Spring boot OAuth2 JWT的认证中心

说明 本文较长，要想直接使用脚手架，请移步至github

Oauth2概要

这里只是做一个简单的重要介绍，让你可以看得懂代码中这个字段属性的含义是什么。想了解更加详细的请看Oauth2.0介绍

Oauth2的基本流程以及角色说明

角色说明

client：第三方应用（即App或向外提供接口）
Resource Owner：资源所有者（即用户）
Authentication Server：授权认证服务（发配Access Token）
Resource Server：资源服务器（存储用户资源信息等资源）

流程说明（基于code模式）

1.第三方应用请求用户授权；
2.用户同意授权，并返回一个授权码（code）；
3.第三方应用根据授权码（code）向授权认证服务进行授权；
4.授权服务器根据授权码（code），校验通过，并返回给第三方应用令牌（Access Token）；
5.第三方应用根据令牌（Access Token）向资源服务请求相关资源；
6.资源服务器验证令牌（Access Token），校验通过，并返回第三方所请求的资源。

Oauth2客户端的授权模式

客户端必须得到用户的授权（authorization grant），才能获得令牌（access token）。OAuth 2.0定义了四种授权方式。

授权码模式（authorization code）
简化模式（implicit）
密码模式（resource owner password credentials）
客户端模式（client credentials）
以上的四种模式非常重要，在代码中都会有体现。而且经常会出现。

JWT概要

JWT原理

JWT的原理是，客户端请求服务器，服务器收到请求后，会生成一个JSON对象，发回给用户，就像下面。

{
	"username":"a",
	"role":"b",
	....
}

当然不可能是明文的，服务器在生成这个对象的时候，会加上签名（具体的请自行百度）。以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。

Spring Security OAuth2的使用

Spring boot 开发Oauth2以及JWT可以使用Spring Security OAuth2。
下面我们看一下请求Oauth2示例（基于Postman）
请求地址是你的IP:端口/oauth/token （ /oauth/token ）照抄

在设置中我们需要输入Username和Password，这两个值非常重要，分别代表
Username: 客户端的的唯一标识
Password: 客户端的标识凭证
我们还需要设置几项。


这里body设置了四个值
socpe: 用户的范围
grant_type: OAuth2客户端授权模式，我这里是password模式
username: 用户的用户名（和Authorization不同）
password: 用户的密码（和Authorization不同）

在以上的请求示例中我们看到了6个字段需要我们去设置分别是
Username
Password
socpe
grant_type
username
password
我们是如何设置的这几个值的呢， Spring Security OAuth2已经为我们封装好了。我们只需要继承AuthorizationServerConfigurerAdapter即可实现相关既可以。

1. AuthorizationServerConfigurerAdapter

1.1 第三方客户端基本信息配置说明

AuthorizationServerConfigurerAdapter这个是类用来配置第三方客户端详情的，token的存储方式以及token的生成方式。
先看Username、Password、socpe、grant_type怎么设置，
我们通过继承 AuthorizationServerConfigurerAdapter需要重写一个方法来设置这四个。代码如下

@Configuration
@AllArgsConstructor
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    /**
     * 数据源
     */
   // private final DataSource dataSource;
    /**
     * 加密方式
     */
    private final BCryptPasswordEncoder passwordEncoder;
    /**
     * @param clients 用户的相关配置载体
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
       String secret = passwordEncoder.encode("secret");
        //配置客户端
        clients.
                //使用内存设置
                        inMemory()
                //设置clientID
                .withClient("client")
                //client_secret 要进行加密
                .secret(secret)
                //授权类型
                .authorizedGrantTypes("password", "refresh_token")
                //授权范围
                .scopes("read,writer");
        //clients.jdbc(dataSource);
        super.configure(clients);
    }
}

以上重写方法是基于jvm内存来设置的，如设置数据库相关，直接clients.jdbc(dataSource)就可以，同时在数据库添加以下表

DROP TABLE IF EXISTS `oauth_client_details`;
CREATE TABLE `oauth_client_details` (
  `client_id` varchar(256) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types` varchar(256) DEFAULT NULL,
  `web_server_redirect_uri` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO oauth_client_details (
	client_id,
	resource_ids,
	client_secret,
	scope,
	authorized_grant_types,
	web_server_redirect_uri,
	authorities,
	access_token_validity,
	refresh_token_validity,
	additional_information,
	autoapprove
)
VALUES
	(
	    'client',
	    NULL,
	    '{noop}secret',
	    'all',
	    'password,authorization_code,refresh_token,implicit,client_credentials',
	    NULL,
		NULL,
		NULL,
		NULL,
		NULL,
		'true'
	);

看到了client_id就是我们的Username，client_secret就是我们的Password，scope对应着socpe，authorized_grant_types对应着grant_type注意这里的grant_type为了刷新token还有一种模式

• refresh_token：获取access token时附带的用于刷新新的token模式

上面已经四个属性已经都有了，接下来就是用户名和密码了。
设置用户名和密码通过实现UserDetailsService这个类
下面是代码

@Component
public class AquamanUserDetailsService  implements UserDetailsService {

    //这里需要mapper
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // TODO 这个地方可以通过username从数据库获取正确的用户信息，包括密码和权限等。
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
        //grantedAuthorityList.add(new MyGrantedAuthority("MY_ROLE1", "MY_MENU1"));
        grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_USER"));
        grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        //admin123加密后$2a$10$WIDPnAxDUfQq/asUAnMkROiAHUEvkJ/eI9TWlyCoa6QMW2YJUkNEW
        return new User(username, "$2a$10$WIDPnAxDUfQq/asUAnMkROiAHUEvkJ/eI9TWlyCoa6QMW2YJUkNEW", grantedAuthorityList);
    }
}

还是实现AuthorizationServerConfigurerAdapter这个类，重写以下方法,将实现的UserDetailsService 设置到AuthorizationServerEndpointsConfigurer 即可。

@Configuration
@AllArgsConstructor
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    /**
     * oauth2模式相关的东西
     */
    private final AuthenticationManager authenticationManagerBean;
    /**
     * 加密方式
     */
    private final BCryptPasswordEncoder passwordEncoder;
    /**
     * 用户相关东西
     */
    private final AquamanUserDetailsService userDetailsService;
    /**
     * 用来配置拦截的相关东西
     *
     * @param endpoints 请求的拦截点
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManagerBean)//使用密码模式
                .userDetailsService(userDetailsService) //不添加的话会出错
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)//设置允许的请求方式
               // .tokenStore(tokenStore())//设置tokenStore存储在哪里
        //.tokenEnhancer(tokenEnhancer())//设置token的增强器
                //.accessTokenConverter(jwtAccessTokenConverter())
        ;
        super.configure(endpoints);
    }   
}

以上就是OAuth2对应的每个字段的代码对应。

1.2 token的存储以及token的生成相关

1.2.1 TokenStore

创建AccessToken完之后，除了发放给第三方，肯定还得保存起来，才可以使用。因此，TokenStore为我们完成这一操作，将令牌（AccessToken）保存或持久化。
TokenStore也有一个默认的实现类InMemoryTokenStore，从名字就知道是通过保存到内存进而实现保存Access Token。
TokenStore的实现有多种类型，可以根据业务需求更改Access Token的保存类型：

InMemoryTokenStore： 这个是OAuth2默认采用的实现方式。在单服务上可以体现出很好特效（即并发量不大，并且它在失败的时候不会进行备份），大多项目都可以采用此方法。毕竟存在内存，而不是磁盘中，调试简易。
JdbcTokenStore： 这个是基于JDBC的实现，令牌（Access Token）会保存到数据库。这个方式，可以在多个服务之间实现令牌共享。
RedisTokenStore： 基于redis的存储token，保存后是二进制格式的。
JwtTokenStore： jwt全称 JSON Web Token。这个实现方式不用管如何进行存储（内存或磁盘），因为它可以把相关信息数据编码存放在令牌里。JwtTokenStore 不会保存任何数据，但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。但有两个缺点：

• 撤销一个已经授权的令牌会很困难，因此只适用于处理一个生命周期较短的以及撤销刷新令牌。
• 令牌占用空间大，如果加入太多用户凭证信息，会存在传输冗余

1.2.2 JWT Token

想使用jwt令牌，需要在授权服务中配置JwtTokenStore。之前说了，jwt将一些信息数据编码后存放在令牌,那么其实在传输的时候是很不安全的，所以Spring OAuth2提供了JwtAccessTokenConverter来怼令牌进行编码和解码。适用JwtAccessTokenConverter可以自定义秘签（SigningKey）。SigningKey用处就是在授权认证服务器生成进行签名编码，在资源获取服务器根据SigningKey解码校验。

  @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("aquaman");
        return converter;
    }

1.2.3 Token 增强器

@Bean   
 public TokenEnhancer tokenEnhancer() {
        return (oAuth2AccessToken, oAuth2Authentication) -> {
            final Map<String, Object> additionalInfo = new HashMap<>();
            additionalInfo.put("license", "aquaman");
            ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(additionalInfo);
            return oAuth2AccessToken;
        };
    }

1.2.4 端点接入-endpoints

我们在前面设置用户的信息时介绍过这个类下面是一个详细的介绍
1.）端点（endpoints）的相关属性配置：

• authenticationManager：认证管理器。若我们上面的Grant Type设置为password，则需设置一个AuthenticationManager对象

• userDetailsService：若是我们实现了UserDetailsService,来管理用户信息，那么得设我们的userDetailsService对象

• authorizationCodeServices：授权码服务。若我们上面的Grant Type设置为authorization_code，那么得设一个AuthorizationCodeServices对象

• tokenStore：这个就是我们上面说到，把我们想要是实现的Access Token类型设置

• accessTokenConverter：Access Token的编码器。也就是JwtAccessTokenConverter

• tokenEnhancer:token的拓展。当使用jwt时候，可以实现TokenEnhancer来进行jwt对包含信息的拓展

• tokenGranter：当默认的Grant Type已经不够我们业务逻辑，实现TokenGranter 接口，授权将会由我们控制，并且忽略Grant Type的几个属性。

2).端点（endpoints）的授权url：
要授权认证，肯定得由url请求，才可以传输。因此OAuth2提供了配置授权端点的URL。
AuthorizationServerEndpointsConfigurer ，还是这个配置对象进行配置，其中由一个pathMapping()方法进行配置授权端点URL路径，默认提供了两个参数defaultPath和customPath：

public AuthorizationServerEndpointsConfigurer pathMapping(String defaultPath, String customPath) {
		this.patternMap.put(defaultPath, customPath);
		return this;
}

pathMapping的defaultPath有：

/oauth/authorize：授权端点
/oauth/token：令牌端点
/oauth/confirm_access：用户确认授权提交端点
/oauth/error：授权服务错误信息端点
/oauth/check_token：用于资源服务访问的令牌解析端点
/oauth/token_key：提供公有密匙的端点，如果使用JWT令牌的话

以上就是AuthorizationServerConfigurerAdapter的一些相关的使用。设置以上以上的所有还不能成为一个认证中心。还需要设置继承一个类，再次配置用户名和密码的。

2 WebSecurityConfigurerAdapter

这个类比较简单用来配置用户名和密码就可以，同时还可以设置忽略某个接口的拦截等，与AuthorizationServerConfigurerAdapter相互配合

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private AquamanUserDetailsService userDetailsService;

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 将 check_token 暴露出去，否则资源服务器访问时报 403 错误
        web.ignoring().antMatchers("/oauth/check_token");
        super.configure(web);
    }

	    /**
     * 设置模式相关
     *
     * @return 模式相关
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 设置加密方式
     *
     * @return 加密方式
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        //使用默认加密方式
        return new BCryptPasswordEncoder();
    }

    /**
     * 设置用户的信息
     *
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
        super.configure(auth);
    }
}

3 ResourceServerConfigurerAdapter

ResourceServerConfigurerAdapter使用来设置资源服务器相关的，资源服务器就是存放一些受令牌保护的资源，只有令牌并且有效正确才能获取到资源。 内部是通过Spring OAuth2的Spring Security Authentication filter 的过滤链来进行保护。如果服务即是授权中心，又是资源服务器。只需要进行如下的配置

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/**").authenticated()//所有服务都需要保护，来检查token否有效
                .anyRequest().authenticated();
    }
}

如果授权服务和资源服务器是分开的，不仅要以上的配置还需要配置，检查验证token相关的东西。而Jwt方式和其他方式是不同的。
如果是JWT的需要在application.yml进行如下配置

security:
  oauth2:
    resource:
      jwt:
        key-value: aquaman 

这里的key-value的值是在设置JWT Token时jwtAccessTokenConverter 的setSigningKey(“aquaman”)属性。
如果不是JWT的方式加一下配置

security:
  oauth2:
    client:
      client-id: client
      client-secret: secret
      scope: all
      access-token-uri:  http://授权服务IP:授权服务端口/oauth/token
      user-authorization-uri: http://授权服务IP:授权服务端口/oauth/authorize
    resource:
      token-info-uri: http://授权服务IP:授权服务端口/oauth/check_token