springboot2.x的oauth2 jwt认证，实现普通用户和微信小程序用户登陆

oauth2认证服务

网上很多都是基于是spring原有认证，无法实现小程序认证，于是乎改写了部分代码。当然，也可以添加手机验证码登陆，有兴趣的可以参照现有代码来实现。
基于springboot的oauth2 jwt，使用私钥进行加密，token信息保存在redis中。用户密码加密方式SCryptPasswordEncoder。
源码：https://github.com/aLiang-xyl/oauth2

springboot的oauth2相关知识可参见:https://docs.spring.io/spring-security/site/docs/current/reference/html5/#preface

公钥私钥生成方式:

私钥

用于oauth2认证服务

keytool -genkey -alias auth-jwt -keypass 123456 -keyalg RSA -storetype PKCS12 -keysize 1024 -validity 365 -keystore auth-jwt.jks -storepass 123456  -dname "CN=(Felord), OU=(auth-jwt), O=(auth-jwt), L=(zz), ST=(hn), C=(cn)"

公钥

基于私钥生成公钥，用于oauth2资源服务进行验签

使用下面的命令，将公钥信息保存在任意文本中，例如：public.pub

keytool -list -rfc --keystore auth-jwt.jks | openssl x509 -inform pem -pubkey

配置信息

oauth:
  #token有效期24小时
  access-token-validity-seconds: 86400
  #refresh token有效期48小时
  refresh-token-validity-seconds: 172800
  client:
    #普通用户
    common: 
      clinet-id: oauth-client-id
      client-secret: oauth-client-secret
    #微信小程序用户
    weixin:
      clinet-id: wx-oauth-client-id
      client-secret: wx-oauth-client-secret
  #微信登陆配置    
  weixin:
    small-program: 
      #小程序登陆接口
      auth-url: https://api.weixin.qq.com/sns/jscode2session?grant_type=authorization_code&appid=${oauth.weixin.small-program.appid}&secret=${oauth.weixin.small-program.secret}&js_code=
      appid: 
      secret:     
  #下面的请求路径会跳过权限校验 
  path-matchers:
    permit-all: '/test**, /test/**, /free/**, /static/**, /register**, /health, /info, /hystrix.stream/**, /trace, /features, /dump, /webjars/**, /swagger-ui.html, /swagger-resources/**, /**/v2/api-docs, /v2/api-docs, /favicon.ico, /actuator/**'
  jks:
    #私钥配置
    path: certs/auth-jwt.jks
    #私钥密码
    password: 123456
    #alias
    key-pair-alias: auth-jwt 

微信小程序登陆

微信小程序登陆接口调用和普通登陆类似，需要将js_code作为用户名参数，不需要password参数，后台将调用微信小程序接口查询openid，根据openid查询用户信息，如果用户不存在则新增一个小程序用户

http://localhost:8080/oauth/token?client_id=wx-oauth-client-id&client_secret=wx-oauth-client-secret&grant_type=password&username=12345678

未实现的功能

因个人公共组件库未开源，没有添加相关功能，望见谅

• 代码中未实现数据库查询功能，需要自己实现
• get请求调用微信api未实现，需要自己实现

WebSecurityConfig配置中重写了AuthenticationManager相关

• 普通用户按照原有方式处理
• 小程序用户根据js_code调用微信api查询是否存在openid，如果获取到openid则根据openid生成用户（如果用户不存在）

用户表结构

表结构可参见SysUser类

认证流程

OAuth2官方文档

  +--------+                                           +---------------+
  |        |--(A)------- Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<-(B)----------- Access Token -------------|               |
  |        |               & Refresh Token             |               |
  |        |                                           |               |
  |        |                            +----------+   |               |
  |        |--(C)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(D)- Protected Resource --| Resource |   | Authorization |
  | Client |                            |  Server  |   |     Server    |
  |        |--(E)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(F)- Invalid Token Error -|          |   |               |
  |        |                            +----------+   |               |
  |        |                                           |               |
  |        |--(G)----------- Refresh Token ----------->|               |
  |        |                                           |               |
  |        |<-(H)----------- Access Token -------------|               |
  +--------+           & Optional Refresh Token        +---------------+

               Figure: Refreshing an Expired Access Token

    图所示的流程包括以下步骤：

   （A）客户端通过向客户端进行身份验证来请求访问令牌
        授权服务器并显示授权授权。

   （B）授权服务器对客户端进行身份验证并验证
        授权授予，如果有效，则颁发访问令牌
        和刷新令牌。

   （C）客户端向资源发出受保护的资源请求
        通过显示访问令牌来访问服务器。

   （D）资源服务器验证访问令牌，如果有效，
        服务请求。

   （E）重复步骤（C）和（D），直到访问令牌过期。如果
        客户端知道访问令牌已过期，则跳至步骤（G）；
        否则，它将发出另一个受保护的资源请求。

   （F）由于访问令牌无效，因此资源服务器返回
        无效的令牌错误。          
             
  （G）客户端通过与进行身份验证来请求新的访问令牌
        授权服务器并显示刷新令牌。的
        客户端身份验证要求基于客户端类型
        和授权服务器策略上。

   （H）授权服务器对客户端进行身份验证并验证
        刷新令牌，如果有效，则发出新的访问令牌（并且，
        （可选）新的刷新令牌）。

Postman登陆验证

普通用户登陆

小程序用户登陆
参数中的username实际上是微信小程序的js_code