09-微服务版单点登陆系统(SSO)实践
目录
单点登陆系统简介
背景分析
单点登陆系统概述
单点登陆系统解决方案设计
单点登陆系统初步设计
服务设计
工程结构设计
SSO父工程创建及初始化
创建父工程
父工程pom文件初始配置
系统基础服务工程设计及实现
业务描述
表结构设计
工程数据初始化
创建系统服务工程并初始化
Pojo对象逻辑实现
Dao对象逻辑实现
Service对象逻辑实现
Controller对象逻辑实现
启动服务进行访问测试
统一认证工程设计及实现
业务描述
创建工程及初始化
启动并访问项目
定义用户信息处理对象
定义Security配置类
基于Postman进行访问测试
Security 认证流程分析(了解)
构建令牌生成及配置对象
定义Oauth2认证授权配置
启动postman进行访问测试
资源服务工程设计及实现
业务描述
业务设计架构
项目创建及初始化
创建资源Controller对象
配置令牌解析器对象
配置资源认证授权规则
启动Postman进行访问测试
网关工程设计及实现
业务描述
项目创建及初始化
启动postman进行访问测试
客户端UI工程设计及实现
业务描述
项目创建及初始化
创建UI工程登陆页面
创建资源展现页面
技术摘要应用实践说明
背景分析
Spring Security 技术
Jwt 数据规范
Oauth2规范
总结(Summary)
重难点分析
FAQ 分析
Bug 分析
知识点(补)
单点登录系统初步设计及实现
核心知识点
常见问题分析
常见Bug分析
SSO系统中的登录逻辑基本实现
核心知识点
常见问题分析
常见Bug分析
课上小技巧
SSO系统颁发令牌及资源服务实践
核心知识点
常见问题分析
常见Bug分析
SSO网关,UI工程,日志记录实践
核心知识点
常见问题分析
常见Bug分析
单点登陆系统简介
背景分析
传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:
这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。
单点登陆系统概述
单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:
单点登陆系统解决方案设计
- 解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如:
说明,在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库.后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.
- 解决方案2:用户登陆成功以后,将用户信息存储到token(令牌),然后写到客户端进行存储。(本次设计方案)
说明,在这套方案中,用户登录成功后,会基于JWT技术生成一个token,用户信息可以存储到这个token中.后续用户在访问资源时,对token内容解析,检查登录状态以及权限信息,无须再访问数据库.
单点登陆系统初步设计
服务设计
基于单点登陆系统中的业务描述,进行初步服务架构设计,如图所示:
其中,服务基于业务进行划分,系统(system)服务只提供基础数据(例如用户信息,日志信息等),认证服务(auth)负责完成用户身份的校验,密码的比对,资源服务(resource)代表一些业务服务(例如我的订单,我的收藏等等).
工程结构设计
基于服务的划分,设计工程结构如下:
SSO父工程创建及初始化
创建父工程
第一步:创建父工程,例如:
第二步:删除父工程src目录(可选)。
父工程pom文件初始配置
初始化pom文件内容,例如:
4.0.0
com.jt
02-sso
1.0-SNAPSHOT
org.springframework.boot
spring-boot-dependencies
2.3.2.RELEASE
pom
import
org.springframework.cloud
spring-cloud-dependencies
Hoxton.SR9
pom
import
com.alibaba.cloud
spring-cloud-alibaba-dependencies
2.2.6.RELEASE
pom
import
org.projectlombok
lombok
provided
org.springframework.boot
spring-boot-starter-test
test
org.junit.jupiter
junit-jupiter-engine
org.apache.maven.plugins
maven-compiler-plugin
3.8.1
8
8
系统基础服务工程设计及实现
业务描述
本次设计系统服务(System),主要用于提供基础数据服务,例如日志信息,用户信息等。
表结构设计
系统服务模块,基本表结构设计,例如:
工程数据初始化
将jt-sso.sql文件在mysql中执行一下,其过程如下:
第一:登录mysql
mysql -uroot -proot
第二:通过source指令执行jt-sso.sql文件
source d:/jt-sso.sql创建系统服务工程并初始化
第一步:创建sso-system工程,例如:
第二步:添加项目依赖,例如
mysql
mysql-connector-java
com.baomidou
mybatis-plus-boot-starter
3.4.2
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-discovery
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-config
org.springframework.boot
spring-boot-starter-web
第三步:在项目中添加bootstrap.yml文件,其内容如下:
server:
port: 8061
spring:
application:
name: sso-system
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
datasource:
url: jdbc:mysql:///jt-sso?serverTimezone=Asia/Shanghai&characterEncoding=utf8
username: root
password: root
说明,可将连接数据库的配置,添加到配置中心。
第四步:在项目中添加启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class SystemApplication {
public static void main(String[] args) {
SpringApplication.run(SystemApplication.class,args);
}
}
第五步:在项目中添加单元测试类,测试数据库连接,例如:
package com.jt;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;
@SpringBootTest
public class DataSourceTests {
@Autowired
private DataSource dataSource;//HikariDataSource
@Test
void testGetConnection() throws SQLException {
Connection conn=
dataSource.getConnection();
System.out.println(conn);
}
}Pojo对象逻辑实现
添加项目User对象,用于封装用户信息。
package com.jt.system.pojo;
import lombok.Data;
import java.io.Serializable;
/**
* 通过此对象封装用户信息
*/
@Data
public class User implements Serializable {
private static final long serialVersionUID = 4831304712151465443L;
private Long id;
private String username;
private String password;
private String status;
}
Dao对象逻辑实现
第一步:创建UserMapper接口,并定义基于用户名查询用户信息,基于用户id查询用户权限信息的方法,代码如下:
package com.jt.system.dao;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.jt.system.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import java.util.List;
@Mapper
public interface UserMapper extends BaseMapper {
/**
* 基于用户名获取用户信息
* @param username
* @return
*/
@Select("select id,username,password,status " +
"from tb_users " +
"where username=#{username}")
User selectUserByUsername(String username);
/**
* 基于用户id查询用户权限
* @param userId 用户id
* @return 用户的权限
* 涉及到的表:tb_user_roles,tb_role_menus,tb_menus
*/
@Select("select distinct m.permission " +
"from tb_user_roles ur join tb_role_menus rm on ur.role_id=rm.role_id" +
" join tb_menus m on rm.menu_id=m.id " +
"where ur.user_id=#{userId}")
List selectUserPermissions(Long userId);
}
第二步:创建UserMapperTests类,对业务方法做单元测试,例如:
package com.jt;
import com.jt.system.pojo.User;
import com.jt.system.dao.UserMapper;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
import java.util.List;
@SpringBootTest
public class UserMapperTests {
@Autowired
private UserMapper userMapper;
@Test
void testSelectUserByUsername(){
User user =
userMapper.selectUserByUsername("admin");
System.out.println(user);
}
@Test
void testSelectUserPermissions(){
List permission=
userMapper.selectUserPermissions(1L);
System.out.println(permission);
}
}
Service对象逻辑实现
创建UserService接口及实现泪,定义用户及用户权限查询逻辑,代码如下:
第一步:定义service接口,代码如下:
package com.jt.system.service;
import com.jt.system.pojo.User;
import java.util.List;
public interface UserService {
User selectUserByUsername(String username);
List selectUserPermissions(Long userId);
}
第二步:定义service接口实现类,代码如下:
package com.jt.system.service.impl;
import com.jt.system.dao.UserMapper;
import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import java.util.List;
@Service
public class UserServiceImpl implements UserService {
@Autowired
private UserMapper userMapper;
@Override
public User selectUserByUsername(String username) {
return userMapper.selectUserByUsername(username);
}
@Override
public List selectUserPermissions(Long userId) {
return userMapper.selectUserPermissions(userId);
}
}
Controller对象逻辑实现
package com.jt.system.controller;
import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.List;
@RestController
@RequestMapping("/user/")
public class UserController {
@Autowired
private UserService userService;
@GetMapping("/login/{username}")
public User doSelectUserByUsername(
@PathVariable("username") String username){
return userService.selectUserByUsername(username);
}
@GetMapping("/permission/{userId}")
public List doSelectUserPermissions(
@PathVariable("userId") Long userId){
return userService.selectUserPermissions(userId);
}
}
启动服务进行访问测试
启动sso-system工程服务,打开浏览器分别对用户及用户权限信息的获取进行访问测试
- 基于用户名查询用户信息,例如:
- 基于用户id(这里假设用户id为1)查询用户权限,例如:
统一认证工程设计及实现
业务描述
用户登陆时调用此工程对用户身份进行统一身份认证和授权。
创建工程及初始化
第一步:创建sso-auth工程,如图所示
第二步:打开sso-auth工程中的pom文件,然后添加如下依赖:
org.springframework.boot
spring-boot-starter-web
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-discovery
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-config
org.springframework.cloud
spring-cloud-starter-oauth2
org.springframework.cloud
spring-cloud-starter-openfeign
第三步:在sso-auth工程中创建bootstrap.yml文件,例如:
server:
port: 8071
spring:
application:
name: sso-auth
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
第四步 添加项目启动类,例如
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@EnableFeignClients
@SpringBootApplication
public class AuthApplication {
public static void main(String[] args) {
SpringApplication.run(AuthApplication.class, args);
}
}
启动并访问项目
项目启动时,系统会默认生成一个登陆密码,例如:
打开浏览器输入http://localhost:8071呈现登陆页面,例如:
其中,默认用户名为user,密码为系统启动时,在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面(因为没有定义登陆页面,所以会出现404):
定义用户信息处理对象
第一步:定义User对象,用于封装从数据库查询到的用户信息,例如:
package com.jt.auth.pojo;
import lombok.Data;
import java.io.Serializable;
@Data
public class User implements Serializable {
private static final long serialVersionUID = 4831304712151465443L;
private Long id;
private String username;
private String password;
private String status;
}
第二步:定义远程Service对象,用于实现远程用户信息调用,例如:
package com.jt.auth.service;
import com.jt.auth.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import java.util.List;
@FeignClient(value = "sso-system", contextId ="remoteUserService" )
public interface RemoteUserService {
@GetMapping("/user/login/{username}")
User selectUserByUsername( @PathVariable("username") String username);
@GetMapping("/user/permission/{userId}")
List selectUserPermissions(@PathVariable("userId") Long userId);
}
第三步:定义用户登陆业务逻辑处理对象,例如:
package com.jt.auth.service;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;
import java.util.List;
@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private RemoteUserService remoteUserService;
/**
* 基于用户名获取数据库中的用户信息
* @param username 这个username来自客户端
* @return
* @throws UsernameNotFoundException
*/
@Override
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException {
//基于feign方式获取远程数据并封装
//1.基于用户名获取用户信息
com.jt.auth.pojo.User user=
remoteUserService.selectUserByUsername(username);
if(user==null)
throw new UsernameNotFoundException("用户不存在");
//2.基于用于id查询用户权限
List permissions=
remoteUserService.selectUserPermissions(user.getId());
log.info("permissions {}",permissions);
//3.对查询结果进行封装并返回
User userInfo= new User(username,
user.getPassword(),
AuthorityUtils.createAuthorityList(permissions.toArray(new String[]{})));
//......
return userInfo;
//返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对
}
}
定义Security配置类
定义Spring Security配置类,在此类中配置认证规则,例如:
package com.jt.auth.config;
import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;
/**
* 当我们在执行登录操作时,底层逻辑(了解):
* 1)Filter(过滤器)
* 2)AuthenticationManager (认证管理器)
* 3)AuthenticationProvider(认证服务处理器)
* 4)UserDetailsService(负责用户信息的获取及封装)
*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 初始化加密对象
* 此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全
* @return
*/
@Bean
public BCryptPasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
/**
* 定义认证管理器对象,这个对象负责完成用户信息的认证,
* 即判定用户身份信息的合法性,在基于oauth2协议完成认
* 证时,需要此对象,所以这里讲此对象拿出来交给spring管理
* @return
* @throws Exception
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean()
throws Exception {
return super.authenticationManagerBean();
}
/**配置认证规则*/
@Override
protected void configure(HttpSecurity http)
throws Exception {
//super.configure(http);//默认所有请求都要认证
//1.禁用跨域攻击(先这么写,不写会报403异常)
http.csrf().disable();
//2.放行所有资源的访问(后续可以基于选择对资源进行认证和放行)
http.authorizeRequests()
.anyRequest().permitAll();
//3.自定义定义登录成功和失败以后的处理逻辑(可选)
//假如没有如下设置登录成功会显示404
http.formLogin()//这句话会对外暴露一个登录路径/login
.successHandler(successHandler())
.failureHandler(failureHandler());
}
//定义认证成功处理器
//登录成功以后返回json数据
@Bean
public AuthenticationSuccessHandler successHandler(){
//lambda
return (request,response,authentication)->{
//构建map对象封装到要响应到客户端的数据
Map map=new HashMap<>();
map.put("state",200);
map.put("message", "login ok");
//将map对象转换为json格式字符串并写到客户端
writeJsonToClient(response,map);
};
}
//定义登录失败处理器
@Bean
public AuthenticationFailureHandler failureHandler(){
return (request,response,exception)->{
//构建map对象封装到要响应到客户端的数据
Map map=new HashMap<>();
map.put("state",500);
map.put("message", "login error");
//将map对象转换为json格式字符串并写到客户端
writeJsonToClient(response,map);
};
}
private void writeJsonToClient(
HttpServletResponse response,
Map map) throws IOException {
//将map对象,转换为json
String json=new ObjectMapper().writeValueAsString(map);
//设置响应数据的编码方式
response.setCharacterEncoding("utf-8");
//设置响应数据的类型
response.setContentType("application/json;charset=utf-8");
//将数据响应到客户端
PrintWriter out=response.getWriter();
out.println(json);
out.flush();
}
}
基于Postman进行访问测试
启动sso-system,sso-auth服务,然后基于postman访问网关,执行登录测试,例如:
Security 认证流程分析(了解)
目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程如下:
构建令牌生成及配置对象
本次我们借助JWT(Json Web Token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.
package com.jt.auth.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
/**
* 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
*/
@Configuration
public class TokenConfig {
/**
* 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)
* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)
* 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token
* 中可以以自包含的形式存储一些用户信息)
* 4)....
*/
@Bean
public TokenStore tokenStore(){
//这里采用JWT方式生成和存储令牌信息
return new JwtTokenStore(jwtAccessTokenConverter());
}
/**
* 配置令牌的创建及验签方式
* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
*/
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter=
new JwtAccessTokenConverter();
//JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
//这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,
//这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
return jwtAccessTokenConverter;
}
/**
* JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
* 1)生成的令牌需要这个密钥进行签名
* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
*/
private static final String SIGNING_KEY="auth";
}
定义Oauth2认证授权配置
第一步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置.
package com.jt.auth.config;
import lombok.AllArgsConstructor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
import java.util.UUID;
/**
* Oauth2 是一种认证授权规范,它基于认证和授权定义了一套规则,在这套规则中规定了
* 实现一套认证授权系统需要哪些对象:
* 1)系统资源(数据)
* 2)资源拥有者(用户)
* 3)管理资源的服务器
* 4)对用户进行认证和授权的服务器
* 5)客户端系统(负责提交用户身份信息的系统)
*
* 思考:对于一个认证授权系统来讲,需要什么?:
* 1)提供一个认证的入口?(客户端去哪里认证)
* 2)客户端应该携带什么信息去认证?(username,password,....)
* 3)服务端通过谁去对客户端进行认证(一个负责认证的对象)?
*/
@AllArgsConstructor
@Configuration
@EnableAuthorizationServer //在oauth2规范中启动认证和授权
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {
//@Autowired
private AuthenticationManager authenticationManager;
//@Autowired
private BCryptPasswordEncoder passwordEncoder;
//@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
//@Autowired
private TokenStore tokenStore;
//提供一个认证的入口(客户端去哪里认证)?(http://ip:port/.....)
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
//super.configure(security);
//对外发布认证入口(/oauth/token),认证通过服务端会生成一个令牌
security.tokenKeyAccess("permitAll()")
//对外发布检查令牌的入口(/oauth/check_token)
.checkTokenAccess("permitAll()")
//允许用户通过表单方式提交认证,完成认证
.allowFormAuthenticationForClients();
}
//定义客户端应该携带什么信息去认证?
//指明哪些对象可以到这里进行认证(哪个客户端对象需要什么特点)。
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
//super.configure(clients);
clients.inMemory()
//客户端标识
.withClient("gateway-client")
//客户端密钥(随意)
.secret(passwordEncoder.encode("123456"))
//指定认证类型(码密,刷新令牌,三方令牌,...)
.authorizedGrantTypes("password","refresh_token")
//作用域(在这里可以理解为只要包含我们规定信息的客户端都可以进行认证)
.scopes("all");
}
//提供一个负责认证授权的对象?(完成客户端认证后会颁发令牌,默认令牌格式是uuid方式的)
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
//super.configure(endpoints);
//设置认证授权对象
endpoints.authenticationManager(authenticationManager)
//设置令牌业务对象(此对象提供令牌创建及有效机制设置)
.tokenServices(tokenService())//不写,默认是uuid
//设置允许对哪些请求方式进行认证(默认支支持post):可选
.allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST);
}
@Bean
public AuthorizationServerTokenServices tokenService(){
//1.构建token业务对象
DefaultTokenServices ts=new DefaultTokenServices();
//2.设置令牌生成机制(创建令牌的方式,存储用户状态信息的方式)
ts.setTokenStore(tokenStore);
//3.设置令牌增强(改变默认令牌创建方式,没有这句话默认是UUID)
ts.setTokenEnhancer(jwtAccessTokenConverter);
//4.设置令牌有效时长(可选)
ts.setAccessTokenValiditySeconds(3600);
//5.设置刷新令牌以及它的有效时时长(可选)
ts.setSupportRefreshToken(true);
ts.setRefreshTokenValiditySeconds(3600*24);
return ts;
}
}
启动postman进行访问测试
- 登陆访问测试,例如:
登陆成功以后,会在postman控制台显示如下格式信息,例如:
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODAwMjMsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.gr3FxM0RdiEbmmHIdLi234kwPHRAFm02xNH9EnqEpbY",
"token_type": "bearer",
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.c-MrRMNYtI9C9RnX0LchwJ-gLxeFZscpU2VM97vv-7A",
"expires_in": 3599,
"scope": "all",
"jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374"
}
- 检查token信息,例如:
假如,请求访问ok,在postman控制台会显示如下格式信息,例如:
{
"user_name": "admin",
"scope": [
"all"
],
"active": true,
"exp": 1635680023,
"authorities": [
"sys:res:create",
"sys:res:list",
"sys:res:delete"
],
"jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374",
"client_id": "gateway-client"
}
- 刷新令牌应用测试,例如:
假如,请求访问ok,在postman控制台会显示如下格式信息,例如:
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODA3NzAsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.6zcw0tuAM0wlBvjBHxzk1JqFLweBU9p6uB720pdwWxs",
"token_type": "bearer",
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.6KJOryS6j78Edk-8N4MWAIKifyRYbH5MvEO-mHRWW6w",
"expires_in": 3599,
"scope": "all",
"jti": "93237250-9741-4420-9b79-84fd884038e5"
}
资源服务工程设计及实现
业务描述
资源服务工程为一个业务数据工程,此工程中数据在访问通常情况下是受限访问,例如有些资源有用户,都可以方法,有些资源必须认证才可访问,有些资源认证后,有权限才可以访问。
业务设计架构
用户访问资源时的认证,授权流程设计如下:
项目创建及初始化
第一步:创建工程,例如:
第二步:初始化pom文件依赖,例如:
org.springframework.boot
spring-boot-starter-web
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-discovery
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-config
com.alibaba.cloud
spring-cloud-starter-alibaba-sentinel
org.springframework.cloud
spring-cloud-starter-oauth2
第三步:创建bootstrap.yml配置文件,例如:
server:
port: 8881
spring:
application:
name: sso-resource
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
第四步:创建启动类,代码如下:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class ResourceApplication {
public static void main(String[] args) {
SpringApplication.run(ResourceApplication.class,args);
}
}创建资源Controller对象
package com.jt.resource.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/resource")
public class ResourceController {
/**
* 查询资源
* @return
*/
@PreAuthorize("hasAuthority('sys:res:list')")
@GetMapping
public String doSelect(){
return "Select Resource ok";
}
/**
* 创建资源
* @return
*/
@PreAuthorize("hasAuthority('sys:res:create')")
@PostMapping
public String doCreate(){
return "Create Resource OK";
}
/**
* 修改资源
* @return
*/
@PreAuthorize("hasAuthority('sys:res:update')")
@PutMapping
public String doUpdate(){
return "Update Resource OK";
}
/**
* 删除资源
* @return
*/
@DeleteMapping
public String doDelete(){
return "Delete resource ok";
}
}
配置令牌解析器对象
package com.jt;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
/**
* 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。
*/
@Configuration
public class TokenConfig {
/**
* 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略
* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)
* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)
* 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token
* 中可以以自包含的形式存储一些用户信息)
* 4)....
*/
@Bean
public TokenStore tokenStore(){
//这里采用JWT方式生成和存储令牌信息
return new JwtTokenStore(jwtAccessTokenConverter());
}
/**
* 配置令牌的创建及验签方式
* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中
* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。
*/
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter=
new JwtAccessTokenConverter();
//JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)
//这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,
//这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥
return jwtAccessTokenConverter;
}
/**
* JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)
* 1)生成的令牌需要这个密钥进行签名
* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)
*/
private static final String SIGNING_KEY="auth";
}
配置资源认证授权规则
package com.jt;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
/**
* 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的
* 1)不需要登录就可以访问(例如12306查票)
* 2)登录以后才能访问(例如12306的购票)
* 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)
*/
@Configuration
@EnableResourceServer
//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
//super.configure(http);
//1.关闭跨域攻击
http.csrf().disable();
//2.放行相关请求
http.authorizeRequests()
.antMatchers("/resource/**")
.authenticated()
.anyRequest().permitAll();
}
}
启动Postman进行访问测试
-
不携带令牌访问,例如:
-
携带令牌访问,例如:
-
没有访问权限,例如:
网关工程设计及实现
业务描述
本次设计中,API网关是服务访问入口,身份认证,资源访问都通过网关进行资源统一转发。
项目创建及初始化
第一步:创建项目,例如:
第二步:初始化pom文件内容,例如:
org.springframework.cloud
spring-cloud-starter-gateway
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-discovery
com.alibaba.cloud
spring-cloud-starter-alibaba-nacos-config
com.alibaba.cloud
spring-cloud-starter-alibaba-sentinel
com.alibaba.cloud
spring-cloud-alibaba-sentinel-gateway
第三步:创建bootstrap.yml配置文件并进行路由定义,例如:
server:
port: 9000
spring:
application:
name: sso-gateway
cloud:
nacos:
discovery:
server-addr: localhost:8848
config:
server-addr: localhost:8848
file-extension: yml
sentinel:
transport:
dashboard: localhost:8180
eager: true
gateway:
routes:
- id: router01 #资源服务器路由
uri: lb://sso-resource #lb表示负载均衡,sso-resource为服务名
predicates: #谓词对象,可以定义多个谓词逻辑,所有谓词逻辑返回值为true才会去执行filters
- Path=/sso/resource/**
filters: #过滤器,是谓词逻辑的下一个执行步骤
- StripPrefix=1 #去掉path中的第一层目录
- id: router02 #认证服务器路由
uri: lb://sso-auth #认证服务
predicates:
- Path=/sso/oauth/**
filters:
- StripPrefix=1
globalcors: #跨域配置(写到配置文件的好处是可以将其配置写到配置中心)
corsConfigurations: #所有跨域配置只是针对ajax请求,因为ajax请求不支持跨域
'[/**]':
allowedOrigins: "*"
allowedHeaders: "*"
allowedMethods: "*"
allowCredentials: true第四步:定义启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class ApiGatewayApplication {
public static void main(String[] args) {
SpringApplication.run(ApiGatewayApplication.class, args);
}
}
启动postman进行访问测试
-
基于网关进行登陆访问测试,例如:
-
基于网关进行资源访问测试,例如:
客户端UI工程设计及实现
业务描述
本次项目设计采用前后端分离架构设计,前端工程服务基于springboot web服务进行实现。
项目创建及初始化
第一步:创建项目,例如:
第二步:项目中添加如下依赖,例如:
org.springframework.boot
spring-boot-starter-web
第三步:创建启动类,例如:
package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class UIApplication {
public static void main(String[] args) {
SpringApplication.run(UIApplication.class, args);
}
}
创建UI工程登陆页面
第一步:在resource目录下创建static目录
第二步:在static目录下创建登陆页面login.html,例如:
login
Please Login
第三步:打开浏览器进行访问测试,例如:
创建资源展现页面
第一步:在UI工程的static目录下创建resource.html,例如:
Title
The Resource Page
第二步:打开浏览器进行访问测试(登陆前和登陆后检查点击如下按钮检测结果),例如:
技术摘要应用实践说明
背景分析
企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro,JWT,Oauth2等技术诞生了.
Spring Security 技术
Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制,正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器,如图所示:
其中:
图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.
Jwt 数据规范
JWT(JSON WEB Token)是一个标准,采用数据自包含方式进行json格式数据设计,实现各方安全的信息传输,其官方网址为:https://jwt.io/。官方JWT规范定义,它构成有三部分,分别为Header(头部),Payload(负载),Signature(签名),其格式如下:
xxxxx.yyyyy.zzzzz
Header(头部)部分
Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。
{
"alg": "HS256",
"typ": "JWT"
}上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(简写HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。最后,将这个 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。
Payload(负载)部分
Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT规范中规定了7个官方字段,供选用(了解)。
- iss (issuer):签发人
- exp (expiration time):过期时间
- sub (subject):主题
- aud (audience):受众
- nbf (Not Before):生效时间
- iat (Issued At):签发时间
- jti (JWT ID):编号
除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON 对象也要使用 Base64URL 算法转成字符串。
Signature(签名)部分
Signature 部分是对前两部分的签名,其目的是防止数据被篡改。
首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。
Oauth2规范
oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:
oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:
1)资源有者(User)
2)认证授权服务器(jt-auth)
3)资源服务器(jt-resource)
4)客户端应用(jt-ui)
同时,在这种协议中规定了认证授权时的几种模式:
1)密码模式 (基于用户名和密码进行认证)
2)授权码模式(就是我们说的三方认证:QQ,微信,微博,。。。。)
3)…
总结(Summary)
重难点分析
- 单点登陆系统的设计架构(微服务架构)
- 服务的设计及划分(资源服务器,认证服务器,网关服务器,客户端服务)
- 认证及资源访问的流程(资源访问时要先认证再访问)
- 认证和授权时的一些关键技术(Spring Security,Jwt,Oauth2)
FAQ 分析
- 为什么要单点登陆(分布式系统,再访问不同服务资源时,不要总是要登陆,进而改善用户体验)
- 单点登陆解决方案?(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)
- Spring Security 是什么?(spring框架中的一个安全默认,实现了认证和授权操作)
- JWT是什么?(一种令牌格式,一种令牌规范,通过对JSON数据采用一定的编码,加密进行令牌设计)
- OAuth2是什么?(一种认证和授权规范,定义了单点登陆中服务的划分方式,认证的相关类型)
- …
Bug 分析
- 401 : 访问资源时没有认证。
- 403 : 访问资源时没有权限。
- 404:访问的资源找不到(一定要检查你访问资源的url)
- 405: 请求方式不匹配(客户端请求方式是GET,服务端处理请求是Post就是这个问题)
- 500: 不看后台无法解决?(error,warn)
- …
知识点(补)
单点登录系统初步设计及实现
核心知识点
- 单点登录系统诞生的背景。
- Java中单点登录系统解决方案。
- 单点登录系统(SSO)中的服务划分及关系设计。
- 单点登录系统中父工程的创建及初始化。
- 系统基础服务(sso-system)工程的创建及基本业务实现。
常见问题分析
- 为什么要做单点登录设计?(业务简化,代码复用,不需要每个服务都登录一次)
- 你知道哪些SSO系统解决方案?(基于用户登录状态信息的存储进行方案设计)
- 单点登录系统中你的服务是如何设计的,工程结构是怎样的?
- 项目中使用的连接池什么?(HikariCP)
- Java中连接池设计需要遵循的数据源规范是谁?(javax.sql.DataSource)
- 连接池这块你能想到的设计模式有哪些?(单例,享元,桥接,slf4j门面)
- 基于idea的为类自动生成序列化id?
- 如何将链接数据库的信息写到配置中心?
- @Autowired注解描述的Mapper对象有红色波浪线,但运行没有错误,如何去除红色波浪线。
- idea中如何在Database窗口打开要访问的数据库,例如
常见Bug分析
-
MySql指令不可用,例如:
-
项目启用异常,提示有多个@SpringBootConfiguration注解描述的类,例如:
- 连接数据库的url中时区定义有问题,例如:
- NullPointerExeption 异常分析?
- 数据库依赖问题,例如:
SSO系统中的登录逻辑基本实现
核心知识点
- 定义数据访问逻辑对象(UserMapper)
- 定义用户信息远程调用Feign接口(RemoteUserService~基于此接口调用sso-system服务中的用户信息)
- 基于Security规范定义用户业务逻辑服务对象(UserDetailsServiceImpl~调用RemoteUserService获取和封装用户信息)
- 定义用户认证基本配置类(SecurityConfig~配置密码加密对象,认证规则,以及登录成功或失败的处理方案)
- 实现自定义登录逻辑测试(校验登录正确账号和错误账户下服务端的响应结果)
- 熟悉SpringSecurity的认证流程?(Client->Filters->AuthenticationManager–>UserDetailService->…)
常见问题分析
- 为什么定义RemoteUserService 接口(Feign)?(基于此接口调用远程sso-system服务)
- sso-auth服务中用户业务数据的获取在哪里?(客户端提交的用户名,sso-system服务提供的数据库数据)
- 为什么要构建SecurityConfig对象?(配置加密算法,认证规则)
- 为什么要让SecurityConfig类要继承WebSecurityConfigurerAdapter类型?(重写默认的认证规则)
- 认证过程中使用的密码加密对象是谁?(BCryptPasswordEncoder,不可逆加密对象)
- 用户登录时,需要从数据库查询哪些信息?(用户信息以及用户的权限信息)
- 如何基于用户id查询用户权限,你有什么方案?(3种)
- 单体架构中的用户的状态的存储是如何实现的?(了解,默认是存储到了tomcat的session对象中)
常见Bug分析
-
没有PasswordEncoder对象,例如:
-
远程调用服务404异常,例如:
-
远程调用服务没启动或服务名不正确,例如
-
基于postman登录测试时404异常,例如:
-
服务名的定义和使用不规范,例如:
-
Feign接口依赖注入异常,例如:
- NullPointerException,例如
课上小技巧
-
Maven Helper 插件安装及应用,例如
-
基于idea的http client工具测试登录,例如
- 基于Postman工具测试登录,例如:
SSO系统颁发令牌及资源服务实践
核心知识点
- 认证服务器(sso-auth)中Token设计(UUID令牌,JWT令牌)
- 认证服务器(sso-auth)中Oauth2规范基本配置(认证入口,为谁认证,由谁认证,认证后颁发什么令牌)
- 基于Postman进行认证测试?(请求方式,请求url,认证参数)
- 资源服务器(sso-resource)核心业务分析及认证,授权规则设计及实现(匿名,认证,授权)
常见问题分析
- JWT是什么?(是JSON WEB TOKEN这几个单词的缩写,描述的是web应用的一种令牌格式)
- JWT有几部分构成?(头:令牌类型,签名算法,负载:允许包含用户登录状态 ,签名:防止令牌被篡改)
- 为什么要采用JWT令牌?(可以存储用户登录状态信息,避免访问资源时从数据库查询认证信息)
- 基于Oauth2协议的认证服务器默认的令牌生成策略是什么?(UUID.randomUUID())
- 认证服务器中常见令牌相关设计存储方案有哪些?(Mysql,Redis,Jwt)
- 认证服务器对用户进行认证时,客户端提交了哪些关键信息?(username,password,client_id,grant_type,client_secret)
- 认证服务器完成认证操作后,服务端返回哪些信息?(访问令牌,刷新令牌,令牌类型,作用域,编号)
- 认证服务器中完成认证业务的关键对象有哪些?(Filter,AutenticationManager,UserDetailService,.)
- 资源服务器如何设计的认证,授权规则?(三个维度:匿名,登录,授权)
- 访问令牌与刷新令牌有什么不一样?(客户端是要携带访问令牌访问资源的,刷新令牌是为了再次生成访问令牌)
- 访问令牌,刷新令牌有有效时长吗?(刷新令牌有效时长一般要大于访问令牌有效时长)
常见Bug分析
-
客户端传参不匹配,例如:
-
AuthenticationManager对象没有配置(SecurityConfig),例如:
-
响应的令牌不正确,例如:
- 400异常,例如
- 请求方式不正确,例如
- 访问地址错误,例如:
SSO网关,UI工程,日志记录实践
核心知识点
- SSO系统中网关服务器(sso-gateway)实现路由转发,跨域设计,负载均衡,限流。
- SSO系统中UI工程中页面设计(Bootstrap+VUE+axios)及请求响应代码分析(200,401,403)。
- SSO系统中用户访问资源时,记录用户行为到数据库?
常见问题分析
- 网关服务器在哪里做了负载均衡(lb://)?
- 为什么网关层面要做跨域设计?(Ajax技术不支持跨域请求,将所有服务的跨域共性提取到网关层面)
- UI工程中用户端如何提交ajax请求的?(axios,底层ajax对象为XMLHttpRequest)
- System工程中如何记录用户行为日志的?(通过异步方式将日志写到数据库,@EnableAsync,@Async)
- 系统工程中的用户行为日志来自哪里?(资源服务器,此服务器记录用户访问资源的一些信息)
- 资源服务器通过什么样的方式获取用户行为信息?(AOP)
常见Bug分析
-
400异常,请求参数不合法(参数个数,类型,格式)。
-
401异常,认证失败?(提交的数据不正确)
-
403异常,没有资源访问权限?(说明用户为已认证用户,但是没有资源的访问权限)
-
415异常,数据协议有问题?(比方说,你要json数据,但是数据格式定义的是text)
-
调用的服务没有启动,例如:
- 503异常,例如
