微服务架构10-单点登录系统02

最新推荐文章于 2024-05-17 15:01:47 发布
最新推荐文章于 2024-05-17 15:01:47 发布
阅读量246 收藏
点赞数
分类专栏: Spring Cloud微服务架构 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PengK_aha/article/details/120515888
版权

Security 认证流程分析(了解)

目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程如下:

颁发登陆成功令牌



构建令牌配置对象

本次我们借助JWT(Json Web Token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.
 

package com.cy.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

/**
 * 在此配置类中配置令牌的的生成和存储策略,验签方式(令牌合法性)
 *
 * */
@Configuration
public class TokenConfig {

    /**
     * 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
     * 1.jdbcTokenStore(这里是要将token存储到关系型数据库)
     * 2.redisTokenStore(这里要将token存储到redis数据库-key/value)
     * 3.JwtTokenStore(这里是将产生的token信息存储客户端,并且token中可以
     * 以自包含的形式存储一些用户信息)
     * 4.。。
     * */
    @Bean
    public TokenStore tokenStore(){
        //这里采用JWT方式生成和存储令牌信息
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 配置令牌的创建及验签方式
     * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
     * 然后存储到TokenStore对象,外界需要时,会从tokenStore进行获取
     **/

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();

        //JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
        //这里的签名可以简单理解为加密,加密时会使用header中的算法以及我们自己提供的密钥,
        //这里加密的目的是为了防止令牌被篡改。(这里的密钥要保存好,要存储在服务端)
        jwtAccessTokenConverter.setSigningKey(SINGING_kEY);//设置密钥

        return jwtAccessTokenConverter;
    }
    /**
     * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
     * 1.生成的令牌需要这个密钥进行签名
     * 2.获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
     * */
    private static final String SINGING_kEY="auth";
}

定义认证授权核心配置

第一步:在SecurityConfig中添加如下方法(创建认证管理器对象,后面授权服务器会用到):

 @Bean
  public AuthenticationManager authenticationManagerBean()
            throws Exception {
      return super.authenticationManagerBean();
  }

第二步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置

package com.cy.config;

import com.cy.service.UserDetailsServiceImpl;
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.*;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;


import java.util.Arrays;


/**
 * 在这个对象中负责将所有的认证和授权配置进行整合,例如
 * 1.SpringSecurity(提供认证和授权的实现)
 * 2.TokenConfig(提供了令牌的生成,存储,校验)
 * 3.Oauth2(定义了一套认证规范,例如为谁发令牌,都发什么)
 * */
@AllArgsConstructor //生成全参的构造函数
@Configuration
@EnableAuthorizationServer //启动认证和授权服务
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {

    private AuthenticationManager authenticationManager;

    private UserDetailsServiceImpl userDetailsService;

    private TokenStore tokenStore;

    private BCryptPasswordEncoder passwordEncoder;

    private JwtAccessTokenConverter jwtAccessTokenConverter;

//    public Oauth2Config(AuthenticationManager authenticationManager, UserDetailsServiceImpl userDetailsService, TokenStore tokenStore, BCryptPasswordEncoder passwordEncoder, JwtAccessTokenConverter jwtAccessTokenConverter) {
//        this.authenticationManager = authenticationManager;
//        this.userDetailsService = userDetailsService;
//        this.tokenStore = tokenStore;
//        this.passwordEncoder = passwordEncoder;
//        this.jwtAccessTokenConverter = jwtAccessTokenConverter;
//    }


    /**
    * 认证方式配置
    *
    * @param endpoints
    * @throws Exception
    *
    * */

    //super.configure(endpoints);
    //由谁完成认证?
    //谁负责访问数据库?(认证时需要两部分信息:一部分来自客户端,一部分来自数据库)
    //支持对什么请求进行认证(默认只支持post方式)
    //认证成功以后令牌如何生成和存储(默认令牌生成UUID.randomUUID(),并且存储在方式是内存)

    public void configure(AuthorizationServerEndpointsConfigurer endpoints)throws Exception{
        endpoints
                //配置认证管理器
                .authenticationManager(authenticationManager)
                //验证用户的方法获得用户详情
                .userDetailsService(userDetailsService)
                //要求提交认证使用post请求方式,提高安全性
                .allowedTokenEndpointRequestMethods(HttpMethod.POST,HttpMethod.GET)
                //配置令牌的生成
                .tokenServices(tokenService());//这个不配置,默认令牌为UUID.randomUUID.toString
    }


    //系统底层在完成认证以后会调用TokenService对象的相关方法
    //获取TokenStore,基于tokenStore获取token
    @Bean
    public AuthorizationServerTokenServices tokenService (){
        //1.构建TokenService对象(此对象提供了创建,获取,刷新token的方法)
        DefaultTokenServices services  = new DefaultTokenServices();

        //2.设置令牌生成和存储策略
        services.setTokenStore(tokenStore);

        //3.设置是否支持令牌刷新(访问令牌过期了,是否支持通过令牌刷新机制,延长令牌有效期)
        services.setSupportRefreshToken(true);

        //4.设置令牌增强(默认令牌比较简单,没有业务数据,
        // 就是简单的随机字符串,但是现在希望使用jwt方式)
        TokenEnhancerChain chain  = new TokenEnhancerChain();
        chain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));
        services.setTokenEnhancer(chain);

        //5.设置访问令牌有效期
        services.setAccessTokenValiditySeconds(3600);
        //6.设置刷新令牌有效期
        services.setRefreshTokenValiditySeconds(3600*72);
        return services;
    }


    /**
     * 假如要做验证,输入了用户名和密码,然后点提交,提交到哪里?
     * 令牌过期了,我们要重新生成一个令牌,哪个路径可以帮我们重新生成?
     * 对外提供认证路径,令牌刷新,校验等路径(url)
     * 如下这个方法就可以提供这个配置
     * @param security
     * @throws Exception
     * */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        //super.configure(security);
        security
        //1.定义(公开)要认证的url(permitAll())是官方定义好的
                //公开oauth/token_key端点
        .tokenKeyAccess("permitAll()")
        //2.定义(公开)令牌检查的url
                //公开oauth/token_key端点
        .checkTokenAccess("permitAll()")
        //3.允许客户端直接通过表单form方式提交认证
        .allowFormAuthenticationForClients();

    }


    /**
     * 认证中心是否要给所有用户发令牌呢?假如不是,那要给哪些客户端发令牌,
     * 是否在服务端有一些规则的定义呢?
     * @param clients
     * @throws Exception
     * */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //super.configure(clients);
        clients.inMemory()
                //定义客户端的id(客户端提交用户信息进行认证时需要这个id)
                .withClient("gateway-client")
                //定义客户端密钥(客户端提交用户信息时需要携带这个密钥)
                .secret(passwordEncoder.encode("123456"))
                //定义作用范围(所有符合规则的客户端)
                .scopes("all")
                //运行客户端基于密码方式,刷新令牌方式实现认证
                .authorizedGrantTypes("password","refresh_token");


    }

}

配置网关认证的URL

  - id: router02
      uri: lb://sca-auth
      predicates:
        #- Path=/auth/login/**  #没要令牌之前,以前是这样配置
        - Path=/auth/oauth/**   #微服务架构下,需要令牌,现在要这样配置
      filters:
        - StripPrefix=1

Postman访问测试

第一步:启动服务
依次启动sca-auth服务,sca-resource-gateway服务。

第二步:检测sca-auth服务控制台的Endpoints信息,例如:

 第三步:打开postman进行登陆访问测试

 

登陆成功会在控制台显示令牌信息,例如:

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2Mjk5OTg0NjAsInVzZXJfbmFtZSI6ImphY2siLCJhdXRob3JpdGllcyI6WyJzeXM6cmVzOmNyZWF0ZSIsInN5czpyZXM6cmV0cmlldmUiXSwianRpIjoiYWQ3ZDk1ODYtMjUwYS00M2M4LWI0ODYtNjIyYjJmY2UzMDNiIiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.-Zcmxwh0pz3GTKdktpr4FknFB1v23w-E501y7TZmLg4",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJqYWNrIiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImFkN2Q5NTg2LTI1MGEtNDNjOC1iNDg2LTYyMmIyZmNlMzAzYiIsImV4cCI6MTYzMDI1NDA2MCwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOnJldHJpZXZlIl0sImp0aSI6IjIyOTdjMTg2LWM4MDktNDZiZi1iNmMxLWFiYWExY2ExZjQ1ZiIsImNsaWVudF9pZCI6ImdhdGV3YXktY2xpZW50In0.1Bf5IazROtFFJu31Qv3rWAVEtFC1NHWU1z_DsgcnSX0",
    "expires_in": 3599,
    "scope": "all",
    "jti": "ad7d9586-250a-43c8-b486-622b2fce303b"
}

登陆页面登陆方法设计

登陆成功以后,将token存储到localStorage中,修改登录页面的doLogin方法,例如

  doLogin() {
    //1.定义url
     let url = "http://localhost:9000/auth/oauth/token"
    //2.定义参数
      let params = new URLSearchParams()
       params.append('username',this.username);
       params.append('password',this.password);
       params.append("client_id","gateway-client");
       params.append("client_secret","123456");
       params.append("grant_type","password");
      //3.发送异步请求
       axios.post(url, params).then((response) => {
          alert("login ok");
           let result=response.data;
           localStorage.setItem("accessToken",result.access_token);
            location.href="/fileupload.html";
          }).catch((error)=>{
                    console.log(error);
         })
       }

泡老师大迷弟
关注
专栏目录
【第四阶段 day33】微服务单点登录系统设计及实现
oriettahuiru的博客
12-01 393
文章目录0.核心知识点1.单点登录1.1 概念多点登录单点登录1.2 入门实践1.2.1 添加项目依赖1.2.2 构建项目配置文件1.2.3 添加项目启动类2.自定义登录逻辑2.1 定义安全配置类2.2 定义用户信息处理对象2.3 网关中登录路由配置2.4 自定义登录界面3.Security认证流程分析3.1 颁发登陆成功令牌-构建令牌配置对象3.2 定义认证授权核心配置3.2.1 在SecurityConfig中添加方法3.2.2 所有零件准备好以后开始拼装最后的主体部分3.2.3 配置网关认证的URL4
微服务-8-单点登录系统(sso)(1)初步设计及实现
老汤姆的博客
12-30 992
文章目录总结单点登录单点登录系统诞生的背景单点登陆系统解决方案设计方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库方案2:用户登陆成功以后,将用户信息存储到token(令牌),然后写到客户端进行存储为什么要做单点登录设计?项目中使用的连接池什么?Java中连接池设计需要遵循的数据源规范是谁?连接池这块你能想到的设计模式有哪些?debuggerRibbon网关服务需要加vim配置TCP如何将链接数据库的信息写到配置中心基于idea自动生成UUID@Autowired注解描述的Mapper对象有红
微服务架构单点登录
qq_42400763的博客
08-14 1948
  随着架构的演进,从大杂烩到现在的微服务,架构发生了变化,那自然很多的东西也要随之改变,今天我们来说一说这个单点登录又是什么东西.   首先在分布式的结构下,一个项目被拆分成不同的微服务,每个微服务之间做着自己分内的事.然而有些需求却需要贯彻这整个项目,比如说登录,用户在一处登录后,访问项目中的每个微服务所管理的部分都应该实现已登录功能,在传统的单一服务器登录中,我们可以实现用session存值,通过判断session中是否有值,在进行判断用户是否登录.但是在微服务架构中是不能做到的.   所以进行就有了
微服务架构的登陆认证问题
weixin_30906701的博客
06-29 636
从过去单体应用架构到分布式应用架构再到现在的微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的更新变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 传统的单体应用场景下,应用是一个整体,一...
【微服务】系统登录架构(翻译)
Kun Wang's 博客
12-04 1490
微服务下登陆方式 参考 Email: david.borsos@opencredo.com SSO 单点登陆角色:客户端、app服务器、认证服务器 流程: 1、客户端请求 2、app服务器检查local用户状态,没有登陆,重定向到认证服务器 3、用户到认证服务器登陆,登陆成功返回token 4、用户使用token重新发起请求 5、app服务器向认证服务器校验token并请求user detai
六、微服务版的单点登陆系统设计及实现
꯭ 瞎꯭扯꯭蛋꯭的博客
09-26 1139
文章目录1.简介1.1 背景分析1.2 单点登陆系统2.快速入门实践2.1 工程结构如下2.2 创建认证授权工程2.3 添加项目依赖2.4 构建项目配置文件2.5 添加项目启动类2.6 启动并访问项目3.自定义登陆逻辑3.1 业务描述3.2 定义安全配置类3.3 定义用户信息处理对象3.4 网关中登陆路由配置3.5 基于Postman进行访问测试3.6 SpringSecurity 执行流程3.7 自定义登陆页面4.颁发登陆成功令牌4.1 构建令牌配置对象4.2 定义认证授权核心配置4.3 配置网关认证的U
直播系统微服务架构方案-zhibo.zip
01-30
直播系统微服务架构方案是一种将复杂、高并发的直播应用分解为多个小型、独立的服务,每个服务都专注于完成特定的功能,以提高系统的可扩展性、可靠性和开发效率。在这个"zhibo.zip"压缩包中,包含的"zhibo-master...
微服务架构项目-世华商城自己写的
07-07
这样的设计使得服务之间松耦合,可以独立运行和升级,减少了大规模系统中的“单点故障”风险。 世华商城的微服务可能包括以下关键组件和服务: 1. **用户服务**:处理用户的注册、登录、个人信息管理等功能,通常...
微服务架构专题-SpringBoot.pptx
02-28
微服务架构专题-SpringBoot】的讲解涵盖了多个与Java微服务开发相关的知识点,以下是详细的阐述: 1. **SpringBoot基础应用**: - **SpringBoot急速入门**:SpringBoot由Pivotal团队开发,旨在简化Spring应用的...
微服务实战(十五)看完不信你还不懂单点登录:SSO,CAS,OAuth,Jwt,Spring Security,Shiro
看山不是山
03-04 4800
单点登录扫盲 前面铺垫了那么多,我们马上要进入到真正的微服务实战当中了,先上一个前菜:单点登录,这是接下来的微服务架构中的家常便饭,系统被你拆得那么微了,这么多系统,难道每个系统我要记一个账号吗? 在没有单点登录的模式下,可就是这么做的哦!每个系统的用户都分的倍儿清,井水不犯河水,所以,想要在大量系统集成的环境下,需要单点登录的机制来优化我们系统的登录体验。 单点登录(SSO) 单点登录,...
微服务6——SSO单点登陆系统(SSO)
ss 的博客
03-14 2428
什么是单点登录系统 即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。 思路 用户登录成功后,会基于JWT技术生成一个token(令牌),用户信息可以存储到这个token中.然后写到客户端进行存储,后续用户在访问资源时,对token内容解析,检查登录状态以及权限信息,无须再访问数据库. 步骤 1、创建父工程;删除父工程src目录;初始化pom文件内容(见微服务1) 2、导入数据库文件 source d:/jt-sso...
SpringCloud Security:Oauth2 单点登录
weixin_40991408的博客
02-13 297
参考: https://segmentfault.com/a/1190000021057696 https://segmentfault.com/a/1190000021081318 https://segmentfault.com/a/1190000021097919
若依ruoyi框架实现单点登录或者接入统一认证
热门推荐
GitHub质检员
08-30 1万+
log.info("单点登录用户[{}]不存在, 需要创建.", loginName);log.info("单点登录用户[{}]已存在.", loginName);jsonObjectData.put("nickName","单点1");if (code.equals("0")) {//验证成功需要自动登录。jsonObject.put("msg","验证成功");ajax.put("msg", "登录成功");
单点登录(shiro与Spring Security OAuth 2.0的集成)
Know Destiny的博客
05-07 3808
单点登录(shiro与Spring Security OAuth 2.0的集成) shiro项目采用ruoyiOAuth采用pig 若依:https://gitee.com/y_project/RuoYi pig:https://gitee.com/log4j/pig 采用OAuth授权码模式(authorization-code) 1.流程简介: ①:若依配置好以后,点击链接(ip:端口/sso/login)进入pig-auth(统一认证中心) ②:在统一认证中心输入用户名,密码后,点击登录,进入统一
若依实现单点登录
最新发布
2302_76401622的博客
05-17 779
若依后台管理单点登录
step04day10微服务单点登录系统设置
lydon1314的博客
08-27 451
1.单点登录概述 2.工程准备 3.自动登录逻辑 4.登录令牌
若依ry-vue单点登录实现(通俗易懂)
junle_carpediem的博客
09-26 5035
【代码】若依ry-vue单点登录实现(通俗易懂,前后端实现)
微服务下实现单点登录(SSO)的几种方式
Lee_92的博客
08-19 2772
随着互联网的飞速发展和移动终端的广泛普及,互联网用户的体量越来越大,日活几亿的app层出不穷,无论是互联网服务还是app服务,对于服务器的高并发要求越来越高,服务器高性能、高可用越来越重要,所以分布式微服务架构开发的项目越来越多。我们往往会用多台服务器去部署不同的业务模块,比如电商项目中,可能购物车系统、订单系统、视频种草模块、秒杀系统等等都会在不同的服务器单独部署,微服务项目的优势主要体现在:1.高并发:很多人同时访问这个服务器,由于不同模块分布在不同服务器,单个服务器只需要运行单一功能模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值