微服务09：单点登陆系统设计及实现3

资源服务器配置

业务描述

用户在访问受限资源时，一般要先检测用户是否已经认证（登录），假如没有认证要先认证，认证通过还要检测是否有权限，没有权限则给出提示，有权限则直接访问。例如。

 

这里，我们做文件的上传也会采用这样的逻辑进行实现。

添加项目依赖

打开资源服务的pom.xml文件，添加oauth2依赖，基于此依赖实现授权业务。

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

令牌处理器配置

用户登陆成功以后可以携带token访问服务端资源服务器，为服务端添加令牌服务

package com.jt.resource.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;


/**
 * 在此配置类中配置令牌的生成，存储策略，验签方式(令牌合法性)。
 */
@Configuration
public class TokenConfig {

    /**
     * 配置令牌处理对象
     */
    @Bean
    public TokenStore tokenStore(){
        //这里采用JWT方式生成和存储令牌信息
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    /**
     * 配置令牌的创建及验签方式
     * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
     * 然后再存储到TokenStore对象，外界需要时，会从tokenStore进行获取。
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter=
                new JwtAccessTokenConverter();
        //JWT令牌构成：header(签名算法，令牌类型),payload(数据部分),Signing(签名)
        //这里的签名可以简单理解为加密，加密时会使用header中算法以及我们自己提供的密钥，
        //这里加密的目的是为了防止令牌被篡改。（这里密钥要保管好，要存储在服务端）
        jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
        return jwtAccessTokenConverter;
    }

    /**
     * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
     * 1)生成的令牌需要这个密钥进行签名
     * 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性，是否被篡改过)
     */
    private static final String SIGNING_KEY="auth";
}

启动和配置认证和授权规则

package com.jt.resource.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;

/**
 * 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的
 * 1)不需要登录就可以访问(例如12306查票)
 * 2)登录以后才能访问(例如12306的购票)
 * 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)
 */
@Configuration
@EnableResourceServer
//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        //1.关闭跨域攻击
        http.csrf().disable();
        //2.放行相关请求
        http.authorizeRequests()
                .antMatchers("/resource/upload/**")
                .authenticated()
                .anyRequest().permitAll();
    }
}

ResourceController 方法配置

在controller的上传方法上添加 @PreAuthorize(“hasAuthority(‘sys:res:create’)”)注解，用于告诉底层框架方法此方法需要具备的权限

  @PreAuthorize("hasAuthority('sys:res:create')")
  @PostMapping("/upload/")
   public String uploadFile(MultipartFile uploadFile) throws IOException {
       ...
   }

启动服务访问测试
第一步:启动服务（sca-auth,sca-resource-gateway,sca-resource)
第二步:执行登陆获取access_token令牌
第三步:携带令牌访问资源(url中的前缀"sca"是在资源服务器中自己指定的,你的网关怎么配置的,你就怎么写)

设置请求头(header)，要携带令牌并指定请求的内容类型，

上传成功会显示你访问文件需要的路径，假如没有权限会提示你没有访问权限。

文件上传JS方法设计

<script>
    //jquery代码的表单提交事件
    function doUpload(){
        debugger //前端debug方式(一定要打开浏览器控制台窗口)
        //获得用户选中的所有图片(获得数组)
        let files=
            document.getElementById("uploadFile").files;
        if(files.length>0){
            //获得用户选中的唯一图片(从数组中取出)
            let file=files[0];
            //开始上传这个图片
            //由于上传代码比较多,不想和这里其它代码干扰,所以定义一个方法调用
            upload(file);
        }
        //阻止表单提交效果
        return false;
    };
    // 将file上传到服务器的方法
    function upload(file){
        //定义一个表单(axios中提供的表单对象)
        let form=new FormData();
        //将文件添加到表单中
        form.append("uploadFile",file);
        //异步提交(现在是提交到网关)
        //let url="http://localhost:8881/resource/upload/"
        let url="http://localhost:9000/sca/resource/upload/";
        let token=localStorage.getItem("accessToken");
        axios.post(url,form,{headers:{"Authorization":"Bearer "+token}})
            .then(function (response){
                alert("upload ok")
                console.log(response.data);
            })
            .catch(function (e){//失败时执行catch代码块
                //debugger
                if(e.response.status==401){
                    alert("请先登录");
                    location.href="/login-sso.html";
                }else if(e.response.status==403){
                    alert("您没有权限")
                }else if(e.response.status==429){
                    alert("上传太频繁了")
                }
                console.log("error",e);
            })
    }

</script>

技术摘要应用实践说明

背景分析

对于这某数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.

Spring Security 技术

Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制，正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器

 图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.

Jwt 数据规范

JWT(JSON WEB Token)是一个标准，采用数据自包含方式进行json格式数据设计，实现各方安全的信息传输，其官方网址为：https://jwt.io/。官方JWT规范定义，它构成有三部分，分别为Header(头部)，Payload(负载)，Signature(签名)

xxxxx.yyyyy.zzzzz

Header部分

header部分是一个JOSN对象，描述JWT的元数据，通常是下面的样子

{

        "algorithm":"HS256",

        "type":"JWT"

}

标签名算法algorithm,默认是HMAC SHA256（简写HS256）；

type属性表示这个令牌（tokne）的类型（type），

JWT令牌统一写为JWT。最后将整个JSON对象使用Base64算法转换成字符串

PayLoad部分

payload部分也是一个JOSN串，用来存放实际需要传输的数据。JWT规范中规定了7个官方字段

iss（issuer）：签发人

exp（expiration time）：过期时间

sub（subject）：主题

aud（audience）：受众

nbf（Not Before）：生效时间

iat（Lssued At）：签发时间

jti（JWT ID）：编号

除了官方字段，你还可以定义私有字段

{
    "sub":"123456789",
    "name":"sayhi",
    "admin":true
}

注意，JWT默认是不加密，任何人都可以读到，所以不要把秘密消息放在这个部分。

这个JSON对象也要使用Base64算法转换成字符串

Signature部分

Signature是对前两部分的签名，目的是为了防止数据被篡改

首先指定一个密匙（secret）。这个密匙只有服务器才知道，不可以泄露给用户。然后使用Header里面指定的签名算法，默认是HMAC SHA256，按照下面的公式产生签名。

HMACSHA256(
    base64UrlEncode(header)+"."+
    base64UrlEncode(payload),
secret)

算出签名之后，把Header，Payload，Signatyre三部分拼成一个字符串，每个之间用“.”分隔，就可以返回给用户

Oauth2规范

oauth2定义了一种认证授权协议，一种规范，此规范定义了四种类型的角色

1. 客户：资源持有者（User）
2. 通行授权服务：认证授权服务器（jt-auth）
3. 服务端服务：资源服务器（jt-resource）
4. 客户端服务：客户端应用（jt-ui）

同时这中协议规定了任何职能授权的几种模式：

密码模式：基于用户名，密码验证

授权码模式（第三方认证：qq，微信，微博）

总结！！！！

重难点分析

单点登录的设计架构（微服务架构）

服务的设计和划分（资源服务器，认证服务器，网关服务器，客户端服务器）

认证及资源访问的流程（资源访问时要先认证再访问）

认证和授权时的一些关键技术：

• Spirng Security ：实现技术
• JWT：数据规范
• Oauth2：认证授权协议，设计规范

FAQ分析

问什么要单点登录？——分布式系统的各个服务都是独立的

单点登录的解决方案？——Spring Security+JWT+Oauth2

什么是Spring Sencurty？        spring框架中的一个安全默认格式，实现了认证和授权操作

JWT是什么？是一种令牌格式。采用一定的编码格式，对JSON数据进行加密令牌涉及

Oauth2是什么？——是一种认证和授权规范，定义了单点登录中服务的划分方式，认证相关类型

BUG

401：没有认证

403：没有权限

404：找不到访问地址

405：请求方法不匹配

500：看后台的错误

invalid_token 无效的令牌：客户端访问的令牌与授权端的令牌不一致