发表于: 2021-05-16 23:22:36

2 1255


今天完成的事情:

理清Spring Cloud OAuth2 实现用户认证及单点登录的逻辑




明天计划的事情:
弄懂Spring Cloud OAuth2 授权码模式

任务9深度思考




遇到的问题:
发生下列报错,但是可以成功运行 ,奇怪
Warning: Class 'com forez. Eurekaserverapplication' not found in module'eureka-server




收获:



Spring Cloud OAuth2 实现用户认证及单点登录



认证中心:

1.先来配置认证服务端(oauth2-auth-server),OAuth2 主要实现端,验证账号、密码,存储 token,检查 token ,刷新 token 等都是认证服务端的工作


第一步,先配置WebSecurityConfig,在这里开启所有请求访问,并声明 PasswordEncoder(对密码实现不可逆的加密) 和 AuthenticationManager(读取用户信息和权限)两个 Bean


@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
//BCryptPasswordEncoder:密码加密工具类,它可以实现不可逆的加密
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
/**
* 允许匿名访问所有接口 主要是 oauth 接口
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//登录接口
// http.formLogin()
// .and()
// .authorizeRequests()
// .antMatchers("/**").permitAll();
http.authorizeRequests()
.antMatchers("/**").permitAll();
}
}




2.实现 UserDetailsService, 传入一个用户名,返回一个UserDetails对象(return new org.springframework.security.core.userdetails.User(username,password, authorities);   。这个过程没有从数据库中获取,而是直接在内存设置了。



UserDetailsService: UserDetailsService在这里相当于定一个规范,不管你的应用时怎么存储用户和权限信息的。只要你取出来的时候把它包装成一个UserDetails对象给我用就可以了。大概就是这个作用。   UserDetailsService只是用来存储信息的,这个信息会被注入到AuthenticationManager(接口)来进行认证




@Slf4j
@Component(value = "kiteUserDetailsService")
//UserDetailsService的核心就是 loadUserByUsername方法,它要接收一个字符串参数,也就是传过来的用户名,返回一个 UserDetails对象
public class KiteUserDetailsService implements UserDetailsService {
@Autowired
private PasswordEncoder passwordEncoder;
private RedisTokenStoreSerializationStrategy serializationStrategy = new JdkSerializationStrategy();
@Autowired
private TokenStore redisTokenStore;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
log.info("username is:" + username);
// 查询数据库操作
if(!username.equals("admin")){
throw new UsernameNotFoundException("the user is not found");
}else{
// 用户角色也应在数据库中获取
String role = "ROLE_ADMIN";
List<SimpleGrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority(role));
// 线上环境应该通过用户名查询数据库获取加密后的密码,encode对传入的字符串进行加密
String password = passwordEncoder.encode("123456");
// 返回默认的 User
return new org.springframework.security.core.userdetails.User(username,password, authorities);
// 返回自定义的 KiteUserDetails
// User user = new User(username,password,authorities);
// return user;
}
}
}




3.创建一个OAuth2Config类  继承 AuthorizationServerConfigurerAdapter
需要重写三个 configure 方法
1.AuthorizationServerEndpointsConfigurer重写
AuthorizationServerEndpointsConfigurer是一个装载类,装载Endpoints所有相关的类配置(AuthorizationServer、TokenServices、TokenStore、ClientDetailsService、UserDetailsService)
将配置注入这个类里面,然后选择Token存储的方式
/**
* redis token 方式
*/
endpoints.authenticationManager(authenticationManager)
.tokenStore(redisTokenStore)
.userDetailsService(kiteUserDetailsService);
authenticationManage()  调用此方法才能支持 password 模式。
tokenStore() 指定 token 的存储方式
userDetailsService() 设置用户验证服务。




2.ClientDetailsServiceConfigurer重写
存储客户端的信息,配置信息可以放在内存中,也可以放在数据库中。这里测试方便直接放在内存中了
//使用 inMemory 方式存储的,将配置保存到内存中,相当于硬编码了
clients.inMemory()
.withClient("order-client")
//
.secret(passwordEncoder.encode("order-secret-8888"))
//授权码类型
.authorizedGrantTypes("refresh_token", "authorization_code", "password")
//token 的有效期
.accessTokenValiditySeconds(3600)
.scopes("all")
.and()
.withClient("user-client")
.secret(passwordEncoder.encode("user-secret-8888"))
.authorizedGrantTypes("refresh_token", "authorization_code", "password")
.accessTokenValiditySeconds(3600)
.scopes("all");




3.AuthorizationServerSecurityConfigurer重写:
这个类继承了SecurityConfigurerAdapter,SecurityConfigurerAdapter继承了SecurityConfigurer,所以这个类就和之前配置spring-Security很像,配置 tokenKeyAccess、checkTokenAccess访问权限,对一些请求进行过滤
/**
* 配置:安全检查流程,用来配置令牌端点(Token Endpoint)的安全与权限访问
* 默认过滤器:BasicAuthenticationFilter
* 1oauth_client_details表中clientSecret字段加密【ClientDetails属性secret
* 2CheckEndpoint类的接口 oauth/check_token 无需经过过滤器过滤,默认值:denyAll()
* 对以下的几个端点进行权限配置:
* /oauth/authorize:授权端点
* /oauth/token:令牌端点
* /oauth/confirm_access:用户确认授权提交端点
* /oauth/error:授权服务错误信息端点
* /oauth/check_token:用于资源服务访问的令牌解析端点
* /oauth/token_key:提供公有密匙的端点,如果使用JWT令牌的话
**/
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
//允许客户端访问 OAuth2 授权接口,否则请求 token 会返回 401
security.allowFormAuthenticationForClients();
//允许已授权用户访问 checkToken 接口
security.checkTokenAccess("isAuthenticated()");
//获取 token 接口
security.tokenKeyAccess("isAuthenticated()");
}




启动项目,IDEA 下方 Mapping 窗口中可以看到 oauth2 相关的 RESTful 接口




主要有下列几个请求:
POST /oauth/authorize 授权码模式认证授权接口
GET/POST /oauth/token 获取 token 的接口 
POST /oauth/check_token 检查 token 合法性接口




启动POST /oauth/authorize 授权码模式认证授权接口

可以看到并没有生成token,因为现在并没用传入值










返回列表 返回列表
评论

    分享到