健康平安的活着的专栏

分布式认证授权：1.没有登录情况下，访问资源 ，api网关能够进行权限拦截2.登录情况下，怎么对token的解析验证3.登录情况下，权限内容怎么获取4.分布式认证授权怎么做sso？

1.默认的用户名：user；密码在项目启动的时候在控制台会打印，注意每次启动的时候密码都会发生变化2.输入用户名，密码，成功访问到controller方法并返回数据，说明Spring Security默认安全保护生效。在实际开发中，这些默认的配置是不能满足我们需要的，我们需要扩展Spring Security组件，完成自定义配置，实现我们的项目需求。

一 测试1.1 启动服务1.先启动eureka，gateway，order，uaa，如下图所示：

一微服务用户鉴权拦截当微服务收到明文token时，应该怎么鉴权拦截呢？自己实现一个fifilter？自己解析明文token，自己定义一套资源访问策略？能不能适配Spring Security呢，是不是突然想起了前面我们实现的Spring Security基于token认证例子。咱们还拿 统一用户服务作为网关下游微服务，对它进行改造，增加微服务用户鉴权拦截功能二 操作2.1 在资源order服务中进行修改2.2Spring Security配置 开启方法保护，并增加Spr..

一 网关作用网关整合 OAuth2.0 有两种思路：1.一种是认证服务器生成jwt令牌, 所有请求统一在网关层验证，判断权限等操作； 2.另一种是由各资源服务处理，网关只做请求转发。 本案例就是API网关作为OAuth2.0的资源服务器角色，实现接入客户端权限拦截、令牌解析并转发当 前登录用户信息(jsonToken)给微服务，这样下游微服务就不需要关心令牌格式解析以及OAuth2.0相关机制了。 API网关在认证授权体系里主要负责两件事： （1）作为OAuth2.0的资源服务器

一 架构说明所有微服务的请求都经过网关，网关从注册中心读取微服务的地址，将请求转发至微服务。1、UAA认证服务负责认证授权。 2、所有请求经过 网关到达微服务 3、网关负责鉴权客户端以及请求转发 4、网关将token解析后传给微服务，微服务进行授权。 二 工程搭建2.1 工程结构2.2 配置pom<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.

一 说明前面文章的介绍了，客户单和授权码存储在内存中，现在需要存储到数据库中。本操作在第5章节的基础上进行操作。二 操作2.1 客户端认证信息的配置2.1.1 在数据库中创建oauth_client_detailsDROP TABLE IF EXISTS `oauth_client_details`; CREATE TABLE `oauth_client_details` ( `client_id` varchar(255) CHARACTER SET utf8 COLLATE u

一 总结文章第4节，访问资源服务的时候，还要对token进行通过调用远程认证服务进行校验文章第5节，使用jwt的token，在不需要调用认证服务器，因为自身就是携带了用户的信息。

一 jwt1.1 jwt？JSON Web Token（JWT）是一个开放的行业标准（RFC 7519），它定义了一种简介的、自包含的协议格式，用于在通信双方传递json对象，传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名，防止被篡改。1.2 解决问题当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权 服务验证token，如果访问量较大将会影响系统的性能 。 解决上边问题： 令牌采用J

一@EnableResourceServer 的配置@EnableResourceServer 注解到一个 @Confifiguration 配置类上，并且必须使用 ResourceServerConfifigurer 这个 配置对象来进行配置（可以选择继承自 ResourceServerConfifigurerAdapter 然后覆写其中的方法，参数就是这个 对象的实例），下面是一些可以配置的属性： ResourceServerSecurityConfifigurer中主要包括： tok..

一 授权码模式交互(1).资源拥有者打开客户端，客户端要求资源拥有者给予授权，它将浏览器被重定向到授权服务器，重定向时会 附加客户端的身份信息。如： /uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com参数列表如下： client_id：客户端准入标识。 response_type：授权码模式固定为code。 sc.

一 认证服务器配置1.1 综述EnableAuthorizationServer EnableAuthorizationServer可以用 @EnableAuthorizationServer 注解并继承AuthorizationServerConfifigurerAdapter来配置OAuth2.0 授权服务器。AuthorizationServerConfifigurerAdapter要求配置以下几个类，这几个类是由Spring创建的独立的配置对象，它们 会被Spring传入Authoriz

一 父工程搭建1.1 工程创建工程创建父工程，然后配置pom文件<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http:/.

一 OAuth2.0OAuth（开放授权）是一个开放标准，允许用户授权第三方应用（oschina）访问他们存储在另外的服务提供者（微信）上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。二 例子1.1 OAuth2.0协议例子通过例子去理解OAuth2.0协议的认证流程，本例子是oschina网站使用微信 认证的过程，这个过程的简要描述如下：用户借助微信认证，然后登录oschina程序员网站，用户就不用单独在oschina程序员注册用户。1.怎么算认证

一 分布式系统软件的架构由单体结构演变为分布式架构，具有分布式架构的系统叫分布式系统。分 布式系统的运行通常依赖网络，它将单体结构的系统分为若干服务，服务之间通过网络交互来完成用户的业务处 理，当前流行的微服务架构就是分布式系统架构：分布式系统具体如下基本特点： 1、分布性：每个部分都可以独立部署，服务之间交互通过网络进行通信，比如：订单服务、商品服务。 2、伸缩性：每个部分都可以集群方式部署，并可针对部分结点进行硬件及软件扩容，具有一定的伸缩能力。 3、共享性：每个部分都可以作

一 security默认的退出Spring security默认实现了logout退出，访问/logout：实现逻辑：点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。二 自定义退出2.1 配置文件中配置在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置：.and() .logout() .logoutUrl("/logout") .logoutSucc.

一 授权授权的方式包括 web授权和方法授权，web授权是通过 url拦截进行授权，方法授权是通过 方法拦截进行授权。1.他们都会调用accessDecisionManager进行授权决策，2.若为web授权则拦截器为FilterSecurityInterceptor；3.若为方 法授权则拦截器为MethodSecurityInterceptor。3.如果同时通过web授权和方法授权则先执行web授权，再执行方 法授权，最后决策通过，则允许访问资源，否则将禁止访问。二案例实战..

一 会话1.1 做会话原因用户认证通过后，为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。1.2 实现会话的原理1.spring security提供会话管 理，认证通过后将身份信息放入SecurityContextHolder上下文，SecurityContext与当前线程进行绑定，方便获取 用户身份。2.Spring Security获取当前登录用户信息的方法为：SecurityContextHolder.getContext().getAuthenticatio

一 介绍实际项目中用户信息存储在数据库中，只需要重新定义UserDetailService即可实现根据用户账号查询数据库。二 操作步骤2.1 初始化脚本1.新建数据库2.新建表CREATE TABLE `t_user` ( `id` bigint(20) NOT NULL COMMENT '用户id', `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `fullname` varchar(2..

一 自定义认证页面1.1 说明1. 如果用户没有自定义登录页面，spring security 默认会启动自身内部的登录页面，尽管自动生成的登录页面很方便 快速启动和运行，但大多数应用程序都希望定义自己的登录页面。1.2 自定义登录页面在新建一个webapp目录，和resouces目录，平级，将login.jsp页面考配到这个页面下页面代码：<%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-.

一 spring securityDaoAuthenticationProvider和UserDetailsService的职责搞混淆，其实UserDetailsService只负责从特定的地方（通常是数据库）加载用户信息，仅此而已。而DaoAuthenticationProvider的职责更大，它完成完整的认证流程，同时会把UserDetails填充至Authentication。 二 spring boot整合spring security2.1 工程结构2.2配置pom文件

一 spring securityspring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架，在spring boot项目中加入spring security更是十分简单，使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...

一 基于session的认证流程1.1 认证流程基于session的认证流程为： 用户认证成功后，在服务端生成用户相关的数据保存在session(当前会话)，而发 给客户端的 sesssion_id 存放到 cookie 中，这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据，以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。流程如下：基于Session的认证机制由Servlet规范定制.

一 认证认证是为了保护系统的隐私数据与资源，用户的身份合法方可访问该系统的资源。 认证 ：用户认证就是判断一个用户的身份是否合法的过程，用户去访问系统资源时系统要求验证用户的身份信息，身份合法方可继续访问，不合法则拒绝访问。常见的用户身份认证方式有：用户名密码登录，二维码登录，手机短信登录，指纹认证等方式。 简而言之：认证就是判断用户的身份的合法性，一般特指用户登录时身份的判断。二 授权授权： 授权是用户认证通过根据用户的权限来控制用户访问资源的过程，拥有资源的访问权限则正常访问，