认证步骤

总体架构：客户端，网关，认证过程，资源过程，数据库

JWT令牌组成

内容不够详尽，可参考下方技术摘要中的jwt数据规范。签名部分默认使用HMAC SHA256算法

auth项目

• 业务层实现UserDetailsService接口，实现loadUserByUsername方法。将查询出来的用户信息和权限封装到UserDetails【用户细节】中。返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对
• Security配置类中定义密码加密对象返回BCryptPasswordEncoder【哈希密码编码器】对象和**认证管理器对象返回AuthenticationManager【认证管理】**对象交给spring管理【认证框架自行调用】。重写WebSecurityConfigurerAdapter【网络安全适配器】的configure【配置】方法，configure方法定义是否跨域，需要认证的url，登陆界面，成功或失败返回值(可选)
  
• Oauth2认证授权配置类继承AuthorizationServerConfigurerAdapter【认证服务器适配器】，重写三个configure方法。

1. 参数为AuthorizationServerSecurityConfigurer【权限服务器安全配置】，定义用户密码提交后到哪里(url-去哪认证)，这个路径是否需要认证？还有令牌过期了， 我们要重新生成一个令牌，哪个路径可以帮我们重新生成？是否允许表单提交(可选)
2. 参数为ClientDetailsServiceConfigurer【客户端服务配置】，定义客户端携带的id，密钥，作用范围，认证方式(密码-刷新令牌)
3. 参数为AuthorizationServerEndpointsConfigurer【权限服务器终点适配器】，定义认证由哪个对象完成，谁负责访问数据库(可选)，支持什么请求进行认证(可选：默认post)，令牌生成和储存(可选：默认UUID，储存方式为内存)

自定义令牌类型

自定义令牌需要一个返回值为**AuthorizationServerTokenServices【权限安全令牌服务】**的方法。

1. 构建DefaultTokenServices【默认密钥服务】对象，此对象提供了创建，获取，刷新token的方法。
2. 设置令牌储存方式，需要返回值为**TokenStore【密钥储存】**的配置对象。TokenStore下有多种密钥生成存储方式，可选择一个返回，也可以实现接口自己写
3. 设置令牌生成方式，构建TokenEnhancerChain【密钥增强器链】对象，名为增强实为替换默认。将jwtAccessTokenConverter【jwt令牌存取转换器】对象写入增强器，并且将TokenEnhancerChain【密钥增强器链】对象写入DefaultTokenServices【默认密钥服务】对象。 密匙生成存储方式传给增强器前需要写入密钥，意味着需要为此写一个配置类
4. 【设置访问令牌有效期，令牌刷新令牌是否开启，刷新令牌有效期】可选

resource项目

在资源Controller对象中写增删改查方法，方法用**@PreAuthorize(“hasAuthority(‘权限名’)”)标记**
创建令牌解析配置对象，该对象中有个返回值为TokenStore【密钥存储】的对象，设定令牌的生成方式【new对应对象】，令牌生成对象需要写入密钥
配置资源认证授权规则，该类继承ResourceServerConfigurerAdapter【资源服务器适配器】，重写configure方法。
设置是否需要跨域，需要拦截认证的url和可以放行的url

单点登陆系统简介

背景分析

传统的登录系统中，每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可，各站点需要逐一手工登录。例如：

这样的系统，我们又称之为多点登陆系统。应用起来相对繁琐（每次访问资源服务都需要重新登陆认证和授权）。与此同时，系统代码的重复也比较高。由此单点登陆系统诞生。

单点登陆系统概述

单点登录，英文是 Single Sign On（缩写为 SSO）。即多个站点共用一台认证授权服务器，用户在其中任何一个站点登录后，可以免登录访问其他所有站点。而且，各站点间可以通过该登录状态直接交互。例如：

单点登陆系统解决方案设计

• 解决方案1：用户登陆成功以后，将用户登陆状态存储到redis数据库，例如：
  

说明,在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库.后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.

• 解决方案2：用户登陆成功以后，将用户信息存储到token（令牌），然后写到客户端进行存储。（本次设计方案）
  

说明,在这套方案中,用户登录成功后,会基于JWT技术生成一个token,用户信息可以存储到这个token中.后续用户在访问资源时,对token内容解析,检查登录状态以及权限信息,无须再访问数据库.

单点登陆系统初步设计

服务设计

基于单点登陆系统中的业务描述，进行初步服务架构设计，如图所示：

其中,服务基于业务进行划分,系统(system)服务只提供基础数据(例如用户信息,日志信息等),认证服务(auth)负责完成用户身份的校验,密码的比对,资源服务(resource)代表一些业务服务(例如我的订单,我的收藏等等).

工程结构设计

基于服务的划分，设计工程结构如下：

SSO父工程创建及初始化

创建父工程

第一步：创建父工程，例如：

第二步：删除父工程src目录(可选)。

父工程pom文件初始配置

初始化pom文件内容，例如：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.jt</groupId><artifactId>02-sso</artifactId><version>1.0-SNAPSHOT</version><!--maven父工程的pom文件中一般要定义子模块,子工程中所需依赖版本的管理,公共依赖并且父工程的打包方式一般为pom方式--><!--第一步: 定义子工程中核心依赖的版本管理(注意,只是版本管理)--><dependencyManagement><dependencies><!--spring boot 核心依赖版本定义(spring官方定义)--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-dependencies</artifactId><version>2.3.2.RELEASE</version><type>pom</type><scope>import</scope></dependency><!--Spring Cloud 微服务规范(由spring官方定义)--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-dependencies</artifactId><version>Hoxton.SR9</version><type>pom</type><!--假如scope是import,type必须为pom--><scope>import</scope><!--引入三方依赖的版本设计--></dependency><!--Spring Cloud alibaba 依赖版本管理 (参考官方说明)--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-alibaba-dependencies</artifactId><version>2.2.6.RELEASE</version><type>pom</type><scope>import</scope></dependency></dependencies></dependencyManagement><!--第二步: 添加子工程的所需要的公共依赖--><dependencies><!--lombok 依赖,子工程中假如需要lombok,不需要再引入--><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><scope>provided</scope><!--provided 表示此依赖仅在编译阶段有效--></dependency><!--单元测试依赖,子工程中需要单元测试时,不需要再次引入此依赖了--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope><!--test表示只能在test目录下使用此依赖--><exclusions><exclusion><!--排除一些不需要的依赖--><groupId>org.junit.jupiter</groupId><artifactId>junit-jupiter-engine</artifactId></exclusion></exclusions></dependency><!--其它依赖...--></dependencies><!--第三步: 定义当前工程模块及子工程的的统一编译和运行版本--><build><!--项目构建配置,我们基于maven完成项目的编译,测试,打包等操作,都是基于pom.xml完成这一列的操作,但是编译和打包的配置都是要写到build元素内的,而具体的编译和打包配置,又需要plugin去实现,plugin元素不是必须的,maven有默认的plugin配置,常用插件可去本地库进行查看--><plugins><!--通过maven-compiler-plugin插件设置项目的统一的jdk编译和运行版本--><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-compiler-plugin</artifactId><!--假如本地库没有这个版本,这里会出现红色字体错误--><version>3.8.1</version><configuration><source>8</source><target>8</target></configuration></plugin></plugins></build>
</project>

系统基础服务工程设计及实现

业务描述

本次设计系统服务(System)，主要用于提供基础数据服务，例如日志信息，用户信息等。

表结构设计

系统服务模块，基本表结构设计，例如：

工程数据初始化

将jt-sso.sql文件在mysql中执行一下,其过程如下:
第一:登录mysql

mysql -uroot -proot

第二:通过source指令执行jt-sso.sql文件

source d:/jt-sso.sql

创建系统服务工程并初始化

第一步：创建sso-system工程，例如：

第二步：添加项目依赖，例如

<!--1.数据库访问相关--><!--1.1 mysql 数据库驱动--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><!--1.2 mybatis plus 插件--><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.4.2</version></dependency><!--服务治理相关--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId></dependency><!--Web 服务相关--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>

第三步：在项目中添加bootstrap.yml文件，其内容如下：

server:port: 8061
spring:application:name: sso-systemcloud:nacos:discovery:server-addr: localhost:8848config:server-addr: localhost:8848file-extension: ymldatasource:url: jdbc:mysql:///jt-sso?serverTimezone=Asia/Shanghai&characterEncoding=utf8username: rootpassword: root

说明，可将连接数据库的配置，添加到配置中心。

第四步：在项目中添加启动类，例如：

package com.jt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication
public class SystemApplication {public static void main(String[] args) {SpringApplication.run(SystemApplication.class,args);}
}

第五步：在项目中添加单元测试类，测试数据库连接，例如：

package com.jt;import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;@SpringBootTest
public class DataSourceTests {@Autowiredprivate DataSource dataSource;//HikariDataSource JDBC自带数据库连接@Testvoid testGetConnection() throws SQLException {Connection conn=dataSource.getConnection();System.out.println(conn);}
}

Pojo对象逻辑实现

添加项目User对象，用于封装用户信息。

package com.jt.system.pojo;
import lombok.Data;
import java.io.Serializable;/*** 通过此对象封装用户信息*/
@Data
public class User implements Serializable {private static final long serialVersionUID = 4831304712151465443L;private Long id;private String username;private String password;private String status;
}

Dao对象逻辑实现

第一步：创建UserMapper接口，并定义基于用户名查询用户信息，基于用户id查询用户权限信息的方法，代码如下：

package com.jt.system.dao;import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.jt.system.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;import java.util.List;@Mapper
public interface UserMapper extends BaseMapper<User> {/*** 基于用户名获取用户信息* @param username* @return*/@Select("select id,username,password,status " +"from tb_users " +"where username=#{username}")User selectUserByUsername(String username);/*** 基于用户id查询用户权限* @param userId 用户id* @return 用户的权限* 涉及到的表:tb_user_roles,tb_role_menus,tb_menus*/@Select("select distinct m.permission " +"from tb_user_roles ur join tb_role_menus rm on ur.role_id=rm.role_id" +"     join tb_menus m on rm.menu_id=m.id " +"where ur.user_id=#{userId}")List<String> selectUserPermissions(Long userId);}

第二步：创建UserMapperTests类，对业务方法做单元测试，例如：

package com.jt;import com.jt.system.pojo.User;
import com.jt.system.dao.UserMapper;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;import java.util.List;@SpringBootTest
public class UserMapperTests {@Autowiredprivate UserMapper userMapper;@Testvoid testSelectUserByUsername(){User user =userMapper.selectUserByUsername("admin");System.out.println(user);}@Testvoid testSelectUserPermissions(){List<String> permission=userMapper.selectUserPermissions(1L);System.out.println(permission);}
}

Service对象逻辑实现

创建UserService接口及实现泪，定义用户及用户权限查询逻辑，代码如下：

第一步:定义service接口,代码如下:

package com.jt.system.service;import com.jt.system.pojo.User;import java.util.List;public interface UserService {User selectUserByUsername(String username);List<String> selectUserPermissions(Long userId);
}

第二步:定义service接口实现类,代码如下:

package com.jt.system.service.impl;import com.jt.system.dao.UserMapper;
import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;import java.util.List;@Service
public class UserServiceImpl implements UserService {@Autowiredprivate UserMapper userMapper;@Overridepublic User selectUserByUsername(String username) {return userMapper.selectUserByUsername(username);}@Overridepublic List<String> selectUserPermissions(Long userId) {return userMapper.selectUserPermissions(userId);}
}

Controller对象逻辑实现

package com.jt.system.controller;import com.jt.system.pojo.User;
import com.jt.system.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;import java.util.List;@RestController
@RequestMapping("/user/")
public class UserController {@Autowiredprivate UserService userService;@GetMapping("/login/{username}")public User doSelectUserByUsername(@PathVariable("username") String username){return userService.selectUserByUsername(username);}@GetMapping("/permission/{userId}")public List<String> doSelectUserPermissions(@PathVariable("userId") Long userId){return userService.selectUserPermissions(userId);}
}

启动服务进行访问测试

启动sso-system工程服务，打开浏览器分别对用户及用户权限信息的获取进行访问测试

• 基于用户名查询用户信息，例如：
  

• 基于用户id（这里假设用户id为1）查询用户权限，例如：
  

统一认证工程设计及实现

业务描述

用户登陆时调用此工程对用户身份进行统一身份认证和授权。
认证配置类继承WebSecurityConfigurerAdapter类，重写configure方法，修改登陆成功或失败返回页面。
配置类继承AuthorizationServerConfigurerAdapter，并重写三个configure方法

• AuthorizationServerSecurityConfigurer参数，提供了一个url认证入口(客户端通过那个url去哪里认证)【定义哪种url访问】
• ClientDetailsServiceConfigurer参数，定义认证规则， 给哪些对象发密匙，客户端应该携带什么信息去认证。【对接前端】
• AuthorizationServerEndpointsConfigurer参数，指定应该负责认证，访问数据库的对象，请求方式，令牌类型
  认证完成调用TokenService对象的相关方法，改写该方法可以改写令牌类型
  创建返回值为AuthorizationServerTokenServices的方法，设置令牌生成储存策略，是否刷新，令牌有效期和刷新令牌有效期
  【令牌生成储存策略，可以选择令牌生成储存方式和密匙】

创建工程及初始化

第一步：创建sso-auth工程，如图所示

第二步：打开sso-auth工程中的pom文件，然后添加如下依赖：

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId></dependency><!--SSO技术方案:SpringSecurity+JWT+oauth2--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency><!--open feign--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-openfeign</artifactId></dependency></dependencies>

第三步：在sso-auth工程中创建bootstrap.yml文件，例如：

server:port: 8071
spring:application:name: sso-authcloud:nacos:discovery:server-addr: localhost:8848config:server-addr: localhost:8848

第四步 添加项目启动类，例如

package com.jt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@EnableFeignClients
@SpringBootApplication
public class AuthApplication {public static void main(String[] args) {SpringApplication.run(AuthApplication.class, args);}
}

启动并访问项目

项目启动时，系统会默认生成一个登陆密码，例如：

打开浏览器输入http://localhost:8071呈现登陆页面,例如：

其中，默认用户名为user，密码为系统启动时，在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面（因为没有定义登陆页面，所以会出现404）：

定义用户信息处理对象

第一步：定义User对象，用于封装从数据库查询到的用户信息，例如：

package com.jt.auth.pojo;import lombok.Data;
import java.io.Serializable;
@Data
public class User implements Serializable {private static final long serialVersionUID = 4831304712151465443L;private Long id;private String username;private String password;private String status;
}

第二步：定义远程Service对象，用于实现远程用户信息调用，例如：

package com.jt.auth.service;import com.jt.auth.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;import java.util.List;@FeignClient(value = "sso-system", contextId ="remoteUserService" )
public interface RemoteUserService {@GetMapping("/user/login/{username}")User selectUserByUsername( @PathVariable("username") String username);@GetMapping("/user/permission/{userId}")List<String> selectUserPermissions(@PathVariable("userId") Long userId);
}

第三步：定义用户登陆业务逻辑处理对象，例如：

package com.jt.auth.service;import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;import java.util.List;@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate RemoteUserService remoteUserService;@Autowiredprivate BCryptPasswordEncoder passwordEncoder;/*** 基于用户名获取数据库中的用户信息* @param username 这个username来自客户端* @return* @throws UsernameNotFoundException*/@Overridepublic UserDetails loadUserByUsername(String username)throws UsernameNotFoundException {//基于feign方式获取远程数据并封装//1.基于用户名获取用户信息com.jt.auth.pojo.User user=remoteUserService.selectUserByUsername(username);if(user==null)throw new UsernameNotFoundException("用户不存在");String encodedPassword=passwordEncoder.encode("123456");//2.基于用于id查询用户权限List<String> permissions=remoteUserService.selectUserPermissions(user.getId());log.info("permissions {}",permissions);//3.对查询结果进行封装并返回User userInfo= new User(username,user.getPassword(),AuthorityUtils.createAuthorityList(permissions.toArray(new String[]{})));//......return userInfo;//返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对}
}

定义Security配置类

定义Spring Security配置类，在此类中配置认证规则，例如：

package com.jt.auth.config;import org.codehaus.jackson.map.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;/*** 当我们在执行登录操作时,底层逻辑(了解):* 1)Filter(过滤器)* 2)AuthenticationManager (认证管理器)* 3)AuthenticationProvider(认证服务处理器)* 4)UserDetailsService(负责用户信息的获取及封装)*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {/*** 初始化加密对象* 此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全* @return*/@Bean//不可逆的加密算法，基于此算法对用户端输入的密码加密public BCryptPasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();}/*** 定义认证管理器对象，这个对象负责完成用户信息的认证，* 即判定用户身份信息的合法性，在基于oauth2协议完成认* 证时，需要此对象，所以这里讲此对象拿出来交给spring管理* 实现ProviderManager接口* @return* @throws Exception*/@Beanpublic AuthenticationManager authenticationManagerBean()throws Exception {return super.authenticationManager();}/**配置认证规则*/@Overrideprotected void configure(HttpSecurity http)throws Exception {//super.configure(http);//1.禁用跨域攻击(先这么写，不写会报403异常)http.csrf().disable();//2.放行所有资源的访问(后续可以基于选择对资源进行认证和放行)//http.authorizeRequests().anyRequest().permitAll();//放行所有请求http.authorizeRequests().anyRequest().authenticated();//所有请求都要认证
//        http.authorizeRequests()
//                .mvcMatchers("/default.html").authenticated()//指定想要认证页面
//                .anyRequest().permitAll();//3.自定义定义登录成功和失败以后的处理逻辑(可选)//假如没有如下设置登录成功会显示404http.formLogin()//这句话会对外暴露一个登录路径/login，也就是显示登陆页面.successHandler(successHandler()).failureHandler(failureHandler());}//定义认证成功处理器//登录成功以后返回json数据@Beanpublic AuthenticationSuccessHandler successHandler(){//lambdareturn (request,response,authentication)->{//构建map对象封装到要响应到客户端的数据Map<String,Object> map=new HashMap<>();map.put("state",200);map.put("message", "login ok");//将map对象转换为json格式字符串并写到客户端writeJsonToClient(response,map);};}//定义登录失败处理器@Beanpublic AuthenticationFailureHandler failureHandler(){return (request,response,exception)->{//构建map对象封装到要响应到客户端的数据Map<String,Object> map=new HashMap<>();map.put("state",500);map.put("message", "login error");//将map对象转换为json格式字符串并写到客户端writeJsonToClient(response,map);};}private void writeJsonToClient(HttpServletResponse response,Map<String,Object> map) throws IOException {//将map对象,转换为jsonString json=new ObjectMapper().writeValueAsString(map);//设置响应数据的编码方式response.setCharacterEncoding("utf-8");//设置响应数据的类型response.setContentType("application/json;charset=utf-8");//将数据响应到客户端PrintWriter out=response.getWriter();out.println(json);out.flush();}
}

基于Postman进行访问测试

启动sso-system,sso-auth服务，然后基于postman访问网关,执行登录测试,例如：

Security 认证流程分析（了解）

目前的登陆操作，也就是用户的认证操作，其实现主要基于Spring Security框架，其认证简易流程如下：

AuthenticationManager认证管理器和BCryptPasswordEncoder密码加密算法，需要手动交给spring容器。

构建令牌生成及配置对象

本次我们借助JWT(Json Web Token-是一种json格式）方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.

package com.jt.auth.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;/*** 在此配置类中配置令牌的生成，存储策略，验签方式(令牌合法性)。*/
@Configuration
public class TokenConfig {/*** 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)* 3)JwtTokenStore(这里是将产生的token信息存储客户端，并且token* 中可以以自包含的形式存储一些用户信息)* 4)....*/@Beanpublic TokenStore tokenStore(){//这里采用JWT方式生成和存储令牌信息return new JwtTokenStore(jwtAccessTokenConverter());}/*** 配置令牌的创建及验签方式* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中* 然后再存储到TokenStore对象，外界需要时，会从tokenStore进行获取。*/@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter(){JwtAccessTokenConverter jwtAccessTokenConverter=new JwtAccessTokenConverter();//JWT令牌构成：header(签名算法，令牌类型),payload(数据部分),Signing(签名)//这里的签名可以简单理解为加密，加密时会使用header中算法以及我们自己提供的密钥，//这里加密的目的是为了防止令牌被篡改。（这里密钥要保管好，要存储在服务端）jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥return jwtAccessTokenConverter;}/*** JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)* 1)生成的令牌需要这个密钥进行签名* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性，是否被篡改过)*/private static final String SIGNING_KEY="auth";
}

定义Oauth2认证授权配置

第一步：所有零件准备好了开始拼装最后的主体部分，这个主体部分就是授权服务器的核心配置

package com.jt.auth.config;
import lombok.AllArgsConstructor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.*;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;import java.util.Arrays;/*** 在这个对象中负责将所有的认证和授权相关配置进行整合，例如* 业务方面：* 1)如何认证(认证逻辑的设计)* 2)认证通过以后如何颁发令牌(令牌的规范)* 3)为谁颁发令牌(客户端标识，client_id,...)* 技术方面：* 1)SpringSecurity (提供认证和授权的实现)* 2)TokenConfig(提供了令牌的生成，存储，校验)* 3)Oauth2(定义了一套认证规范，例如为谁发令牌，都发什么，...)*/
@AllArgsConstructor //生成一个全参构造函数
@Configuration
@EnableAuthorizationServer//启动认证和授权
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {private AuthenticationManager authenticationManager;private UserDetailsService userDetailsService;private TokenStore tokenStore;private PasswordEncoder passwordEncoder;private JwtAccessTokenConverter jwtAccessTokenConverter;/*** 假如我们要做认证，我们输入了用户名和密码，然后点提交* ，提交到哪里(url-去哪认证)，这个路径是否需要认证？还有令牌过期了，* 我们要重新生成一个令牌，哪个路径可以帮我们重新生成？* 如下这个方法就可以提供这个配置* @param security* @throws Exception*///提供了一个认证入口(客户端去哪里认证)@Overridepublic void configure(AuthorizationServerSecurityConfigurer security)throws Exception {security//1.定义(公开)要认证的url(permitAll()是官方定义好的)//公开oauth/token_key端点.tokenKeyAccess("permitAll()") //permitAll()允许所有的//2.定义(公开)令牌检查的url//公开oauth/check_token端点.checkTokenAccess("permitAll()")//3.允许客户端直接通过表单方式提交认证.allowFormAuthenticationForClients();}/*** 认证中心是否要给所有的客户端发令牌呢？假如不是，那要给哪些客户端* 发令牌，是否在服务端有一些规则的定义呢？* 例如：老赖不能做飞机，不能做高铁* @param clients* @throws Exception*///定义客户端应该携带什么信息去认证//指明哪些对象可以到这里认证(那个客服端对象需要什么特点)@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {//super.configure(clients);clients.inMemory()//定义客户端的id(客户端提交用户信息进行认证时需要这个id).withClient("gateway-client")//定义客户端密钥(客户端提交用户信息时需要携带这个密钥).secret(passwordEncoder.encode("123456"))//passwordEncoder是BCryptPasswordEncoder加密算法的接口//定义作用范围(所有符合规则的客户端).scopes("all")//允许客户端基于密码方式，刷新令牌方式实现认证.authorizedGrantTypes("password","refresh_token");}/*** oauth2中的认证细节配置* @param endpoints* @throws Exception*///提供应该负载认证授权的对象@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints)throws Exception {//super.configure(endpoints);endpoints//由谁完成认证？(认证管理器，必填).authenticationManager(authenticationManager)//谁负责访问数据库？(认证时需要两部分信息：一部分来自客户端，一部分来自数据库).userDetailsService(userDetailsService)//支持对什么请求进行认证（默认支持post方式）.allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST)//认证成功以后令牌如何生成和存储？(默认令牌生成UUID.randomUUID(),存储方式为内存).tokenServices(tokenService());}//系统底层在完成认证以后会调用TokenService对象的相关方法//获取TokenStore，基于tokenStore获取token对象@Beanpublic AuthorizationServerTokenServices tokenService(){//1.构建TokenService对象(此对象提供了创建，获取，刷新token的方法)DefaultTokenServices tokenServices=new DefaultTokenServices();//2.设置令牌生成和存储策略(默认UUID方式)tokenServices.setTokenStore(tokenStore);//3.设置令牌增强(改变令牌创建 方式。默认令牌会比较简单，没有业务数据，就是简单随机字符串，但现在希望使用jwt方式)TokenEnhancerChain tokenEnhancer=new TokenEnhancerChain();tokenEnhancer.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter));tokenServices.setTokenEnhancer(tokenEnhancer);//4.设置访问令牌有效期(可选，默认43200，12小时)tokenServices.setAccessTokenValiditySeconds(3600);//1小时//5.设置是否支持令牌刷新(访问令牌过期了，是否支持通过令牌刷新机制，延长令牌有效期,可选)tokenServices.setSupportRefreshToken(true);//6.设置刷新令牌有效期(可选)tokenServices.setRefreshTokenValiditySeconds(3600*72);//3天return tokenServices;}}

启动postman进行访问测试

• 登陆访问测试，例如：
  

登陆成功以后，会在postman控制台显示如下格式信息，例如：

{"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODAwMjMsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.gr3FxM0RdiEbmmHIdLi234kwPHRAFm02xNH9EnqEpbY","token_type": "bearer","refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiJjZTRhYWVlOC0wMzFmLTRmZjgtYTBmZS1lMGNkOTNlOGYzNzQiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.c-MrRMNYtI9C9RnX0LchwJ-gLxeFZscpU2VM97vv-7A","expires_in": 3599,"scope": "all","jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374"
}

• 检查token信息，例如：
  

假如，请求访问ok，在postman控制台会显示如下格式信息，例如：

{"user_name": "admin","scope": ["all"],"active": true,"exp": 1635680023,"authorities": ["sys:res:create","sys:res:list","sys:res:delete"],"jti": "ce4aaee8-031f-4ff8-a0fe-e0cd93e8f374","client_id": "gateway-client"
}

• 刷新令牌应用测试，例如：
  

假如，请求访问ok，在postman控制台会显示如下格式信息，例如：

{"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2MzU2ODA3NzAsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsic3lzOnJlczpjcmVhdGUiLCJzeXM6cmVzOmxpc3QiLCJzeXM6cmVzOmRlbGV0ZSJdLCJqdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJjbGllbnRfaWQiOiJnYXRld2F5LWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.6zcw0tuAM0wlBvjBHxzk1JqFLweBU9p6uB720pdwWxs","token_type": "bearer","refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiI5MzIzNzI1MC05NzQxLTQ0MjAtOWI3OS04NGZkODg0MDM4ZTUiLCJleHAiOjE2MzU5MzU2MjMsImF1dGhvcml0aWVzIjpbInN5czpyZXM6Y3JlYXRlIiwic3lzOnJlczpsaXN0Iiwic3lzOnJlczpkZWxldGUiXSwianRpIjoiZjllYjZhOTAtNGQ3MC00OGZhLTgzMzktMmFiZGUwYmJmOTQ5IiwiY2xpZW50X2lkIjoiZ2F0ZXdheS1jbGllbnQifQ.6KJOryS6j78Edk-8N4MWAIKifyRYbH5MvEO-mHRWW6w","expires_in": 3599,"scope": "all","jti": "93237250-9741-4420-9b79-84fd884038e5"
}

资源服务工程设计及实现

业务描述

资源服务工程为一个业务数据工程，此工程中数据在访问通常情况下是受限访问，例如有些资源有用户，都可以方法，有些资源必须认证才可访问，有些资源认证后，有权限才可以访问。

资源解析配置对象内容与令牌生成配置对象相同

• Controller类上的方法加注解@PreAuthorize(“hasAuthority(‘权限名’)”)，认证配置类上用@EnableGlobalMethodSecurity(prePostEnabled = true)标记开启权限认证业务
• 认证配置类继承ResourceServerConfigurerAdapter。重写configure方法，设置需要认证的url
• 客户端在请求头中携带令牌访问资源服务，key为Authorization，value为令牌类型(首字母大写)+空格+令牌

业务设计架构

用户访问资源时的认证，授权流程设计如下：

项目创建及初始化

第一步：创建工程，例如:

第二步：初始化pom文件依赖，例如：

<dependencies><!--spring boot web--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!--nacos discovery--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><!--nacos config--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId></dependency><!--sentinel--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-sentinel</artifactId></dependency><!--在资源服务器添加此依赖,只做授权,不做认证,添加完此依赖以后,在项目中我们要做哪些事情?对受限访问的资源可以先判断是否登录了,已经认证用户还要判断是否有权限?--><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency></dependencies>

第三步：创建bootstrap.yml配置文件，例如：

server:port: 8881
spring:application:name: sso-resourcecloud:nacos:discovery:server-addr: localhost:8848config:server-addr: localhost:8848file-extension: yml

第四步：创建启动类，代码如下：

package com.jt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication
public class ResourceApplication {public static void main(String[] args) {SpringApplication.run(ResourceApplication.class,args);}
}

创建资源Controller对象

package com.jt.resource.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/resource")
public class ResourceController {/*** 查询资源* @return*/@PreAuthorize("hasAuthority('sys:res:list')")@GetMappingpublic String doSelect(){return "Select Resource ok";}/*** 创建资源* @return*/@PreAuthorize("hasAuthority('sys:res:create')")@PostMappingpublic String doCreate(){return "Create Resource OK";}/*** 修改资源* @return*/@PreAuthorize("hasAuthority('sys:res:update')")@PutMappingpublic String doUpdate(){return "Update Resource OK";}/*** 删除资源* @return*/@DeleteMappingpublic String doDelete(){return "Delete resource ok";}
}

配置令牌解析器对象

package com.jt;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;/*** 在此配置类中配置令牌的生成，存储策略，验签方式(令牌合法性)。*/
@Configuration
public class TokenConfig {/*** 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略* 1)JdbcTokenStore(这里是要将token存储到关系型数据库)* 2)RedisTokenStore(这是要将token存储到redis数据库-key/value)* 3)JwtTokenStore(这里是将产生的token信息存储客户端，并且token* 中可以以自包含的形式存储一些用户信息)* 4)....*/@Beanpublic TokenStore tokenStore(){//这里采用JWT方式生成和存储令牌信息return new JwtTokenStore(jwtAccessTokenConverter());}/*** 配置令牌的创建及验签方式* 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中* 然后再存储到TokenStore对象，外界需要时，会从tokenStore进行获取。*/@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter(){JwtAccessTokenConverter jwtAccessTokenConverter=new JwtAccessTokenConverter();//JWT令牌构成：header(签名算法，令牌类型),payload(数据部分),Signing(签名)//这里的签名可以简单理解为加密，加密时会使用header中算法以及我们自己提供的密钥，//这里加密的目的是为了防止令牌被篡改。（这里密钥要保管好，要存储在服务端）jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥return jwtAccessTokenConverter;}/*** JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐)* 1)生成的令牌需要这个密钥进行签名* 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性，是否被篡改过)*/private static final String SIGNING_KEY="auth";
}

配置资源认证授权规则

package com.jt;import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;/*** 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的* 1)不需要登录就可以访问(例如12306查票)* 2)登录以后才能访问(例如12306的购票)* 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作)*/
@Configuration
//启用令牌检验
@EnableResourceServer
//启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceConfig extends ResourceServerConfigurerAdapter {@Overridepublic void configure(HttpSecurity http) throws Exception {//super.configure(http);//1.关闭跨域攻击http.csrf().disable();//2.放行相关请求http.authorizeRequests().antMatchers("/resource/**").authenticated().anyRequest().permitAll();}
}

启动Postman进行访问测试

• 不携带令牌访问，例如：
  

• 携带令牌访问，例如：
  

• 没有访问权限，例如：
  

网关工程设计及实现

业务描述

本次设计中，API网关是服务访问入口，身份认证，资源访问都通过网关进行资源统一转发。

项目创建及初始化

第一步：创建项目，例如：

第二步：初始化pom文件内容，例如：

<dependencies><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-gateway</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId></dependency><!--假如网关层面进行限流,添加如下依赖--><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-sentinel</artifactId></dependency><dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-alibaba-sentinel-gateway</artifactId></dependency></dependencies>

第三步：创建bootstrap.yml配置文件并进行路由定义，例如：

server:port: 9000
spring:application:name: sso-gatewaycloud:nacos:discovery:server-addr: localhost:8848config:server-addr: localhost:8848file-extension: ymlsentinel:transport:dashboard: localhost:8180eager: truegateway:routes:- id: router01uri: lb://sso-resourcepredicates:- Path=/sso/resource/**filters:- StripPrefix=1- id: router02uri: lb://sso-authpredicates:- Path=/sso/oauth/**filters:- StripPrefix=1globalcors: #跨域配置(写到配置文件的好处是可以将其配置写到配置中心)corsConfigurations:'[/**]':allowedOrigins: "*"allowedHeaders: "*"allowedMethods: "*"allowCredentials: true

第四步：定义启动类，例如：

package com.jt;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class ApiGatewayApplication {public static void main(String[] args) {SpringApplication.run(ApiGatewayApplication.class, args);}
}

启动postman进行访问测试

• 基于网关进行登陆访问测试，例如：
  

• 基于网关进行资源访问测试，例如：
  
  
  

客户端UI工程设计及实现

业务描述

本次项目设计采用前后端分离架构设计，前端工程服务基于springboot web服务进行实现。

项目创建及初始化

第一步：创建项目，例如：

第二步:项目中添加如下依赖,例如:

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>
</dependencies>

第三步：创建启动类，例如：

package com.jt;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication
public class UIApplication {public static void main(String[] args) {SpringApplication.run(UIApplication.class, args);}
}

创建UI工程登陆页面

第一步：在resource目录下创建static目录
第二步:在static目录下创建登陆页面login.html,例如：

• [ ]

<!doctype html> <html lang="en"> <head><!-- Required meta tags --><meta charset="utf-8"><meta name="viewport" content="width=device-width, initial-scale=1"><!-- Bootstrap CSS --><link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css"rel="stylesheet"integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC"crossorigin="anonymous"><title>login</title> </head> <body> <div class="container"id="app"><h3>Please Login</h3><form><div class="mb-3"><label for="usernameId" class="form-label">Username</label><input type="text" v-model="username" class="form-control" id="usernameId"aria-describedby="emailHelp"></div><div class="mb-3"><label for="passwordId" class="form-label">Password</label><input type="password" v-model="password" class="form-control" id="passwordId"></div><button type="button" @click="doLogin()" class="btn btn-primary">Submit</button></form> </div> <script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js"integrity="sha384-MrcW6ZMFYlzcLA8Nl+NtUVF0sA7MsXsP1UyJoMp4YLEuNSfAP+JcXn/tWtIaxVXM"crossorigin="anonymous"></script> <scriptsrc="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script><script src="https://unpkg.com/axios/dist/axios.min.js"></script><script>var vm=new Vue({el:"#app",//定义监控点，vue底层会基于此监控点在内存中构建dom树data:{ //此对象中定义页面上要操作的数据username:"",password:""},methods: {//此位置定义所有业务事件处理函数doLogin() {//1.定义urllet url = "http://localhost:9000/sso/oauth/token"//2.定义参数let params = new URLSearchParams()params.append('username',this.username);params.append('password',this.password);params.append('client_id',"gateway-client");params.append('client_secret',"123456");params.append('grant_type',"password");//3.发送异步请求axios.post(url, params).then((response) => {//okalert("login ok")let result=response.data;console.log("result",result);//将返回的访问令牌存储到浏览器本地对象中localStorage.setItem("accessToken",result.access_token);location.href="/resource.html";//启动一个定时器,一个小时以后,向认证中心发送刷新令牌}).catch((e)=>{console.log(e);})}}}); </script> </body>
</html>

第三步：打开浏览器进行访问测试，例如：

创建资源展现页面

第一步：在UI工程的static目录下创建resource.html，例如：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<div><h1>The Resource Page</h1><button onclick="doSelect()">查询我的资源</button><button onclick="doUpdate()">修改我的资源</button>
</div>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script>function doSelect(){let url="http://localhost:9000/sso/resource";//获取登录后,存储到浏览器客户端的访问令牌let token=localStorage.getItem("accessToken");//发送请求时,携带访问令牌axios.get(url,{headers:{"Authorization":"Bearer "+token}}).then(function (response){alert("select ok")console.log(response.data);}).catch(function (e){//失败时执行catch代码块if(e.response.status==401){alert("请先登录");location.href="/login.html";}else if(e.response.status==403){alert("您没有权限")}console.log("error",e);})}function doUpdate(){let url="http://localhost:9000/sso/resource";//获取登录后,存储到浏览器客户端的访问令牌let token=localStorage.getItem("accessToken");console.log("token",token);//发送请求时,携带访问令牌axios.put(url,"",{headers:{"Authorization":"Bearer "+token}}).then(function (response){alert("update ok")console.log(response.data);}).catch(function (e){//失败时执行catch代码块console.log(e);if(e.response.status==401){alert("请先登录");location.href="/login.html";}else if(e.response.status==403){alert("您没有权限")}console.log("error",e);})}
</script>
</body>
</html>

第二步：打开浏览器进行访问测试（登陆前和登陆后检查点击如下按钮检测结果），例如：

技术摘要应用实践说明

背景分析

企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro，JWT，Oauth2等技术诞生了.

Spring Security 技术

Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制，正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器，如图所示：

其中:
图中绿色部分为认证过滤器,黄色部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.

Jwt 数据规范

JWT(JSON WEB Token)是一个标准，采用数据自包含方式进行json格式数据设计，实现各方安全的信息传输，其官方网址为：https://jwt.io/。官方JWT规范定义，它构成有三部分，分别为Header(头部)，Payload(负载)，Signature(签名),其格式如下：

xxxxx.yyyyy.zzzzz

Header部分

Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

{"alg": "HS256","typ": "JWT"
}

上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（简写HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。最后，将这个 JSON 对象使用 Base64URL 算法（详见后文）转成字符串。

Payload部分

Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT规范中规定了7个官方字段，供选用（了解）。

• iss (issuer)：签发人
• exp (expiration time)：过期时间
• sub (subject)：主题
• aud (audience)：受众
• nbf (Not Before)：生效时间
• iat (Issued At)：签发时间
• jti (JWT ID)：编号
  除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。

{"sub": "1234567890","name": "John Doe","admin": true
}

注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature部分

Signature 部分是对前两部分的签名，其目的是防止数据被篡改。

首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就可以返回给用户。

Oauth2规范

oauth2定义了一种认证授权协议，一种规范，此规范中定义了四种类型的角色：
1)资源有者(User)
2)认证授权服务器(jt-auth)
3)资源服务器(jt-resource)
4)客户端应用(jt-ui)
同时，在这种协议中规定了认证授权时的几种模式：
1)密码模式 (基于用户名和密码进行认证)
2)授权码模式(就是我们说的三方认证：QQ，微信，微博，。。。。)
3)…

总结（Summary）

重难点分析

单点登陆系统的设计架构（微服务架构）
服务的设计及划分(资源服务器，认证服务器，网关服务器，客户端服务）
认证及资源访问的流程(资源访问时要先认证再访问)
认证和授权时的一些关键技术(Spring Security,Jwt,Oauth2)

FAQ 分析

为什么要单点登陆（分布式系统，再访问不同服务资源时，不要总是要登陆，进而改善用户体验）
单点登陆解决方案？(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)
Spring Security 是什么？（spring框架中的一个安全默认，实现了认证和授权操作）
JWT是什么？（一种令牌格式，一种令牌规范，通过对JSON数据采用一定的编码，加密进行令牌设计）
OAuth2是什么？（一种认证和授权规范，定义了单点登陆中服务的划分方式，认证的相关类型）
…

Bug 分析

401 : 访问资源时没有认证。
403 : 访问资源时没有权限。
404：访问的资源找不到（一定要检查你访问资源的url）
405: 请求方式不匹配（客户端请求方式是GET，服务端处理请求是Post就是这个问题）
500: 不看后台无法解决？（error,warn）
…

微服务版单点登陆系统(SSO)实践相关推荐

1. 五、微服务版单点登陆系统(SSO)

   微服务版单点登陆系统(SSO)实践 文章目录 微服务版单点登陆系统(SSO)实践 一.单点登陆系统简介 1. 背景分析 2. 单点登陆系统概述 3. 单点登陆系统解决方案设计 二.单点登陆系统初步设计 ...

2. 08-微服务版单点登陆系统(SSO)实践

   文章目录 单点登陆系统简介 背景分析 单点登陆系统概述 单点登陆系统解决方案设计 单点登陆系统初步设计 服务设计 工程结构设计 SSO父工程创建及初始化 创建父工程 父工程pom文件初始配置 系统基础 ...

3. 微服务版单点登陆系统(SSO)

   单体架构中的用户的状态的存储是如何实现的? 单点登陆系统概述 单点登录,英文是 Single Sign On(缩写为 SSO).即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登 ...

4. 09-微服务版单点登陆系统(SSO)实践

   目录 单点登陆系统简介 背景分析 单点登陆系统概述 单点登陆系统解决方案设计 单点登陆系统初步设计 服务设计 工程结构设计 SSO父工程创建及初始化 创建父工程 父工程pom文件初始配置 系统基础服务 ...

5. 08-微服务版单点登陆系统(SSO)

   1 单点登陆系统简介 1.1 背景分析 传统的登录系统中,每个站点都实现了自己的专用登录模块.各站点的登录状态相互不认可,各站点需要逐一手工登录.例如: 这样的系统,我们又称之为多点登陆系统.应用起来 ...

6. java sso单点登录源码_Java单点登录系统 sso源码下载

   这是一个使用Java开发的单点登陆系统(sso). 运行截图 单点登陆介绍 单点登录,这就是我们通常称之为SSO.一般来说,大型系统平台将使用这些东西.它解决了频繁登录和验证的过程,即用户的一次登录被 ...

7. 六、微服务版的单点登陆系统设计及实现

   文章目录 1.简介 1.1 背景分析 1.2 单点登陆系统 2.快速入门实践 2.1 工程结构如下 2.2 创建认证授权工程 2.3 添加项目依赖 2.4 构建项目配置文件 2.5 添加项目启动类 2 ...

8. 简书android微信抢红包,GO从0到1实战微服务版抢红包系统

   GO从0到1实战微服务版抢红包系统 想必大家对"双十一"."6.18"秒杀活动有高并发性能的直观感受, "抢红包" 在高并发上比" ...

9. 若依前后端分离/微服务版怎样构造免密链接实现其他系统免登录访问

   场景 若依前后端分离版手把手教你本地搭建环境并运行项目: 若依前后端分离版手把手教你本地搭建环境并运行项目_BADAO_LIUMANG_QIZHI的博客-CSDN博客 上面在搭建起来前后端分离版的项目 ...

最新文章

1. react构建淘票票webapp，及react与vue的简单比较。
2. LeetCode 1108. Defanging an IP Address--C++,Python解法
3. 路由与交换大作业pkt_干货 | 交换机“练功大法”——略有小成（一）
4. html怎样获取画面项目的坐标,如何使用HTML5实现地理位置的获取
5. 图片轮播html实现原理,纯CSS实现图片轮播
6. js异步加载 defer和async 比较
7. tl r402路由器设置_tplink wr847n无线路由器如何设置 tplink wr847n无线路由器设置方法【详解】...
8. java笔记：第6章 面向对象程序设计
9. 简单高效有用的正则表达
10. spring batch 读mysql_spring batch csv文件导入到mysql数据库
11. Hibernate持久化对象状态
12. html之页面元素印射
13. 2.啊哈!算法 --- 一大波数正在靠近——栈、队列、链表
14. python练习-word操作（word字体替换）
15. 照片webp格式怎么改成jpg？
16. steam for linux 安装目录,我该如何安装Steam？
17. 计算机主机发出滴滴声音怎么办,电脑蓝屏后主机滴滴的响应该怎么处理教程
18. Linux I/O重定向 dup dup2 系统调用
19. 怎么关闭苹果Mac桌面出现麦克风图案？
20. 邓俊辉 《数据结构》笔记1 绪论

热门文章

1. 【python】py课后作业程序题1「PTA」
2. 保留thinkvantage一键恢复功能的Linux与vista双系统安装
3. 欧鹏浏览器html5用不了,javascript在火狐浏览器起作用而在欧朋浏览器下不起作用...
4. 怎么使用在线PS对图片换背景 如何快速抠图
5. ENVI：如何进行图像镶嵌？
6. Gradient Episodic Memory for Continual Learning 论文阅读+代码解析
7. 【电子画册免费制作】云展网教程 | 添加注释按钮
8. 通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证
9. Microsoft Office Document Imaging 2007提取图片中的文字
10. ElastIcSearch分词器