java B2B2C Springboot電子商務平臺源碼-SSO單點登陸之OAuth2.0登陸認證

以前寫了不少關於spring cloud的文章，今天咱們對OAuth2.0的整合方式作一下筆記，首先我從網上找了一些關於OAuth2.0的一些基礎知識點，幫助你們回顧一下知識點：

須要JAVA Spring Cloud大型企業分佈式微服務雲構建的B2B2C電子商務平臺源碼 一零三八七七四六二六

1、oauth中的角色

client：調用資源服務器API的應用

Oauth 2.0 Provider：包括Authorization Server和Resource Server

（1）Authorization Server：認證服務器，進行認證和受權

（2）Resource Server：資源服務器，保護受保護的資源

user：資源的擁有者

2、下面詳細介紹一下Oauth 2.0 Provider

Authorization Server:

（1）AuthorizationEndpoint:進行受權的服務，Default URL: /oauth/authorize

（2）TokenEndpoint：獲取token的服務，Default URL: /oauth/token

Resource Server:

OAuth2AuthenticationProcessingFilter：給帶有訪問令牌的請求加載認證

3、下面再來詳細介紹一下Authorization Server:

通常狀況下，建立兩個配置類，一個繼承AuthorizationServerConfigurerAdapter，一個繼承WebSecurityConfigurerAdapter，再去複寫裏面的方法。

主要出現的兩種註解：

一、@EnableAuthorizationServer：聲明一個認證服務器，當用此註解後，應用啓動後將自動生成幾個Endpoint：（注：其實實現一個認證服務器就是這麼簡單，加一個註解就搞定，固然真正用到生產環境仍是要進行一些配置和複寫工做的。）

/oauth/authorize：驗證

/oauth/token：獲取token

/oauth/confirm_access：用戶受權

/oauth/error：認證失敗

/oauth/check_token：資源服務器用來校驗token

/oauth/token_key：若是jwt模式則能夠用此來從認證服務器獲取公鑰

以上這些endpoint都在源碼裏的endpoint包裏面。

二、@Beans：須要實現AuthorizationServerConfigurer

AuthorizationServerConfigurer包含三種配置：

ClientDetailsServiceConfigurer：client客戶端的信息配置，client信息包括：clientId、secret、scope、authorizedGrantTypes、authorities

（1）scope：表示權限範圍，可選項，用戶受權頁面時進行選擇

（2）authorizedGrantTypes：有四種受權方式

Authorization Code：用驗證獲取code，再用code去獲取token（用的最多的方式，也是最安全的方式）

Implicit: 隱式受權模式

Client Credentials (用來取得 App Access Token)

Resource Owner Password Credentials

（3）authorities：授予client的權限

這裏的具體實現有多種，in-memory、JdbcClientDetailsService、jwt等。

AuthorizationServerSecurityConfigurer：聲明安全約束，哪些容許訪問，哪些不容許訪問

AuthorizationServerEndpointsConfigurer：聲明受權和token的端點以及token的服務的一些配置信息，好比採用什麼存儲方式、token的有效期等

client的信息的讀取：在ClientDetailsServiceConfigurer類裏面進行配置，能夠有in-memory、jdbc等多種讀取方式。

jdbc須要調用JdbcClientDetailsService類，此類須要傳入相應的DataSource.

下面再介紹一下如何管理token:

AuthorizationServerTokenServices接口:聲明必要的關於token的操做

（1）當token建立後，保存起來，以便以後的接受訪問令牌的資源能夠引用它。

（2）訪問令牌用來加載認證

接口的實現也有多種，DefaultTokenServices是其默認實現，他使用了默認的InMemoryTokenStore，不會持久化token；

token存儲方式共有三種分別是：

（1）InMemoryTokenStore：存放內存中，不會持久化

（2）JdbcTokenStore：存放數據庫中

（3）Jwt: json web token

受權類型：

能夠經過AuthorizationServerEndpointsConfigurer來進行配置，默認狀況下，支持除了密碼外的全部受權類型。相關受權類型的一些類：

（1）authenticationManager：直接注入一個AuthenticationManager，自動開啓密碼受權類型

（2）userDetailsService：若是注入UserDetailsService，那麼將會啓動刷新token受權類型，會判斷用戶是否仍是存活的

（3）authorizationCodeServices：AuthorizationCodeServices的實例，auth code 受權類型的服務

（4）implicitGrantService：imlpicit grant

（5）tokenGranter：

endpoint的URL的配置：

（1）AuthorizationServerEndpointsConfigurer的pathMapping()方法，有兩個參數，第一個是默認的URL路徑，第二個是自定義的路徑

（2）WebSecurityConfigurer的實例，能夠配置哪些路徑不須要保護，哪些須要保護。默認全都保護。

自定義UI:

（1）有時候，咱們可能須要自定義的登陸頁面和認證頁面。登錄頁面的話，只須要建立一個login爲前綴名的網頁便可，在代碼裏，設置爲容許訪問，這樣，系統會自動執行你的登錄頁。此登錄頁的action要注意一下，必須是跳轉到認證的地址。

（2）另一個是受權頁，讓你勾選選項的頁面。此頁面能夠參考源碼裏的實現，本身生成一個controller的類，再建立一個對應的web頁面便可實現自定義的功能。

下面梳理一下受權獲取token流程：

（1）端口號換成你本身的認證服務器的端口號，client_id也換成你本身的，response_type類型爲code。

localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com

（2）這時候你將得到一個code值：http:www.baidu.com/?code=G0C20Z

（3）使用此code值來獲取最終的token：

curl -X POST -H 「Cant-Type: application/x-www-form-urlencoded」 -d ‘grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com’ 「http:client:secret@localhost:8080/uaa/oauth/token」

返回值：

{「access_token」:「b251b453-cc08-4520-9dd0-9aedf58e6ca3」,「token_type」:「bearer」,「expires_in」:2591324,「scope」:「app」}

（4）用此token值來調用資源服務器內容（若是資源服務器和認證服務器在同一個應用中，那麼資源服務器會本身解析token值，若是不在，那麼你要本身去作處理）

curl -H 「Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3」 「localhost:8081/service2（此處換上你本身的url）」

4、Resource Server：保護資源，須要令牌才能訪問
在配置類上加上註解@EnableResourceServer即啓動。使用ResourceServerConfigurer進行配置：

（1）tokenServices：ResourceServerTokenServices的實例，聲明瞭token的服務

（2）resourceId：資源Id，由auth Server驗證。

（3）其它一些擴展點，好比能夠從請求中提取token的tokenExtractor

（4）一些自定義的資源保護配置，經過HttpSecurity來設置

使用token的方式也有兩種：

（1）Bearer Token（https傳輸方式保證傳輸過程的安全）:主流

（2）Mac（http+sign）

如何訪問資源服務器中的API？

若是資源服務器和受權服務器在同一個應用程序中，而且您使用DefaultTokenServices，那麼您沒必要太考慮這一點，由於它實現全部必要的接口，所以它是自動一致的。若是您的資源服務器是一個單獨的應用程序，那麼您必須確保您匹配受權服務器的功能，並提供知道如何正確解碼令牌的ResourceServerTokenServices。與受權服務器同樣，您能夠常用DefaultTokenServices，而且選項大多經過TokenStore（後端存儲或本地編碼）表示。

（1）在校驗request中的token時，使用RemoteTokenServices去調用AuthServer中的/auth/check_token。

（2）共享數據庫，使用Jdbc存儲和校驗token，避免再去訪問AuthServer。

（3）使用JWT簽名的方式，資源服務器本身直接進行校驗，不借助任何中間媒介。

5、oauth client

在客戶端獲取到token以後，想去調用下游服務API時，爲了能將token進行傳遞，可使用RestTemplate.而後使用restTemplate進行調用Api。

注：

scopes和authorities的區別：

scopes是client權限，至少授予一個scope的權限，不然報錯。

authorities是用戶權限。

以上是我從網上找到的一篇寫的不錯的博客，但願能夠幫助你們快速瞭解OAuth2.0,下一篇文章咱們正式介紹OAuth2.0在當前框架中的使用。