-
不吐不快
由於項目需求開始接觸OAuth2.0受權協議。斷斷續續接觸了有兩週左右的時間。不得不吐槽的,依然是本身的學習習慣問題,老是着急想了解一切,習慣性地鑽牛角尖去理解小的細節,而不是從宏觀上去掌握,或者說先用起來(少年,一生辣麼長,你這麼着急合適嗎?)。好在前人們已經作好了很好的demo,我本身照着抄一抄也就理解了大概如何用,依舊手殘黨,依舊敲不出好代碼。懺悔…html
-
WHAT?
項目之中實際使用OAuth2.0實現是用的Spring Security OAuth2.0,一套基於Spring Security項目的實現,配合Spring Security配置使用。java
整體來說,本身所理解的這套實現當中,是在Spring Security的基礎之上又增長了幾部份內容:git
- authorization server
這部分配置算是OAuth2.0的核心配置部分。github
該配置涉及:web
client details service(第三方client端信息查詢配置)、spring
token service(token查詢操做相關)、api
authorization code service(受權code獲取)、session
user approval handler(用戶受權處理)、mvc
client端的各類grant_type等等。app
同時,這部份內容「內置」了兩個FrameworkEndpoint(和Controller意義相同):AuthorizationEndpoint和TokenEndpoint,分別對應請求/oauth/authorize和/oauth/token。只要在spring配置文件中開啓MVC配置就能使用並攔截對應
該部分簡單配置:
<mvc:annotation-driven/>
<mvc:default-servlet-handler/>
<!-- 1. OAuth2 related config -->
<oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"
user-approval-handler-ref="oauthUserApprovalHandler"
user-approval-page="oauth_approval"
error-page="oauth_error">
<oauth2:authorization-code authorization-code-services-ref="authorizationCodeServices" />
<oauth2:implicit/>
<oauth2:refresh-token/>
<oauth2:client-credentials/>
<oauth2:password/>
</oauth2:authorization-server>
<!-- 1.1 client detail service -->
<beans:bean id="clientDetailsService" class="com.cyou.nad.bet.oauth.service.impl.CustomJdbcClientDetailsServiceImpl">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean>
<!-- 1.2 Config token services-->
<beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
<beans:property name="tokenStore" ref="tokenStore"/>
<beans:property name="clientDetailsService" ref="clientDetailsService"></beans:property>
<beans:property name="supportRefreshToken" value="true"/>
</beans:bean>
<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean>
<!-- 1.3 oauthUserApprovalHandler -->
<beans:bean id="oauthUserApprovalHandler" class="com.cyou.nad.bet.oauth.approval.SimpleTokenServiceUserApprovalHandler">
<beans:property name="tokenServices" ref="tokenServices"/>
<beans:property name="oauthClientDetailsService" ref="oauthClientDetailsService"/><!-- FIXME 考慮直接使用clientDetailService -->
</beans:bean>
<!-- 1.4 authorization code creator -->
<beans:bean id="authorizationCodeServices" class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean>
- 第三方client配置
在spring的這套實現當中,在第三方client端也有本身單獨的id、secret和權限,因此從某種程度上來說,其實client端至關因而一種特殊的user了。
之前使用Spring Security配置user權限校驗的時候,會配置authentication-manager,使用DB的話,還須要提供userService用於查詢DB獲取用戶信息。
這裏在配置OAuth的時候,client端也有相似配置,一樣須要配置authentication-manager並指定clientDetailService。
實際後續瞭解更多以後,發現實際校驗時,兩者封裝成的都是類UserDetails的實例
用於client端校驗的AuthenticationManager配置:
<authentication-manager id="oauth2ProviderManager">
<authentication-provider user-service-ref="oauth2ClientDetailsUserService"/>
</authentication-manager>
<beans:bean id="oauth2ClientDetailsUserService"
class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
<beans:constructor-arg ref="clientDetailsService"/>
</beans:bean>
- resource custom filter
在spring oauth2.0的配置當中,能夠單獨配置resource-server,指定特定的resource-id。
這個resource-server的用處在於,以後會做爲一個custom-filter加到Spring Security Filter Chain當中的。當第三方client嘗試訪問受限資源時,該filter會對client信息和其攜帶過來的access_token進行校驗,校驗經過以後才能拿到資源。
resource配置:
<oauth2:resource-server id="userResourceServerFilter" resource-id="user" token-services-ref="tokenServices"/>
後續做爲custom-filter添加到http配置中:
<http pattern="/oauth/userInfo*" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
access-decision-manager-ref="oauth2AccessDecisionManager">
<anonymous enabled="false"/>
<!-- 獲取用戶信息 -->
<intercept-url pattern="/oauth/userInfo*" access="ROLE_UNITY,scope=READ"/>
<custom-filter ref="userResourceServerFilter" before="PRE_AUTH_FILTER"/>
<access-denied-handler ref="oauth2AccessDeniedHandler"/>
</http>
另外須要一提的就是,OAuth2.0當中還有一個SCOPE的概念,至關於用戶對client受權訪問本身擁有的某一資源時,能夠指定其範圍,好比read(只讀), write(可寫),或者get_user_info(獲取用戶信息), share(分享)等等。一開始沒有很好的理解,後來看到別的項目的配置,感受能夠這樣想:若是resource對應的是工程的Controller的話,那麼scope能夠理解爲Controller當中的方法,相似於user.getUserInfo()或者user.addShare()等。配置參考:https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml
添加scope以後,在<http>配置的AccessDecisionManager中就須要添加用於oauth2.0 scope校驗相關的voter了:
<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
<beans:constructor-arg>
<beans:list>
<beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter">
<beans:property name="scopePrefix" value="scope="></beans:property>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:constructor-arg>
</beans:bean>
關於Spring這套實現的配置,前輩們分享的已經不少了,基本都是相似的配置。後續主要整理對於總體流程和諸如code或token的生成和存儲規則相關的東西,最最重要的,仍是要把使用過程當中遇到的各類問題記錄下來纔是。