Spring Cloud OAuth2配置

概述

  OAuth 2.0是用于授权的行业标准协议，允许用户授权第三方应用访问他们存储在其他服务上的信息，而不需要将用户名和密码提供给第三方应用。OAuth 2.0取代了在2006年创建的原始OAuth协议，是OAuth协议的延续版本，但不向后兼容。

一、OAuth2 角色

• 资源所有者 ( 用户 )
• 客户端 ( 第三方应用 )
• 授权服务器 ( 对客户端发送的请求信息进行验证并返回token的服务器 ）
• 资源服务器 ( 提供用户资源的服务器 ）
  授权服务器和资源服务器可以是同一台服务器

二、授权类型

• authorization_code 授权码模式：是功能最完整、流程最严密的授权模式。它的特点就是通过客户端服务器与服务端服务器交互，常见的第三方平台登录功能基本使用这种模式。
• implicit 简化模式：不需要客户端服务器参与，直接通过浏览器向授权服务器申请令牌。
• password 密码模式：用户将账号和密码直接告诉第三方客户端，客户端使用这些信息向授权服务器申请令牌（需要用户对客户端高度信任）。
• client_credentials 客户端模式：客户端使用自身向授权服务器申请授权，不需要用户参与。

三、实践

⚠️以下实例主要介绍密码模式

授权服务器

在application.yml中配置redis

spring:
  redis:
    host: xxx.xxx.xxx.xxx
    port: 6379

创建 WebSecurityConfigure类：

@Configuration
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        return super.userDetailsService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 基于内存的认证
        auth.inMemoryAuthentication()
                .withUser("user")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("USER")
                .and()
                .withUser("ruoshy")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("ADMIN");
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/oauth/**")
                .permitAll()
                .and()
                .csrf().disable();
    }
}

该类将 AuthenticationManager，UserDetailsService添加到bean在OAuth配置类中进行配置，并配置基于内存的用户和请求拦截。

创建 OAuthSecurityConfigure类：

@Configuration
@EnableAuthorizationServer
public class OAuthSecurityConfigure extends AuthorizationServerConfigurerAdapter {

    @Resource
    private AuthenticationManager authenticationManager;

    @Resource
    private RedisConnectionFactory redisConnectionFactory;

    @Resource
    private UserDetailsService userDetailsService;

    /**
     * 配置编码器
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll()").checkTokenAccess("permitAll()")
                .allowFormAuthenticationForClients();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()   // 基于内存
                .withClient("app")  //授权客户端
                .secret(passwordEncoder().encode("app-secret"))  //授权码
                .accessTokenValiditySeconds((int) TimeUnit.HOURS.toSeconds(1))  // 授权过期时间
                .authorizedGrantTypes("password", "refresh_token")  // 授权模式
                .scopes("all")  // 授权范围
                .resourceIds("rid");  // 授权资源
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory))   // token存储仓库
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

}

完成以上配置，授权服务器就简单的完成了。

资源服务器

在application.yml中配置：

security:
  oauth2:
    client:
      user-authorization-uri: http://localhost:8080/oauth/authorize
      access-token-uri: http://localhost:8080/oauth/token
      client-secret: app-secret
      client-id: app
    resource:
      token-info-uri: http://localhost:8080/oauth/check_token

server:
  port: 8081

创建 ResourceConfigure类：

@EnableResourceServer
@Configuration
public class ResourceConfigure extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("rid");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/admin/**").hasRole("ADMIN");
    }
}

以上资源服务器也简单的完成了

创建Controller类进行测试：

@RestController
public class ResourceController {

    @RequestMapping("/user")
    public String user() {
        return "user";
    }

    @RequestMapping("/admin")
    public String admin() {
        return "admin";
    }
}

请求授权服务器获取Token（access_token）：

token

使用ADMIN权限账户请求资源服务器：

http://localhost:8081/admin?access_token=23739aad-58ba-4c65-8f4c-9f1d96d87f46

/admin

http://localhost:8081/user?access_token=23739aad-58ba-4c65-8f4c-9f1d96d87f46

/user

当然资源服务器和授权服务器可以为同一台，可以将以上资源服务器的资源配置类和Controller类添加到授权服务器上（application.yml不需要）即可实现相同的功能。

四、基于数据库的认证

配置用户基于数据库认证可以参阅该篇文章：
https://www.jianshu.com/p/a1d47c1d2be4
(配置用户基于数据库认证需要删除以上WebSecurityConfigure类中配置的userDetailsService()方法)

配置客户端信息服务配置基于数据库：
数据库SQL

CREATE TABLE `oauth_client_details` (
  `client_id` varchar(20) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(255) DEFAULT NULL,
  `scope` varchar(255) DEFAULT NULL,
  `authorized_grant_types` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  `web_server_redirect_uri` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  `authorities` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `autoapprove` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  `additional_information` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;

data

在application.yml中配置mysql并在以上OAuthSecurityConfigure类中注入DataSource将configure(ClientDetailsServiceConfigurer clients)方法中基于内存的认证修改为:

    @Resource
    private DataSource dataSource;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

完成以上步骤就可以通过数据库来动态的管理授权信息了。