spring cloud实战（五）UAA

我们以spring cloud security OAuth2.0+JWT为案例分析如何搭建自己的用户认证中心（UAA: User Account and Authentication）。spring cloud security的安全体系庞大而复杂。先看看关键的依赖包的关系：

以上是搭建一个UAA所需要最核心的jar包，我等凡人实在无法在有限的时间内阅读完所有spring security的源代码。只能通过关键的过程看看最核心的功能。

基本配置

基于以上我们看到的依赖链，我们只需要引入很少的jar包就可以搭建起来UAA。

pom.xml配置：

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-jwt</artifactId><!-- spring-security-jwt不在parent版本管理中，需要配置版本号 --><version>1.0.10.RELEASE</version>
</dependency>

application.yml配置

security:oauth2:authorization: token-key-access: permitAll()jwt: key-store: classpath:jwt-rsa.jkskey-store-password: passwdkey-alias: mytest

配置过程分析

spring cloud security oauth2的自动配置在spring boot2.0已经移动到spring-security-oauth2-autoconfigure.jar中。该工程导入了OAuth2AutoConfiguration自动配置。

OAuth2AutoConfiguration的引入链为：

OAuth2AutoConfiguration=> OAuth2ClientProperties=> OAuth2AuthorizationServerConfiguration=> AuthorizationServerTokenServicesConfiguration=> AuthorizationServerProperties=> OAuth2ResourceServerConfiguration=> ResourceServerTokenServicesConfiguration=> OAuth2MethodSecurityConfiguration=> OAuth2RestOperationsConfiguration

我们自建UAA需要通过@EnableAuthorizationServer引入认证中心的相关配置。

@EnableAuthorizationServer的引入链为

@EnableAuthorizationServer=> AuthorizationServerEndpointsConfiguration=> TokenKeyEndpointRegistrar=> AuthorizationServerSecurityConfiguration=> ClientDetailsServiceConfiguration=> AuthorizationServerEndpointsConfiguration

我们的认证中心自身也需要得到安全管理，spring-boot-autoconfigure.jar通过WebSecurityEnablerConfiguration导入了@EnableWebSecurity。但我们通常需要重载这个注解。

@EnableWebSecurity的引入链为：

@EnableWebSecurity=> WebSecurityConfiguration=> SpringWebMvcImportSelector=> WebMvcSecurityConfiguration=> OAuth2ImportSelector

OAuth2AutoConfiguration为我们自动引入了AuthorizationServerTokenServicesConfiguration和ResourceServerTokenServicesConfiguration。这两个java config根据配置文件初始化不同的TokenService。由于我们配置了security.oauth2.authorization.jwt，所以初始化了JwkTokenStore。

security.oauth2.authorization.jwt.key-store配置的是在classpath下的一个RSA密钥文件。

我们需要通过keytool生成keystore：

keytool -genkeypair -alias mytest -keyalg RSA -keypass passwd -keystore jwt-rsa.jks -storepass passwd

ResourceServerTokenServicesConfiguration的配置在不同环境下有不同的初始化方案。

我们实际开发过程中只需要根据需要配置security.oauth2.resource.jwt参数即可。

测试OAuth2.0接口：

客户端模式
curl first-client:se@localhost:8100/oauth/token -dgrant_type=client_credentials -dscope=any账号密码模式
curl first-client:se@localhost:8100/oauth/token -dgrant_type=password -dscope=any  -d username=test -d password=test通过refresh_token刷新access_token
curl first-client:se@localhost:8100/oauth/token -d grant_type=refresh_token -dscope=any -d refresh_token=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9。。。获取JWK
curl first-client:se@localhost:8100/oauth/token_key请求资源
curl -H "Authorization: $TOKEN" http://localhost:8101/whoami

参考

Using JWT with Spring Security OAuth： https://www.baeldung.com/spring-security-oauth-jwt