一、OAuth2.0介绍

OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容

通过例子去理解OAuth2.0协议的认证流程:

用户借助微信认证登录网站,用户就不用单独在网站注册用户,怎么样算认证成功吗?网站需要成功从微信获取用户的身份信息则认为用户认证成功,那如何从微信获取用户的身份信息?用户信息的拥有者是用户本人,微信需要经过用户的同意方可为网站生成令牌,网站拿此令牌方可从微信获取用户的信息。

  1. 客户端请求第三方授权 ,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。
  2. 资源拥有者同意给客户端授权 , 验证通过后,微 信会询问用户是否给授权访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到网站。
  3. 客户端获取到授权码,请求认证服务器申请令牌,客户端应用程序请求认证服务器,请求携带授权码。
  4. 认证服务器向客户端响应令牌,微信认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。
  5. 客户端请求资源服务器的资源 ,客户端携带令牌访问资源服务器的资源
  6. 资源服务器返回受保护资源,资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。
image-20211224170208202

OAuth2.0认证流程

image-20211224170519263

OAauth2.0包括以下角色:

  1. 客户端 :本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏览器端)、微信客户端等。
  2. 资源拥有者 :通常为用户,也可以是应用程序,即该资源的拥有者。
  3. 授权服务器(也称认证服务器):用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。
  4. 资源服务器 :存储资源的服务器,本例子为微信存储的用户信息。

现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?答案是否定的,服务提供商会 给准入的接入方一个身份,用于接入时的凭据:

client_id:客户端标识 client_secret:客户端秘钥

因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者客户端

二、 Spring Cloud Security OAuth2

OAuth2.0的服务提供方涵盖两个服务,即授权服务 (Authorization Server,也叫认证服务) 和资源服务 (Resource Server),使用 Spring Security OAuth2 的时候你可以选择把它们在同一个应用程序中实现,也可以选择建立使用 同一个授权服务的多个资源服务。

授权服务 (Authorization Server**)**应包含对接入端以及登入用户的合法性进行验证并颁发token等功能,对令牌 的请求端点由 Spring MVC 控制器进行实现,下面是配置一个认证服务必须要实现的endpoints:

  • AuthorizationEndpoint 服务于认证请求。默认 URL: /oauth/authorize

  • TokenEndpoint 服务于访问令牌的请求。默认 URL: /oauth/token

资源服务 (Resource Server),应包含对资源的保护功能,对非法请求进行拦截,对请求中token进行解析鉴 权等,下面的过滤器用于实现 OAuth 2.0 资源服务:

  • OAuth2AuthenticationProcessingFilter用来对请求给出的身份令牌解析鉴权。
image-20211224171330686

认证流程如下:

  1. 客户端请求UAA授权服务进行认证。
  2. 认证通过后由UAA颁发令牌。
  3. 客户端携带令牌Token请求资源服务。
  4. 资源服务校验令牌的合法性,合法即返回资源信息。

二、搭建环境

模块介绍

创建一个父工程distribute-security

1
2
1. distributed-security-order 	资源服务
2. distributed-security-uaa 	授权服务

授权服务器配置

1.EnableAuthorizationServer

@EnableAuthorizationServer 注解并继承AuthorizationServerConfifigurerAdapter来配置OAuth2.0 授权 服务器。 

1
2
3
4
5
@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

}

AuthorizationServerConfifigurerAdapter要求配置以下几个类,这几个类是由Spring创建的独立的配置对象,它们 会被Spring传入AuthorizationServerConfifigurer中进行配置。 

1
2
3
4
public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer { public AuthorizationServerConfigurerAdapter() {} 
                                                                                            public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {} 
                                                                                            public void configure(ClientDetailsServiceConfigurer clients) throws Exception {} 
                                                                                            public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {} }
  • ClientDetailsServiceConfifigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
  • AuthorizationServerEndpointsConfifigurer:用来配置令牌(token)的访问端点和令牌服务(token services)。
  • AuthorizationServerSecurityConfifigurer:用来配置令牌端点的安全约束.

2.配置客户端详细信息

ClientDetailsServiceConfifigurer 能够使用内存或者JDBC来实现客户端详情服务(ClientDetailsService), ClientDetailsService负责查找ClientDetails,而ClientDetails有几个重要的属性如下列表:

  • clientId:(必须的)用来标识客户的Id。

  • secret:(需要值得信任的客户端)客户端安全码,如果有的话。

  • scope:用来限制客户端的访问范围,如果为空(默认)的话,那么客户端拥有全部的访问范围。

  • authorizedGrantTypes:此客户端可以使用的授权类型,默认为空。

  • authorities:此客户端可以使用的权限(基于Spring Security authorities)