2019獨(dú)角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>

之前寫了很多關(guān)于spring cloud的文章，今天我們對(duì)OAuth2.0的整合方式做一下筆記，首先我從網(wǎng)上找了一些關(guān)于OAuth2.0的一些基礎(chǔ)知識(shí)點(diǎn)，幫助大家回顧一下知識(shí)點(diǎn)：Spring Cloud大型企業(yè)分布式微服務(wù)云構(gòu)建的B2B2C電子商務(wù)平臺(tái)源碼企鵝求求： 貳一四七七七五六叁叁

一、oauth中的角色

client：調(diào)用資源服務(wù)器API的應(yīng)用

Oauth 2.0 Provider：包括Authorization Server和Resource Server

（1）Authorization Server：認(rèn)證服務(wù)器，進(jìn)行認(rèn)證和授權(quán)

（2）Resource Server：資源服務(wù)器，保護(hù)受保護(hù)的資源
user：資源的擁有者

二、下面詳細(xì)介紹一下Oauth 2.0 Provider

Authorization Server:

（1）AuthorizationEndpoint:進(jìn)行授權(quán)的服務(wù)，Default URL:?/oauth/authorize

（2）TokenEndpoint：獲取token的服務(wù)，Default URL:?/oauth/token??

Resource Server:

OAuth2AuthenticationProcessingFilter：給帶有訪問(wèn)令牌的請(qǐng)求加載認(rèn)證

三、下面再來(lái)詳細(xì)介紹一下Authorization Server:

一般情況下，創(chuàng)建兩個(gè)配置類，一個(gè)繼承AuthorizationServerConfigurerAdapter，一個(gè)繼承WebSecurityConfigurerAdapter，再去復(fù)寫里面的方法。

主要出現(xiàn)的兩種注解：

1、@EnableAuthorizationServer：聲明一個(gè)認(rèn)證服務(wù)器，當(dāng)用此注解后，應(yīng)用啟動(dòng)后將自動(dòng)生成幾個(gè)Endpoint：（注：其實(shí)實(shí)現(xiàn)一個(gè)認(rèn)證服務(wù)器就是這么簡(jiǎn)單，加一個(gè)注解就搞定，當(dāng)然真正用到生產(chǎn)環(huán)境還是要進(jìn)行一些配置和復(fù)寫工作的。）

/oauth/authorize：驗(yàn)證

/oauth/token：獲取token

/oauth/confirm_access：用戶授權(quán)

/oauth/error：認(rèn)證失敗

/oauth/check_token：資源服務(wù)器用來(lái)校驗(yàn)token

/oauth/token_key：如果jwt模式則可以用此來(lái)從認(rèn)證服務(wù)器獲取公鑰

以上這些endpoint都在源碼里的endpoint包里面。

2、@Beans：需要實(shí)現(xiàn)AuthorizationServerConfigurer

AuthorizationServerConfigurer包含三種配置：

ClientDetailsServiceConfigurer：client客戶端的信息配置，client信息包括：clientId、secret、scope、authorizedGrantTypes、authorities

（1）scope：表示權(quán)限范圍，可選項(xiàng)，用戶授權(quán)頁(yè)面時(shí)進(jìn)行選擇

（2）authorizedGrantTypes：有四種授權(quán)方式?

• Authorization Code：用驗(yàn)證獲取code，再用code去獲取token（用的最多的方式，也是最安全的方式）
• Implicit: 隱式授權(quán)模式
• Client Credentials (用來(lái)取得 App Access Token)
• Resource Owner Password Credentials

（3）authorities：授予client的權(quán)限

這里的具體實(shí)現(xiàn)有多種，in-memory、JdbcClientDetailsService、jwt等。

AuthorizationServerSecurityConfigurer：聲明安全約束，哪些允許訪問(wèn)，哪些不允許訪問(wèn)

AuthorizationServerEndpointsConfigurer：聲明授權(quán)和token的端點(diǎn)以及token的服務(wù)的一些配置信息，比如采用什么存儲(chǔ)方式、token的有效期等

client的信息的讀取：在ClientDetailsServiceConfigurer類里面進(jìn)行配置，可以有in-memory、jdbc等多種讀取方式。

jdbc需要調(diào)用JdbcClientDetailsService類，此類需要傳入相應(yīng)的DataSource.

?

下面再介紹一下如何管理token:

AuthorizationServerTokenServices接口:聲明必要的關(guān)于token的操作

（1）當(dāng)token創(chuàng)建后，保存起來(lái)，以便之后的接受訪問(wèn)令牌的資源可以引用它。

（2）訪問(wèn)令牌用來(lái)加載認(rèn)證

接口的實(shí)現(xiàn)也有多種，DefaultTokenServices是其默認(rèn)實(shí)現(xiàn)，他使用了默認(rèn)的InMemoryTokenStore，不會(huì)持久化token；

token存儲(chǔ)方式共有三種分別是：

（1）InMemoryTokenStore：存放內(nèi)存中，不會(huì)持久化

（2）JdbcTokenStore：存放數(shù)據(jù)庫(kù)中

（3）Jwt: json web token

授權(quán)類型：

可以通過(guò)AuthorizationServerEndpointsConfigurer來(lái)進(jìn)行配置，默認(rèn)情況下，支持除了密碼外的所有授權(quán)類型。相關(guān)授權(quán)類型的一些類：

（1）authenticationManager：直接注入一個(gè)AuthenticationManager，自動(dòng)開啟密碼授權(quán)類型

（2）userDetailsService：如果注入U(xiǎn)serDetailsService，那么將會(huì)啟動(dòng)刷新token授權(quán)類型，會(huì)判斷用戶是否還是存活的

（3）authorizationCodeServices：AuthorizationCodeServices的實(shí)例，auth code 授權(quán)類型的服務(wù)

（4）implicitGrantService：imlpicit grant

（5）tokenGranter：

endpoint的URL的配置：

（1）AuthorizationServerEndpointsConfigurer的pathMapping()方法，有兩個(gè)參數(shù)，第一個(gè)是默認(rèn)的URL路徑，第二個(gè)是自定義的路徑

（2）WebSecurityConfigurer的實(shí)例，可以配置哪些路徑不需要保護(hù)，哪些需要保護(hù)。默認(rèn)全都保護(hù)。

自定義UI:

（1）有時(shí)候，我們可能需要自定義的登錄頁(yè)面和認(rèn)證頁(yè)面。登陸頁(yè)面的話，只需要?jiǎng)?chuàng)建一個(gè)login為前綴名的網(wǎng)頁(yè)即可，在代碼里，設(shè)置為允許訪問(wèn)，這樣，系統(tǒng)會(huì)自動(dòng)執(zhí)行你的登陸頁(yè)。此登陸頁(yè)的action要注意一下，必須是跳轉(zhuǎn)到認(rèn)證的地址。

（2）另外一個(gè)是授權(quán)頁(yè)，讓你勾選選項(xiàng)的頁(yè)面。此頁(yè)面可以參考源碼里的實(shí)現(xiàn)，自己生成一個(gè)controller的類，再創(chuàng)建一個(gè)對(duì)應(yīng)的web頁(yè)面即可實(shí)現(xiàn)自定義的功能。

?

下面梳理一下授權(quán)獲取token流程：

（1）端口號(hào)換成你自己的認(rèn)證服務(wù)器的端口號(hào)，client_id也換成你自己的，response_type類型為code。

?localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
（2）這時(shí)候你將獲得一個(gè)code值：http://www.baidu.com/?code=G0C20Z

（3）使用此code值來(lái)獲取最終的token：

curl -X POST -H "Cant-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/uaa/oauth/token"

返回值：

{"access_token":"b251b453-cc08-4520-9dd0-9aedf58e6ca3","token_type":"bearer","expires_in":2591324,"scope":"app"}

（4）用此token值來(lái)調(diào)用資源服務(wù)器內(nèi)容（如果資源服務(wù)器和認(rèn)證服務(wù)器在同一個(gè)應(yīng)用中，那么資源服務(wù)器會(huì)自己解析token值，如果不在，那么你要自己去做處理）

curl -H "Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3" "localhost:8081/service2（此處換上你自己的url）"

四、Resource Server：保護(hù)資源，需要令牌才能訪問(wèn)

在配置類上加上注解@EnableResourceServer即啟動(dòng)。使用ResourceServerConfigurer進(jìn)行配置：

（1）tokenServices：ResourceServerTokenServices的實(shí)例，聲明了token的服務(wù)

（2）resourceId：資源Id，由auth Server驗(yàn)證。

（3）其它一些擴(kuò)展點(diǎn)，比如可以從請(qǐng)求中提取token的tokenExtractor

（4）一些自定義的資源保護(hù)配置，通過(guò)HttpSecurity來(lái)設(shè)置

使用token的方式也有兩種：

（1）Bearer Token（https傳輸方式保證傳輸過(guò)程的安全）:主流

（2）Mac（http+sign）

如何訪問(wèn)資源服務(wù)器中的API？

如果資源服務(wù)器和授權(quán)服務(wù)器在同一個(gè)應(yīng)用程序中，并且您使用DefaultTokenServices，那么您不必太考慮這一點(diǎn)，因?yàn)樗鼘?shí)現(xiàn)所有必要的接口，因此它是自動(dòng)一致的。如果您的資源服務(wù)器是一個(gè)單獨(dú)的應(yīng)用程序，那么您必須確保您匹配授權(quán)服務(wù)器的功能，并提供知道如何正確解碼令牌的ResourceServerTokenServices。與授權(quán)服務(wù)器一樣，您可以經(jīng)常使用DefaultTokenServices，并且選項(xiàng)大多通過(guò)TokenStore（后端存儲(chǔ)或本地編碼）表示。

（1）在校驗(yàn)request中的token時(shí)，使用RemoteTokenServices去調(diào)用AuthServer中的/auth/check_token。

（2）共享數(shù)據(jù)庫(kù)，使用Jdbc存儲(chǔ)和校驗(yàn)token，避免再去訪問(wèn)AuthServer。

（3）使用JWT簽名的方式，資源服務(wù)器自己直接進(jìn)行校驗(yàn)，不借助任何中間媒介。

五、oauth client

在客戶端獲取到token之后，想去調(diào)用下游服務(wù)API時(shí)，為了能將token進(jìn)行傳遞，可以使用RestTemplate.然后使用restTemplate進(jìn)行調(diào)用Api。

注：

scopes和authorities的區(qū)別：

scopes是client權(quán)限，至少授予一個(gè)scope的權(quán)限，否則報(bào)錯(cuò)。

authorities是用戶權(quán)限。???

以上是我從網(wǎng)上找到的一篇寫的不錯(cuò)的博客，希望可以幫助大家快速了解OAuth2.0,下一篇文章我們正式介紹OAuth2.0在當(dāng)前框架中的使用。

從現(xiàn)在開始，我這邊會(huì)將近期研發(fā)的spring cloud微服務(wù)云架構(gòu)的搭建過(guò)程和精髓記錄下來(lái)，幫助更多有興趣研發(fā)spring cloud框架的朋友，大家來(lái)一起探討spring cloud架構(gòu)的搭建過(guò)程及如何運(yùn)用于企業(yè)項(xiàng)目。

Java B2B2C o2o多用戶商城 springcloud架構(gòu)

轉(zhuǎn)載于:https://my.oschina.net/u/4045192/blog/2989218

與50位技術(shù)專家面對(duì)面20年技術(shù)見證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的（十）Java B2B2C o2o多用户商城 springcloud架构- SSO单点登录之OAuth2.0登录认证(1)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。