Spring Security系列（11）- Security5.0版本Oauth2开放平台环境搭建

前言

上篇文档，我们了解了OAuth2.0的相关知识，接下来我们搭建一个自己的Oauth2开放平台。

从流程图中，可以看到，后台需要搭建一个认证服务器，负责用户登录、第三方授权等功能，还需要搭建自己的资源服务器，也就是我们自己产品的后台。

Security OAuth2 重构说明

官网说明

2019年11月下旬，Spring官方在Spring Security OAuth 2.0路线图中指出2.3.x版本将在2020年3月到达项目生命周期的终点（End Of Life），随后将会发布2.4.x和2.5.x。后续2.4.x和2.5.x补丁和安全修复程序支持将持续到2021年5月，另外2.5.x的安全修复支持将持续到2022年5月项目终止日期。相同的寿命终止时间表适用于对应的Spring Boot 2自动配置项目。Spring Security OAuth 2.0会在2022年5月项目终止后开放给Spring社区中的成员直接管理。

spring security 5.0

security 5.0版本，添加了oauth2的相关模块，但是没有授权服务器的相关代码，security最新源码：

各个模块功能如下:

spring cloud 2020

spring cloud 2020发布后，删除了以下模块：

        <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency>

新的OAuth2.0授权服务器

spring新版本的security去掉了Authorization Server的功能及代码，推荐使用KeyCloak代替。但是社区也引起了很多不满。

后续又继续开发了新的授权服务器，Github地址。但是目前还处于试验阶段，慎用。

最新版本maven坐标：

<!-- https://mvnrepository.com/artifact/org.springframework.security.experimental/spring-security-oauth2-authorization-server -->
<dependency><groupId>org.springframework.security.experimental</groupId><artifactId>spring-security-oauth2-authorization-server</artifactId><version>0.1.2</version>
</dependency>

取舍

经过对新版OAuth2.0授权服务器搭建测试，发现功能并不完善，而且BUG很多，并不能正常使用，所有依然采用spring-security-oauth2。

        <dependency><groupId>org.springframework.security.oauth.boot</groupId><artifactId>spring-security-oauth2-autoconfigure</artifactId></dependency>

JWT

认证服务器认证完成后会发放令牌，客户端携带令牌访问我们的资源服务器。

我们这里采用JWT令牌。用户认证通过会得到一个JWT令牌，JWT令牌中已经包括了用户相关的信息，客户端只需要携带JWT访问资源服务，资源服务根据事先约定的算法自行完成令牌校验，无需每次都请求认证服务完成授权。

什么是JWT

官网

JSON Web Token（JWT）是一个开放的行业标准（RFC 7519），它定义了一种简介的、自包含的协议格式，用于在通信双方传递json对象，传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名，防止被篡改。

优点

jwt基于json，非常方便解析。
可以在令牌中自定义丰富的内容，易扩展。
通过非对称加密算法及数字签名技术，JWT防止篡改，安全性高。
资源服务使用JWT可不依赖认证服务即可完成授权。

缺点

JWT令牌较长，占存储空间比较大。
长度过大时，消耗网路资源，太长HTTP协议有限制

JWT令牌结构

JWT令牌由三部分组成，每部分中间使用点（.）分隔，比如：xxxxx.yyyyy.zzzzz

每一个子串表示了一个功能块，总共有以下三个部分：JWT 头、有效载荷和签名

典型的，一个 JWT 看起来如下图：

Header

头部包括令牌的类型（即JWT）及使用的哈希算法（如HMAC SHA256或RSA）

一个例子如下：下边是Header部分的内容

 { "alg": "HS256", "typ": "JWT" }

将上边的内容使用Base64Url编码，得到一个字符串就是JWT令牌的第一部分。

Payload

第二部分是负载，内容也是一个json对象，它是存放有效信息的地方，它可以存放jwt提供的现成字段，比如：iss（签发者）,exp（过期时间戳）, sub（面向的用户）等，也可自定义字段。

此部分不建议存放敏感信息，因为此部分可以解码还原原始内容。

最后将第二部分负载使用Base64Url编码，得到一个字符串就是JWT令牌的第二部分。

一个例子：

 { "sub": "1234567890", "name": "456", "admin": true }

Signature

第三部分是签名，此部分用于防止jwt内容被篡改。

这个部分使用base64url将前两部分进行编码，编码后使用点（.）连接组成字符串，最后使用header中声明签名算法进行签名。

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

base64UrlEncode(header)：jwt令牌的第一部分。
base64UrlEncode(payload)：jwt令牌的第二部分。
secret：签名所使用的密钥

最后说明

以上可知，我们的JWT令牌会存放所有的认证信息，最后使用秘钥签名，最后生成。获取到令牌后访问资源，会使用相同的秘钥检查该令牌，校验通过，资源服务器会保存认证信息，放行请求。

基础工程

1. 创建项目

使用Spring Initializr创建了四个模块，分别为Oauth2开放平台、资源服务器1、资源服务器2、第三方web平台，使用spring.boot 2.5.2。

2. 创建表结构

项目和SQL都放在在码云。

和Oauth2有关有6张表，oauth_client_details表就是保存Oauth2客户端账号密码、授权、回调地址等重要信息的表，其他的都是存储令牌、code等信息，实际可以不要。

表结构说明：

表名	描述
oauth_client_details	客户端账号密码、授权、回调地址等重要信息；核心表
oauth_access_token	存储access_token
oauth_refresh_token	存储refresh_token
oauth_client_token	存储从服务端获取的token数据
oauth_code	存储授权码
oauth_approvals	存储授权成功的客户端信息

3. 认证服务器基础环境

添加pom，注意security相关依赖

pom依赖：

    <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>org.springframework.security.oauth.boot</groupId><artifactId>spring-security-oauth2-autoconfigure</artifactId></dependency><!--动态模板thymeleaf--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><!--Thymeleaf提供的SpringSecurity标签控制支持--><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-springsecurity5</artifactId></dependency><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.4.2</version></dependency><!--Mysql 驱动--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><!--swagger--><dependency><groupId>io.springfox</groupId><artifactId>springfox-swagger2</artifactId><version>2.8.0</version></dependency><dependency><groupId>io.springfox</groupId><artifactId>springfox-swagger-ui</artifactId><version>2.8.0</version></dependency></dependencies>

添加yml相关配置

spring:application:name: oauth2-authorization-server-demodatasource:type: com.zaxxer.hikari.HikariDataSourcedriver-class-name: com.mysql.cj.jdbc.Driverurl: jdbc:mysql://127.0.0.1/security?useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8&useSSL=falseusername: rootpassword: 123456hikari:minimum-idle: 5idle-timeout: 600000maximum-pool-size: 10auto-commit: truepool-name: MyHikariCPmax-lifetime: 1800000connection-timeout: 30000connection-test-query: SELECT 1security:user:name: userpassword: 123456
server:port: 20000
mybatis-plus:typeAliasesPackage: org.pearl.**.entityconfiguration:map-underscore-to-camel-case: truecall-setters-on-nulls: true

使用mybatis-plus代码生成器，生成相应代码。
启动项目，授权服务器基础环境配置完成

4. 搭建资源服务器

配置下不同的访问端口，添加以下依赖即可。

    <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework.security.oauth.boot</groupId><artifactId>spring-security-oauth2-autoconfigure</artifactId></dependency></dependencies>