Spring Security 單點登陸簡單示例

本文爲[原創]文章，轉載請標明出處。
本文連接： https://weyunx.com/2019/02/12...
本文出自 微雲的技術博客

Overview

最近在弄單點登陸，踩了很多坑，因此記錄一下，作了個簡單的例子。

目標：認證服務器認證後獲取 token，客戶端訪問資源時帶上 token 進行安全驗證。

能夠直接看源碼。

關鍵依賴

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.2.RELEASE</version>
        <relativePath/>
</parent>

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.1.2.RELEASE</version>
        </dependency>
</dependencies>

認證服務器

認證服務器的關鍵代碼有以下幾個文件：

AuthServerApplication:

@SpringBootApplication
@EnableResourceServer
public class AuthServerApplication {
    public static void main(String[] args) {
        SpringApplication.run(AuthServerApplication.class, args);
    }

}

AuthorizationServerConfiguration 認證配置:

@Configuration
@EnableAuthorizationServer
class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
    @Autowired
    AuthenticationManager authenticationManager;

    @Autowired
    TokenStore tokenStore;

    @Autowired
    BCryptPasswordEncoder encoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //配置客戶端
        clients
                .inMemory()
                .withClient("client")
                .secret(encoder.encode("123456")).resourceIds("hi")
                .authorizedGrantTypes("password","refresh_token")
                .scopes("read");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .tokenStore(tokenStore)
                .authenticationManager(authenticationManager);
    }


    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        //容許表單認證
        oauthServer
                .allowFormAuthenticationForClients()
                .checkTokenAccess("permitAll()")
                .tokenKeyAccess("permitAll()");
    }
}

代碼中配置了一個 client，id 是 client，密碼 123456。 authorizedGrantTypes 有 password 和refresh_token 兩種方式。

SecurityConfiguration 安全配置：

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Bean
    public TokenStore tokenStore() {
        return new InMemoryTokenStore();
    }

    @Bean
    public BCryptPasswordEncoder encoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
               .passwordEncoder(encoder())
               .withUser("user_1").password(encoder().encode("123456")).roles("USER")
               .and()
               .withUser("user_2").password(encoder().encode("123456")).roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http.csrf().disable()
                .requestMatchers()
                .antMatchers("/oauth/authorize")
                .and()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().permitAll();
        // @formatter:on
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


}

上面在內存中建立了兩個用戶，角色分別是 USER 和 ADMIN。後續可考慮在數據庫或者 Redis 中存儲相關信息。

AuthUser 配置獲取用戶信息的 Controller：

@RestController
public class AuthUser {
        @GetMapping("/oauth/user")
        public Principal user(Principal principal) {
            return principal;
        }

}

application.yml 配置，主要就是配置個端口號：

---
spring:
  profiles:
    active: dev
  application:
    name: auth-server
server:
  port: 8101

客戶端配置

客戶端的配置比較簡單，主要代碼結構以下：

application.yml 配置：

---
spring:
  profiles:
    active: dev
  application:
    name: client

server:
  port: 8102
security:
  oauth2:
    client:
      client-id: client
      client-secret: 123456
      access-token-uri: http://localhost:8101/oauth/token
      user-authorization-uri: http://localhost:8101/oauth/authorize
      scope: read
      use-current-uri: false
    resource:
      user-info-uri: http://localhost:8101/oauth/user

這裏主要是配置了認證服務器的相關地址以及客戶端的 id 和 密碼。user-info-uri 配置的就是服務器端獲取用戶信息的接口。

HelloController 訪問的資源，配置了 ADMIN 的角色才能夠訪問：

@RestController
public class HelloController {
    @RequestMapping("/hi")
    @PreAuthorize("hasRole('ADMIN')")
    public ResponseEntity<String> hi() {
        return ResponseEntity.ok().body("auth success!");
    }
}

WebSecurityConfiguration 相關安全配置：

@Configuration
@EnableOAuth2Sso
@EnableGlobalMethodSecurity(prePostEnabled = true) 
class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http
                .csrf().disable()
                // 基於token，因此不須要session
              .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .anyRequest().authenticated();
    }


}

其中 @EnableGlobalMethodSecurity(prePostEnabled = true) 開啓後，Spring Security 的 @PreAuthorize,@PostAuthorize 註解纔可使用。

@EnableOAuth2Sso 配置了單點登陸。

ClientApplication：

@SpringBootApplication
@EnableResourceServer
public class ClientApplication {
    public static void main(String[] args) {
        SpringApplication.run(ClientApplication.class, args);
    }

}

驗證

啓動項目後，咱們使用 postman 來進行驗證。

首先是獲取 token：

選擇 POST 提交，地址爲驗證服務器的地址，參數中輸入 username,password,grant_type 和 scope ，其中 grant_type 須要輸入 password。

而後在下面等 Authorization 標籤頁中，選擇 Basic Auth，而後輸入 client 的 id 和 password。

{
    "access_token": "02f501a9-c482-46d4-a455-bf79a0e0e728",
    "token_type": "bearer",
    "refresh_token": "0e62dddc-4f51-4cb5-81c3-5383fddbb81b",
    "expires_in": 41741,
    "scope": "read"
}

此時就能夠得到 access_token 爲: 02f501a9-c482-46d4-a455-bf79a0e0e728。須要注意的是這裏是用 user_2 獲取的 token，即角色是 ADMIN。

而後咱們再進行獲取資源的驗證：

使用 GET 方法，參數中輸入 access_token，值輸入 02f501a9-c482-46d4-a455-bf79a0e0e728 。

點擊提交後便可獲取到結果。

若是咱們不加上 token ，則會提示無權限。一樣若是咱們換上 user_1 獲取的 token，因 user_1 的角色是 USER，此資源須要 ADMIN 權限，則此處仍是會獲取失敗。

簡單的例子就到這，後續有時間再加上其它功能吧，謝謝～

未完待續...