微服务前后端分离角色权限认证体系

建议配合以下阅读加深理解，第一二个尤为重要:

SpringSide 3 中的安全框架
http://www.blogjava.net/youxia/archive/2008/12/07/244883.html
Spring Security 架构
https://leer.moe/2019/03/26/spring-security-architecture/
使用 json 前后端分离
https://github.com/houzhenggangGit/spring-security-demos
社区 Spring Security 从入门到进阶系列教程
http://www.spring4all.com/article/428
Spring Security 源码合集 https://blog.csdn.net/x5fnncxzq4/article/details/79333867
理解oauth2 https://www.kancloud.cn/kancloud/oauth_2_0/63331

认证

以下内容主要描述spring security 认证过程

翻译自：https://springbootdev.com/2017/08/23/spring-security-authentication-architecture/

1.接收了Http请求

Spring security有一系列过滤器链。因此，当请求到来时，它将通过一系列过滤器进行身份验证和授权。当存在用户认证请求时，它也将像往常一样通过过滤器链，直到它根据认证机制/模型找到相关的认证过滤器。

例如：: HTTP基本身份验证请求通过过滤器链，直到它到达BasicAuthenticationFilter 。; HTTP摘要式身份验证请求通过过滤器链直到它到达DigestAuthenticationFilter 。; 登录表单提交请求（登录表单身份验证请求）通过过滤器链直到它到达UsernamePasswordAuthenticationFilter 。; x509身份验证请求通过过滤器链直到它到达X509AuthenticationFilter 等…

2.根据用户凭据（credentials）创建AuthenticationToken

一旦相关的AuthenticationFilter收到验证请求，它就会从收到的请求中提取用户名和密码（大多数验证机制都需要用户名和密码）。之后，它会根据提取的用户凭据创建一个Authentication对象。

如果提取的凭据是用户名和密码，则将使用提取/找到的用户名和密码创建UsernamePasswordAuthenticationToken 。

3.为AuthenticationManagager委派创建的AuthenticationToken

创建UsernamePasswordAuthenticationToken 对象后，它将用于调用AuthenticationManager 的authenticate 方法。

AuthenticationManager.java

public interface AuthenticationManager
{Authentication authenticate(Authentication authentication)throws AuthenticationException;
}

AuthenticationManager只是一个接口，实际的实现是ProviderManager和AuthenticationProvider。ProviderManager通过委托者模式调用若干AuthenticationProvider的authenticate方法进行验证。
ProviderManager有一个配置的AuthenticationProvider 列表，用于验证用户请求。ProviderManager将遍历提供的每个AuthenticationProvider，并尝试根据传递的Authentication对象对用户进行身份验证（例如：UsernamePasswordAuthenticationToken ）

4.尝试以使用AuthenticationProvider列表进行身份验证

AuthenticationProvider 尝试使用提供的身份验证对象对用户进行身份验证。

public interface AuthenticationProvider {Authentication authenticate(Authentication authentication) throws AuthenticationException;boolean supports(Class<?> authentication);
}

以下是框架附带的一些现有身份验证提供程序：

CasAuthenticationProvider
JaasAuthenticationProvider
DaoAuthenticationProvider 通过数据库验证
OpenIDAuthenticationProvider
RememberMeAuthenticationProvider
LdapAuthenticationProvider

5.UserDetailsService是否必需？

一些AuthenticationProvider可以使用UserDetailsService根据用户名检索用户详细信息。（例如： - DaoAuthenticationProvider）

public interface UserDetailsService
{UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

6. and 7. UserDetails或User对象

UserDetailsService将根据用户名检索UserDetails（实际实现的是User）。
（例如User是数据库查到的信息）

8.身份验证或AuthenticationException

authenticate方法比较Authentication对象和User对象的密码。

根据AuthenticationProvider 接口，在成功身份验证时AuthenticationProvider将完全返回完全填充的身份验证对象，在身份验证失败时抛出AuthenticationException 异常，不能判断时，返回null。

如果抛出任何AuthenticationException ，那将由支持身份验证机制的已配置AuthenticationEntryPoint 处理。

9.验证完成！

AuthenticationManager将获取的完全填充的Authentication对象返回给相关的Authentication Filter。

10.在SecurityContext中设置验证对象

然后，相关的AuthenticationFilter将获取的身份验证对象存储在SecurityContext中，以供将来过滤器使用。（用于授权过滤器）

SecurityContextHolder.getContext().setAuthentication(authentication);

希望这将有助于您在一定程度上深入了解Spring Security身份验证体系结构。

与oauth2结合配置认证服务器

密码模式（Resource Owner Password Credentials Grant）中，用户向客户端提供自己的用户名和密码。客户端使用这些信息，向"服务商提供商"索要授权。

在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。
我们的客户端就是web服务器，是一个前台服务。

它的步骤如下：

（A）用户向客户端提供用户名和密码。

（B）客户端将用户名和密码发给认证服务器，向后者请求令牌。

（C）认证服务器确认无误后，向客户端提供访问令牌。

B步骤中，客户端发出的HTTP请求，包含以下参数：

grant_type：表示授权类型，此处的值固定为"password"，必选项。
username：表示用户名，必选项。
password：表示用户的密码，必选项。
scope：表示权限范围，可选项。
下面是一个例子。

 POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=password&username=johndoe&password=A3ddj3w

C步骤中，认证服务器向客户端发送访问令牌，下面是一个例子。

 HTTP/1.1 200 OKContent-Type: application/json;charset=UTF-8Cache-Control: no-storePragma: no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}

access_token：表示访问令牌，必选项。
token_type：表示令牌类型，该值大小写不敏感，必选项，可以是bearer类型或mac类型。
expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。
refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。
scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。

整个过程中，客户端不得保存用户的密码。

使用说明

通过用户名查询用户密码，比较后成功返回token,失败返回错误信息。
整个认证通过spring Security 完成。
因为数据库中具有多个用户表，可以通过不同的 client_id 作为信息，分辨出哪一种用户。
其中:

sys----------------user 表

org----------------org_user 表

test-------------testee 表

请求token令牌的参数：
http://localhost:8003/oauth/token?username=arron&password=123456&grant_type=password&scope=select&client_id=sys&client_secret=123456
访问资源的请求设定：
Authorization参数，值是“[grant_type] [access_token]”，grant_type值与access_token值之间用空格分开。

例如：Authorization ：bearer 65d6f4f6-70d3-4bb4-b36b-c6e570a3027b

授权与资源服务器

为了对所有资源授权，把资源服务器配置在网关上。
参考 https://gitee.com/beiyoufx/soraka
资源服务器在配置eureka 的基础上：
配置：

security:oauth2:resource:user-info-uri: http://10.103.246.113:8001/pcs-auth/oauth/principalclient:access-token-uri: http://10.103.246.113:8001/pcs-auth/oauth/tokengrant-type: client_credentials,password

微服务前后端分离角色权限认证体系相关推荐

Java权限管理｜基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证 1. 项目说明主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的tok ...
SpringCloud微服务前后端分离开发中出现的弱智问题之（不支持当前请求方法）
SpringCloud微服务前后端分离开发中出现的弱智问题之(不支持当前请求方法) 问题背景问题解决为什么说这是一个弱智问题,因为这多是编写代码不仔细造成的. 问题背景当当后台API发布的接口与 ...
Java微服务前后端分离技术开发的微信快速框架-教程
JooLun微信快速开发框架-采用目前最流行的前后端分离框架开发出来的微信快速开发平台.二次开发效率高,技术先进不怕被淘汰系统特性: Spring Cloud微服务化开发,采用Nacos注册和配置中 ...
打包微服务前后端分离项目并部署到服务器 --- 分布式 Spring Cloud + 页面渲染 Nuxt.js
前言 Spring Cloud项目属于微服务项目,也就是含有多个Sping Boot模块集合而成的项目 Nuxt.js项目属于前端基于Vue的服务端渲染项目最近在服务器部署上线了一个基于Spring ...
视频教程-SpringBoot+Security+Vue前后端分离开发权限管理系统-Java
SpringBoot+Security+Vue前后端分离开发权限管理系统 10多年互联网一线实战经验,现就职于大型知名互联网企业,架构师, 有丰富实战经验和企业面试经验:曾就职于某上市培训机构数年,独 ...
springboot前后端分离后权限原理浅谈
1. 需求描述最近在梳理springboot前后端分离后的权限管理问题.前段时间,已经把shiro的实现和spring security 的实现进行了初步的了解.如果深入细节,一个篇幅怕是不够.本文 ...
视频教程-基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统-Java
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统拥有八年的Java项目开发经验,擅长Java.vue.SpringBoot.springCloud.sp ...
Spring Security + SpringBoot + Mybatis-plus实现前后端分离的权限管理系统
碎碎念在学习Spring Security的时候,有收集到这样一张图,感觉描述还是很详尽的.有阅读了一下源码,个人理解,Spring Security默认对POST的/login请求做出响应,然后就 ...
前后端分离之权限验证
前后端分离之权限验证原理:将登录验证的请求头中后端生成的秘钥(token)接收后存储在cookie内,在再次请求数据时添加在请求头中发送给后端验证,请求数据. 代码: 登录ajax: $scope. ...

微服务前后端分离角色权限认证体系

认证

以下内容主要描述spring security 认证过程

1.接收了Http请求

2.根据用户凭据（credentials）创建AuthenticationToken

3.为AuthenticationManagager委派创建的AuthenticationToken

4.尝试以使用AuthenticationProvider列表进行身份验证

5.UserDetailsService是否必需？

6. and 7. UserDetails或User对象

8.身份验证或AuthenticationException

9.验证完成！

10.在SecurityContext中设置验证对象

与oauth2结合配置认证服务器

使用说明

授权与资源服务器

微服务前后端分离角色权限认证体系相关推荐

最新文章

热门文章

微服务前后端分离角色权限认证体系

认证

以下内容主要描述spring security 认证过程

1.接收了Http请求

2.根据用户凭据（credentials）创建AuthenticationToken

3.为AuthenticationManagager委派创建的AuthenticationToken

4.尝试以使用AuthenticationProvider列表进行身份验证

5.UserDetailsS​​ervice是否必需？

6. and 7. UserDetails或User对象

8.身份验证或AuthenticationException

9.验证完成！

10.在SecurityContext中设置验证对象

与oauth2结合配置认证服务器

使用说明

授权与资源服务器

微服务前后端分离角色权限认证体系相关推荐

最新文章

热门文章

5.UserDetailsService是否必需？