用户认证Spring Security Oauth2 JWT
用户认证
用户认证与授权
- 用户身份认证
- 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。
- 用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。
- 用户授权
- 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问。
单点登录(Single Sign On,SSO)
- 为了提高用户体验性需要实现
用户只认证一次便可以在多个拥有访问权限的系统
中访问,这个功能叫做单点登录。 - SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
第三方认证(跨平台认证)
- 当需要访问第三方系统的资源时需要首先通过第三方系统的认证(例如:微信认证),由第三方系统对用户认证通过,并授权资源的访问权限。
用户认证技术方案
单点登录
-
分布式系统要实现单点登录,通常将
认证系统独立抽取出来
,并且将用户身份信息存储在单独的存储介质
。通常存储在redis中。 -
示例
-
单点登录功能实现
- 功能实现
- 1、登录页面提交用户名密码。
- 2、登录成功后生成token。Token相当于原来的jsessionid,字符串,可以使用uuid。
- 3、把用户信息保存到redis。Key就是token,value就是TbUser对象转换成json。
- 4、使用String类型保存Session信息。可以使用“前缀:token”为key
- 5、设置key的过期时间。模拟Session的过期时间。一般半个小时。
- 6、把token写入cookie中。
- 7、Cookie需要跨域。可以使用工具类。
- 8、Cookie的有效期。关闭浏览器失效。
- 9、登录成功。
- 功能实现
-
单点登录的特点
- 认证系统为独立的系统。
- 各子系统通过Http或其它协议与认证系统通信,完成用户认证。
- 用户身份信息存储在Redis集群。
-
java中用户认证的框架实现单点登录
- Apache Shiro
- CAS
- Spring security CAS
Oauth2认证
- 第三方认证技术方案最主要是
解决认证协议的通用标准问题
,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。 - OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。
- Oauth2认证流程示例
- (1)客户端请求第三方授权
- (2)资源拥有者同意给客户端授权
- (3)客户端获取到授权码,请求认证服务器申请令牌
- (4)认证服务器向客户端响应令牌
- (5)客户端请求资源服务器的资源
- (6)资源服务器返回受保护的资源
- Oauth2.0认证流程
- Oauth2参与实体:
- 客户端Client:本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源。
- 资源拥有者Resource Owner:通常为用户,也可以是应用程序,即该资源的拥有者。
- 授权服务器(认证服务器)Authorization Server:用来对资源拥有的身份进行认证、对访问资源进行授权。
- 资源服务器Resource Server:存储资源的服务器。
Spring security Oauth2认证解决方案
- 采用Spring security + Oauth2完成用户认证及用户授权。
- Spring security 是一个强大的和高度可定制的身份验证和访问控制框架,Spring security 框架集成了Oauth2协议。
- 项目认证架构图
- 用户请求认证服务完成认证;
- 认证服务下发用户身份令牌,拥有身份令牌表示身份合法;
- 用户携带令牌请求资源服务,请求资源服务必先经过网关;
- 网关校验用户身份令牌的合法性,合法放行继续访问,不合法表示用户未登录;
- 资源服务获取令牌,根据令牌完成授权;
- 资源服务完成授权则响应资源信息。
Spring Security Oauth2
搭建认证服务器
- 搭建ucenter-auth工程
- 创建用户数据库
- 以“oauth_”开头的表都是spring Security 自带的表。
- spring Security 主要使用oauth_client_details表。
Oauth2授权码模式
- 授权模式
- 授权码模式(Authorization Code)
- 隐式授权模式(Implicit)
- 密码模式(Resource Owner PasswordCredentials)
客户端模式(Client Credentials)
- 授权码授权流程
- 1、客户端请求第三方授权
- 2、用户(资源拥有者)同意给客户端授权
- 3、客户端获取到授权码,请求认证服务器申请令牌
- 4、认证服务器向客户端响应令牌
- 5、客户端请求资源服务器的资源,资源服务校验令牌合法性,完成授权
- 6、资源服务器返回受保护资源
- 申请授权码
- 启动认证服务器
- get请求获取授权码:localhost:40400/auth/oauth/authorize?client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost
- 输入用户名密码登录
- Spring Security接收到请求会调用UserDetailsService接口的loadUserByUsername方法查询用户正确的密码。
- 进入授权页面
- 返回授权码,认证服务携带授权码跳转redirect_uri
- 申请令牌
- POST请求申请令牌:http://localhost:40400/auth/oauth/token
- 参数
- grant_type:
授权类型,填写authorization_code,表示授权码模式
- code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
- redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
- grant_type:
- 参数
- 使用 http Basic认证。
- http协议定义的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在header中请求服务端。
- post请求
- 申请令牌成功
- POST请求申请令牌:http://localhost:40400/auth/oauth/token
- 资源服务授权
- 资源服务授权流程
- (1)客户端请求认证服务申请令牌
- (2)认证服务生成令牌:认证服务采用
非对称加密算法
,使用私钥生成令牌 - (3)客户端
携带令牌访问
资源服务:客户端在http header中添加:Authorization : Bearer令牌 - (4)资源服务请求认证服务校验令牌的有效性:使用公钥校验
- (5)令牌有效,资源服务向客户端响应资源信息
- 资源服务授权配置
- 配置公钥
- 添加依赖
<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring‐cloud‐starter‐oauth2</artifactId> </dependency>
- 在config包下创建ResourceServerConfig类
@Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的 PreAuthorize注解 public class ResourceServerConfig extends ResourceServerConfigurerAdapter { //公钥 private static final String PUBLIC_KEY = "publickey.txt"; //定义JwtTokenStore,使用jwt令牌 @Bean public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) { return new JwtTokenStore(jwtAccessTokenConverter); } //定义JJwtAccessTokenConverter,使用jwt令牌 @Bean public JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setVerifierKey(getPubKey()); return converter; } /** * 获取非对称加密公钥 Key * @return 公钥 Key */ private String getPubKey() { Resource resource = new ClassPathResource(PUBLIC_KEY); try { InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream()); BufferedReader br = new BufferedReader(inputStreamReader); return br.lines().collect(Collectors.joining("\n")); } catch (IOException ioe) { return null; } } //Http安全配置,对每个到达系统的http请求链接进行校验 @Override public void configure(HttpSecurity http) throws Exception { //所有请求必须认证通过 http.authorizeRequests().anyRequest().authenticated(); } }
- 资源服务授权流程
Oauth2密码模式授权
- 密码模式(Resource Owner Password Credentials)与授权码模式的区别是申请令牌不再使用授权码,而是
直接通过用户名和密码
即可申请令牌。 - post请求:http://localhost:40400/auth/oauth/token
- 参数:
- grant_type:
密码模式授权填写password
- username:账号
- password:密码
- 使用 http Basic认证。
- 参数使用x-www-form-urlencoded方式传输
- grant_type:
- 当令牌没有过期时同一个用户再次申请令牌则不再颁发新令牌。
- 参数:
检验令牌
- get请求:http://localhost:40400/auth/oauth/check_token?token=
- 参数
- token:令牌
- 测试结果
刷新令牌
- 刷新令牌是当令牌快过期时重新生成一个令牌,它于授权码授权和密码授权生成令牌不同,刷新令牌不需要授权码也不需要账号和密码,只需要一个刷新令牌、客户端id和客户端密码。
- post请求:http://localhost:40400/auth/oauth/token
- grant_type: 固定为 refresh_token
- refresh_token:刷新令牌(注意不是access_token,而是refresh_token)
- 测试结果
JWT
- 传统校验令牌方法
- 传统授权方法的问题是
用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根据令牌获取用户的相关信息
,性能低下。 - 解决:使用JWT的思路是,用户认证通过会得到一个JWT令牌,
JWT令牌中已经包括了用户相关的信息
,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。
- 传统授权方法的问题是
- JWT令牌授权过程
- JWT
- JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。
- JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。
- JWT令牌的优点
- (1)jwt基于json,非常方便解析。
- (2)可以在令牌中自定义丰富的内容,易扩展。
- (3)通过
非对称加密算法及数字签名技术,JWT防止篡改,安全性高
。 - (4)资源服务使用JWT可不依赖认证服务即可完成授权。
- JWT缺点
- 令牌较长,占存储空间较大
- 令牌结构
- JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz
Header
- 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)
- 将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。
Payload
- 第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。
- 此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。
- 第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。
Signature
- 第三部分是签名,此部分用于防止jwt内容被篡改。
- 这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明签名算法进行签名。
- JWT操作
- 生成私钥和公钥
- 生成密钥证书
keytool -genkeypair -alias xckey -keyalg RSA -keypass xuecheng -keystore xc.keystore -storepass xuechengkeystore
* Keytool 是一个java提供的证书管理工具 * -alias:密钥的别名 * -keyalg:使用的hash算法 * -keypass:密钥的访问密码 * -keystore:密钥库文件名,xc.keystore保存了生成的证书 * -storepass:密钥库的访问密码
- 导出公钥
- 使用openssl来导出公钥信息
- cmd进入xc.keystore文件所在目录执行如下命令:
keytool ‐list ‐rfc ‐‐keystore xc.keystore | openssl x509 ‐inform pem ‐pubkey
- 输入密钥库密码
- public key即为公钥内容,将上边的公钥拷贝到文本文件中,合并为一行。
- 生成jwt令牌
//生成一个jwt令牌 @Test public void testCreateJwt(){ //证书文件 String key_location = "xc.keystore"; //密钥库密码 String keystore_password = "xuechengkeystore"; //访问证书路径 ClassPathResource resource = new ClassPathResource(key_location); //密钥工厂 KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(resource, keystore_password.toCharArray()); //密钥的密码,此密码和别名要匹配 String keypassword = "xuecheng"; //密钥别名 String alias = "xckey"; //密钥对(密钥和公钥) KeyPair keyPair = keyStoreKeyFactory.getKeyPair(alias,keypassword.toCharArray()); //私钥 RSAPrivateKey aPrivate = (RSAPrivateKey) keyPair.getPrivate(); //定义payload信息 Map<String, Object> tokenMap = new HashMap<>(); tokenMap.put("id", "123"); tokenMap.put("name", "mrt"); tokenMap.put("roles", "r01,r02"); tokenMap.put("ext", "1"); //生成jwt令牌 Jwt jwt = JwtHelper.encode(JSON.toJSONString(tokenMap), new RsaSigner(aPrivate)); //取出jwt令牌 String token = jwt.getEncoded(); System.out.println("token="+token); }
- 验证jwt令牌
//资源服务使用公钥验证jwt的合法性,并对jwt解码 @Test public void testVerify(){ //jwt令牌 String token ="eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHQiOiIxIiwicm9sZXMiOiJyMDEscjAyIiwibmFtZSI6Im1ydCIsI mlkIjoiMTIzIn0.KK7_67N5d1Dthd1PgDHMsbi0UlmjGRcm_XJUUwseJ2eZyJJWoPP2IcEZgAU3tUaaKEHUf9wSRwaDgwhrw fyIcSHbs8oy3zOQEL8j5AOjzBBs7vnRmB7DbSaQD7eJiQVJOXO1QpdmEFgjhc_IBCVTJCVWgZw60IEW1_Lg5tqaLvCiIl26K 48pJB5f‐le2zgYMzqR1L2LyTFkq39rG57VOqqSCi3dapsZQd4ctq95SJCXgGdrUDWtD52rp5o6_0uqmrbRdRxkrQfsa1j8C5IW2‐ T4eUmiN3f9wF9JxUK1__XC1OQkOn‐ZTBCdqwWIygDFbU7sf6KzfHJTm5vfjp6NIA"; //公钥 String publickey = "‐‐‐‐‐BEGIN PUBLIC KEY‐‐‐‐‐ MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAijyxMdq4S6L1Af1rtB8SjCZHNgsQG8JTfGy55eYvzG0B/E4AudR2 prSRBvF7NYPL47scRCNPgLnvbQczBHbBug6uOr78qnWsYxHlW6Aa5dI5NsmOD4DLtSw8eX0hFyK5Fj6ScYOSFBz9cd1nNTvx 2+oIv0lJDcpQdQhsfgsEr1ntvWterZt/8r7xNN83gHYuZ6TM5MYvjQNBc5qC7Krs9wM7UoQuL+s0X6RlOib7/mcLn/lFLsLD dYQAZkSDx/6+t+1oHdMarChIPYT1sx9Dwj2j2mvFNDTKKKKAq0cv14Vrhz67Vjmz2yMJePDqUi0JYS2r0iIo7n8vN7s83v5u OQIDAQAB‐‐‐‐‐END PUBLIC KEY‐‐‐‐‐"; //校验jwt Jwt jwt = JwtHelper.decodeAndVerify(token, new RsaVerifier(publickey)); //获取jwt原始内容 String claims = jwt.getClaims(); //jwt令牌 String encoded = jwt.getEncoded(); System.out.println(encoded); }
- 生成私钥和公钥