OAuth2.0分散式系統環境搭建
好好學習,天天向上
本文已收錄至我的Github倉庫DayDayUP:github.com/RobodLee/DayDayUP,歡迎Star,更多文章請前往:目錄導航
介紹
OAuth(開放授權)是一個開放標準,允許使用者授權第三方應用訪問他們儲存在另外的服務提供者上的資訊,而不需要將使用者名稱和密碼提供給第三方應用或分享他們資料的所有內容。OAuth2.0的系統大致分由客戶端,認證授權伺服器以及資源伺服器三部分組成。客戶端如果想要訪問資源伺服器中的資源,就必須要持有認證授權伺服器頒發的Token。認證流程如下圖所示:
這篇文章將通過一個具體的案例來展示如何搭建一個分散式的OAuth2.0系統。整體的結構圖如下所示。有閘道器,認證授權服務以及資源服務三個部分組成。既然OAuth2是一個標準,如果我們想用的話,必然是用它的實現,也就是Spring-Security-OAuth2,它可以很方便地和Spring Cloud整合。OAuth2.0的更多細節會在案例中繼續介紹。
那麼就開始吧!
資料庫
要完成這套系統,需要準備好用到的一些資料表。
- oauth_client_details:這個資料庫存放了客戶端的配置資訊,客戶端有什麼樣的許可權才可以訪問伺服器。表中的欄位是固定的,下面會詳細提到。
- oauth_code:使用者資料庫存取授權碼模式存放授權碼的,表中的欄位也是固定的,下面會詳細說明。
- 後面的5張表存放了使用者的一些資訊,如果角色、許可權等資訊。登入驗證的時候需要。
建表的sql我放在了原始碼的README.md檔案中,下載地址見文末。
註冊中心
微服務專案得先有個註冊中心吧,我們選用Eureka。先搭建一個父工程OAuth2Demo,然後在父工程中建立一個Module叫oauth2_eureka。然後新增配置檔案及啟動類即可。所需要的依賴我就不在這裡貼了,太佔篇幅了。有需要的小夥伴直接去我原始碼中拷就行了。
spring:
application:
name: eureka
server:
port: 8000 #啟動埠
…………
@SpringBootApplication
@EnableEurekaServer
public class EurekaApplication {
public static void main(String[] args) {
SpringApplication.run(EurekaApplication.class,args);
}
}
這樣註冊中心就搭建好了。
認證授權服務
服務搭建
在OAuth2Demo中建立一個Module叫oauth2_uaa作為認證服務。新增啟動類和配置檔案。
spring.application.name=uaa
server.port=8001
eureka.client.serviceUrl.defaultZone = http://localhost:8000/eureka/
…………
@SpringBootApplication
@EnableEurekaClient
@MapperScan("com.robod.uaa.mapper")
public class UaaApplication {
public static void main(String[] args) {
SpringApplication.run(UaaApplication.class, args);
}
}
配置
回顧上一篇Spring Security的文章中提到的幾點內容
- 使用者來源的Service實現UserDetailsService介面,實現loadUserByUsername()方法,從資料庫中獲取資料
- Spring Security的配置類繼承自WebSecurityConfigurerAdapter,重寫裡面的兩個configure()方法
public interface UserService extends UserDetailsService {
}
//-----------------------------------------------------------
@Service("userService")
public class UserServiceImpl implements UserService {
…………
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser sysUser = userMapper.findByUsername(username);
return sysUser;
}
}
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
…………
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
@Override
protected AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}
//認證使用者的來源
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
}
//配置SpringSecurity相關資訊
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1")
.antMatchers("/login*").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
}
解釋一下上面的程式碼,WebSecurityConfig是Spring Security的配置類,第一個configure()方法配置的是使用者的來源,這裡配置了自定義的實現了UserDetailsService介面的UserService,裡面的loadUserByUsername()方法從資料庫中查詢出對應的實現了UserDetails介面的SysUser物件,裡面的SysPermission封裝了使用者所擁有的許可權。然後就交給後續的過濾器去處理了,我們就不用去管了。
然後我們就可以去進行OAuth2.0的相關配置了,方法很簡單,只要在配置類上新增@EnableAuthorizationServer註解並讓其繼承自AuthorizationServerConfigurerAdapter。最後重寫其中的三個configure()方法即可。
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager; //從WebSecurityConfig中獲取的
@Autowired
private AuthorizationCodeServices authorizationCodeServices; //本類中的,授權碼模式需要
@Autowired
private TokenStore tokenStore; //TokenConfig中的
@Autowired
private PasswordEncoder passwordEncoder;//從WebSecurityConfig中獲取的
@Autowired
private ClientDetailsService clientDetailsService; //本類中的
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter; //TokenConfig中的
//用來配置令牌端點的安全約束
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security.tokenKeyAccess("permitAll") // /oauth/token_key 提供公有密匙的端點 允許任何人訪問
.checkTokenAccess("permitAll") // /oauth/check_token :用於資源服務訪問的令牌解析端點 允許任何人訪問
.allowFormAuthenticationForClients(); //表單認證(申請令牌)
}
//用來配置客戶端詳情服務,客戶端詳情資訊在這裡進行初始化,
//你能夠把客戶端詳情資訊寫死在這裡或者是通過資料庫來儲存調取詳情資訊
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.withClientDetails(clientDetailsService);
}
//用來配置令牌(token)的訪問端點(url)和令牌服務(token services)
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager) //認證管理器,密碼模式需要
.authorizationCodeServices(authorizationCodeServices) //授權碼服務,授權碼模式需要
.tokenServices(tokenService())
.allowedTokenEndpointRequestMethods(HttpMethod.POST); //允許post提交
}
@Bean
public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
//設定授權碼模式的授權碼存取到資料中
return new JdbcAuthorizationCodeServices(dataSource);
}
//客戶端詳情服務,從資料庫中獲取
@Bean
public ClientDetailsService clientDetailsService(DataSource dataSource) {
ClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
((JdbcClientDetailsService)clientDetailsService).setPasswordEncoder(passwordEncoder);
return clientDetailsService;
}
//令牌管理服務
@Bean
public AuthorizationServerTokenServices tokenService() {
DefaultTokenServices service = new DefaultTokenServices();
service.setClientDetailsService(clientDetailsService); //客戶端資訊服務
service.setSupportRefreshToken(true); //支援自動重新整理
service.setTokenStore(tokenStore);
//令牌增強
TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));
service.setTokenEnhancer(tokenEnhancerChain);
service.setAccessTokenValiditySeconds(7200); //令牌預設有效期2小時
service.setRefreshTokenValiditySeconds(259200); //重新整理令牌預設有效期3天
return service;
}
}
現在來解釋一下上面程式碼中的內容
-
ClientDetailsService
我們配置了從資料庫中獲取客戶端配置。但是是怎麼從資料庫中獲取的呢,這裡用到了一個JdbcClientDetailsService,點選原始碼裡看看