一、环境介绍
Spring Cloud SecurityOAuth2
是对Spring Security
和OAuth2
协议的一种集成,与Spring Cloud
体系的集成也非常便利。
OAuth2.0的服务提供方涵盖两个服务,即授权服务 (Authorization Server认证服务) 和资源服务 (Resource Server)。
授权服务 (Authorization Server)
应包含对接入端以及登入用户的合法性进行验证并颁发token
等功能,对令牌 的请求端点由Spring MVC
控制器进行实现,下面是配置一个认证服务必须要实现的endpoints
:
AuthorizationEndpoint
服务于认证请求,默认URL
:/oauth/authorize
TokenEndpoint
服务于访问令牌的请求,默认URL
:/oauth/token
资源服务 (Resource Server)
应包含对资源的保护功能,对非法请求进行拦截,对请求中token
进行解析鉴权等,下面的过滤器用于实现OAuth 2.0
资源服务
OAuth2AuthenticationProcessingFilter
用来对请求给出的身份令牌解析鉴权。
认证流程:
- 客户端请求
UAA
授权服务进行认证 - 认证通过后由
UAA
颁发令牌 - 认证通过后由
UAA
颁发令牌 - 资源服务校验令牌的合法性,合法即返回资源信息
二、授权服务器的搭建
代码和环境搭建忽略,详情见:https://github.com/hucheng1997/security-oauth2
使用@EnableAuthorizationServer
注解并继承AuthorizationServerConfigurerAdapter
来配置OAuth2.0
授权服务器。
AuthorizationServerConfigurerAdapter
要求配置以下几个类,这几个类是由Spring
创建的独立的配置对象,它们会被Spring
传入AuthorizationServerConfigurer
中进行配置。
public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer {
public AuthorizationServerConfigurerAdapter(){}
public void configure(AuthorizationServerSecurityConfigurer security){}
public void configure(ClientDetailsServiceConfigurer clients) {}
public void configure(AuthorizationServerEndpointsConfigurer endpoints){}
}
- ClientDetailsServiceConfigurer:用来配置客户端详情服务(
ClientDetailsService
),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息 - AuthorizationServerEndpointsConfigurer:用来配置令牌(
token
)的访问端点和令牌服务(token services
) - AuthorizationServerSecurityConfigurer:用来配置令牌端点的安全约束
2.1配置客户端详细信息ClientDetailsService
ClientDetailsServiceConfigurer
能够使用内存或者JDBC来实现客户端详情服务(ClientDetailsService
), ClientDetailsService
负责查找ClientDetails
,而ClientDetails
有几个重要的属性如下列表:
clientId
:(必须的)用来标识客户的Id
secret
:(需要值得信任的客户端)客户端安全码scope
:用来限制客户端的访问范围,如果为空(默认)的话,那么客户端拥有全部的访问范围。authorizedGrantTypes
:此客户端可以使用的授权类型,默认为空。authorities
:此客户端可以使用的权限(基于Spring Security authorities
)。
客户端详情(Client Details
)能够在应用程序运行的时候进行更新,可以通过访问底层的存储服务(例如将客户端详情存储在一个关系数据库的表中,就可以使用 JdbcClientDetailsService
)或者通过自己实现 ClientRegistrationService
接口(同时你也可以实现ClientDetailsService
接口)来进行管理。
2.2管理令牌
AuthorizationServerTokenServices
接口定义了一些操作使得你可以对令牌进行一些必要的管理,令牌可以被用来加载身份信息,里面包含了这个令牌的相关权限。
自己可以创建AuthorizationServerTokenServices
这个接口的实现,则需要继承DefaultTokenServices
这个类, 里面包含了一些有用实现,你可以使用它来修改令牌的格式和令牌的存储。默认的,当它尝试创建一个令牌的时候,是使用随机值来进行填充的,除了持久化令牌是委托一个TokenStore
接口来实现以外,这个类几乎帮你做了 所有的事情。并且TokenStore
这个接口有一个默认的实现,它就是InMemoryTokenStore
,如其命名,所有的 令牌是被保存在了内存中。除了使用这个类以外,你还可以使用一些其他的预定义实现,下面有几个版本,它们都实现了TokenStore
接口:
- InMemoryTokenStore:这个版本的实现是被默认采用的,它可以完美的工作在单服务器上(即访问并发量 压力不大的情况下,并且它在失败的时候不会进行备份),大多数的项目都可以使用这个版本的实现来进行尝试,你可以在开发的时候使用它来进行管理,因为不会被保存到磁盘中,所以更易于调试。
- JdbcTokenStore:这是一个基于
JDBC
的实现版本,令牌会被保存进关系型数据库。使用这个版本的实现时, 你可以在不同的服务器之间共享令牌信息,使用这个版本的时候请注意添加spring-jdbc
依赖。 - JwtTokenStore:这个版本的全称是
JSON Web Token(JWT)
,它可以把令牌相关的数据进行编码(因此对 于后端服务来说,它不需要进行存储,这将是一个重大优势),但是它有一个缺点,那就是撤销一个已经授权令牌将会非常困难,所以它通常用来处理一个生命周期较短的令牌以及撤销刷新令牌(refresh_token
)。 另外一个缺点就是这个令牌占用的空间会比较大,如果你加入了比较多用户凭证信息。JwtTokenStore
不会保存任何数据,但是它在转换令牌值以及授权信息方面与DefaultTokenServices
所扮演的角色是一样的。
2.3令牌访问端点配置
AuthorizationServerEndpointsConfigurer
这个对象的实例可以完成令牌服务以及令牌endpoint配置。
配置授权类型(Grant Types):
AuthorizationServerEndpointsConfigurer
通过设定以下属性决定支持的授权类型(Grant Types
)
- authenticationManager:认证管理器,当你选择了资源所有者密码(
password
)授权类型的时候,请设置这个属性注入一个AuthenticationManager
对象。 - userDetailsService:如果你设置了这个属性的话,那说明你有一个自己的
UserDetailsService
接口的实现, 或者你可以把这个东西设置到全局域上面去(例如GlobalAuthenticationManagerConfigurer
这个配置对 象),当你设置了这个之后,那么 “refresh_token
” 即刷新令牌授权类型模式的流程中就会包含一个检查,用来确保这个账号是否仍然有效,假如说你禁用了这个账户的话。 - authorizationCodeServices:这个属性是用来设置授权码服务的(即
AuthorizationCodeServices
的实例对 象),主要用于 “authorization_code
” 授权码类型模式。 - implicitGrantService:这个属性用于设置隐式授权模式,用来管理隐式授权模式的状态。
- tokenGranter:当你设置了这个东西(即
TokenGranter
接口实现),那么授权将会交由你来完全掌控,并 且会忽略掉上面的这几个属性,这个属性一般是用作拓展用途的,即标准的四种授权模式已经满足不了你的 需求的时候,才会考虑使用这个。
配置授权端点的URL(Endpoint URLs):
AuthorizationServerEndpointsConfigurer
这个配置对象有一个叫做pathMapping()
的方法用来配置端点URL
链接,它有两个参数:
- 第一个参数:
String
类型的,这个端点URL
的默认链接 - 第二个参数:
String
类型的,你要进行替代的URL
链接
以上的参数都将以 “/” 字符为开始的字符串,框架的默认URL
链接如下列表,可以作为这个pathMapping()
方法的 第一个参数:
/oauth/authorize
:授权端点/oauth/token
:令牌端点/oauth/confirm_access
:用户确认授权提交端点/oauth/error
:授权服务错误信息端点
-/oauth/check_token
:用于资源服务访问的令牌解析端点/oauth/token_key
:提供公有密匙的端点,如果你使用JWT令牌的话
需要注意的是授权端点这个URL
应该被Spring Security
保护起来只供授权用户访问
2.4令牌端点的安全约束
用来配置令牌端点(Token Endpoint
)的安全约束,在AuthorizationServer
中配置如下:
@Override
public void configure(AuthorizationServerSecurityConfigurer security){
security
.tokenKeyAccess("permitAll()") //oauth/token_key是公开
.checkTokenAccess("permitAll()") //oauth/check_token公开
.allowFormAuthenticationForClients() //表单认证(申请令牌)
;
}
tokenkey
这个endpoint
当使用JwtToken
且使用非对称加密时,资源服务用于获取公钥而开放的,这里指这个endpoint
完全公开checkToken
这个endpoint
完全公开- 允许表单认证
2.5授权服务配置总结
授权服务配置分成三大块,可以关联记忆:
①客户端详情配置
②定义token
的相关endpoint
,以及token
如何存取,以及客户端支持哪些类型的token
③endpoint
可以定义一些安全上的约束等