001-从零搭建微服务-认证中心(一)

已于 2023-12-27 19:24:30 修改
阅读量1.4k 收藏 6
点赞数
分类专栏: MingYue微服务 文章标签: 微服务 java spring
于 2023-05-25 19:26:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csp732171109/article/details/130873548
版权

写在最前

如果这个项目让你有所收获,记得 Star 关注哦,这对我是非常不错的鼓励与支持。

源码地址(后端):https://gitee.com/csps/mingyue-springcloud-learning

源码地址(前端):https://gitee.com/csps/mingyue-springcloud-ui

文档地址:https://gitee.com/csps/mingyue-springcloud-learning/wikis

技术选型

本微服务将采用 Sa-Token 作为权限认证框架!

  • Apache Shiro:相对来说比较老了,授权第三方登录需要手动实现,实现 oauth 比较麻烦。 不推荐!✘
  • Spring Security: 非常完善了,网上也有很多的实现案例,但 Spring Security 团队正式宣布 Spring Security OAuth 终止维护(该项目将不会再进行任何的迭代,包括 Bug 修复)。 新项目不是很推荐!✘
    • 作为 SpringBoot 3.0 的过渡版本 SpringBoot 2.7.0 过期了大量关于 SpringSecurity 的配置类,如沿用旧版本过期配置无法向上升级。
  • Spring Authorization Server:目前 Spring 生态中的 OAuth2 授权服务器主推的项目,应该会是未来 Spring 家族很长一段时间的 OAuth2 解决方案。推荐!✔
  • Sa-Token:一个轻量级 Java 权限认证框架,有中文文档,也迭代到了3.4.0,目前还算稳定,推荐!✔

Sa-Token

当你看完 Spring Security、Spring Authorization Server 文档,再看 Sa-Token 文档,就会有一种真 TM 简单的感觉。

最新开发文档永远在:https://sa-token.cc

Sa-Token 文档尽力讲解每个功能的设计原因、应用场景,用心阅读文档,确实学习到的将不止是 Sa-Token 框架本身,更是绝大多数场景下权限设计的最佳实践。

目前功能一览

  • 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录
  • 权限认证 —— 权限认证、角色认证、会话二级认证
  • Session会话 —— 全端共享Session、单端独享Session、自定义Session
  • 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线
  • 账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁
  • 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失
  • 分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案
  • 微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证
  • 单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定
  • OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务,支持openid模式
  • 二级认证 —— 在已登录的基础上再次认证,保证安全性
  • Basic认证 —— 一行代码接入 Http Basic 认证
  • 独立Redis —— 将权限缓存与业务缓存分离
  • 临时Token认证 —— 解决短时间的Token授权问题
  • 模拟他人账号 —— 实时操作任意用户状态数据
  • 临时身份切换 —— 将会话身份临时切换为其它账号
  • 前后端分离 —— APP、小程序等不支持Cookie的终端
  • 同端互斥登录 —— 像QQ一样手机电脑同时在线,但是两个手机上互斥登录
  • 多账号认证体系 —— 比如一个商城项目的user表和admin表分开鉴权
  • Token风格定制 —— 内置六种Token风格,还可:自定义Token生成策略、自定义Token前缀
  • 注解式鉴权 —— 优雅的将鉴权与业务代码分离
  • 路由拦截式鉴权 —— 根据路由拦截鉴权,可适配restful模式
  • 自动续签 —— 提供两种Token过期策略,灵活搭配使用,还可自动续签
  • 会话治理 —— 提供方便灵活的会话查询接口
  • 记住我模式 —— 适配[记住我]模式,重启浏览器免验证
  • 密码加密 —— 提供密码加密模块,可快速MD5、SHA1、SHA256、AES、RSA加密
  • 全局侦听器 —— 在用户登陆、注销、被踢下线等关键性操作时进行一些AOP操作
  • 开箱即用 —— 提供SpringMVC、WebFlux等常见web框架starter集成包,真正的开箱即用

单点登录与 OAuth2.0

本微服务将采用 OAuth2.0 作为权限认证解决方案!

功能点SSO单点登录OAuth2.0
统一认证支持度高支持度高
统一注销支持度高支持度低
多个系统会话一致性强一致弱一致
第三方应用授权管理不支持支持度高
自有系统授权管理支持度高支持度低
Client级的权限校验不支持支持度高
集成简易度比较简单难度中等

单点登录

举个场景,假设我们的系统被切割为 N 个部分:游戏、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这 N 个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。

单点登录——就是为了解决这个问题而生!

简而言之,单点登录可以做到:在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。

OAuth2.0

简单来讲,OAuth2.0 的应用场景可以理解为单点登录的升级版,单点登录解决了多个系统间会话的共享,OAuth2.0 在此基础上增加了应用之间的权限控制。OAuth2.0 可以是通往 SSO 这个 “罗马” 的其中一条路,但它们本身并列于不同的场景与需求。

基于不同的使用场景,OAuth2.0设计了四种模式

  1. 授权码(Authorization Code):OAuth2.0 标准授权步骤,Server 端向 Client 端下放 Code 码,Client 端再用 Code码换取授权 Token

    image-20220801165430181

  2. 隐藏式(Implicit):无法使用授权码模式时的备用选择,Server 端使用 URL 重定向方式直接将 Token 下放到 Client端页面

  3. 密码式(Password):Client 直接拿着用户的账号密码换取授权 Token

    image-20220801165338556

  4. 客户端凭证(Client Credentials):Server 端针对 Client 级别的 Token,代表应用自身的资源授权

Strive_MY
关注
专栏目录
微服务springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
003-从搭建微服务-认证中心(三)
csp732171109的博客
05-26 523
BOM全称是Bill Of Materials,译作材料清单。BOM本身并不是一种特殊的文件格式,而是一个普通的POM文件,只是在这个POM中,我们罗列的是一个工程的所有依赖和其对应的版本。该文件一般被其它工程使用,当其它工程引用BOM中罗列的jar包时,不用显示指定具体的版本,会自动使用BOM对应的jar版本。所以BOM的好处是用来管理一个工程的所有依赖版本信息。
微服务框架搭建 基于oauth2 认证中心服务
03-26
#微服务框架认证授权中心 项目采用spring cloud、oauth2、spring security # 依赖环境 JDK8、 Maven、 Mysql、 Redis 、nacos 注册中心采用阿里巴巴 nacos 缓存使用的是redis oauth2数据存储在数据库中 username: test password: 123456 phone: 13100000000 verifyCode: 1000 //数据库使用的是mysql5.7.23 执行sql语句 修改配置数据库密码 //数据库密码使用druid加密 *表示密码 java -cp druid-1.1.10.jar com.alibaba.druid.filter.config.ConfigTools ****** //nacos安装请查看官网资料 授权码: http://localhost:9001/auth/oauth/authorize?response_type=code&client_id=test&redirect_uri=https://www.ddd.com 密码模式: post http://localhost:9001/auth/oauth/token?grant_type=password&client_id=test&client_secret=123456&username=test&password=123456 客户端: post http://localhost:9001/auth/oauth/token?grant_type=client_credentials&client_id=test&client_secret=123456
微服务统一认证中心
AkiraNicky的博客
04-16 6342
微服务架构中,由于不同的业务会拆分成不同的微服务,传统的单体项目一般是通过过滤器进行拦截校验,而微服务显然不可能分发到各个服务进行用户认证,这就需要由一个统一的地方来管理所有服务的认证信息,实现只登录一次,即可在各个服务的授权范围内进行操作;本文采用springcloud-oauth2来实现多个微服务的统一认证
013-从搭建微服务-认证中心(五)
csp732171109的博客
06-29 773
如果需要做数据互通,也就是拿着 access_token 去访问 satoken 令牌的接口可以正常访问,可以参考如下文章:https://sa-token.cc/doc.html#/oauth2/oauth2-interworking。文档地址:https://gitee.com/csps/mingyue/wikisapplication-common.yml。源码地址(前端):https://gitee.com/csps/mingyue-ui。一般情况下,我们这样区分 access_token(
002-从搭建微服务-认证中心(二)
csp732171109的博客
05-26 1891
Sa-Token-OAuth Server端启动成功: http://localhost:9000/oauth2/authorize?文档地址:https://gitee.com/csps/mingyue/wikis。源码地址:https://gitee.com/csps/mingyue。父项目的依赖都放在这儿了,后续用到什么再增加什么。
搭建微服务Springboot + SpringCloud)
weixin_43776741的博客
05-07 1012
搭建微服务Springboot + SpringCloud)及相关分布式组件介绍
微服务安全-基于SpringCloud-OAuth2搭建微服务开放平台
魔法革1996
02-20 244
1、什么是SpringCloud Oauth2 2、OAuth2密码模式与授权模式 3、构建认证授权服务中心与资源服务 4、构建认证授权服务环境 5、构建认证资源服务环境 6、将应用信息改为数据库存储 SpringCloud Oauth2 在Spring Cloud需要使用oauth2来实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证和授权,从而获得access_token,而这个token是受其他微服务信任的,我们在后续的访问可以...
如何把项目改成微服务项目_SpringBoot项目拆分为SpringCloud微服务 - 从0-1开始搭建微服务...
weixin_39644139的博客
12-20 2124
前言距离我搭建完个人开发框架并写完笔记也已经过去很长时间了,在这段时间内我学习了SpringCloud相关的知识,从这篇笔记开始把之前搭建的单体框架拆分成微服务框架,并希望在从中学到更多的知识,以及更多维度上的考虑;在此搭建的过程中,也希望各位大佬多多指点,多提建议,共同进步。参考:确定SpringCloud基础项目结构关于微服务框架中都有什么服务模块,因为现在没什么业务场景,我就暂时按着学习到的...
DDD学习笔记---基于DDD的微服务设计实例
只管努力,莫问前程
03-10 1301
项目基本信息 项目的目标是实现在线请假和考勤管理。功能描述如下: 请假人填写请假单提交审批,根据请假人身份、请假类型和请假天数进行校验,根据审批规则逐级递交上级审批,逐级核批通过则完成审批,否则审批不通过退回申请人。 根据考勤规则,核销请假数据后,对考勤数据进行校验,输出考勤统计。 战略设计 战略设计是根据用户旅程分析,找出领域对象和聚合根,对实体和值对象进行聚类组成聚合,划分限界上下文,建立领域模型的过程。 战略设计采用的方法是事件风暴,包括:产品愿景、场景分析、领域建模和微服务拆分等几个主..
004-从搭建微服务-认证中心(四)
csp732171109的博客
05-29 776
至此,一个简单的 OAuth2 前后端分离小 Demo 就算完事儿了。但截止目前还不能算是微服务,就是一个单服务的小应用。本人后端一枚,前端不是很懂,前端有什么写的不好的地方,请积极指出,我虚心受教,积极改正!文档地址:https://gitee.com/csps/mingyue/wikis。如果这个项目让你有所收获,记得 Star 关注哦,这对我是非常不错的鼓励与支持。源码地址:https://gitee.com/csps/mingyue。查询数据库用户信息、客户端信息。,最后通过 feign 调用到。
开始搭建微服务微服务防护
余弦的自留地
05-13 419
目前我们所有客户端请求都是通过微服务网关转发完成的,但是还是可以直接访问微服务地址的方式来获取服务,我们使用PostMan分别向 localhost:8301/system/hello(网关) localhost:8202/hello(非网关) 发送GET请求,都能得到响应结果。 localhost:8301/system/hello(网关) localhost:8202/hello(非网关) 为了避免客户端请求绕过网关,直接调用微服务,我们可以在网关转发请求至微服务前和微服务被调用前之间做一些必要
搭建微服务认证中心实现微服务鉴权
Neayom
05-31 3192
一、单体应用的安全,传统的SSO 某些页面必须登录后才能正常使用,之前了解过单体架构可以通过分布式session或JWT实现传统的sso,又或者通过NG的ip hash算法(原理是根据用户的IP不变,定位到固定的后端服务器中寻找session) 这些都不是重点!!!!! 二、Oauth2协议 个人的理解是这样的:我们可以在Oauth2上实现单点登录,但是Oauth2不仅仅只能实现单点登录,可以实现授权第三方应用有权限去访问另外的服务提供者上的信息,而不需要将你的登录信息(账号密码)提供给第三方应用,安全。
016-从搭建微服务-认证中心(七)
csp732171109的博客
07-18 329
访问接口:网关:http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?测试 【前情回顾】中的接口,如:http://mingyue-gateway:8000/sysUser/getSysUserInfoByUsername?username=mingyue,返回如下。网关:http://mingyue-gateway:9100/system/sysUser/getSysUserInfoByUsername?
开始搭建一个微服务项目(一)
qq_44620773的博客
11-17 4242
2. 如何通过bootstrap拿到nacos对应的配置呢,会通过服务名+profile名+后缀名组成。各个服务之间是通过Http请求来进行交互,原先使用RestTemplate进行请求,可以使用更方便的openFeign(Feign已经停止维护,通过服务名在数据中心找到多个ip,然后通过负载均衡策略(可以通过实现Irlue来实现),来制定对应的实例ip。原理:通过指定的服务名,去注册中心查找对应的ip地址,然后去向目标发送请求。在消费者服务里建一个接口,写上需要调用的请求,并在接口上添加。
Spring Cloud Gateway网关从开始搭建之路
qq_30035133的博客
05-10 2860
1.网关的由来 微服务提出后,单体应用被拆分成多个服务,为了对外提供统一入口,解耦客户端与内部服务。 2.网关的作用 网关能做统一的路由转发、熔断、限流、安全认证、日志监控等。 3.网关zuul与Spring Cloud Gateway对比 4.Spring Cloud Gateway核心概念 1.路由(route) 路由是网关最基础的部分,路由信息由一个ID、一个目的URL、一组断言工厂...
piggymetrics-master.zip 微服务实践入门项目
04-25
PiggyMetrics是一个很全面的微服务实践入门的实例集,它可以指导开发者使用 Spring Boot、Spring Cloud 和 Docker 搭建微服务架构。 该开源项目有一个典型的微服务实现案例 - 个人理财微服务系统。采用Spring Boot/...
搭建微服务架构:Spring Boot与Nacos完美整合
热门推荐
todoitbo的博客
11-15 10万+
在这篇博客中,我们将探索如何使用Spring Boot和Nacos构建弹性、高可用的微服务架构。从服务的注册与发现到配置中心的统一管理,我们将逐步深入,演示这两个框架如何协同工作,为你的应用提供强大的支持。通过简洁而详实的示例和易于理解的解释,你将能够轻松地整合Nacos到你的Spring Boot项目中。
微服务 认证授权中心搭建 Token使用案例 redis JWT 1
qq_50909707的博客
05-13 2577
目录 一、依赖 二、配置 三、启动类 四、授权功能配置 五、网络安全配置 六、测试token 一、依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> &lt
从0到1搭建微服务框架
最新发布
qq_36973384的博客
07-01 1146
后台管理平台业务开发模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Strive_MY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值