微服务前后端分离角色权限认证体系
微服务前后端分离角色权限认证体系
建议配合以下阅读加深理解,第一二个尤为重要:
- SpringSide 3 中的安全框架
http://www.blogjava.net/youxia/archive/2008/12/07/244883.html - Spring Security 架构
https://leer.moe/2019/03/26/spring-security-architecture/ - 使用 json 前后端分离
https://github.com/houzhenggangGit/spring-security-demos - 社区 Spring Security 从入门到进阶系列教程
http://www.spring4all.com/article/428 - Spring Security 源码合集 https://blog.csdn.net/x5fnncxzq4/article/details/79333867
- 理解oauth2 https://www.kancloud.cn/kancloud/oauth_2_0/63331
认证
以下内容主要描述spring security 认证过程
翻译自:https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/
1.接收了Http请求
Spring security有一系列过滤器链。因此,当请求到来时,它将通过一系列过滤器进行身份验证和授权。当存在用户认证请求时,它也将像往常一样通过过滤器链,直到它根据认证机制/模型找到相关的认证过滤器。
- 例如:
-
HTTP基本身份验证请求通过过滤器链,直到它到达BasicAuthenticationFilter 。
-
HTTP摘要式身份验证请求通过过滤器链直到它到达DigestAuthenticationFilter 。
-
登录表单提交请求(登录表单身份验证请求)通过过滤器链直到它到达UsernamePasswordAuthenticationFilter 。
-
x509身份验证请求通过过滤器链直到它到达X509AuthenticationFilter 等…
2.根据用户凭据(credentials)创建AuthenticationToken
一旦相关的AuthenticationFilter收到验证请求,它就会从收到的请求中提取用户名和密码(大多数验证机制都需要用户名和密码)。之后,它会根据提取的用户凭据创建一个Authentication对象。
如果提取的凭据是用户名和密码,则将使用提取/找到的用户名和密码创建UsernamePasswordAuthenticationToken 。
3.为AuthenticationManagager委派创建的AuthenticationToken
创建UsernamePasswordAuthenticationToken 对象后,它将用于调用AuthenticationManager 的authenticate 方法。
AuthenticationManager.java
public interface AuthenticationManager
{Authentication authenticate(Authentication authentication)throws AuthenticationException;
}
AuthenticationManager只是一个接口,实际的实现是ProviderManager和AuthenticationProvider。ProviderManager通过委托者模式调用若干AuthenticationProvider的authenticate方法进行验证。
ProviderManager有一个配置的AuthenticationProvider 列表,用于验证用户请求。ProviderManager将遍历提供的每个AuthenticationProvider,并尝试根据传递的Authentication对象对用户进行身份验证(例如:UsernamePasswordAuthenticationToken )
4.尝试以使用AuthenticationProvider列表进行身份验证
AuthenticationProvider 尝试使用提供的身份验证对象对用户进行身份验证。
public interface AuthenticationProvider {Authentication authenticate(Authentication authentication) throws AuthenticationException;boolean supports(Class<?> authentication);
}
以下是框架附带的一些现有身份验证提供程序:
- CasAuthenticationProvider
- JaasAuthenticationProvider
- DaoAuthenticationProvider 通过数据库验证
- OpenIDAuthenticationProvider
- RememberMeAuthenticationProvider
- LdapAuthenticationProvider
5.UserDetailsService是否必需?
一些AuthenticationProvider可以使用UserDetailsService根据用户名检索用户详细信息。(例如: - DaoAuthenticationProvider)
public interface UserDetailsService
{UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
6. and 7. UserDetails或User对象
UserDetailsService将根据用户名检索UserDetails(实际实现的是User)。
(例如User是数据库查到的信息)
8.身份验证或AuthenticationException
authenticate方法比较Authentication对象和User对象的密码。
根据AuthenticationProvider 接口,在成功身份验证时AuthenticationProvider将完全返回完全填充的身份验证对象,在身份验证失败时抛出AuthenticationException 异常,不能判断时,返回null。
如果抛出任何AuthenticationException ,那将由支持身份验证机制的已配置AuthenticationEntryPoint 处理。
9.验证完成!
AuthenticationManager将获取的完全填充的Authentication对象返回给相关的Authentication Filter。
10.在SecurityContext中设置验证对象
然后,相关的AuthenticationFilter将获取的身份验证对象存储在SecurityContext中,以供将来过滤器使用。(用于授权过滤器)
SecurityContextHolder.getContext().setAuthentication(authentication);
希望这将有助于您在一定程度上深入了解Spring Security身份验证体系结构。
与oauth2结合配置认证服务器
密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。
在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。
我们的客户端就是web服务器,是一个前台服务。
它的步骤如下:
(A)用户向客户端提供用户名和密码。
(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。
(C)认证服务器确认无误后,向客户端提供访问令牌。
B步骤中,客户端发出的HTTP请求,包含以下参数:
grant_type:表示授权类型,此处的值固定为"password",必选项。
username:表示用户名,必选项。
password:表示用户的密码,必选项。
scope:表示权限范围,可选项。
下面是一个例子。
POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=password&username=johndoe&password=A3ddj3w
C步骤中,认证服务器向客户端发送访问令牌,下面是一个例子。
HTTP/1.1 200 OKContent-Type: application/json;charset=UTF-8Cache-Control: no-storePragma: no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}
access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
整个过程中,客户端不得保存用户的密码。
使用说明
通过用户名查询用户密码,比较后成功返回token,失败返回错误信息。
整个认证通过spring Security 完成。
因为数据库中具有多个用户表,可以通过不同的 client_id 作为信息,分辨出哪一种用户。
其中:
sys----------------user 表
org----------------org_user 表
test-------------testee 表
- 请求token令牌的参数:
http://localhost:8003/oauth/token?username=arron&password=123456&grant_type=password&scope=select&client_id=sys&client_secret=123456 - 访问资源的请求设定:
Authorization参数,值是“[grant_type] [access_token]”,grant_type值与access_token值之间用空格分开。
例如:Authorization :bearer 65d6f4f6-70d3-4bb4-b36b-c6e570a3027b
授权与资源服务器
为了对所有资源授权,把资源服务器配置在网关上。
参考 https://gitee.com/beiyoufx/soraka
资源服务器在配置eureka 的基础上:
配置:
security:oauth2:resource:user-info-uri: http://10.103.246.113:8001/pcs-auth/oauth/principalclient:access-token-uri: http://10.103.246.113:8001/pcs-auth/oauth/tokengrant-type: client_credentials,password
微服务前后端分离角色权限认证体系相关推荐
- Java权限管理|基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证 1. 项目说明 主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的tok ...
- SpringCloud微服务前后端分离开发中出现的弱智问题之(不支持当前请求方法)
SpringCloud微服务前后端分离开发中出现的弱智问题之(不支持当前请求方法) 问题背景 问题解决 为什么说这是一个弱智问题,因为这多是编写代码不仔细造成的. 问题背景 当当后台API发布的接口与 ...
- Java微服务前后端分离技术开发的微信快速框架-教程
JooLun微信快速开发框架-采用目前最流行的前后端分离框架开发出来的微信快速开发平台.二次开发效率高,技术先进不怕被淘汰 系统特性: Spring Cloud微服务化开发,采用Nacos注册和配置中 ...
- 打包微服务前后端分离项目并部署到服务器 --- 分布式 Spring Cloud + 页面渲染 Nuxt.js
前言 Spring Cloud项目属于微服务项目,也就是含有多个Sping Boot模块集合而成的项目 Nuxt.js项目属于前端基于Vue的服务端渲染项目 最近在服务器部署上线了一个基于Spring ...
- 视频教程-SpringBoot+Security+Vue前后端分离开发权限管理系统-Java
SpringBoot+Security+Vue前后端分离开发权限管理系统 10多年互联网一线实战经验,现就职于大型知名互联网企业,架构师, 有丰富实战经验和企业面试经验:曾就职于某上市培训机构数年,独 ...
- springboot前后端分离后权限原理浅谈
1. 需求描述 最近在梳理springboot前后端分离后的权限管理问题.前段时间,已经把shiro的实现和spring security 的实现进行了初步的了解.如果深入细节,一个篇幅怕是不够.本文 ...
- 视频教程-基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统-Java
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统 拥有八年的Java项目开发经验,擅长Java.vue.SpringBoot.springCloud.sp ...
- Spring Security + SpringBoot + Mybatis-plus实现前后端分离的权限管理系统
碎碎念 在学习Spring Security的时候,有收集到这样一张图,感觉描述还是很详尽的.有阅读了一下源码,个人理解,Spring Security默认对POST的/login请求做出响应,然后就 ...
- 前后端分离之权限验证
前后端分离之权限验证 原理:将登录验证的请求头中后端生成的秘钥(token)接收后存储在cookie内,在再次请求数据时添加在请求头中发送给后端验证,请求数据. 代码: 登录ajax: $scope. ...
最新文章
- eclipse外观设置
- [导入]ASP.NET 2.0 读取配置文件[INI](示例代码下载)
- 【数字智能三篇】之二: 一页纸说清楚“什么是推荐系统?”
- scanf从文件中读入,printf写入到文件
- ubuntu下修改mysql编码,使能支持中文
- 可以装linux的路由器,[转载]linux路由器Quagga的配置(一):安装
- php我赢职场季枫_我赢职场 - 主页
- Niginx工作笔记-通过error.log定位错误(记录一个寻找问题的方法)
- java中return finally_Java中return和finally到底哪个先执行
- 教你编写第一个人工智能程序
- 肌电信号 聚类 Matlab
- 2019中兴捧月·总决赛心得
- NoteExpress的使用方法
- (数据结构)栈(LIFO结构)——概念、进栈、出栈、先进后出的特性
- 那些破事儿.........
- 理解DC中的link_library与target_library
- PARSEC benchmark下载
- 当局者迷旁观者清红警游戏反杀局案例分析
- 解决SQL_Server2000“以前的某个程序安装已在安装计算机上创建挂起的文件操作。安装程序前必须重新启动计算机”
- php中如何创建一个对象的方法,如何创建一个对象的方法及原型对象了解一下