文章目录

  • 简介
    • 背景分析
    • 单点登陆系统
  • 快速入门实践
    • 工程结构如下
    • 创建认证授权工程
    • 添加项目依赖
    • 构建项目配置文件
    • 添加项目启动类
    • 启动并访问项目
  • 自定义登陆逻辑
    • 业务描述
    • 定义安全配置类
    • 定义用户信息处理对象
    • 网关中登陆路由配置
    • 基于Postman进行访问测试
    • 自定义登陆页面
    • Security 认证流程分析(了解)
  • 颁发登陆成功令牌
    • 构建令牌配置对象
    • 定义认证授权核心配置
    • 配置网关认证的URL
    • Postman访问测试
    • 登陆页面登陆方法设计
  • 资源服务器配置
    • 业务描述
    • 添加项目依赖
    • 令牌处理器配置
    • 启动和配置认证和授权规则
    • ResourceController 方法配置
    • 启动服务访问测试
    • 文件上传JS方法设计
  • 技术摘要应用实践说明
    • 背景分析
    • Spring Security 技术
    • Jwt 数据规范
    • Oauth2规范
  • 总结(Summary)
    • 重难点分析
    • FAQ 分析
    • Bug 分析

简介

背景分析

传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:

这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。

单点登陆系统

单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:

快速入门实践

工程结构如下

基于资源服务工程添加单点登陆认证和授权服务,工程结构定义如下:

创建认证授权工程

添加项目依赖

  <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId></dependency>

构建项目配置文件

在sca-auth工程中创建bootstrap.yml文件,例如:

server:port: 8071
spring:application:name: sca-authcloud:nacos:discovery:server-addr: localhost:8848config:server-addr: localhost:8848

添加项目启动类

package com.jt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication
public class ResourceAuthApplication {public static void main(String[] args) {SpringApplication.run(ResourceAuthApplication.class, args);}
}

启动并访问项目

项目启动时,系统会默认生成一个登陆密码,例如:


打开浏览器输入http://localhost:8071呈现登陆页面,例如:


其中,默认用户名为user,密码为系统启动时,在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面(因为没有定义登陆页面,所以会出现404):

自定义登陆逻辑

业务描述

我们的单点登录系统最终会按照如下结构进行设计和实现,例如:

我们在实现登录时,会在UI工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号,登陆密码,将请求提交给网关,然后网关将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现

定义安全配置类

修改SecurityConfig配置类,添加登录成功或失败的处理逻辑,例如:

package com.jt.auth.config;import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;/*** spring security 配置类,此类中要配置:* 1)加密对象* 2)配置认证规则* 当我们在执行登录操作时,底层逻辑(了解):* 1)Filter(过滤器)* 2)AuthenticationManager (认证管理器)* 3)AuthenticationProvider(认证服务处理器)* 4)UserDetailsService(负责用户信息的获取及封装)*/
@Configuration
public class SecurityConfigextends WebSecurityConfigurerAdapter {//初始化加密对象//此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全@Beanpublic BCryptPasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();}/**配置认证规则*/@Overrideprotected void configure(HttpSecurity http)throws Exception {//super.configure(http);//默认所有请求都要认证//1.禁用跨域攻击(先这么写,不写会报403异常)http.csrf().disable();//2.放行所有资源的访问(后续可以基于选择对资源进行认证和放行)http.authorizeRequests().anyRequest().permitAll();//3.自定义定义登录成功和失败以后的处理逻辑(可选)//假如没有如下设置登录成功会显示404http.formLogin()//这句话会对外暴露一个登录路径/login.successHandler(successHandler()).failureHandler(failureHandler());}//定义认证成功处理器//登录成功以后返回json数据@Beanpublic AuthenticationSuccessHandler successHandler(){//        return new AuthenticationSuccessHandler() {//            @Override//            public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse              httpServletResponse, Authentication authentication) throws IOException, ServletException {////            }//        };//lambdareturn (request,response,authentication)->{//构建map对象封装到要响应到客户端的数据Map<String,Object> map=new HashMap<>();map.put("state",200);map.put("message", "login ok");//将map对象转换为json格式字符串并写到客户端writeJsonToClient(response,map);};}//定义登录失败处理器@Beanpublic AuthenticationFailureHandler failureHandler(){return (request,response,exception)->{//构建map对象封装到要响应到客户端的数据Map<String,Object> map=new HashMap<>();map.put("state",500);map.put("message", "login error");//将map对象转换为json格式字符串并写到客户端writeJsonToClient(response,map);};}private void writeJsonToClient(HttpServletResponse response,Map<String,Object> map) throws IOException {//将map对象,转换为jsonString json=new ObjectMapper().writeValueAsString(map);//设置响应数据的编码方式response.setCharacterEncoding("utf-8");//设置响应数据的类型response.setContentType("application/json;charset=utf-8");//将数据响应到客户端PrintWriter out=response.getWriter();out.println(json);out.flush();}
}

定义用户信息处理对象

在spring security应用中底层会借助UserDetailService对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如:

package com.jt.auth.service;import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;import java.util.List;/*** 登录时用户信息的获取和封装会在此对象进行实现,* 在页面上点击登录按钮时,会调用这个对象的loadUserByUsername方法,* 页面上输入的用户名会传给这个方法的参数*/
@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate BCryptPasswordEncoder passwordEncoder;//UserDetails用户封装用户信息(认证和权限信息)@Overridepublic UserDetails loadUserByUsername(String username)throws UsernameNotFoundException {//1.基于用户名查询用户信息(用户名,用户状态,密码,....)//Userinfo userinfo=userMapper.selectUserByUsername(username);String encodedPassword=passwordEncoder.encode("123456");//2.查询用户权限信息(后面会访问数据库)//这里先给几个假数据List<GrantedAuthority> authorities =AuthorityUtils.createAuthorityList(//这里的权限信息先这么写,后面讲"sys:res:create", "sys:res:retrieve");//3.对用户信息进行封装return new User(username,encodedPassword,authorities);}
}

网关中登陆路由配置

在网关配置文件中添加登录路由配置,例如

 - id: router02uri: lb://sca-auth  #lb表示负载均衡,底层默认使用ribbon实现predicates: #定义请求规则(请求需要按照此规则设计)- Path=/auth/login/** #请求路径设计filters:- StripPrefix=1 #转发之前去掉path中第一层路径

基于Postman进行访问测试

启动sca-gateway,sca-auth服务,然后基于postman访问网关,执行登录测试,例如:

自定义登陆页面

在sca-resource-ui工程的static目录中定义登陆页面,例如:

<!doctype html>
<html lang="en">
<head><!-- Required meta tags --><meta charset="utf-8"><meta name="viewport" content="width=device-width, initial-scale=1"><!-- Bootstrap CSS --><link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC" crossorigin="anonymous"><title>login</title>
</head>
<body>
<div class="container"id="app"><h3>Please Login</h3><form><div class="mb-3"><label for="usernameId" class="form-label">Username</label><input type="text" v-model="username" class="form-control" id="usernameId" aria-describedby="emailHelp"></div><div class="mb-3"><label for="passwordId" class="form-label">Password</label><input type="password" v-model="password" class="form-control" id="passwordId"></div><button type="button" @click="doLogin()" class="btn btn-primary">Submit</button></form>
</div>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js" integrity="sha384-MrcW6ZMFYlzcLA8Nl+NtUVF0sA7MsXsP1UyJoMp4YLEuNSfAP+JcXn/tWtIaxVXM" crossorigin="anonymous"></script>
<script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script>var vm=new Vue({el:"#app",//定义监控点,vue底层会基于此监控点在内存中构建dom树data:{ //此对象中定义页面上要操作的数据username:"",password:""},methods: {//此位置定义所有业务事件处理函数doLogin() {//1.定义urllet url = "http://localhost:9000/auth/login"//2.定义参数let params = new URLSearchParams()params.append('username',this.username);params.append('password',this.password);//3.发送异步请求axios.post(url, params).then((response) => {debuggerlet result=response.data;console.log(result);if (result.state == 200) {alert("login ok");} else {alert(result.message);}})}}});
</script>
</body>
</html>

启动sca-resource-ui服务后,进入登陆页面,输入用户名jack,密码123456进行登陆测试。

Security 认证流程分析(了解)

目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程如下:

颁发登陆成功令牌

构建令牌配置对象

本次我们借助JWT(Json Web Token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.

package com.jt.auth.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;/*** 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。*/
@Configuration
public class TokenConfig {/*** 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)* 3)JwtTokenStore(这里是将产生的token信息存储客户端,并且token* 中可以以自包含的形式存储一些用户信息)* 4)....*/@Beanpublic TokenStore tokenStore(){//这里采用JWT方式生成和存储令牌信息return new JwtTokenStore(jwtAccessTokenConverter());}/*** 配置令牌的创建及验签方式* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。*/@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter(){JwtAccessTokenConverter jwtAccessTokenConverter=new JwtAccessTokenConverter();//JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)//这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,//这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥return jwtAccessTokenConverter;}/*** JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)* 1)生成的令牌需要这个密钥进行签名* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)*/private static final String SIGNING_KEY="auth";
}

定义认证授权核心配置

第一步:在SecurityConfig中添加如下方法(创建认证管理器对象,后面授权服务器会用到):

 @Beanpublic AuthenticationManager authenticationManagerBean()throws Exception {return super.authenticationManagerBean();}

第二步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置

package com.jt.auth.config;
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.*;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;import java.util.Arrays;/*** 在这个对象中负责将所有的认证和授权相关配置进行整合,例如* 业务方面:* 1)如何认证(认证逻辑的设计)* 2)认证通过以后如何颁发令牌(令牌的规范)* 3)为谁颁发令牌(客户端标识,client_id,...)* 技术方面:* 1)SpringSecurity (提供认证和授权的实现)* 2)TokenConfig(提供了令牌的生成,存储,校验方式)* 3)Oauth2(定义了一套认证规范,例如为谁发令牌,都发什么内容,...)*/
@AllArgsConstructor //生成一个全参构造函数
@Configuration
@EnableAuthorizationServer//启动认证和授权
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {//@Autowiredprivate AuthenticationManager authenticationManager;//@Autowiredprivate UserDetailsService userDetailsService;//@Autowiredprivate TokenStore tokenStore;//@Autowiredprivate PasswordEncoder passwordEncoder;//@Autowiredprivate JwtAccessTokenConverter jwtAccessTokenConverter;/*** oauth2中的认证细节配置* @param endpoints* @throws Exception*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints)throws Exception {//super.configure(endpoints);endpoints//由谁完成认证?(认证管理器).authenticationManager(authenticationManager)//谁负责访问数据库?(认证时需要两部分信息:一部分来自客户端,一部分来自数据库).userDetailsService(userDetailsService)//支持对什么请求进行认证(默认支持post方式).allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST)//认证成功以后令牌如何生成和存储?(默认令牌生成UUID.randomUUID(),存储方式为内存).tokenServices(tokenService());}//系统底层在完成认证以后会调用TokenService对象的相关方法//获取TokenStore,基于tokenStore获取token对象@Beanpublic AuthorizationServerTokenServices tokenService(){//1.构建TokenService对象(此对象提供了创建,获取,刷新token的方法)DefaultTokenServices tokenServices=new DefaultTokenServices();//2.设置令牌生成和存储策略tokenServices.setTokenStore(tokenStore);//3.设置是否支持令牌刷新(访问令牌过期了,是否支持通过令牌刷新机制,延长令牌有效期)tokenServices.setSupportRefreshToken(true);//4.设置令牌增强(默认令牌会比较简单,没有业务数据,//就是简单随机字符串,但现在希望使用jwt方式)TokenEnhancerChain tokenEnhancer=new TokenEnhancerChain();tokenEnhancer.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));tokenServices.setTokenEnhancer(tokenEnhancer);//5.设置访问令牌有效期tokenServices.setAccessTokenValiditySeconds(3600);//1小时//6.设置刷新令牌有效期tokenServices.setRefreshTokenValiditySeconds(3600*72);//3天return tokenServices;}/*** 假如我们要做认证,我们输入了用户名和密码,然后点提交* ,提交到哪里(url-去哪认证),这个路径是否需要认证?还有令牌过期了,* 我们要重新生成一个令牌,哪个路径可以帮我们重新生成?* 如下这个方法就可以提供这个配置* @param security* @throws Exception*/@Overridepublic void configure(AuthorizationServerSecurityConfigurer security)throws Exception {//super.configure(security);security//1.定义(公开)要认证的url(permitAll()是官方定义好的)//公开oauth/token_key端点.tokenKeyAccess("permitAll()") //return this//2.定义(公开)令牌检查的url//公开oauth/check_token端点.checkTokenAccess("permitAll()")//3.允许客户端直接通过表单方式提交认证.allowFormAuthenticationForClients();}/*** 认证中心是否要给所有的客户端发令牌呢?假如不是,那要给哪些客户端* 发令牌,是否在服务端有一些规则的定义呢?* 例如:老赖不能做飞机,不能做高铁* @param clients* @throws Exception*/@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {//super.configure(clients);clients.inMemory()//定义客户端的id(客户端提交用户信息进行认证时需要这个id).withClient("gateway-client")//定义客户端密钥(客户端提交用户信息时需要携带这个密钥).secret(passwordEncoder.encode("123456"))//定义作用范围(所有符合规则的客户端).scopes("all")//允许客户端基于密码方式,刷新令牌方式实现认证.authorizedGrantTypes("password","refresh_token");}
}

配置网关认证的URL

  - id: router02uri: lb://sca-authpredicates:#- Path=/auth/login/**  #没要令牌之前,以前是这样配置- Path=/auth/oauth/**   #微服务架构下,需要令牌,现在要这样配置filters:- StripPrefix=1

Postman访问测试

第一步:启动服务
依次启动sca-auth服务,sca-resource-gateway服务。

第二步:检测sca-auth服务控制台的Endpoints信息,例如:

第三步:打开postman进行登陆访问测试

登陆成功会在控制台显示令牌信息,例如:{"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2Mjk5OTg0NjAsInVzZXJfbmFtZSI6ImphY2siLCJhdXRob3JpdGllcyI6WyJzeXM6cmVzOmNyZWF0ZSIsInN5czpyZXM6cmV0cmlldmUiXSwianRpIjoiYWQ3ZDk1ODYtMjUwYS00M2M4LWI0ODYtNjIyYjJmY2UzMDNiIiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.-Zcmxwh0pz3GTKdktpr4FknFB1v23w-E501y7TZmLg4","token_type": "bearer","refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJqYWNrIiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImFkN2Q5NTg2LTI1MGEtNDNjOC1iNDg2LTYyMmIyZmNlMzAzYiIsImV4cCI6MTYzMDI1NDA2MCwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOnJldHJpZXZlIl0sImp0aSI6IjIyOTdjMTg2LWM4MDktNDZiZi1iNmMxLWFiYWExY2ExZjQ1ZiIsImNsaWVudF9pZCI6ImdhdGV3YXktY2xpZW50In0.1Bf5IazROtFFJu31Qv3rWAVEtFC1NHWU1z_DsgcnSX0","expires_in": 3599,"scope": "all","jti": "ad7d9586-250a-43c8-b486-622b2fce303b"
}

令牌校验测试,例如:

刷新令牌测试,例如:

登陆页面登陆方法设计

登陆成功以后,将token存储到localStorage中,修改登录页面的doLogin方法,也可以直接定义login-sso.html页面,例如

  doLogin() {//1.定义urllet url = "http://localhost:9000/auth/oauth/token"//2.定义参数let params = new URLSearchParams()params.append('username',this.username);params.append('password',this.password);params.append("client_id","gateway-client");params.append("client_secret","123456");params.append("grant_type","password");//3.发送异步请求axios.post(url, params).then((response) => {alert("login ok");let result=response.data;localStorage.setItem("accessToken",result.access_token);location.href="/fileupload.html";}).catch((error)=>{console.log(error);})}

页面写好以后,启动服务进行登录测试即可。

资源服务器配置

业务描述

用户在访问受限资源时,一般要先检测用户是否已经认证(登录),假如没有认证要先认证,认证通过还要检测是否有权限,没有权限则给出提示,有权限则直接访问。例如。

这里,我们做文件的上传也会采用这样的逻辑进行实现。

添加项目依赖

打开资源服务的pom.xml文件,添加oauth2依赖,基于此依赖实现授权业务。

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

令牌处理器配置

用户登陆成功以后可以携带token访问服务端资源服务器,资源服务器中需要有解析token的对象,例如:

package com.jt.resource.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;/*** 在此配置类中配置令牌的生成,存储策略,验签方式(令牌合法性)。*/
@Configuration
public class TokenConfig {/*** 配置令牌处理对象*/@Beanpublic TokenStore tokenStore(){//这里采用JWT方式生成和存储令牌信息return new JwtTokenStore(jwtAccessTokenConverter());}/*** 配置令牌的创建及验签方式* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中* 然后再存储到TokenStore对象,外界需要时,会从tokenStore进行获取。*/@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter(){JwtAccessTokenConverter jwtAccessTokenConverter=new JwtAccessTokenConverter();//JWT令牌构成:header(签名算法,令牌类型),payload(数据部分),Signing(签名)//这里的签名可以简单理解为加密,加密时会使用header中算法以及我们自己提供的密钥,//这里加密的目的是为了防止令牌被篡改。(这里密钥要保管好,要存储在服务端)jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥return jwtAccessTokenConverter;}/*** JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)* 1)生成的令牌需要这个密钥进行签名* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性,是否被篡改过)*/private static final String SIGNING_KEY="auth";
}

启动和配置认证和授权规则

定义配置类,在类中定义资源访问规则例如:

package com.jt.resource.config;import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;/*** 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的* 1)不需要登录就可以访问(例如12306查票)* 2)登录以后才能访问(例如12306的购票)* 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)*/
@Configuration
@EnableResourceServer
//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {@Overridepublic void configure(HttpSecurity http) throws Exception {//super.configure(http);//1.关闭跨域攻击http.csrf().disable();//2.放行相关请求http.authorizeRequests().antMatchers("/resource/upload/**").authenticated().anyRequest().permitAll();}
}

ResourceController 方法配置

在controller的上传方法上添加 @PreAuthorize(“hasAuthority(‘sys:res:create’)”)注解,用于告诉底层框架方法此方法需要具备的权限,例如

  @PreAuthorize("hasAuthority('sys:res:create')")@PostMapping("/upload/")public String uploadFile(MultipartFile uploadFile) throws IOException {...}

启动服务访问测试

第一步:启动服务(sca-auth,sca-resource-gateway,sca-resource)
第二步:执行登陆获取access_token令牌
第三步:携带令牌访问资源(url中的前缀"sca"是在资源服务器中自己指定的,你的网关怎么配置的,你就怎么写)

设置请求头(header),要携带令牌并指定请求的内容类型,例如

设置请求体(body),设置form-data,key要求为file类型,参数名与你服务端controller文件上传方法的参数名相同,值为你选择的文件,例如

上传成功会显示你访问文件需要的路径,假如没有权限会提示你没有访问权限。

文件上传JS方法设计

  function upload(file){//定义一个表单(axios中提供的表单对象)let form=new FormData();//将文件添加到表单中form.append("uploadFile",file);//异步提交(现在是提交到网关)//let url="http://localhost:8881/resource/upload/"let url="http://localhost:9000/sca/resource/upload/";//获取登录后,存储到浏览器客户端的访问令牌let token=localStorage.getItem("accessToken");//发送请求时,携带访问令牌axios.post(url,form,{headers:{"Authorization":"Bearer "+token}}).then(function (response){alert("upload ok")console.log(response.data);}).catch(function (e){//失败时执行catch代码块//debuggerif(e.response.status==401){alert("请先登录");location.href="/login-sso.html";}else if(e.response.status==403){alert("您没有权限")}else if(e.response.status==429){alert("上传太频繁了")}console.log("error",e);})}

技术摘要应用实践说明

背景分析

企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro,JWT,Oauth2等技术诞生了.

Spring Security 技术

Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制,正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器,如图所示:

其中:
图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.

Jwt 数据规范

JWT(JSON WEB Token)是一个标准,采用数据自包含方式进行json格式数据设计,实现各方安全的信息传输,其官方网址为:https://jwt.io/。官方JWT规范定义,它构成有三部分,分别为Header(头部),Payload(负载),Signature(签名),其格式如下:

xxxxx.yyyyy.zzzzz

Header部分

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{"alg": "HS256","typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(简写HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。最后,将这个 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

Payload部分

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT规范中规定了7个官方字段,供选用(了解)。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号
    除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{"sub": "1234567890","name": "John Doe","admin": true
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature部分

Signature 部分是对前两部分的签名,其目的是防止数据被篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

Oauth2规范

oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:
1)资源有者(User)
2)认证授权服务器(jt-auth)
3)资源服务器(jt-resource)
4)客户端应用(jt-ui)
同时,在这种协议中规定了认证授权时的几种模式:
1)密码模式 (基于用户名和密码进行认证)
2)授权码模式(就是我们说的三方认证:QQ,微信,微博,。。。。)
3)…

总结(Summary)

重难点分析

  • 单点登陆系统的设计架构(微服务架构)
  • 服务的设计及划分(资源服务器,认证服务器,网关服务器,客户端服务)
  • 认证及资源访问的流程(资源访问时要先认证再访问)
  • 认证和授权时的一些关键技术(Spring Security,Jwt,Oauth2)

FAQ 分析

  • 为什么要单点登陆(分布式系统,再访问不同服务资源时,不要总是要登陆,进而改善用户体验)
  • 单点登陆解决方案?(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)
  • Spring Security 是什么?(spring框架中的一个安全默认,实现了认证和授权操作)
  • JWT是什么?(一种令牌格式,一种令牌规范,通过对JSON数据采用一定的编码,加密进行令牌设计)
  • OAuth2是什么?(一种认证和授权规范,定义了单点登陆中服务的划分方式,认证的相关类型)

Bug 分析

  • 401 : 访问资源时没有认证。
  • 403 : 访问资源时没有权限。
  • 404:访问的资源找不到(一定要检查你访问资源的url)
  • 405: 请求方式不匹配(客户端请求方式是GET,服务端处理请求是Post就是这个问题)
  • 500: 不看后台无法解决?(error,warn)

09-微服务版的单点登陆系统设计及实现(2105~2106)相关推荐

  1. 六、微服务版的单点登陆系统设计及实现

    文章目录 1.简介 1.1 背景分析 1.2 单点登陆系统 2.快速入门实践 2.1 工程结构如下 2.2 创建认证授权工程 2.3 添加项目依赖 2.4 构建项目配置文件 2.5 添加项目启动类 2 ...

  2. 五、微服务版单点登陆系统(SSO)

    微服务版单点登陆系统(SSO)实践 文章目录 微服务版单点登陆系统(SSO)实践 一.单点登陆系统简介 1. 背景分析 2. 单点登陆系统概述 3. 单点登陆系统解决方案设计 二.单点登陆系统初步设计 ...

  3. 微服务版单点登陆系统(SSO)实践

    文章目录 认证步骤 JWT令牌组成 auth项目 自定义令牌类型 resource项目 单点登陆系统简介 背景分析 单点登陆系统概述 单点登陆系统解决方案设计 单点登陆系统初步设计 服务设计 工程结构 ...

  4. 若依微服务版怎样修改Nacos中配置文件使Url不受权限认证跳过Token验证

    场景 若依微服务版手把手教你本地搭建环境并运行前后端项目: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/109363303 在上 ...

  5. 若依微服务版手把手教你本地搭建环境并运行前后端项目

    场景 若依微服务版RuoYi-Cloud,基于Spring Boot.Spring Cloud & Alibaba.OAuth2的前后端分离的后台管理系统. RuoYi-Cloud 是一个 J ...

  6. 若依微服务版登录流程源码分析1

    若依微服务版登录流程涉及到很多模块,本章先从网关讲起 验证码 验证码配置 先来看配置中心的网关配置文件ruoyi-gateway-dev.yml,其中有这么一段 # 安全配置 security:# 验 ...

  7. 若依微服务版部署到IDEA(超详细,小白看了也能会)

    1.进入若依官网,找到我们要下的微服务版框架 2.点击进入gitee,获取源码,下载到本地 3.下载到本地后,用Idea打开,点击若依官网,找到在线文档,找到微服务版本的,当然你不看文档,直接按我说的 ...

  8. ruoyi-UI (若依)微服务版 vue前端使用及分析(2021-4-13更新)

    ruoyi-UI (若依) 微服务版 vue前端版本使用及分析(2021-4-13更新) 文章目录 ruoyi-UI (若依) 微服务版 vue前端版本使用及分析(2021-4-13更新) 1. 目录 ...

  9. 若依微服务版前端怎样在接口返回500时去掉一直弹窗提示服务未找到

    场景 若依微服务版手把手教你本地搭建环境并运行前后端项目: 若依微服务版手把手教你本地搭建环境并运行前后端项目_BADAO_LIUMANG_QIZHI的博客-CSDN博客_若依微服务 在上面的基础上, ...

最新文章

  1. 前端开发工程师面试题之综合篇
  2. pcie 的bar和dma bar2
  3. 技术人的灵魂 3 问,阿里工程师如何解答?
  4. google 用新的tab打开网页
  5. MySQL的主从复制详解
  6. 面向对象的思考过程 (马特·魏斯费尔德 著)
  7. 虚拟机 安装 linux 分辨率 调整
  8. ERROR 1044 (42000)
  9. grasshopper for rhino 6下载_Grasshopper做分形图案
  10. 10 部顶级数学纪录片
  11. mysql limit 索引失效_mysql索引失效
  12. oracle 本地连接不上,为什么Guardium S-TAP无法抓取Oracle本地连接(Bequeath)流量
  13. 小程序与H5,APP有什么不同-小程序支付开发1
  14. 对于“色盲悖论”问题的理解
  15. linux的一些命令
  16. 服务器微信支付接口笔记-(与app端对接)
  17. mx250是什么_MX250和150有什么区别 MX250和MX150区别对比介绍
  18. 基础篇 | 材质01 | 4种法线
  19. C语言-飞机航班订票系统
  20. 简历中的项目经历怎么写?

热门文章

  1. Maven加速编译技巧
  2. nrf52832 sdk15.2.0 dfu升级攻略
  3. 鲸探发布点评:8月4日发售宁乡北峰滩兽面纹大铙、陶球数字藏品
  4. 翻开播客的B面:小众乌托邦的商业想象力
  5. PayPal轮询收单系统升级之PayPalme亲友支付
  6. ❤送女朋友生日快乐祝福网页制作❤(HTML+CSS+JS)
  7. Face Paper: 目标检测RSSD论文详解
  8. 平安云:在群雄逐鹿的云市场中野蛮生长
  9. 电子音乐的风格简单介绍及DJ推荐
  10. 某618大促项目的复盘总结