springframework.boot</groupId>
  32.                         <artifactId>spring-boot-starter</artifactId>
  33.                 </dependency>
  34.                 <dependency>
  35.                         <groupId>org.springframework.boot</groupId>
  36.                         <artifactId>spring-boot-starter-test</artifactId>
  37.                         <scope>test</scope>
  38.                 </dependency>
  39.         </dependencies>
  40.         <build>
  41.                 <plugins>
  42.                         <plugin>
  43.                                 <groupId>org.springframework.boot</groupId>
  44.                                 <artifactId>spring-boot-maven-plugin</artifactId>
  45.                         </plugin>
  46.                 </plugins>
  47.         </build>
  48. </project>
复制代码
yml配置文件中的配置,留意我授权服务器使用的是9000端口,客户端使用的是9001端口
  1. server:
  2.   port: 9001
  3. logging:
  4.   level:
  5.     org.springframework.security: trace
  6. spring:
  7.   application:
  8.     name: auth-client
  9.   security:
  10.     oauth2:
  11.       client:
  12.         provider:
  13.           #认证服务器信息,下面这个string可以自定义,但是要和下方messaging-client-oidc.provider的对应上
  14.           oauth-server:
  15.             #授权地址
  16.             issuer-uri: http://spring-oauth-server:9000
  17.             authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize
  18.             #令牌获取地址
  19.             tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token
  20.         registration:
  21.           # 下面这个string可以自定义,这里自定义的要和最下面redirect-uri的最后一个请求地址对应上
  22.           messaging-client-oidc:
  23.             #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
  24.             provider: oauth-server
  25.             #客户端名称
  26.             client-name: web平台
  27.             #客户端id,从认证平台申请的客户端id
  28.             client-id: oidc-client
  29.             #客户端秘钥
  30.             client-secret: secret
  31.             #客户端认证方式
  32.             client-authentication-method: client_secret_basic
  33.             #使用授权码模式获取令牌(token)
  34.             authorization-grant-type: authorization_code
  35.             #回调地址,接收认证服务器回传code的接口地址,之前我们是使用http://www.baidu.com代替
  36.             # /login/oauth2/code/messaging-client-oidc 这个接口是使用的oauth2-client依赖默认提供的接口
  37.             # 这里最后的messaging-client-oidc 需要和上方我们自定义是string对应上
  38.             # 该接口会收到code授权码之后,会去调用授权服务器获取token,
  39.             # 也就是我们上方配置的${spring.security.oauth2.client.provider.oauth-server.tokenUri}
  40.             # 也可以使用自定义的接口,只不过需要我们自己拿到code之后再去调用资源服务器获取token
  41.             redirect-uri: http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc
  42.             scope:
  43.               - profile
  44.               - openid
复制代码
我们上面配置的信息,必要和授权服务器进行客户端注册时的信息匹配上。当然,下图右边只是模拟的一个客户端注册信息,真实的情况下是客户端先进行注册,客户端的注册信息是生存在DB中的,我这里就直接模拟的一个客户端注册信息生存在内存中。

新建测试类
  1. @RestController
  2. public class AuthenticationController {
  3.     @GetMapping("/token")
  4.     @ResponseBody
  5.     public OAuth2AuthorizedClient token(@RegisteredOAuth2AuthorizedClient OAuth2AuthorizedClient oAuth2AuthorizedClient) {
  6.         //通过OAuth2AuthorizedClient对象获取到客户端和token令牌相关的信息,然后直接返回给前端页面
  7.         return oAuth2AuthorizedClient;
  8.     }
  9. }
复制代码
客户端测试

启动认证服务器和客户端服务,浏览器输入http://spring-oauth-client:9001/token所在发起接口访问。此时我们会看到,浏览器所在被重定向到认证服务器http://spring-oauth-server:9000/login中被要求进行登录

输入用户在认证服务器的用户名:hushang,暗码:123456,则跳转到认证服务器授权页面

勾选授权信息profile,点击提交按钮,则返回如下效果
此时我们看到了浏览器中的所在为http://spring-oauth-client:9001/tokencontinue,且返回了客户端及token信息。也看到了认证服务器将授权码拼接到了回调所在http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc中传给客户端。

详情

在看看请求


我们来看看@RegisteredOAuth2AuthorizedClient OAuth2AuthorizedClient对象中的详细信息
  1. @RestController
  2. public class AuthenticationController {
  3.     @GetMapping("/token")
  4.     @ResponseBody
  5.     public OAuth2AuthorizedClient token(@RegisteredOAuth2AuthorizedClient OAuth2AuthorizedClient oAuth2AuthorizedClient) {
  6.         //通过OAuth2AuthorizedClient对象获取到客户端和token令牌相关的信息,然后直接返回给前端页面
  7.         return oAuth2AuthorizedClient;
  8.     }
  9. }
  10. {  "clientRegistration": {    "registrationId": "messaging-client-oidc",    "clientId": "oidc-client",    "clientSecret": "secret",    "clientAuthenticationMethod": {      "value": "client_secret_basic"    },    "authorizationGrantType": {      "value": "authorization_code"    },    "redirectUri": "http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc",    "scopes": [      "profile",      "openid"    ],    "providerDetails": {      "authorizationUri": "http://spring-oauth-server:9000/oauth2/authorize",      "tokenUri": "http://spring-oauth-server:9000/oauth2/token",      "userInfoEndpoint": {        "uri": "http://spring-oauth-server:9000/userinfo",        "authenticationMethod": {          "value": "header"        },        "userNameAttributeName": "sub"      },      "jwkSetUri": "http://spring-oauth-server:9000/oauth2/jwks",      "issuerUri": "http://spring-oauth-server:9000",      "configurationMetadata": {        "authorization_endpoint": "http://spring-oauth-server:9000/oauth2/authorize",        "token_endpoint": "http://spring-oauth-server:9000/oauth2/token",        "introspection_endpoint": "http://spring-oauth-server:9000/oauth2/introspect",        "revocation_endpoint": "http://spring-oauth-server:9000/oauth2/revoke",        "device_authorization_endpoint": "http://spring-oauth-server:9000/oauth2/device_authorization",        "issuer": "http://spring-oauth-server:9000",        "jwks_uri": "http://spring-oauth-server:9000/oauth2/jwks",        "scopes_supported": [          "openid"        ],        "response_types_supported": [          "code"        ],        "grant_types_supported": [          "authorization_code",          "client_credentials",          "refresh_token",          "urn:ietf:params:oauth:grant-type:device_code"        ],        "token_endpoint_auth_methods_supported": [          "client_secret_basic",          "client_secret_post",          "client_secret_jwt",          "private_key_jwt"        ],        "introspection_endpoint_auth_methods_supported": [          "client_secret_basic",          "client_secret_post",          "client_secret_jwt",          "private_key_jwt"        ],        "revocation_endpoint_auth_methods_supported": [          "client_secret_basic",          "client_secret_post",          "client_secret_jwt",          "private_key_jwt"        ],        "request_uri_parameter_supported": true,        "subject_types_supported": [          "public"        ],        "userinfo_endpoint": "http://spring-oauth-server:9000/userinfo",        "end_session_endpoint": "http://spring-oauth-server:9000/connect/logout",        "id_token_signing_alg_values_supported": [          "RS256"        ]      }    },    "clientName": "web平台"  },  "principalName": "hushang",  "accessToken": {    "tokenValue": "eyJraWQiOiIwZDM2OWM5OS1lODNlLTQ4ZDktOWExYS1mNGI2OTM5YTIyODQiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJodXNoYW5nIiwiYXVkIjoib2lkYy1jbGllbnQiLCJuYmYiOjE3MjE3MDM4NTcsInNjb3BlIjpbIm9wZW5pZCIsInByb2ZpbGUiXSwiaXNzIjoiaHR0cDovL3NwcmluZy1vYXV0aC1zZXJ2ZXI6OTAwMCIsImV4cCI6MTcyMTcwNDE1NywiaWF0IjoxNzIxNzAzODU3fQ.Cqu2SLMqSPxuguj_t0hQ3EHwvxEl9Mp_4TN9Xrb1_I9EeKQ4ZjPi0WmqHjSHZfOo0esVNJQHBr15OfS6wu_x0pVbWKh8vA8fnbDe51dUTg0p3kLPOJdnPMPlGqbSn0UUE1c99GFYSnoYvhLF90ZpqmC4c3W00GqfT3f0q9tzc142BYKCGfPqQ-erkqSizSN186ZipttqZlMIQMdGUFjs_NL9qMfMgVLvAcTwCMOafHRJKY2UcPf7qvfk_EhltH1vy3i-f6s150RaJMX1nK90x7_tL-JWdz2AVzxiFyycW0p1E2I86MeQ4aBb4iG1Ty5zc9JQfMnePq9LoEFDw3uw2A",    "issuedAt": "2024-07-23T03:04:17.191914800Z",    "expiresAt": "2024-07-23T03:09:17.191914800Z",    "tokenType": {      "value": "Bearer"    },    "scopes": [      "openid",      "profile"    ]  },  "refreshToken": {    "tokenValue": "kgVw7-0YDM-QhZ_sULqi62Wge20Kz00--Nw8j4g1Hc0G3wDUki4FRj-j24NiQ2uz3qEBmXLt_7_4D_SY3GPvRBEaNKfU_OWcRE0sKMO6xtMawKXl5Km7aviwTV5N3cbw",    "issuedAt": "2024-07-23T03:04:17.191914800Z",    "expiresAt": null  }}
复制代码
oauth2资源服务器搭建

说明

资源服务器在分布式服务中就是指用户服务、商品服务、订单服务那些了,访问资源服务器中受保护的资源,都必要带上令牌(token)进行访问。
资源服务器往往和客户端一起配合使用,客户端侧重于身份认证,资源服务器侧重于权限校验,假如在Spring Cloud(Alibaba)微服务架构中,可以将客户端框架spring-boot-starter-oauth2-client集成到网关服务上,将资源服务器框架spring-boot-starter-oauth2-resource-server集成到用户服务、商品服务、订单服务等微服务上。
下面我们开始来搭建资源服务器。客户端、资源服务器交互时序图如下:

搭建资源服务器

引入依赖
  1. <!--spring-boot-starter-oauth2-resource-server-->
  2. <dependency>
  3.     <groupId>org.springframework.boot</groupId>
  4.     <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
  5. </dependency>
  6. <!--spring-boot-starter-web-->
  7. <dependency>
  8.     <groupId>org.springframework.boot</groupId>
  9.     <artifactId>spring-boot-starter-web</artifactId>
  10. </dependency>
复制代码
完整的pom.xml文件
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.     <modelVersion>4.0.0</modelVersion>
  5.     <parent>
  6.         <groupId>org.springframework.boot</groupId>
  7.         <artifactId>spring-boot-starter-parent</artifactId>
  8.         <version>3.1.4</version>
  9.         <relativePath/> <!-- lookup parent from repository -->
  10.     </parent>
  11.     <groupId>com.tuling</groupId>
  12.     <artifactId>resource-server</artifactId>
  13.     <version>0.0.1-SNAPSHOT</version>
  14.     <name>resource-server</name>
  15.     <description>resource-server</description>
  16.     <properties>
  17.         <java.version>17</java.version>
  18.     </properties>
  19.     <dependencies>
  20.         <!--spring-boot-starter-oauth2-resource-server-->
  21.         <dependency>
  22.             <groupId>org.springframework.boot</groupId>
  23.             <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
  24.         </dependency>
  25.         <!--spring-boot-starter-web-->
  26.         <dependency>
  27.             <groupId>org.springframework.boot</groupId>
  28.             <artifactId>spring-boot-starter-web</artifactId>
  29.         </dependency>
  30.         <dependency>
  31.             <groupId>org.springframework.boot</groupId>
  32.             <artifactId>spring-boot-starter-web</artifactId>
  33.         </dependency>
  34.         <dependency>
  35.             <groupId>org.projectlombok</groupId>
  36.             <artifactId>lombok</artifactId>
  37.         </dependency>
  38.         <dependency>
  39.             <groupId>org.springframework.boot</groupId>
  40.             <artifactId>spring-boot-starter-test</artifactId>
  41.             <scope>test</scope>
  42.         </dependency>
  43.     </dependencies>
  44.     <build>
  45.         <plugins>
  46.             <plugin>
  47.                 <groupId>org.springframework.boot</groupId>
  48.                 <artifactId>spring-boot-maven-plugin</artifactId>
  49.             </plugin>
  50.         </plugins>
  51.     </build>
  52. </project>
复制代码
配置application.yml
  1. server:
  2.   port: 9002
  3. logging:
  4.   level:
  5.     org.springframework.security: trace
  6. spring:
  7.   application:
  8.     name: resource-server
  9.   security:
  10.     oauth2:
  11.       resource-server:
  12.         jwt:
  13.                   # 资源服务器获取到token之后要去授权服务器进行解析token
  14.           issuer-uri: http://spring-oauth-server:9000
复制代码
配置Spring Security
  1. // 配置所有的请求都需要认证,权限方法就没有在配置类中进行配置了,直接使用注解的方式配置在接口上,所以下面就加上了@EnableMethodSecurity注解
  2. // 其实这里就是SpringSecurity的配置
  3. @Configuration
  4. @EnableWebSecurity
  5. @EnableMethodSecurity(jsr250Enabled = true, securedEnabled = true)
  6. public class ResourceServerConfig {
  7.     @Bean
  8.     SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  9.         http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
  10.                         //所有的访问都需要通过身份认证
  11.                         .anyRequest().authenticated()
  12.                 )
  13.                     // 使用jwt处理接收到的access token
  14.                 .oauth2ResourceServer((oauth2ResourceServer) -> oauth2ResourceServer
  15.                         .jwt(Customizer.withDefaults())
  16.                 );
  17.         return http.build();
  18.     }
  19. }
复制代码
添加测试接口类
  1. @RestController
  2. public class MessagesController {
  3.     @GetMapping("/messages1")
  4.     public String getMessages1() {
  5.         return " hello Message 1";
  6.     }
  7.     @GetMapping("/messages2")
  8.     @PreAuthorize("hasAuthority('SCOPE_profile')")
  9.     public String getMessages2() {
  10.         return " hello Message 2";
  11.     }
  12.     @GetMapping("/messages3")
  13.     @PreAuthorize("hasAuthority('SCOPE_Message')")
  14.     public String getMessages3() {
  15.         return " hello Message 3";
  16.     }
  17.     @GetMapping("/messages4")
  18.     @PreAuthorize("hasAuthority('ROLE_USER')")
  19.     public String getMessages4() {
  20.         return " hello Message 4";
  21.     }
  22. }
  23. // 由于接口资源地址没有在Spring Security配置中放开,因此三个接口访问都需要传入accessToken。其中,messages1接口的要求只需传入accessToken,messages2接口要求传入accessToken和拥有profile权限,messages3接口要求传入accessToken和拥有Message权限
  24. // 而message4接口是新增的一个,试试用户的这个权限访问结果
复制代码
资源服务器测试

postman直接访问http://localhost:9002/messages1所在,不带token,则返回如下401效果。

使用http://spring-oauth-client:9001/token所在,向客户端发起请求,获取token

然后请求http://localhost:9002/messages1所在,带上accessToken,则返回如下成功效果

再请求http://localhost:9002/messages2所在,带上accessToken,同样返回成功,效果如下

再请求http://localhost:9002/messages3所在,带上accessToken,则返回403了,因为我当前accessToken没有Message权限,效果如下
错误提示:必要比请求更高的权限

访问message4接口也是一样的错误,以是这里只是校验客户端token的scope,不是校验具体登任命户的权限

自定义非常处置惩罚类

在 Spring Authorization Server 的过滤链中有一个叫 ExceptionTranslationFilter 的过滤器,在认证或授权过程中,假如出现 AuthenticationException(认证非常)和 AccessDeniedException(授权非常),都由 ExceptionTranslationFilter 过滤器捕获进行处置惩罚。
ExceptionTranslationFilter 会处置惩罚捕获到的 AuthenticationException 或 AccessDeniedException非常。
  1. // ExceptionTranslationFilter#handleSpringSecurityException
  2. private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response,
  3.                                            FilterChain chain, RuntimeException exception) throws IOException, ServletException {
  4.     if (exception instanceof AuthenticationException) {
  5.         // 认证异常
  6.         handleAuthenticationException(request, response, chain, (AuthenticationException) exception);
  7.     }
  8.     else if (exception instanceof AccessDeniedException) {
  9.         // 授权异常
  10.         handleAccessDeniedException(request, response, chain, (AccessDeniedException) exception);
  11.     }
  12. }
复制代码
假如我们要自定义对AuthenticationException、AccessDeniedException 非常的处置惩罚,那么我们就需自定义AuthenticationEntryPoint、AccessDeniedException 的实现类,然后将自定义的非常实现类设置到配置中去。
我们可以通过 accessDeniedHandler(AccessDeniedHandler accessDeniedHandler)、authenticationEntryPoint(AuthenticationEntryPoint authenticationEntryPoint) 方法,将自定义的非常设置到配置中去。
具体自定义的类如下
  1. import lombok.Getter;
  2. @Getter
  3. public enum ResultCodeEnum {
  4.     SUCCESS(200,"成功"),
  5.     FAIL(201, "失败");
  6.     private Integer code;
  7.     private String message;
  8.     private ResultCodeEnum(Integer code, String message) {
  9.         this.code = code;
  10.         this.message = message;
  11.     }
  12. }
  13. package com.tuling.resourceserver.exception;
  14. import com.nimbusds.jose.shaded.gson.Gson;
  15. import jakarta.servlet.http.HttpServletResponse;
  16. import lombok.Data;
  17. import org.springframework.http.MediaType;
  18. import org.springframework.security.core.AuthenticationException;
  19. import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
  20. import java.io.IOException;
  21. import java.nio.file.AccessDeniedException;
  22. @Data
  23. public class ResponseResult<T> {
  24.     /**
  25.      * 状态码
  26.      */
  27.     private Integer code;
  28.     /**
  29.      * 返回信息
  30.      */
  31.     private String message;
  32.     /**
  33.      * 数据
  34.      */
  35.     private T data;
  36.     private ResponseResult() {
  37.     }
  38.     public static <T> ResponseResult<T> build(T body, ResultCodeEnum resultCodeEnum) {
  39.         ResponseResult<T> result = new ResponseResult<>();
  40.         //封装数据
  41.         if (body != null) {
  42.             result.setData(body);
  43.         }
  44.         //状态码
  45.         result.setCode(resultCodeEnum.getCode());
  46.         //返回信息
  47.         result.setMessage(resultCodeEnum.getMessage());
  48.         return result;
  49.     }
  50.     public static <T> ResponseResult<T> ok() {
  51.         return build(null, ResultCodeEnum.SUCCESS);
  52.     }
  53.     public static <T> ResponseResult<T> ok(T data) {
  54.         return build(data, ResultCodeEnum.SUCCESS);
  55.     }
  56.     public static <T> ResponseResult<T> fail() {
  57.         return build(null, ResultCodeEnum.FAIL);
  58.     }
  59.     public static <T> ResponseResult<T> fail(T data) {
  60.         return build(data, ResultCodeEnum.FAIL);
  61.     }
  62.     public ResponseResult<T> message(String msg) {
  63.         this.setMessage(msg);
  64.         return this;
  65.     }
  66.     public ResponseResult<T> code(Integer code) {
  67.         this.setCode(code);
  68.         return this;
  69.     }
  70.     public static void exceptionResponse(HttpServletResponse response, Exception e) throws AccessDeniedException, AuthenticationException, IOException {
  71.         String message = null;
  72.         if (e instanceof OAuth2AuthenticationException o) {
  73.             message = o.getError().getDescription();
  74.         } else {
  75.             message = e.getMessage();
  76.         }
  77.         exceptionResponse(response, message);
  78.     }
  79.     public static void exceptionResponse(HttpServletResponse response, String message) throws AccessDeniedException, AuthenticationException, IOException {
  80.         ResponseResult responseResult = ResponseResult.fail(message);
  81.         Gson gson = new Gson();
  82.         String jsonResult = gson.toJson(responseResult);
  83.         response.setStatus(HttpServletResponse.SC_OK);
  84.         response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
  85.         response.getWriter().print(jsonResult);
  86.     }
  87. }
  88. import jakarta.servlet.ServletException;
  89. import org.springframework.http.MediaType;
  90. import org.springframework.security.authentication.InsufficientAuthenticationException;
  91. import org.springframework.security.core.AuthenticationException;
  92. import org.springframework.security.oauth2.server.resource.InvalidBearerTokenException;
  93. import org.springframework.security.web.AuthenticationEntryPoint;
  94. import jakarta.servlet.http.HttpServletRequest;
  95. import jakarta.servlet.http.HttpServletResponse;
  96. import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
  97. import java.io.IOException;
  98. /**
  99. * 自定义AuthenticationEntryPoint
  100. */
  101. public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
  102.     @Override
  103.     public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
  104.         if(authException instanceof InsufficientAuthenticationException){
  105.             String accept = request.getHeader("accept");
  106.             if(accept.contains(MediaType.TEXT_HTML_VALUE)){
  107.                 //如果是html请求类型,则返回登录页
  108.                 LoginUrlAuthenticationEntryPoint loginUrlAuthenticationEntryPoint = new LoginUrlAuthenticationEntryPoint("/login");
  109.                 loginUrlAuthenticationEntryPoint.commence(request,response,authException);
  110.             }else {
  111.                 //如果是api请求类型,则返回json
  112.                 ResponseResult.exceptionResponse(response,"需要带上令牌进行访问");
  113.             }
  114.         }else if(authException instanceof InvalidBearerTokenException){
  115.             ResponseResult.exceptionResponse(response,"令牌无效或已过期");
  116.         }else{
  117.             ResponseResult.exceptionResponse(response,authException);
  118.         }
  119.     }
  120. }
  121. import jakarta.servlet.ServletException;
  122. import jakarta.servlet.http.HttpServletRequest;
  123. import jakarta.servlet.http.HttpServletResponse;
  124. import org.springframework.security.access.AccessDeniedException;
  125. import org.springframework.security.oauth2.server.resource.authentication.AbstractOAuth2TokenAuthenticationToken;
  126. import org.springframework.security.web.access.AccessDeniedHandler;
  127. import java.io.IOException;
  128. /**
  129. * 自定义AccessDeniedHandler
  130. */
  131. public class MyAccessDeniedHandler implements AccessDeniedHandler {
  132.     @Override
  133.     public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
  134.         if(request.getUserPrincipal() instanceof AbstractOAuth2TokenAuthenticationToken){
  135.             ResponseResult.exceptionResponse(response,"权限不足");
  136.         }else {
  137.             ResponseResult.exceptionResponse(response,accessDeniedException);
  138.         }
  139.     }
  140. }
复制代码
SecurityConfig 中配置非常处置惩罚的类
之前的配置项
  1. @Bean
  2. SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  3.     http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
  4.                                //所有的访问都需要通过身份认证
  5.                                .anyRequest().authenticated()
  6.                               )
  7.                 // 使用jwt处理接收到的access token
  8.         .oauth2ResourceServer((oauth2ResourceServer) -> oauth2ResourceServer
  9.                               .jwt(Customizer.withDefaults())
  10.                              );
  11.     return http.build();
  12. }
复制代码
如今的配置
  1. @Bean
  2. SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  3.     http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
  4.                                //所有的访问都需要通过身份认证
  5.                                .anyRequest().authenticated()
  6.                               )
  7.         // 使用jwt处理接收到的access token
  8.         .oauth2ResourceServer((oauth2ResourceServer) -> oauth2ResourceServer
  9.                               .jwt(Customizer.withDefaults())
  10.                               // 自定义异常处理类
  11.                               .authenticationEntryPoint(new MyAuthenticationEntryPoint())
  12.                               .accessDeniedHandler(new MyAccessDeniedHandler())
  13.                              );
  14.     return http.build();
  15. }
复制代码
测试



基于数据库存储改造授权服务器

客户端注册信息存储改造

引入依赖
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.     <modelVersion>4.0.0</modelVersion>
  5.     <parent>
  6.         <groupId>org.springframework.boot</groupId>
  7.         <artifactId>spring-boot-starter-parent</artifactId>
  8.         <version>3.1.4</version>
  9.         <relativePath/> <!-- lookup parent from repository -->
  10.     </parent>
  11.     <groupId>com.tuling</groupId>
  12.     <artifactId>auth-server-jdbc</artifactId>
  13.     <version>0.0.1-SNAPSHOT</version>
  14.     <name>auth-server-jdbc</name>
  15.     <description>auth-server-jdbc</description>
  16.     <properties>
  17.         <java.version>17</java.version>
  18.     </properties>
  19.     <dependencies>
  20.         <!--Spring Authorization Server-->
  21.         <dependency>
  22.             <groupId>org.springframework.boot</groupId>
  23.             <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
  24.         </dependency>
  25.         <!--lombok-->
  26.         <dependency>
  27.             <groupId>org.projectlombok</groupId>
  28.             <artifactId>lombok</artifactId>
  29.         </dependency>
  30.         <!--mysql-->
  31.         <dependency>
  32.             <groupId>com.mysql</groupId>
  33.             <artifactId>mysql-connector-j</artifactId>
  34.         </dependency>
  35.         <!-- mybatis-plus 3.5.3及以上版本 才支持 spring boot 3-->
  36.         <dependency>
  37.             <groupId>com.baomidou</groupId>
  38.             <artifactId>mybatis-plus-boot-starter</artifactId>
  39.             <version>3.5.3.1</version>
  40.         </dependency>
  41.         <!-- 添加spring security cas支持 -->
  42.         <dependency>
  43.             <groupId>org.springframework.security</groupId>
  44.             <artifactId>spring-security-cas</artifactId>
  45.         </dependency>
  46.         <dependency>
  47.             <groupId>org.springframework.boot</groupId>
  48.             <artifactId>spring-boot-starter</artifactId>
  49.         </dependency>
  50.         <dependency>
  51.             <groupId>org.springframework.boot</groupId>
  52.             <artifactId>spring-boot-starter-test</artifactId>
  53.             <scope>test</scope>
  54.         </dependency>
  55.     </dependencies>
  56.     <build>
  57.         <plugins>
  58.             <plugin>
  59.                 <groupId>org.springframework.boot</groupId>
  60.                 <artifactId>spring-boot-maven-plugin</artifactId>
  61.             </plugin>
  62.         </plugins>
  63.     </build>
  64. </project>
复制代码
留意:这里需添加 spring-security-cas 依赖,否则启动时报 java.lang.ClassNotFoundException: org.springframework.security.cas.jackson2.CasJackson2Module 错误。
准备sql脚本,创建oauth-server数据库
在上面的认证过程中,客户端信息是基于内存的,写死在代码中,如今我们将他改造从数据库中读取。
我们在 org.springframework.security.oauth2.server.authorization 包下,可以看到 oauth2-registered-client-schema.sql、oauth2-authorization-consent-schema.sql、oauth2-authorization-schema.sql 三个 sql 文件。

新建 mysql 数据库 oauth-server,实行下面的 sql 语句。
  1. /**
  2. * 客户端信息表
  3. */
  4. CREATE TABLE oauth2_registered_client (
  5.     id varchar(100) NOT NULL,
  6.     client_id varchar(100) NOT NULL,
  7.     client_id_issued_at timestamp DEFAULT CURRENT_TIMESTAMP NOT NULL,
  8.     client_secret varchar(200) DEFAULT NULL,
  9.     client_secret_expires_at timestamp DEFAULT NULL,
  10.     client_name varchar(200) NOT NULL,
  11.     client_authentication_methods varchar(1000) NOT NULL,
  12.     authorization_grant_types varchar(1000) NOT NULL,
  13.     redirect_uris varchar(1000) DEFAULT NULL,
  14.     post_logout_redirect_uris varchar(1000) DEFAULT NULL,
  15.     scopes varchar(1000) NOT NULL,
  16.     client_settings varchar(2000) NOT NULL,
  17.     token_settings varchar(2000) NOT NULL,
  18.     PRIMARY KEY (id)
  19. );
  20. /**
  21. * 授权确认表
  22. */
  23. CREATE TABLE oauth2_authorization_consent (
  24.     registered_client_id varchar(100) NOT NULL,
  25.     principal_name varchar(200) NOT NULL,
  26.     authorities varchar(1000) NOT NULL,
  27.     PRIMARY KEY (registered_client_id, principal_name)
  28. );
  29. /**
  30. * 授权信息表
  31. */
  32. CREATE TABLE oauth2_authorization (
  33.     id varchar(100) NOT NULL,
  34.     registered_client_id varchar(100) NOT NULL,
  35.     principal_name varchar(200) NOT NULL,
  36.     authorization_grant_type varchar(100) NOT NULL,
  37.     authorized_scopes varchar(1000) DEFAULT NULL,
  38.     attributes blob DEFAULT NULL,
  39.     state varchar(500) DEFAULT NULL,
  40.     authorization_code_value blob DEFAULT NULL,
  41.     authorization_code_issued_at timestamp DEFAULT NULL,
  42.     authorization_code_expires_at timestamp DEFAULT NULL,
  43.     authorization_code_metadata blob DEFAULT NULL,
  44.     access_token_value blob DEFAULT NULL,
  45.     access_token_issued_at timestamp DEFAULT NULL,
  46.     access_token_expires_at timestamp DEFAULT NULL,
  47.     access_token_metadata blob DEFAULT NULL,
  48.     access_token_type varchar(100) DEFAULT NULL,
  49.     access_token_scopes varchar(1000) DEFAULT NULL,
  50.     oidc_id_token_value blob DEFAULT NULL,
  51.     oidc_id_token_issued_at timestamp DEFAULT NULL,
  52.     oidc_id_token_expires_at timestamp DEFAULT NULL,
  53.     oidc_id_token_metadata blob DEFAULT NULL,
  54.     refresh_token_value blob DEFAULT NULL,
  55.     refresh_token_issued_at timestamp DEFAULT NULL,
  56.     refresh_token_expires_at timestamp DEFAULT NULL,
  57.     refresh_token_metadata blob DEFAULT NULL,
  58.     user_code_value blob DEFAULT NULL,
  59.     user_code_issued_at timestamp DEFAULT NULL,
  60.     user_code_expires_at timestamp DEFAULT NULL,
  61.     user_code_metadata blob DEFAULT NULL,
  62.     device_code_value blob DEFAULT NULL,
  63.     device_code_issued_at timestamp DEFAULT NULL,
  64.     device_code_expires_at timestamp DEFAULT NULL,
  65.     device_code_metadata blob DEFAULT NULL,
  66.     PRIMARY KEY (id)
  67. );
复制代码
注册客户端信息
将上面config配置类代码中注册的客户端信息整理成 sql 语句插入数据库表。
留意:此时将客户端密钥 {noop}secret,改为密文存储。
  1. INSERT INTO `oauth-server`.`oauth2_registered_client` (`id`, `client_id`, `client_id_issued_at`, `client_secret`, `client_secret_expires_at`, `client_name`, `client_authentication_methods`, `authorization_grant_types`, `redirect_uris`, `post_logout_redirect_uris`, `scopes`, `client_settings`, `token_settings`) VALUES ('3eacac0e-0de9-4727-9a64-6bdd4be2ee1f', 'oidc-client', '2023-07-12 07:33:42', '$2a$10$.J0Rfg7y2Mu8AN8Dk2vL.eBFa9NGbOYCPOAFEw.QhgGLVXjO7eFDC', NULL, '3eacac0e-0de9-4727-9a64-6bdd4be2ee1f', 'client_secret_basic', 'refresh_token,authorization_code', 'http://www.baidu.com', 'http://127.0.0.1:8080/', 'openid,profile', '{"@class":"java.util.Collections$UnmodifiableMap","settings.client.require-proof-key":false,"settings.client.require-authorization-consent":true}', '{"@class":"java.util.Collections$UnmodifiableMap","settings.token.reuse-refresh-tokens":true,"settings.token.id-token-signature-algorithm":["org.springframework.security.oauth2.jose.jws.SignatureAlgorithm","RS256"],"settings.token.access-token-time-to-live":["java.time.Duration",300.000000000],"settings.token.access-token-format":{"@class":"org.springframework.security.oauth2.server.authorization.settings.OAuth2TokenFormat","value":"self-contained"},"settings.token.refresh-token-time-to-live":["java.time.Duration",3600.000000000],"settings.token.authorization-code-time-to-live":["java.time.Duration",300.000000000],"settings.token.device-code-time-to-live":["java.time.Duration",300.000000000]}');
复制代码
添加数据库连接,application.yml 配置如下
  1. server:
  2.   port: 9000
  3. logging:
  4.   level:
  5.     org.springframework.security: trace
  6. spring:  application:    name: spring-oauth-server  datasource:    driver-class-name: com.mysql.cj.jdbc.Driver    url: jdbc:mysql://localhost:3306/oauth-server?serverTimezone=UTC&userUnicode=true&characterEncoding=utf-8    username: root    password: 1234
复制代码
在 SecurityConfig 中分别注入 RegisteredClientRepository、OAuth2AuthorizationService、OAuth2AuthorizationConsentService 。
  1. /**
  2. * 客户端信息
  3. * 对应表:oauth2_registered_client
  4. */
  5. @Bean
  6. public RegisteredClientRepository registeredClientRepository(JdbcTemplate jdbcTemplate) {
  7.     return new JdbcRegisteredClientRepository(jdbcTemplate);
  8. }
  9. /**
  10. * 授权信息
  11. * 对应表:oauth2_authorization
  12. */
  13. @Bean
  14. public OAuth2AuthorizationService authorizationService(JdbcTemplate jdbcTemplate, RegisteredClientRepository registeredClientRepository) {
  15.     return new JdbcOAuth2AuthorizationService(jdbcTemplate, registeredClientRepository);
  16. }
  17. /**
  18. * 授权确认
  19. *对应表:oauth2_authorization_consent
  20. */
  21. @Bean
  22. public OAuth2AuthorizationConsentService authorizationConsentService(JdbcTemplate jdbcTemplate, RegisteredClientRepository registeredClientRepository) {
  23.     return new JdbcOAuth2AuthorizationConsentService(jdbcTemplate, registeredClientRepository);
  24. }
复制代码
用户信息存储改造

在 SecurityConfig 类中的 UserDetailsService 也是基于内存的,用户信息在代码中写死,我们也把他改成从数据库中读取,新建 sys_user 表如下。
  1. CREATE TABLE `sys_user` (
  2.   `id` bigint NOT NULL AUTO_INCREMENT COMMENT 'id',
  3.   `username` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL DEFAULT '' COMMENT '用户名',
  4.   `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL DEFAULT '' COMMENT '密码',
  5.   `name` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL COMMENT '姓名',
  6.   `description` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL COMMENT '描述',
  7.   `status` tinyint DEFAULT NULL COMMENT '状态(1:正常 0:停用)',
  8.   PRIMARY KEY (`id`) USING BTREE,
  9.   UNIQUE KEY `idx_username` (`username`) USING BTREE
  10. ) ENGINE=InnoDB AUTO_INCREMENT=14 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci ROW_FORMAT=DYNAMIC COMMENT='用户表';
  11. INSERT INTO `oauth-server`.`sys_user` (`id`, `username`, `password`, `name`, `description`, `status`) VALUES (1, 'hushang', '$2a$10$8fyY0WbNAr980e6nLcPL5ugmpkLLH3serye5SJ3UcDForTW5b0Sx.', '测试用户', 'Spring Security 测试用户', 1);
复制代码
给 sys_user 增长对应的对应的实体和功能实现类,SysUserEntity、SysUserMapper、SysUserService、SysUserServiceImpl 代码如下。
  1. import com.baomidou.mybatisplus.annotation.IdType;
  2. import com.baomidou.mybatisplus.annotation.TableId;
  3. import com.baomidou.mybatisplus.annotation.TableName;
  4. import lombok.AllArgsConstructor;
  5. import lombok.Data;
  6. import lombok.NoArgsConstructor;
  7. import java.io.Serializable;
  8. @Data
  9. @AllArgsConstructor
  10. @NoArgsConstructor
  11. @TableName("sys_user")
  12. public class SysUserEntity implements Serializable {
  13.     /**
  14.      * 主键
  15.      */
  16.     @TableId(type = IdType.AUTO)
  17.     private Integer id;
  18.     /**
  19.      * 用户名
  20.      */
  21.     private String username;
  22.     /**
  23.      * 密码
  24.      */
  25.     private String password;
  26.     /**
  27.      * 名字
  28.      */
  29.     private String name;
  30.     /**
  31.      * 描述
  32.      */
  33.     private String description;
  34.     /**
  35.      * 状态
  36.      */
  37.     private Integer status;
  38. }
  39. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  40. import org.apache.ibatis.annotations.Mapper;
  41. @Mapper
  42. public interface SysUserMapper extends BaseMapper<SysUserEntity> {
  43. }
  44. public interface SysUserService {
  45.     /**
  46.      *
  47.      * 根据用户名查询用户信息
  48.      */
  49.     SysUserEntity selectByUsername(String username);
  50. }
  51. import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
  52. import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
  53. import org.springframework.stereotype.Service;
  54. @Service
  55. public class SysUserServiceImpl extends ServiceImpl<SysUserMapper, SysUserEntity> implements SysUserService {
  56.     @Override
  57.     public SysUserEntity selectByUsername(String username) {
  58.         LambdaQueryWrapper<SysUserEntity> lambdaQueryWrapper = new LambdaQueryWrapper();
  59.         lambdaQueryWrapper.eq(SysUserEntity::getUsername,username);
  60.         return this.getOne(lambdaQueryWrapper);
  61.     }
  62. }
复制代码
SecurityConfig 类,将 UserDetailsService 基于内存实现的代码解释掉,增长 PasswordEncoder 配置,SecurityConfig 改造后代码如下。
  1.     /**
  2.      *设置用户信息,校验用户名、密码
  3.      */
  4. //    @Bean
  5. //    public UserDetailsService userDetailsService() {
  6. //        UserDetails userDetails = User.withDefaultPasswordEncoder()
  7. //                .username("hushang")
  8. //                .password("123456")
  9. //                .roles("USER")
  10. //                .build();
  11. //        //基于内存的用户数据校验
  12. //        return new InMemoryUserDetailsManager(userDetails);
  13. //    }
  14.     @Bean
  15.     public PasswordEncoder passwordEncoder() {
  16.         return new BCryptPasswordEncoder();
  17.     }
复制代码
创建 UserDetailsServiceImpl 类继承 UserDetailsService 接口,添加 @Service 注解交给 Spring 容器管理,重写 loadUserByUsername(String username) 方法,实现用户信息从数据库查询,UserDetailsServiceImpl 代码如下。
  1. import jakarta.annotation.Resource;
  2. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  3. import org.springframework.security.core.userdetails.User;
  4. import org.springframework.security.core.userdetails.UserDetails;
  5. import org.springframework.security.core.userdetails.UserDetailsService;
  6. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  7. import org.springframework.stereotype.Service;
  8. import java.util.Arrays;
  9. import java.util.List;
  10. import java.util.stream.Collectors;
  11. @Service
  12. public class UserDetailsServiceImpl implements UserDetailsService {
  13.     @Resource
  14.     private SysUserService sysUserService;
  15.     @Override
  16.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  17.         SysUserEntity sysUserEntity = sysUserService.selectByUsername(username);
  18.         List<SimpleGrantedAuthority> grantedAuthorityList = Arrays.asList("USER").stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
  19.         return new User(username,sysUserEntity.getPassword(),grantedAuthorityList);
  20.     }
  21. }
复制代码
修改全部完成,可以进行测试。此时config配置类的内容如下所示
  1. import com.nimbusds.jose.jwk.JWKSet;
  2. import com.nimbusds.jose.jwk.RSAKey;
  3. import com.nimbusds.jose.jwk.source.ImmutableJWKSet;
  4. import com.nimbusds.jose.jwk.source.JWKSource;
  5. import com.nimbusds.jose.proc.SecurityContext;
  6. import org.springframework.context.annotation.Bean;
  7. import org.springframework.context.annotation.Configuration;
  8. import org.springframework.core.annotation.Order;
  9. import org.springframework.http.MediaType;
  10. import org.springframework.jdbc.core.JdbcTemplate;
  11. import org.springframework.security.config.Customizer;
  12. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  13. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  14. import org.springframework.security.core.userdetails.User;
  15. import org.springframework.security.core.userdetails.UserDetails;
  16. import org.springframework.security.core.userdetails.UserDetailsService;
  17. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  18. import org.springframework.security.crypto.password.PasswordEncoder;
  19. import org.springframework.security.oauth2.jwt.JwtDecoder;
  20. import org.springframework.security.oauth2.server.authorization.JdbcOAuth2AuthorizationConsentService;
  21. import org.springframework.security.oauth2.server.authorization.JdbcOAuth2AuthorizationService;
  22. import org.springframework.security.oauth2.server.authorization.OAuth2AuthorizationConsentService;
  23. import org.springframework.security.oauth2.server.authorization.OAuth2AuthorizationService;
  24. import org.springframework.security.oauth2.server.authorization.client.JdbcRegisteredClientRepository;
  25. import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;
  26. import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;
  27. import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer;
  28. import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;
  29. import org.springframework.security.provisioning.InMemoryUserDetailsManager;
  30. import org.springframework.security.web.SecurityFilterChain;
  31. import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
  32. import org.springframework.security.web.util.matcher.MediaTypeRequestMatcher;
  33. import java.security.KeyPair;
  34. import java.security.KeyPairGenerator;
  35. import java.security.interfaces.RSAPrivateKey;
  36. import java.security.interfaces.RSAPublicKey;
  37. import java.util.UUID;
  38. @Configuration
  39. @EnableWebSecurity
  40. public class SecurityConfig {
  41.     @Bean
  42.     @Order(1)
  43.     public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
  44.             throws Exception {
  45.         OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
  46.         http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
  47.                 //开启OpenID Connect 1.0(其中oidc为OpenID Connect的缩写)。
  48.                 .oidc(Customizer.withDefaults());
  49.         http
  50.                 //将需要认证的请求,重定向到login页面行登录认证。
  51.                 .exceptionHandling((exceptions) -> exceptions
  52.                         .defaultAuthenticationEntryPointFor(
  53.                                 new LoginUrlAuthenticationEntryPoint("/login"),
  54.                                 new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
  55.                         )
  56.                 )
  57.                 // 使用jwt处理接收到的access token
  58.                 .oauth2ResourceServer((resourceServer) -> resourceServer
  59.                         .jwt(Customizer.withDefaults()));
  60.         return http.build();
  61.     }
  62.     /**
  63.      *Spring Security 过滤链配置(此处是纯Spring Security相关配置)
  64.      */
  65.     @Bean
  66.     @Order(2)
  67.     public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
  68.             throws Exception {
  69.         http
  70.                 //设置所有请求都需要认证,未认证的请求都被重定向到login页面进行登录
  71.                 .authorizeHttpRequests((authorize) -> authorize
  72.                         .anyRequest().authenticated()
  73.                 )
  74.                 // 由Spring Security过滤链中UsernamePasswordAuthenticationFilter过滤器拦截处理“login”页面提交的登录信息。
  75.                 .formLogin(Customizer.withDefaults());
  76.         return http.build();
  77.     }
  78.     /**
  79.      * 客户端信息
  80.      * 对应表:oauth2_registered_client
  81.      */
  82.     @Bean
  83.     public RegisteredClientRepository registeredClientRepository(JdbcTemplate jdbcTemplate) {
  84.         return new JdbcRegisteredClientRepository(jdbcTemplate);
  85.     }
  86.     /**
  87.      * 授权信息
  88.      * 对应表:oauth2_authorization
  89.      */
  90.     @Bean
  91.     public OAuth2AuthorizationService authorizationService(JdbcTemplate jdbcTemplate, RegisteredClientRepository registeredClientRepository) {
  92.         return new JdbcOAuth2AuthorizationService(jdbcTemplate, registeredClientRepository);
  93.     }
  94.     /**
  95.      * 授权确认
  96.      *对应表:oauth2_authorization_consent
  97.      */
  98.     @Bean
  99.     public OAuth2AuthorizationConsentService authorizationConsentService(JdbcTemplate jdbcTemplate, RegisteredClientRepository registeredClientRepository) {
  100.         return new JdbcOAuth2AuthorizationConsentService(jdbcTemplate, registeredClientRepository);
  101.     }
  102.     /**
  103.      *设置用户信息,校验用户名、密码
  104.      */
  105. //    @Bean
  106. //    public UserDetailsService userDetailsService() {
  107. //        UserDetails userDetails = User.withDefaultPasswordEncoder()
  108. //                .username("fox")
  109. //                .password("123456")
  110. //                .roles("USER")
  111. //                .build();
  112. //        //基于内存的用户数据校验
  113. //        return new InMemoryUserDetailsManager(userDetails);
  114. //    }
  115.     @Bean
  116.     public PasswordEncoder passwordEncoder() {
  117.         return new BCryptPasswordEncoder();
  118.     }
  119.     /**
  120.      *配置 JWK,为JWT(id_token)提供加密密钥,用于加密/解密或签名/验签
  121.      * JWK详细见:https://datatracker.ietf.org/doc/html/draft-ietf-jose-json-web-key-41
  122.      */
  123.     @Bean
  124.     public JWKSource<SecurityContext> jwkSource() {
  125.         KeyPair keyPair = generateRsaKey();
  126.         RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
  127.         RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
  128.         RSAKey rsaKey = new RSAKey.Builder(publicKey)
  129.                 .privateKey(privateKey)
  130.                 .keyID(UUID.randomUUID().toString())
  131.                 .build();
  132.         JWKSet jwkSet = new JWKSet(rsaKey);
  133.         return new ImmutableJWKSet<>(jwkSet);
  134.     }
  135.     /**
  136.      *生成RSA密钥对,给上面jwkSource() 方法的提供密钥对
  137.      */
  138.     private static KeyPair generateRsaKey() {
  139.         KeyPair keyPair;
  140.         try {
  141.             KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
  142.             keyPairGenerator.initialize(2048);
  143.             keyPair = keyPairGenerator.generateKeyPair();
  144.         }
  145.         catch (Exception ex) {
  146.             throw new IllegalStateException(ex);
  147.         }
  148.         return keyPair;
  149.     }
  150.     /**
  151.      * 配置jwt解析器
  152.      */
  153.     @Bean
  154.     public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
  155.         return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
  156.     }
  157.     /**
  158.      *配置认证服务器请求地址
  159.      */
  160.     @Bean
  161.     public AuthorizationServerSettings authorizationServerSettings() {
  162.         //什么都不配置,则使用默认地址
  163.         return AuthorizationServerSettings.builder().build();
  164.     }
  165. }
复制代码
测试

启动服务,再次访问 http://localhost:9000/oauth2/authorizeresponse_type=code&client_id=oidc-client&scope=profile openid&redirect_uri=http://www.baidu.com 所在,会跳转到登录界面。请求参数包括:请求模式为授权码code、client_id、scope、redirect_uri

输入用户名:hushang,暗码:123456,则跳转至授权页面

勾选授权信息profile,点击提交按钮,则返回如下效果

SSO单点登录实战

单点登录(Single Sign On),简称为 SSO,是比力流行的企业业务整合的解决方案之一。它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只必要登录一次就可以访问权限范围内的全部应用子系统。
实现思绪

单点登录涉及到多个客户端,客户端就以订单服务、商品服务为例。以下是单点登录中,订单服务、商品服务、认证服务器的交互时序图:
授权服务器搭建

参考上方Spring Authorization Server实战中搭建授权服务器

订单服务搭建

订单服务作为客户端,参考前面客户端的搭建
引入依赖
  1. <!--spring-boot-starter-oauth2-client-->
  2. <dependency>
  3.     <groupId>org.springframework.boot</groupId>
  4.     <artifactId>spring-boot-starter-oauth2-client</artifactId>
  5. </dependency>
  6. <dependency>
  7.     <groupId>org.springframework.boot</groupId>
  8.     <artifactId>spring-boot-starter-web</artifactId>
  9. </dependency>
复制代码
我在本机的hosts文件下又增长一条本机的域名映射 127.0.0.1 spring-oauth-client-order
application.yml配置如下
  1. server:
  2.   ip: spring-oauth-client-order
  3.   port: 9003
  4. logging:
  5.   level:
  6.     org.springframework.security: trace
  7. spring:
  8.   application:
  9.     name: spring-oauth-client-order
  10.   security:
  11.     oauth2:
  12.       client:
  13.         provider:
  14.           #认证服务器信息
  15.           oauth-server:
  16.             #授权地址
  17.             issuer-uri: http://spring-oauth-server:9000
  18.             authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize
  19.             #令牌获取地址
  20.             tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token
  21.         registration:
  22.           messaging-client-oidc:
  23.             #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
  24.             provider: oauth-server
  25.             #客户端名称
  26.             client-name: web平台-SSO客户端-订单服务
  27.             #客户端id,从认证平台申请的客户端id
  28.             client-id: web-client-id-order
  29.             #客户端秘钥
  30.             client-secret: secret
  31.             #客户端认证方式为client_secret_basic
  32.             client-authentication-method: client_secret_basic
  33.             #使用授权码模式获取令牌(token)
  34.             authorization-grant-type: authorization_code
  35.             #回调地址,接收认证服务器回传code的接口地址,之前我们是使用http://www.baidu.com代替
  36.             redirect-uri: http://spring-oauth-client-order:9003/login/oauth2/code/messaging-client-oidc
  37.             scope:
  38.               - profile
  39.               - openid
复制代码
oauth2_registered_client表增长一条订单服务的客户端记载
  1. INSERT INTO `oauth-server`.`oauth2_registered_client` (`id`, `client_id`, `client_id_issued_at`, `client_secret`, `client_secret_expires_at`, `client_name`, `client_authentication_methods`, `authorization_grant_types`, `redirect_uris`, `post_logout_redirect_uris`, `scopes`, `client_settings`, `token_settings`) VALUES ('3eacac0e-0de9-4727-9a64-6bdd4be2ee3', 'web-client-id-order', '2023-07-12 07:33:42', '$2a$10$.J0Rfg7y2Mu8AN8Dk2vL.eBFa9NGbOYCPOAFEw.QhgGLVXjO7eFDC', NULL, 'web平台-SSO客户端-订单服务', 'client_secret_basic', 'refresh_token,authorization_code', 'http://spring-oauth-client-order:9003/login/oauth2/code/messaging-client-oidc', 'http://127.0.0.1:9000/', 'openid,profile', '{"@class":"java.util.Collections$UnmodifiableMap","settings.client.require-proof-key":false,"settings.client.require-authorization-consent":true}', '{"@class":"java.util.Collections$UnmodifiableMap","settings.token.reuse-refresh-tokens":true,"settings.token.id-token-signature-algorithm":["org.springframework.security.oauth2.jose.jws.SignatureAlgorithm","RS256"],"settings.token.access-token-time-to-live":["java.time.Duration",1800.000000000],"settings.token.access-token-format":{"@class":"org.springframework.security.oauth2.server.authorization.settings.OAuth2TokenFormat","value":"self-contained"},"settings.token.refresh-token-time-to-live":["java.time.Duration",3600.000000000],"settings.token.authorization-code-time-to-live":["java.time.Duration",300.000000000],"settings.token.device-code-time-to-live":["java.time.Duration",300.000000000]}');
复制代码
商品服务搭建

商品服务作为客户端,参考前面客户端的搭建
我在本机的hosts文件下又增长一条本机的域名映射 127.0.0.1 spring-oauth-client-product
application.yml配置如下
  1. server:
  2.   ip: spring-oauth-client-product
  3.   port: 9004
  4. logging:
  5.   level:
  6.     org.springframework.security: trace
  7. spring:
  8.   application:
  9.     name: spring-oauth-client-product
  10.   security:
  11.     oauth2:
  12.       client:
  13.         provider:
  14.           #认证服务器信息
  15.           oauth-server:
  16.             #授权地址
  17.             issuer-uri: http://spring-oauth-server:9000
  18.             authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize
  19.             #令牌获取地址
  20.             tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token
  21.         registration:
  22.           messaging-client-oidc:
  23.             #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
  24.             provider: oauth-server
  25.             #客户端名称
  26.             client-name: web平台-SSO客户端-商品服务
  27.             #客户端id,从认证平台申请的客户端id
  28.             client-id: web-client-id-product
  29.             #客户端秘钥
  30.             client-secret: secret
  31.             #客户端认证方式
  32.             client-authentication-method: client_secret_basic
  33.             #使用授权码模式获取令牌(token)
  34.             authorization-grant-type: authorization_code
  35.             #回调地址,接收认证服务器回传code的接口地址,之前我们是使用http://www.baidu.com代替
  36.             redirect-uri: http://spring-oauth-client-product:9004/login/oauth2/code/messaging-client-oidc
  37.             scope:
  38.               - profile
  39.               - openid
复制代码
oauth2_registered_client表增长一条商品服务的客户端记载
  1. INSERT INTO `oauth-server`.`oauth2_registered_client` (`id`, `client_id`, `client_id_issued_at`, `client_secret`, `client_secret_expires_at`, `client_name`, `client_authentication_methods`, `authorization_grant_types`, `redirect_uris`, `post_logout_redirect_uris`, `scopes`, `client_settings`, `token_settings`) VALUES ('3eacac0e-0de9-4727-9a64-6bdd4be2ee4', 'web-client-id-product', '2023-07-12 07:33:42', '$2a$10$.J0Rfg7y2Mu8AN8Dk2vL.eBFa9NGbOYCPOAFEw.QhgGLVXjO7eFDC', NULL, 'web平台-SSO客户端-商品服务', 'client_secret_basic', 'refresh_token,authorization_code', 'http://spring-oauth-client-product:9004/login/oauth2/code/messaging-client-oidc', 'http://127.0.0.1:9000/', 'openid,profile', '{"@class":"java.util.Collections$UnmodifiableMap","settings.client.require-proof-key":false,"settings.client.require-authorization-consent":true}', '{"@class":"java.util.Collections$UnmodifiableMap","settings.token.reuse-refresh-tokens":true,"settings.token.id-token-signature-algorithm":["org.springframework.security.oauth2.jose.jws.SignatureAlgorithm","RS256"],"settings.token.access-token-time-to-live":["java.time.Duration",1800.000000000],"settings.token.access-token-format":{"@class":"org.springframework.security.oauth2.server.authorization.settings.OAuth2TokenFormat","value":"self-contained"},"settings.token.refresh-token-time-to-live":["java.time.Duration",3600.000000000],"settings.token.authorization-code-time-to-live":["java.time.Duration",300.000000000],"settings.token.device-code-time-to-live":["java.time.Duration",300.000000000]}');
复制代码
单点登录测试

商品服务和订单服务都写了一些简朴的html页面,并在各自的WebSecurityConfig配置类中对一些index.html资源的访问无需认证

测试无需登录的请求
浏览器输入所在http://spring-oauth-client-order:9003/index,测试放开保护的资源,能正常访问,效果如下

测试必要登录的请求
浏览器输入所在http://spring-oauth-client-order:9003/order1,测试受保护的资源,就会跳转至授权服务器的登录认证页面,效果如下:

输入用户:hushang,暗码:123456,提交登录,跳转到授权确认页面。

勾选授权信息,提交确认授权,则成功跳转到订单页面1,效果如下

点击“跳转到商品页面1”,此时我们从订单服务跳转到商品服务,属于跨客户端服务,由于我们在操作订单服务时已经输入用户名和暗码进行了登录,session会话已存在,因此在此处就绕过了用户名、暗码登录了。

勾选授权信息,提交确认授权,则成功跳转到订单页面1,效果如下:

在首次访问订单服务或商品服务受保护的资源时,在登录过程中,都会跳转到授权确认页面进行授权确认,假如想去掉授权确认页面的这一步操作,实现无感确认,可以将oauth2_registered_client表中对应的客户端记载,client_settings字段的settings.client.require-authorization-consent值设置为false。
将settings.client.require-authorization-consent值设置为false后,上面的测试,首次访问商品服务进行登录时,输入用户名、暗码提交后,将不会跳转到授权确认页面,直接默认授权,从商品服务的页面首次跳转到订单服务的页面时,也不会先跳转到授权确认页面,而是直接跳转到订单服务的页面。
微服务网关整合Oauth2安全认证明战

实现思绪


这就是网关通过认证服务获取认证信息的一个流程,基本上只必要添加配置文件即可由框架引导进行OAuth2认证流程。
配置授权服务器

参考上方Spring Authorization Server实战中搭建授权服务器
授权服务器中注册网关客户端信息
  1. INSERT INTO `oauth-server`.`oauth2_registered_client` (`id`, `client_id`, `client_id_issued_at`, `client_secret`, `client_secret_expires_at`, `client_name`, `client_authentication_methods`, `authorization_grant_types`, `redirect_uris`, `post_logout_redirect_uris`, `scopes`, `client_settings`, `token_settings`) VALUES ('3eacac0e-0de9-4727-9a64-6bdd4be2ee6', 'mall-gateway-id', '2023-07-12 07:33:42', '$2a$10$.J0Rfg7y2Mu8AN8Dk2vL.eBFa9NGbOYCPOAFEw.QhgGLVXjO7eFDC', NULL, '网关服务', 'client_secret_basic', 'refresh_token,authorization_code', 'http://mall-gateway:8888/login/oauth2/code/messaging-client-oidc', 'http://127.0.0.1:9000/', 'openid,profile', '{"@class":"java.util.Collections$UnmodifiableMap","settings.client.require-proof-key":false,"settings.client.require-authorization-consent":true}', '{"@class":"java.util.Collections$UnmodifiableMap","settings.token.reuse-refresh-tokens":true,"settings.token.id-token-signature-algorithm":["org.springframework.security.oauth2.jose.jws.SignatureAlgorithm","RS256"],"settings.token.access-token-time-to-live":["java.time.Duration",1800.000000000],"settings.token.access-token-format":{"@class":"org.springframework.security.oauth2.server.authorization.settings.OAuth2TokenFormat","value":"self-contained"},"settings.token.refresh-token-time-to-live":["java.time.Duration",3600.000000000],"settings.token.authorization-code-time-to-live":["java.time.Duration",300.000000000],"settings.token.device-code-time-to-live":["java.time.Duration",300.000000000]}');
复制代码
网关接入OAuth2

网关可以作为客户端和资源服务器
留意:Spring Cloud Gateway网关使用的是webflux,必要webflux版本的Spring Security支持
官方文档:https://docs.spring.io/spring-security/reference/reactive/oauth2/client/index.html
引入依赖
引入oauth2客户端和资源服务的依赖
  1. <!--spring-boot-starter-oauth2-client-->
  2. <dependency>
  3.     <groupId>org.springframework.boot</groupId>
  4.     <artifactId>spring-boot-starter-oauth2-client</artifactId>
  5.     <version>3.1.4</version>
  6. </dependency>
  7. <!--spring-boot-starter-oauth2-resource-server-->
  8. <dependency>
  9.     <groupId>org.springframework.boot</groupId>
  10.     <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
  11.     <version>3.1.4</version>
  12. </dependency>
复制代码
完整pom.xml文件
  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  4.     <modelVersion>4.0.0</modelVersion>
  5.    
  6.     <!--
  7.                 父项目中的版本
  8.                 <spring-boot.version>3.0.2</spring-boot.version>
  9.                 <spring-cloud-alibaba.version>2022.0.0.0</spring-cloud-alibaba.version>
  10.                 <spring-cloud.version>2022.0.0</spring-cloud.version>
  11.         -->
  12.     <parent>
  13.         <groupId>com.tuling</groupId>
  14.         <artifactId>tulingmall</artifactId>
  15.         <version>0.0.1-SNAPSHOT</version>
  16.     </parent>
  17.    
  18.     <groupId>com.tuling</groupId>
  19.     <artifactId>mall-gateway-oauth2</artifactId>
  20.     <version>0.0.1-SNAPSHOT</version>
  21.     <name>mall-gateway-oauth2</name>
  22.     <description>mall-gateway-oauth2</description>
  23.     <properties>
  24.         <java.version>17</java.version>
  25.     </properties>
  26.     <dependencies>
  27.         <!-- gateway网关 -->
  28.         <dependency>
  29.             <groupId>org.springframework.cloud</groupId>
  30.             <artifactId>spring-cloud-starter-gateway</artifactId>
  31.         </dependency>
  32.         <!-- nacos服务注册与发现 -->
  33.         <dependency>
  34.             <groupId>com.alibaba.cloud</groupId>
  35.             <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
  36.         </dependency>
  37.         <!-- SpringBoot3默认剔除了ribbon,所以这里需要引入loadbalancer的依赖 -->
  38.         <dependency>
  39.             <groupId>org.springframework.cloud</groupId>
  40.             <artifactId>spring-cloud-loadbalancer</artifactId>
  41.         </dependency>
  42.         <dependency>
  43.             <groupId>org.springframework.boot</groupId>
  44.             <artifactId>spring-boot-starter-webflux</artifactId>
  45.         </dependency>
  46.         <!--spring-boot-starter-oauth2-client-->
  47.         <dependency>
  48.             <groupId>org.springframework.boot</groupId>
  49.             <artifactId>spring-boot-starter-oauth2-client</artifactId>
  50.             <version>3.1.4</version>
  51.         </dependency>
  52.         <!--spring-boot-starter-oauth2-resource-server-->
  53.         <dependency>
  54.             <groupId>org.springframework.boot</groupId>
  55.             <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
  56.             <version>3.1.4</version>
  57.         </dependency>
  58.     </dependencies>
  59.     <build>
  60.         <plugins>
  61.             <plugin>
  62.                 <groupId>org.springframework.boot</groupId>
  63.                 <artifactId>spring-boot-maven-plugin</artifactId>
  64.             </plugin>
  65.         </plugins>
  66.     </build>
  67. </project>
复制代码
application.yml中添加客户端与资源服务配置配置
  1.   spring:
  2.     security:
  3.     oauth2:
  4.       # 资源服务器配置
  5.       resourceserver:
  6.         jwt:
  7.           # Jwt中claims的iss属性,也就是jwt的签发地址,即认证服务器的根路径
  8.           # 资源服务器会进一步的配置,通过该地址获取公钥以解析jwt
  9.           issuer-uri: http://spring-oauth-server:9000
  10.       client:
  11.         provider:
  12.           #认证服务器信息,oauth-server这个string可以自定义,但是需要和下方进行匹配
  13.           oauth-server:
  14.             #授权地址
  15.             issuer-uri: http://spring-oauth-server:9000
  16.             # 获取用户信息的地址,默认的/userinfo端点需要IdToken获取,为避免麻烦自定一个用户信息接口
  17. #            user-info-uri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/user
  18. #            user-name-attribute: name
  19.             authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize
  20.             #令牌获取地址
  21.             tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token
  22.         registration:
  23.           # 下面这个string可以自定义,但是需要和下方redirect-uri的最后进行匹配
  24.           messaging-client-oidc:
  25.             #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
  26.             provider: oauth-server
  27.             #客户端名称
  28.             client-name: 网关服务
  29.             #客户端id,从认证平台申请的客户端id
  30.             client-id: mall-gateway-id
  31.             #客户端秘钥
  32.             client-secret: secret
  33.             #客户端认证方式
  34.             client-authentication-method: client_secret_basic
  35.             #使用授权码模式获取令牌(token)
  36.             authorization-grant-type: authorization_code
  37.             #回调地址,接收认证服务器回传code的接口地址,之前我们是使用http://www.baidu.com代替
  38.             redirect-uri: http://mall-gateway:8888/login/oauth2/code/messaging-client-oidc
  39.             scope:
  40.               - profile
  41.               - openid
复制代码
完整的yml文件内容
  1. server:
  2.   port: 8888
  3. spring:
  4.   application:
  5.     name: mall-gateway
  6.   #配置nacos注册中心地址
  7.   cloud:
  8.     nacos:
  9.       discovery:
  10.         server-addr: nacos.mall.com:8848
  11.         username: nacos
  12.         password: nacos
  13.     gateway:
  14.       default-filters:
  15.         # 令牌中继  会在请求头中添加token向下游传递
  16.         - TokenRelay=
  17.       #设置路由:路由id、路由到微服务的uri、断言
  18.       routes:
  19.         - id: user_route   #路由ID,全局唯一
  20.           uri: lb://mall-user  #lb 整合负载均衡器ribbon,loadbalancer
  21.           predicates:
  22.             - Path=/user/**   # 断言,路径相匹配的进行路由
  23.         - id: order_route  #路由ID,全局唯一
  24.           # 测试 http://localhost:8888/order/findOrderByUserId/1
  25.           uri: lb://mall-order  #lb 整合负载均衡器loadbalancer
  26.           predicates:
  27.             - Path=/order/**   # 断言,路径相匹配的进行路由
  28.   security:
  29.     oauth2:
  30.       # 资源服务器配置
  31.       resourceserver:
  32.         jwt:
  33.           # Jwt中claims的iss属性,也就是jwt的签发地址,即认证服务器的根路径
  34.           # 资源服务器会进一步的配置,通过该地址获取公钥以解析jwt
  35.           issuer-uri: http://spring-oauth-server:9000
  36.       client:
  37.         provider:
  38.           #认证服务器信息
  39.           oauth-server:
  40.             #授权地址
  41.             issuer-uri: http://spring-oauth-server:9000
  42.             authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize
  43.             #令牌获取地址
  44.             tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token
  45.         registration:
  46.           messaging-client-oidc:
  47.             #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
  48.             provider: oauth-server
  49.             #客户端名称
  50.             client-name: 网关服务
  51.             #客户端id,从认证平台申请的客户端id
  52.             client-id: mall-gateway-id
  53.             #客户端秘钥
  54.             client-secret: secret
  55.             #客户端认证方式
  56.             client-authentication-method: client_secret_basic
  57.             #使用授权码模式获取令牌(token)
  58.             authorization-grant-type: authorization_code
  59.             #回调地址,接收认证服务器回传code的接口地址,之前我们是使用http://www.baidu.com代替
  60.             redirect-uri: http://mall-gateway:8888/login/oauth2/code/messaging-client-oidc
  61.             scope:
  62.               - profile
  63.               - openid
复制代码
编写网关资源服务配置
  1. import org.springframework.context.annotation.Bean;
  2. import org.springframework.context.annotation.Configuration;
  3. import org.springframework.security.config.Customizer;
  4. import org.springframework.security.config.annotation.method.configuration.EnableReactiveMethodSecurity;
  5. import org.springframework.security.config.annotation.web.reactive.EnableWebFluxSecurity;
  6. import org.springframework.security.config.web.server.ServerHttpSecurity;
  7. import org.springframework.security.web.server.SecurityWebFilterChain;
  8. /**
  9. * 资源服务器配置
  10. */
  11. @Configuration
  12. @EnableWebFluxSecurity
  13. @EnableReactiveMethodSecurity
  14. public class WebSecurityConfig {
  15.     /**
  16.      * 配置认证相关的过滤器链
  17.      *
  18.      * @param http Spring Security的核心配置类
  19.      * @return 过滤器链
  20.      */
  21.     @Bean
  22.     public SecurityWebFilterChain defaultSecurityFilterChain(ServerHttpSecurity http) {
  23.         // 全部请求都需要认证
  24.         http.authorizeExchange((authorize) -> authorize
  25.                 .anyExchange().authenticated()
  26.         );
  27.         // 开启OAuth2登录
  28.         http.oauth2Login(Customizer.withDefaults());
  29.         // 设置当前服务为资源服务,解析请求头中的token
  30.         http.oauth2ResourceServer((resourceServer) -> resourceServer
  31.                         // 使用jwt
  32.                         .jwt(Customizer.withDefaults())
  33.                 /*
  34.                 // 请求未携带Token处理
  35.                 .authenticationEntryPoint(this::authenticationEntryPoint)
  36.                 // 权限不足处理
  37.                 .accessDeniedHandler(this::accessDeniedHandler)
  38.                 // Token解析失败处理
  39.                 .authenticationFailureHandler(this::failureHandler)
  40.                 */
  41.         );
  42.         // 禁用csrf与cors
  43.         http.csrf((csrf) -> csrf.disable());
  44.         http.cors((cors)->cors.disable());
  45.         return http.build();
  46.     }
  47. }
复制代码
必要留意的是开启方法级别鉴权的注解变了,webflux的注解和webmvc的注解不一样,并且过滤器链也换成SecurityWebFilterChain了
增长令牌中继配置
留意:配置文件中令牌中继(TokenRelay)的配置就是添加一个filter:TokenRelay=; 当网关引入spring-boot-starter-oauth2-client依赖并设置spring.security.oauth2.client.*属性时,会自动创建一个TokenRelayGatewayFilterFactory过滤器,它会从认证信息中获取access token,并放入下游请求的请求头中。
Gateway关于TokenRelay的文档: https://docs.spring.io/spring-cloud-gateway/docs/current/reference/html/#the-tokenrelay-gatewayfilter-factory
  1. spring:
  2.   cloud:
  3.     gateway:
  4.       default-filters:
  5.         # 令牌中继  会在请求头中添加token向下游传递
  6.         - TokenRelay=
复制代码
资源服务器配置

会员微服务必要调用订单微服务,它们都属于资源服务器,各个微服务都进行下面的操作
引入资源服务器依赖
  1. <!--spring-boot-starter-oauth2-resource-server-->
  2. <dependency>
  3.     <groupId>org.springframework.boot</groupId>
  4.     <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
  5.     <version>3.1.4</version>
  6. </dependency>
复制代码
application.yml中添加资源服务器配置
  1.   spring:
  2.     security:
  3.       oauth2:
  4.         # 资源服务器配置
  5.         resource-server:
  6.           jwt:
  7.             # Jwt中claims的iss属性,也就是jwt的签发地址,即认证服务器的根路径
  8.             # 资源服务器会进一步的配置,通过该地址获取公钥以解析jwt
  9.             issuer-uri: http://spring-oauth-server:9000
复制代码
配置资源服务器
  1. @Configuration
  2. @EnableWebSecurity
  3. @EnableMethodSecurity(jsr250Enabled = true, securedEnabled = true)
  4. public class ResourceServerConfig {
  5.     @Bean
  6.     SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  7.         http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
  8.                         //所有的访问都需要通过身份认证
  9.                         .anyRequest().authenticated()
  10.                 )
  11.                     // 使用jwt处理接收到的access token
  12.                 .oauth2ResourceServer((oauth2ResourceServer) -> oauth2ResourceServer
  13.                         .jwt(Customizer.withDefaults())
  14.                 );
  15.         return http.build();
  16.     }
  17. }
复制代码
添加openFeign拦截器
会员服务调用订单服务,token令牌必要向下游微服务通报,可以借助openFeign拦截器实现
  1. @Slf4j
  2. public class FeignAuthRequestInterceptor implements RequestInterceptor {
  3.     @Override
  4.     public void apply(RequestTemplate template) {
  5.         // 业务逻辑  模拟认证逻辑
  6.         ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder
  7.                 .getRequestAttributes();
  8.         if(null != attributes){
  9.             HttpServletRequest request = attributes.getRequest();
  10.             String access_token = request.getHeader("Authorization");
  11.             log.info("从Request中解析请求头:{}",access_token);
  12.             //设置token
  13.             template.header("Authorization",access_token);
  14.         }
  15.     }
  16. }
复制代码
在application.yml 中增长openFeign拦截器配置

测试

访问:http://mall-gateway:8888/user/findOrderByUserId/1
因为没有访问权限,会跳转到授权服务器登录界面

输入用户:hushang,暗码:123456,提交登录,跳转到授权确认页面。

勾选授权信息,提交确认授权,返回如下效果:


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。




欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4