Spring Cloud雲架構 - SSO單點登陸之OAuth2.0登陸認證(1)

rvices是其默認實現，他使用了默認的InMemoryTokenStore，不會持久化token；

 

token存儲方式共有三種分別是：

（1）InMemoryTokenStore：存放內存中，不會持久化

（2）JdbcTokenStore：存放數據庫中

（3）Jwt: json web token

 

受權類型：

能夠經過AuthorizationServerEndpointsConfigurer來進行配置，默認狀況下，支持除了密碼外的全部受權類型。相關受權類型的一些類：

（1）authenticationManager：直接注入一個AuthenticationManager，自動開啓密碼受權類型

（2）userDetailsService：若是注入UserDetailsService，那麼將會啓動刷新token受權類型，會判斷用戶是否仍是存活的

（3）authorizationCodeServices：AuthorizationCodeServices的實例，auth code 受權類型的服務

（4）implicitGrantService：imlpicit grant

（5）tokenGranter：

 

endpoint的URL的配置：

（1）AuthorizationServerEndpointsConfigurer的pathMapping()方法，有兩個參數，第一個是默認的URL路徑，第二個是自定義的路徑

（2）WebSecurityConfigurer的實例，能夠配置哪些路徑不須要保護，哪些須要保護。默認全都保護。

 

自定義UI:

（1）有時候，咱們可能須要自定義的登陸頁面和認證頁面。登錄頁面的話，只須要建立一個login爲前綴名的網頁便可，在代碼裏，設置爲容許訪問，這樣，系統會自動執行你的登錄頁。此登錄頁的action要注意一下，必須是跳轉到認證的地址。

（2）另一個是受權頁，讓你勾選選項的頁面。此頁面能夠參考源碼裏的實現，本身生成一個controller的類，再建立一個對應的web頁面便可實現自定義的功能。

 

下面梳理一下受權獲取token流程：

（1）端口號換成你本身的認證服務器的端口號，client_id也換成你本身的，response_type類型爲code。

 localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
（2）這時候你將得到一個code值：http://www.baidu.com/?code=G0C20Z

（3）使用此code值來獲取最終的token：

curl -X POST -H "Cant-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/uaa/oauth/token"

返回值：

{"access_token":"b251b453-cc08-4520-9dd0-9aedf58e6ca3","token_type":"bearer","expires_in":2591324,"scope":"app"}

 

（4）用此token值來調用資源服務器內容（若是資源服務器和認證服務器在同一個應用中，那麼資源服務器會本身解析token值，若是不在，那麼你要本身去作處理）

curl -H "Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3" "localhost:8081/service2（此處換上你本身的url）"

 

4、Resource Server：保護資源，須要令牌才能訪問

在配置類上加上註解@EnableResourceServer即啓動。使用ResourceServerConfigurer進行配置：

（1）tokenServices：ResourceServerTokenServices的實例，聲明瞭token的服務

（2）resourceId：資源Id，由auth Server驗證。

（3）其它一些擴展點，好比能夠從請求中提取token的tokenExtractor

（4）一些自定義的資源保護配置，經過HttpSecurity來設置

 

使用token的方式也有兩種：

（1）Bearer Token（https傳輸方式保證傳輸過程的安全）:主流

（2）Mac（http+sign）

 

如何訪問資源服務器中的API？

若是資源服務器和受權服務器在同一個應用程序中，而且您使用DefaultTokenServices，那麼您沒必要太考慮這一點，由於它實現全部必要的接口，所以它是自動一致的。若是您的資源服務器是一個單獨的應用程序，那麼您必須確保您匹配受權服務器的功能，並提供知道如何正確解碼令牌的ResourceServerTokenServices。與受權服務器同樣，您能夠常用DefaultTokenServices，而且選項大多經過TokenStore（後端存儲或本地編碼）表示。

（1）在校驗request中的token時，使用RemoteTokenServices去調用AuthServer中的/auth/check_token。

（2）共享數據庫，使用Jdbc存儲和校驗token，避免再去訪問AuthServer。

（3）使用JWT簽名的方式，資源服務器本身直接進行校驗，不借助任何中間媒介。

 

5、oauth client

在客戶端獲取到token以後，想去調用下游服務API時，爲了能將token進行傳遞，可使用RestTemplate.而後使用restTemplate進行調用Api。

注：

scopes和authorities的區別：

scopes是client權限，至少授予一個scope的權限，不然報錯。

authorities是用戶權限。   

以上是我從網上找到的一篇寫的不錯的博客，但願能夠幫助你們快速瞭解OAuth2.0,下一篇文章咱們正式介紹OAuth2.0在當前框架中的使用。 

從如今開始，我這邊會將近期研發的spring cloud微服務雲架構的搭建過程和精髓記錄下來，幫助更多有興趣研發spring cloud框架的朋友，你們來一塊兒探討spring cloud架構的搭建過程及如何運用於企業項目。完整項目的源碼來源 技術支持1791743380