Spring Cloud下基于OAUTH2认证授权的实现

最新推荐文章于 2024-05-22 16:44:30 发布
最新推荐文章于 2024-05-22 16:44:30 发布
阅读量1.2k 收藏
点赞数
分类专栏: web授权 文章标签: auth2 springCloud 微服务

转自:https://blog.csdn.net/qq_34490951/article/details/79930270

在Spring Cloud需要使用OAUTH2来实现多个微服务的统一认证授权,通过向OAUTH服务发送某个类型的grant type进行集中认证和授权,从而获得access_token,而这个token是受其他微服务信任的,我们在后续的访问可以通过access_token来进行,从而实现了微服务的统一认证授权。
整体架构


验证流程


 

一般的使用流程:1、用户通过登陆请求致auth-server来通过用户信息获取Token,在之后的请求中使用Token,2、在请求致其他需要权限微服务时,服务会根据Token来获取用户信息【包含权限】来鉴权校验,3、需要权限微服务需要制定安全规则,标明每个方法所需权限,同时指明获取用户信息位置【auth-server】。

auth-server:OAUTH2认证授权中心
order-service:普通微服务,用来验证认证和授权
api-gateway:边界网关(所有微服务都在它之后)
OAUTH2中的角色:

Resource Server:被授权访问的资源
Authotization Server:OAUTH2认证授权中心
Resource Owner: 用户
Client:使用API的客户端(如Android 、IOS、web app)
Grant Type:

Authorization Code:用在服务端应用之间
Implicit:用在移动app或者web app(这些app是在用户的设备上的,如在手机上调起微信来进行认证授权)
Resource Owner Password Credentials(password):应用直接都是受信任的(都是由一家公司开发的,本例子使用)
Client Credentials:用在应用API访问。
1.基础环境
使用MongoDB作为账户存储,Redis作为Token存储。

项目依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>${fastjson.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-eureka-server</artifactId>
<version>1.4.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-feign</artifactId>
<version>1.4.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.retry</groupId>
<artifactId>spring-retry</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-bus-amqp</artifactId>
<version>1.3.2.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-aop</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-config</artifactId>
<version>1.4.0.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-mongodb</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-data</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
 


 
2.auth-server
2.1 OAuth2服务配置

Redis用来存储token,服务重启后,无需重新获取token.

 

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
//认证管理器
@Autowired
AuthenticationManager authenticationManager;
//存储链接
@Autowired
RedisConnectionFactory redisConnectionFactory;
//用户信息相关的实现
@Autowired
private UserDetailsService userDetailsService;
//token存放位置
@Bean
public RedisTokenStore tokenStore() {
return new RedisTokenStore(redisConnectionFactory);
}
//配置认证管理器以及用户信息业务实现
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints
.authenticationManager(authenticationManager)
.userDetailsService(userDetailsService)//若无,refresh_token会有UserDetailsService is required错误
.tokenStore(tokenStore());
}
//配置认证规则,那些需要认证那些不需要
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security
.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()");
}
//配置客户端
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("android")//客户端账户
.scopes("xx")//作用域
.secret("android")//客户端密码
.authorizedGrantTypes("password", "authorization_code", "refresh_token")//授权方式
.and()//不同的客户端链接
.withClient("webapp")
.scopes("xx")
.authorizedGrantTypes("implicit");
}
 


 
2.2 Resource服务配置

auth-server提供user信息,所以auth-server也是一个Resource Server

package com.yangcuncloud.consumer.annotation;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import javax.servlet.http.HttpServletResponse;
/**
* Resource Server
*/
@Configuration
@EnableResourceServer
public class ResourceServerConfig
extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.exceptionHandling()
.authenticationEntryPoint((request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED))
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
}
}
提供用户信息以供鉴权

package com.yangcuncloud.consumer.controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.SessionAttributes;
import java.security.Principal;
/**
* 通过token获取用户信息
*/
@RestController
public class UserController {
@GetMapping("/user")
public Principal user(Principal user){
return user;
}
}
 

2.3 安全配置

package com.yangcuncloud.consumer.annotation;
import com.yangcuncloud.consumer.security.DomainUserDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.data.repository.query.SecurityEvaluationContextExtension;
/**
* 安全配置相关
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
/**
*
*注意: @EnableGlobalMethodSecurity 可以配置多个参数:
*prePostEnabled :决定Spring Security的前注解是否可用 [@PreAuthorize,@PostAuthorize,..] 此处表明可用
*secureEnabled : 决定是否Spring Security的保障注解 [@Secured] 是否可用
*jsr250Enabled :决定 JSR-250 annotations 注解[@RolesAllowed..] 是否可用.
*/
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//用户信息业务类
@Bean
public UserDetailsService userDetailsService() {
return new DomainUserDetailsService();
}
//密码加密器
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
//验证用户信息与密码
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.userDetailsService(userDetailsService())
.passwordEncoder(passwordEncoder());
}
@Bean
public SecurityEvaluationContextExtension securityEvaluationContextExtension() {
return new SecurityEvaluationContextExtension();
}
//不定义没有password grant_type
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
}
 


 
2.4 权限设计

采用用户(SysUser)<->角色(SysRole)<->权限(SysAuthotity)设置,彼此之间的关系是多对多。通过DomainUserDetailsService 加载用户和权限。

2.5 配置


 
server:
port: 8058
spring:
application:
name: consumer
cloud:
config:
label: master
profile: dev
discovery:
enabled: true
service-id: config
bus:
enabled: true
redis:
host: 172.16.20.19
Port: 6379
management:
security:
enabled: false
eureka:
client:
serviceUrl:
defaultZone: http://172.16.20.19:8051/eureka/
logging.level.org.springframework.security: DEBUG
logging.leve.org.springframework: DEBUG
security:
oauth2:
resource:
filter-order: 3
 

3.Resource
3.1 Resource服务配置,服务有需要受保护接口时,需要添加以下配置

package com.yangcuncloud.consumer.annotation;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import javax.servlet.http.HttpServletResponse;
/**
* Resource Server
*/
@Configuration
@EnableResourceServer
public class ResourceServerConfig
extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.exceptionHandling()
.authenticationEntryPoint((request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED))
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
}
}
 

3.2 用户信息配置
微服务使用auth-server进行认证授权,在它的配置文件指定用户信息在auth-server的地址即可:

security:
oauth2:
resource:
id: 服务id
user-info-uri: http://验证服务ip:port/用户信息接口
prefer-token-info: false
 

security: oauth2: resource: id: order-service user-info-uri: http://auth-serverHOST:port/用户信息接口 prefer-token-info: false
3.3 权限测试控制器

在需要鉴权的接口上添加注解

@PreAuthorize("hasAuthority('query-demo')")
此处的‘query-demo’就是对应的权限名

@PreAuthorize("hasAuthority('query-demo')")
@RequestMapping(value = "/userList")//此注解标明调用该接口的TOken用户需要拥有query-demo的权限
public ResponseEntity<JSONObject> userList(@RequestParam(value = "page") int page,
@RequestParam(value = "pageSzie") int pageSzie,
@RequestParam(value = "param", required = false) String param,
@RequestParam(value = "order", required = false) String sort) {

具备authority的query-demo权限的才能访问

演示
 客户端调用

使用Postman向http://localhost:8080/consumer/oauth/token发送请求获得access_token

注意此出需要添加authorization header,为我们之前的客户端账户和客户端密码(都为android)

 

之后我们使用获取的Token来验证鉴权是否有效,先使用无Token和错误Token请求

 

可以看到都是不可访问的情况,然后我们来尝试使用正确Token调用

访问成功!

然后我们修改该接口的权限,并重启服务,可以看到重启后原Token依然可用,因为我们将其保存至Redis中了。此时我们看一下该接口是否依然可用。【权限错误的情况】

再次请求

显示不允许访问。

6 注销oauth2
6.1 增加自定义注销Endpoint

所谓注销只需将access_token和refresh_token失效即可,我们模仿org.springframework.security.oauth2.provider.endpoint.TokenEndpoint写一个使access_token和refresh_token失效的Endpoint:

@FrameworkEndpoint
public class RevokeTokenEndpoint {
@Autowired
@Qualifier("consumerTokenServices")
ConsumerTokenServices consumerTokenServices;
@RequestMapping(method = RequestMethod.DELETE, value = "/oauth/token")
@ResponseBody
public String revokeToken(String access_token) {
if (consumerTokenServices.revokeToken(access_token)){
return "注销成功";
}else{
return "注销失败";
}
}
}
 


 
6.2 注销请求方式

在注销之后使用原token再次访问就会错误invalid_tokenInvalid access token: 需要重新获取token。

fyedu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Spring CloudOAuth2.0开发基于Vue前后分离的开发平台 vue 前端资源
11-01
全网最新的Cloud 权限系统 基于Spring Boot 2.0.4.RELEASE 基于Spring Cloud Finchley.SR1 网关基于 Spring Cloud Gateway 提供Consul 服务注册发现版本pigxc 最终一致性的分布式事务解决方案 图形化代码生成,不会vue也能做到敏捷开发 基于 Spring Security oAuth 深度定制,支持社交登录等 完整的OAuth 2.0 流程,资源服务器控制权限 去除了部分对于开发不友好的中间件,快速上手
springcloud集成Oauth2权限项目-oauth服务使用jwt获取access_token(password模式)(七)
穷水叮咚的博客
09-03 4552
这一篇是完善oauth服务,实现登录功能,获取到access_token.主要用password模式 获取流程: url带上认证参数经过网关,网关转发到oauth服务,oauth带上参数然后调用user服务获取用户信息,然后在oauth里面校验用户名密码是否正确,最后返回access_token。 详情请看: 《Spring Security Oauth2 认证流程(password模式)...
Spring Security + OAuth2】OAuth2
最新发布
weixin_43676950的博客
05-22 931
Auth”表示“授权Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
Spring Cloud Security:Oauth2使用入门
jhlceo的博客
02-12 147
Spring Cloud Security:Oauth2使用入门 摘要 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能 。 OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 OAuth2 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户.
聊聊spring security oauth2的几个endpoint的认证
weixin_34233856的博客
12-12 1672
序 本文就来讲一下spring security oauth2的几个endpoint的认证 endpoint spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEnd...
SpringSecurity之Oauth2介绍
justlpf的专栏
04-14 4101
第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript、Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
Spring Cloud下基于OAUTH2认证授权实现示例
08-27
Spring Cloud下基于OAUTH2认证授权实现示例 本文主要介绍了Spring Cloud下基于OAUTH2认证授权实现示例,主要分为四大部分:服务注册和发现、OAUTH2认证授权中心、普通微服务和边界网关。通过OAUTH2实现多个...
Spring CloudOAUTH2注销的实现示例
08-27
Spring CloudOAUTH2 注销的实现示例 在本文中,我们将探讨 Spring CloudOAUTH2 注销的实现示例。首先,让我们了解什么是 OAUTH2 和为什么需要注销。 OAUTH2 是一种授权协议,用于确保客户端应用程序能够...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
本篇将深入探讨如何利用Spring Cloud集成OAuth2来实现身份认证和单点登录(Single Sign-On,简称SSO)。 OAuth2是一种授权框架,它允许第三方应用获取资源所有者的特定资源,同时保护了资源所有者的隐私信息。在...
图解OAuth 2.0协议族(九):令牌内省 introspect token
yunyun1886358的专栏
11-06 1822
OAuth 2.0协议:令牌内省introspect token 此协议让收资源保护服务可以通过授权服务器提供的内省API获取访问令牌的所有信息,包括是否激活,过期,权限范围,受众,签发者等等。替代了强耦合的共享数据库方式,又有效的减小了令牌本身的数据大小,并且可以集中管理令牌。 response type:code grant type: authorization code token type: bearer token: access token ...
spring oauth2+JWT后端自动刷新access_token
weixin_48892608的博客
07-24 1315
这段时间在学习搭建基于spring boot的spring oauth2 和jwt整合。 说实话挺折腾的。使用jwt做用户鉴权,难点在于token的刷新和注销。 当然注销的难度更大,网上的一些方案也没有很出色的。这个功能基本让我放弃了jwt(滑稽笑~)。 所以今天我单纯的先记录jwt token的刷新。 Token刷新 jwt token刷新方案可以分为两种:一种是校验token前刷新,第二种是校验失败后刷新。 我们先来说说第二种方案 验证失效后,Oauth2框架会把异常信息发送到OAuth2
27-令牌自省OAuth2TokenIntrospectionEndpointFilter
码农小胖哥
03-21 6069
OAuth2TokenIntrospectionEndpointFilter同样直接由OAuth2AuthorizationServerConfigurer进行配置,负责令牌自省,在OAuth2中这个功能是提供给Resource Server做令牌校验用的。对于Resource Server来说令牌自省不是一个必须的功能。今天我们来简单研究一下这个过滤器。 OAuth2TokenIntrospectionEndpointFilter OAuth2TokenIntrospectionEndpointFilte
(七)springcloud Oauth2授权-Spring Cloud Oauth2
djdddoy5191的博客
04-30 811
spring-security-oauth2 客户端四种授权模式: 授权码模式(authorization code):第三方应用先申请一个授权码,然后再用该码获取令牌。 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) 授权码模式: 1、第三方应用向授权端点URI G...
Spring Oauth2-Authorization-Server Opaque认证
面朝大海,春暖花开
05-04 1949
Spring Oauth2-Authorization-Server Opaque token 认证 基于 spring-security-oauth2-authorization-server 0.2.3 如果我们采用 opaque 方式进行token 认证,那我们会这样配置: spring: security: oauth2: resourceserver: opaquetoken: client-id: apple cli
springcloud eureka+gateway+oauth2配置
chench的博客
11-12 889
代码 整套代码已上传开源,可下载参考学习: https://gitee.com/chench3home/springcloud-eureka-config-gateway-oauth2-feign.git 软件架构 springcloud-eureka springcloud-config springcloud-gateway springcloud-oauth2 springcloud-feign springcloud-ribbon redis mysql rabbitmq 说明 springclou
springcloud集成Oauth2权限项目-token存入redis(九)
穷水叮咚的博客
09-03 3426
目的:将token存入redis是为了将token失效,防止以前的token还可以继续使用 oauth pom加入redis 包 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> &lt...
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
weixin_47600724的博客
12-29 2921
接下来我们就可以搭建网关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2的认证服务使用,并且网关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠网关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过网关访问。
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
热门推荐
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值