核心功能-认证授权-功能设计

认证授权需求概要

功能需求

基于开发平台的业务背景需要实现以下功能:

  • 系统管理员登录平台,配置平台参数。
  • 商户注册及授权登录。
  • 商户客户端注册及授权。

非功能需求

  • 资源授权访问支持网络隔离及非网络隔离两种模式。
  • 实现JWT及Redis缓存两类授权实现方式。

认证授权概要设计

功能概要设计

基于springsecurity+oauth2协议实现。


attach_159999d42daab5dc.jpg

认证

  • 开放平台管理后台针对管理员做用户密码模式认证。
  • 开放平台门户基于用户密码模式或手机验证码模式认证。
  • 商户客户端基于客户端做认证。
  • 其它模式待需要时扩展。

授权

  • 平台管理应用基于定义义模式授权。
  • 平台门户基于定义义模式授权。
  • 商户应用基于客户端模式授权。
  • 第三方应用基于授权码模式实现授权。


    attach_1595e3846b1d0bcc.jpg
  • 其它模式待需要时扩展。

认证授权工程设计

uaa

uaa用于实现商户认证与授权的相关API


attach_15980ac82eaed720.png

auth-client-spring-boot-start

为了实现网络隔离的兼容性,及授权认证方式的配置切换。将与资源服务器相关的授权配置及授权方式的配置,基于spring-boot技术封装成一个组件,方便配置与开发。


attach_15980afd04f50834.png

详细设计

attach_15999a5a49c3cb4c.jpg

接口设计

  • 开放平台管理后台针对管理员做用户密码模式认证。
      `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
      `POST /api-uaa/oauth/user/token?username={username}&password={password}&validCode={validCode}&deviceId={deviceId}`
  • 开放平台门户基于用户密码模式或手机验证码模式认证。
     `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
     `POST /api-uaa/oauth/mobile/token?mobile={mobile}&password={password}`
  • 商户客户端基于客户端做认证。
     `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
      `POST /api-uaa/oauth/token?grant_type=client_credentials&scope={scope}`

token格式

 `{`
 `"user_name":  "admin",`
 `"role":  "ADMIN",`
 `"scope":  [`
 `"app"`
 `],`
 `"exp":  1556459175,`
 `"authorities":  [`
 `"ADMIN"`
  `],`
  `"jti":  "7268f3d9-452e-490d-9b6f-c55e4c95914e",`
  `"client_id":  "webApp"`
  `}`

网关访问服务的Header信息

  `RequestContext ctx =  RequestContext.getCurrentContext();`
  `ctx.addZuulRequestHeader(SecurityConstants.USER_HEADER, userInfo);`
  `ctx.addZuulRequestHeader(SecurityConstants.ROLE_HEADER,  CollectionUtil.join(authentication.getAuthorities(),  ","));`

服务设计

attach_1599cda4ecebab8c.png

模型设计

attach_1599cec2c6a3882c.jpg

非功能概要设计

  • 网络隔离兼容
    如果在网络隔离的情况下,资源服务器就是网关。所有服务的访问都需要通过网关路由。


    attach_15980a103274cc24.png

    如果在非网络隔离的情况下,所有微服务都是资源服务器,都需要配置资源权限逻辑。


    attach_15980a1232678bfc.png
  • 授权认证方式兼容
    如果是基于jwt实现认证授权,只需要生成非对称加密的公私钥,将私钥放于授权服务器加密。
    在资源服务器端使用公钥对密文解密及完成鉴权的过程。


    attach_15980a103274cc24 (1).png
如果是基于Reids缓存实现认证授权,需要将令牌令牌缓存到分布式缓存服务器中,实现授权服务器与资源服务器对令牌信息的共享。
attach_15980a607b4f69a4.png

部分源码分析

功能介绍:

 `本公共模块主要是封装security client端的通用逻辑`
 `1.DefaultResourceServerConf:`
   `a.本类是封装了资源服务配置的基础功能,在网关和授权微服务实现资源服务功能继承该类;`
   `b.配置了同目录下DefaultSecurityHandlerConfig封装的未登录,oauth处理失败等情况的处理办法;`
   `c.实现了token存储办法,url权限控制等基础方法;`
 `2.TokenStoreConfig:`
   `a.读取配置文件token存储方式:db,redis,authJwt,resJwt;`
   `b.com.hxhealth.oauth2.common.store包下是token各个存储方式的具体实现方法,若需拓展某存储功能可扩展对应类;`
 `3.SecurityProperties:`
    `a.通过配置文件读取认证配置,放权白名单url,验证码配置;`
    `b.同目录下AuthProperties,PermitProperties,ValidateCodeProperties是具体实现;`
  `4.IPermissionService:`
    `a.权限判断的基类,资源服务必须根据具体情况实现;`
  `5.AuthUtils:`
    `a.工具类-请求token以及header处理方法;`

模块使用:

  `1.平台网关(zuul-gateway)和授权服务(uaa)使用了该公共模块;`
  `2.配置资源服务时需继承DefaultResourceServerConf;
     @EnableConfigurationProperties(SecurityProperties.class)导入认证相关配置;`
    `@Import(TokenStoreConfig.class)导入token处理的配置;然后定制相应功能;`

你可能感兴趣的:(核心功能-认证授权-功能设计)