单点登录(Single Sign On)

概念:即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

单点登陆系统解决方案设计

解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

说明:在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库。后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.。

解决方案2:用户登陆成功以后,将用户信息存储到token(令牌),然后写到客户端进行存储。(本次设计方案)

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

说明:在这套方案中,用户登录成功后,会基于JWT技术生成一个token,用户信息可以存储到这个token中。后续用户在访问资源时,对token内容解析,检查登录状态以及权限信息,无须再访问数据库。

单点登陆系统初步设计

服务设计

基于单点登陆系统中的业务描述,进行初步服务架构设计,如图所示watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

其中,服务基于业务进行划分,系统(system)服务只提供基础数据(例如用户信息,日志信息等),认证服务(auth)负责完成用户身份的校验,密码的比对,资源服务(resource)代表一些业务服务(例如我的订单,我的收藏等等).

工程结构设计

基于服务的划分,设计工程结构如下:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_18,color_FFFFFF,t_70,g_se,x_16

 一、创建System工程

工程描述:本次设计系统服务(System),主要用于提供基础数据服务,例如日志信息,用户信息等。

1. 创建pojo(entity,domaipo)对象,(通常实现序列化接口)用于封装用户信息

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

 2.创建UserMapper接口,用于操作数据库

package com.jt.system.dao;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.jt.system.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

@Mapper //此注解有MyBatis官方提供,用于告诉MyBatis底层为此注解描述的接口创建其实现类及对象,然后交由spring容器管理
//注意:@Mapper描述的数据层接口,要默认放在项目启动类所在的包或者子包中
public interface UserMapper extends BaseMapper<User> {
    /**
     * 基于用户名获取用户信息
     * @param username
     * @return
     */
    @Select("select id,username,password,status " +
            "from tb_users " +
            "where username=#{username}")
    User selectUserByUsername(String username);

    /**
     * 基于用户id查询用户权限
     * @param userId 用户id
     * @return 用户的权限
     * 涉及到的表:tb_user_roles,tb_role_menus,tb_menus
     */
    @Select("select distinct m.permission " +
            "from tb_user_roles ur join tb_role_menus rm on ur.role_id=rm.role_id" +
            "     join tb_menus m on rm.menu_id=m.id " +
            "where ur.user_id=#{userId}")
    List<String> selectUserPermissions(Long userId);

}

 3.创建UserService接口

package com.jt.system.service;

import com.jt.system.pojo.User;

import java.util.List;

public interface UserService {
    User selectUserByUsername(String username);
    List<String> selectUserPermissions(Long userId);
}

 4.创建UserService接口的实现类UserServiceImpl

package com.jt.system.service.impl;

import com.jt.system.dao.UserMapper;
import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cache.annotation.Cacheable;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public User selectUserByUsername(String username) {
        return userMapper.selectUserByUsername(username);
    }
    /*此注解描述的方法为缓存切入点方法,从数据库查询到数据之后,可以将数据存储到本地
    * 的一个缓存对象中去,(底层是一个map对象 )*/
    @Override
    @Cacheable(value ="permissionCache")
    public List<String> selectUserPermissions(Long userId) {
        return userMapper.selectUserPermissions(userId);
    }
}

 5.创建UserController

package com.jt.system.controller;

import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.List;

@RestController
@RequestMapping("/user")
public class UserController {
    @Autowired
    private UserService userService;

    @GetMapping("/login/{username}")
    public User doSelectUserByUsername(@PathVariable("username") String username) {
        return userService.selectUserByUsername(username);
    }

    @GetMapping("/permission/{userId}")
    public List<String> doSelectUserPermissions(@PathVariable("userId") Long userId) {
        return userService.selectUserPermissions(userId);
    }
}

6.查询结果

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

7. System工程到此结束

二、创建统一认证工程  auth

工程描述:用户登录时调用此工程对用户身份进行统一身份认证和授权

1.创建auth工程并且修改pom文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>02-sso</artifactId>
        <groupId>com.jt</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>sso-auth</artifactId>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
        </dependency>
        <!--SSO技术方案:默认整合了SpringSecurity+JWT+oauth2-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        <!--openfeign-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-openfeign</artifactId>
        </dependency>
    </dependencies>
</project>

 2.定义User对象,用于封装从数据库查询到的用户信息,例如:

package com.jt.auth.pojo;

import lombok.Data;
import java.io.Serializable;
@Data
public class User implements Serializable {

    private static final long serialVersionUID = 3570548663999909287L;
    private Long id;
    private String username;
    private String password;
    private String status;
}

3.定义RemoteUserService接口,用于实现远程用户信息调用,例如:

package com.jt.auth.service;

import com.jt.auth.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

import java.util.List;
             //这里的value值必须和需要调用的服务名称相同
@FeignClient(value = "sso-system", contextId ="remoteUserService" )
public interface RemoteUserService {

    @GetMapping("/user/login/{username}")    //写feign时,这里@PathVariable必须写名称
    User selectUserByUsername( @PathVariable("username") String username);

    @GetMapping("/user/permission/{userId}")
    List<String> selectUserPermissions(@PathVariable("userId") Long userId);
}

4.创建UserDetailsServiceImpl实现类,实现UserDetailsService接口,并且重写loadUserByUsername()方法

package com.jt.auth.service;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private RemoteUserService remoteUserService;
    /**
     * 基于用户名获取数据库中的用户信息
     * @param username 这个username来自客户端
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username)throws UsernameNotFoundException {
        //基于feign方式获取远程数据并封装
        //1.基于用户名获取用户信息
        com.jt.auth.pojo.User user= remoteUserService.selectUserByUsername(username);
        if(user==null)
            throw new UsernameNotFoundException("用户不存在");
        //2.基于用于id查询用户权限
        List<String> permissions= remoteUserService.selectUserPermissions(user.getId());
        log.info("permissions {}",permissions);
        //3.对查询结果进行封装并返回
        User userDetails= new User(username, user.getPassword(),
                AuthorityUtils.createAuthorityList(permissions.toArray(new String[]{})));
        return userDetails;//返回给认证中心Spring Security,认证中心会基于用户输入的密码以及数据库的密码做一个比对
    }
}

5.定义Spring Security配置类,在此类中配置认证规则,例如:

package com.jt.auth.config;

import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;
/**
 * 当我们在执行登录操作时,底层逻辑(了解):
 * 1)Filter(过滤器)
 * 2)AuthenticationManager (认证管理器)
 * 3)AuthenticationProvider(认证服务处理器)
 * 4)UserDetailsService(负责用户信息的获取及封装)
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 初始化加密对象 -----------------------------------------------------------------------
     * 此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全
     * 此对象负责完成密码的加密
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    /**
     * 定义认证管理器对象,这个对象负责完成用户信息的认证,------------------------------------------------
     * 即判定用户身份信息的合法性,在基于oauth2协议完成认
     * 证时,需要此对象,所以这里讲此对象拿出来交给spring管理
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManager();
    }
    /**配置认证规则*/
    /**
     * 此方法为http请求配置方法,可以再此方法中配置
     * 1.)哪些资源放行  不用登录即可访问,假如不做任何配置,默认所有资源都可匿名访问
     * 2.)哪些资源必须认证(登录)后才可访问
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);//默认所有请求都要认证
        //1.禁用跨域攻击(先这么写,不写会报403异常)
        http.csrf().disable(); //假如没有禁用,使用postman,httpclient这些工具进行登录测试会404
        //2.放行所有资源的访问(后续可以基于选择对资源进行认证和放行)
        //在资源服务中去授权
        http.authorizeRequests()
                   .anyRequest()
                    .permitAll();
        //3.自定义定义登录成功和失败以后的处理逻辑(可选)
        //假如没有如下设置登录成功会显示404
        http.formLogin()//这句话会对外暴露一个登录路径/login
                .successHandler(successHandler())//成功
                .failureHandler(failureHandler());//失败
    }
    //定义认证    成功处理器-------------------------------------------------------------------
    //登录成功以后返回json数据
    @Bean
    public AuthenticationSuccessHandler successHandler() {
        //lambda
        return (request, response, authentication) -> {
            //构建map对象封装到要响应到客户端的数据
            Map<String, Object> map = new HashMap<>();
            map.put("state", 200);
            map.put("message", "login ok!!!!!!!!!!!");
            //将map对象转换为json格式字符串并写到客户端
            writeJsonToClient(response, map);
        };
    }
    //定义登录    失败处理器------------------------------------------------------------------
    @Bean
    public AuthenticationFailureHandler failureHandler() {
        return (request, response, exception) -> {
            //构建map对象封装到要响应到客户端的数据
            Map<String, Object> map = new HashMap<>();
            map.put("state", 500);
            map.put("message", "login error");
            //将map对象转换为json格式字符串并写到客户端
            writeJsonToClient(response, map);
        };
    }

    //提取共性代码
    private void writeJsonToClient(HttpServletResponse response, Map<String, Object> map) throws IOException {
        //将map对象,转换为json
        String json = new ObjectMapper().writeValueAsString(map);
        //设置响应数据的编码方式
        response.setCharacterEncoding("utf-8");
        //设置响应数据的类型
        response.setContentType("application/json;charset=utf-8");
        //将数据响应到客户端
        PrintWriter out = response.getWriter();
        out.println(json);
        out.flush();
    }
}

6.创建Oauth2Config类并且继承AuthorizationServerConfigurerAdapter

package com.jt.auth.config;
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.*;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;

import java.util.Arrays;

/**
 * 在这个对象中负责将所有的认证和授权相关配置进行整合,例如
 * 业务方面:
 * 1)如何认证(认证逻辑的设计)
 * 2)认证通过以后如何颁发令牌(令牌的规范)
 * 3)为谁颁发令牌(客户端标识,client_id,...)
 * 技术方面:
 * 1)SpringSecurity (提供认证和授权的实现)
 * 2)TokenConfig(提供了令牌的生成,存储,校验方式)
 * 3)Oauth2(定义了一套认证规范,例如为谁发令牌,都发什么内容,...)
 */
@AllArgsConstructor //生成一个全参构造函数
@Configuration
@EnableAuthorizationServer//启动认证和授权
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {
    //@Autowired
    private AuthenticationManager authenticationManager;
    //@Autowired
    private UserDetailsService userDetailsService;
    //@Autowired
    private TokenStore tokenStore;
    //@Autowired
    private PasswordEncoder passwordEncoder;
    //@Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    /**
     * oauth2中的认证细节配置
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //super.configure(endpoints);
        endpoints
                //由谁完成认证?(认证管理器)
                .authenticationManager(authenticationManager)
                //谁负责访问数据库?(认证时需要两部分信息:一部分来自客户端,一部分来自数据库)
                .userDetailsService(userDetailsService)
                //支持对什么请求进行认证(默认支持post方式)
                .allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST)
                //认证成功以后令牌如何生成和存储?(默认令牌生成UUID.randomUUID(),存储方式为内存)
                .tokenServices(tokenService());
    }
    //系统底层在完成认证以后会调用TokenService对象的相关方法
    //获取TokenStore,基于tokenStore获取token对象
    @Bean
    public AuthorizationServerTokenServices tokenService(){
        //1.构建TokenService对象(此对象提供了创建,获取,刷新token的方法)
        DefaultTokenServices tokenServices= new DefaultTokenServices();
        //2.设置令牌生成和存储策略
        tokenServices.setTokenStore(tokenStore);
        //3.设置是否支持令牌刷新(访问令牌过期了,是否支持通过令牌刷新机制,延长令牌有效期)
        tokenServices.setSupportRefreshToken(true);
        //4.设置令牌增强(默认令牌会比较简单,没有业务数据,
        //就是简单随机字符串,但现在希望使用jwt方式)
        TokenEnhancerChain tokenEnhancer=new TokenEnhancerChain();
        tokenEnhancer.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));
        tokenServices.setTokenEnhancer(tokenEnhancer);
        //5.设置访问令牌有效期
        tokenServices.setAccessTokenValiditySeconds(3600);//1小时
        //6.设置刷新令牌有效期
        tokenServices.setRefreshTokenValiditySeconds(3600*72);//3天
        return tokenServices;
    }

    /**
     * 假如我们要做认证,我们输入了用户名和密码,然后点提交
     * ,提交到哪里(url-去哪认证),这个路径是否需要认证?还有令牌过期了,
     * 我们要重新生成一个令牌,哪个路径可以帮我们重新生成?
     * 如下这个方法就可以提供这个配置
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
                //1.定义(公开)要认证的url(permitAll()是官方定义好的)
                //公开oauth/token_key端点
                .tokenKeyAccess("permitAll()") //return this
                //2.定义(公开)令牌检查的url
                //公开oauth/check_token端点
                .checkTokenAccess("permitAll()")
                //3.允许客户端直接通过表单方式提交认证
                .allowFormAuthenticationForClients();
    }

    /**
     * 认证中心是否要给所有的客户端发令牌呢?假如不是,那要给哪些客户端
     * 发令牌,是否在服务端有一些规则的定义呢?
     * 例如:老赖不能做飞机,不能做高铁
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                //定义客户端的id(客户端提交用户信息进行认证时需要这个id)
                .withClient("gateway-client")
                //定义客户端密钥(客户端提交用户信息时需要携带这个密钥)
                .secret(passwordEncoder.encode("123456"))
                //定义作用范围(所有符合规则的客户端)
                .scopes("all")
                //允许客户端基于密码方式,刷新令牌方式实现认证
                .authorizedGrantTypes("password","refresh_token");
    }
}

7.创建TokenConfig类

package com.jt.auth.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;


/**
 * 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
 */
@Configuration
public class TokenConfig {

    /**
     * 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
     * 1)JdbcTokenStore(这里是要将token存储到关系型数据库)
     * 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)
     * 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token
     * 中可以以自包含的形式存储一些用户信息)
     * 4)....
     */
    @Bean
    public TokenStore tokenStore(){
        //这里采用JWT方式生成和存储令牌信息
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    /**
     * 配置令牌的创建及验签方式
     * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
     * 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter=
                new JwtAccessTokenConverter();
        //JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
        //这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,
        //这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)
        jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
        return jwtAccessTokenConverter;
    }

    /**
     * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
     * 1)生成的令牌需要这个密钥进行签名
     * 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
     */
    private static final String SIGNING_KEY="auth";
}

8.基于postman进行测试 结果如下

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

Security 认证流程分析

这是底层系统帮我们去认证的,我们只需要了解一下流程即可

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

9. auth工程到此结束 

三、创建资源服务工程 

工程描述:这个工程是功能模块的一个通用功能模块。也就是说它既可以是购物车功能,也可以是我的订单功能,也可以是我的收藏功能等等,它是通用的,我们这里只是模拟一下

用户访问资源时的认证,授权流程设计如下:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_18,color_FFFFFF,t_70,g_se,x_16

工程结构

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_17,color_FFFFFF,t_70,g_se,x_16

 1.创建ResourceController类

package com.jt.resource.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/resource")
public class ResourceController {

    /**
     * 1.查询资源
     * @return
     */
    @PreAuthorize("hasAuthority('sys:res:list')")
    @GetMapping
    public String doSelect(){
        return "Select Resource ok";
    }
    /**
     * 2.创建资源
     * @return
     */
    @PreAuthorize("hasAuthority('sys:res:create')")
    @PostMapping
    public String doCreate(){
        return "Create Resource OK";
    }
    /**
     * 3.修改资源
     * @return
     */
    @PreAuthorize("hasAuthority('sys:res:update')")
    @PutMapping
    public String doUpdate(){
        return "Update Resource OK";
    }
    /**
     * 4.删除资源
     * @return
     */
    @DeleteMapping
    public String doDelete(){
        return "Delete resource ok";
    }
}

2.创建ResourceConfig类并且继承ResourceServerConfigurerAdapter

package com.jt.resource.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;

/**
 * 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的
 * 1)不需要登录就可以访问(例如12306查票)
 * 2)登录以后才能访问(例如12306的购票)
 * 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)
 */
@Configuration
@EnableResourceServer//启动资源服务器的默认配置
@EnableGlobalMethodSecurity(prePostEnabled = true)//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
public class ResourceConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        //1.关闭跨域攻击
        http.csrf().disable();
        //2.放行相关请求
        http.authorizeRequests()
                .antMatchers("/resource/**")
                .authenticated()
                .anyRequest().permitAll();
    }
}

3.创建TokenConfig类

package com.jt.resource.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;


/**
 * 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
 */
@Configuration
public class TokenConfig {

    /**
     * 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
     * 1)JdbcTokenStore(这里是要将token存储到关系型数据库)
     * 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)
     * 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token
     * 中可以以自包含的形式存储一些用户信息)
     * 4)....
     */
    @Bean
    public TokenStore tokenStore(){
        //这里采用JWT方式生成和存储令牌信息
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    /**
     * 配置令牌的创建及验签方式
     * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
     * 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter=
                new JwtAccessTokenConverter();
        //JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
        //这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,
        //这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)
        jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
        return jwtAccessTokenConverter;
    }

    /**
     * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
     * 1)生成的令牌需要这个密钥进行签名
     * 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
     */
    private static final String SIGNING_KEY="auth";
}

4.基于postman进行测试

.不携带令牌访问

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

 .携带令牌访问

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

 .没有访问权限

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2hhcnRlcjE=,size_20,color_FFFFFF,t_70,g_se,x_16

5. resource工程到此结束 

四、创建网关工程 

工程描述:API网关是服务访问入口,身份认证,资源访问都通过网关进行资源统一转发 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值