Spring Cloud Security: начало работы с Oauth2

Адрес фактического проекта электронной коммерции SpringBoot (20k+star):GitHub.com/macro-positive/…

Резюме

Spring Cloud Security предоставляет ряд решений для создания безопасных приложений SpringBoot. В сочетании с Oauth2 он может реализовывать такие функции, как единый вход, ретрансляция токенов и обмен токенами. В этой статье подробно рассказывается об Oauth2.

Введение в OAuth2

OAuth 2.0 — это стандартный отраслевой протокол для авторизации. OAuth 2.0 предоставляет специальные потоки авторизации для упрощения разработки клиентов, включая веб-приложения, настольные приложения, мобильные приложения и многое другое.

Объяснение терминов, связанных с OAuth2

• Владелец ресурса: конечный пользователь, которому принадлежит ресурс, у него есть пароль учетной записи для доступа к ресурсу;
• Сервер ресурсов: сервер, который владеет защищенным ресурсом и может получить доступ к ресурсу, если запрос содержит правильный токен доступа;
• Клиент (клиент): клиент, обращающийся к ресурсу, будет использовать токен доступа для получения ресурса сервера ресурсов, который может быть браузером, мобильным устройством или сервером;
• Сервер авторизации: сервер, используемый для аутентификации пользователей.Если клиент проходит аутентификацию, он выдает токен для доступа к ресурсному серверу.

Четыре режима авторизации

• Код авторизации (режим кода авторизации): аутентичный режим авторизации OAuth2, клиент сначала направляет пользователя на сервер аутентификации, получает код авторизации после входа в систему, затем выполняет авторизацию и, наконец, получает токен доступа в соответствии с кодом авторизации;
• Неявный (упрощенный режим): по сравнению с режимом кода авторизации процесс получения кода авторизации отменяется, и токен доступа получается напрямую;
• Учетные данные пароля владельца ресурса (режим пароля): клиент получает имя пользователя и пароль непосредственно от пользователя, а затем получает токен доступа от сервера проверки подлинности;
• Учетные данные клиента (режим клиента): клиент получает токен доступа с сервера аутентификации напрямую через аутентификацию клиента (например, client_id и client_secret).

Два распространенных режима авторизации

Режим кода авторизации

• (A) клиент направляет пользователя на сервер аутентификации;
• (B) Пользователь входит в систему и авторизует сервер аутентификации;
• (C) Сервер аутентификации возвращает код авторизации клиенту;
• (D) Клиент получает токен доступа с сервера аутентификации через код авторизации и адрес перехода;
• (E) Сервер аутентификации выдает токен доступа (необходимо принести токен обновления).

режим пароля

• (A) клиент получает имя пользователя и пароль от пользователя;
• (B) Клиент получает доступ к серверу аутентификации через имя пользователя и пароль пользователя;
• (C) Сервер аутентификации возвращает токен доступа (необходимо принести токен обновления).

Использование Oauth2

Создайте модуль сервера oauth2

Здесь мы создаем модуль oauth2-server для использования в качестве сервера аутентификации.

• Добавьте связанные зависимости в pom.xml:

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

• Настройте в application.yml:

server:
  port: 9401
spring:
  application:
    name: oauth2-service

• Добавьте UserService для реализации интерфейса UserDetailsService для загрузки информации о пользователе:

/**
 * Created by macro on 2019/9/30.
 */
@Service
public class UserService implements UserDetailsService {
    private List<User> userList;
    @Autowired
    private PasswordEncoder passwordEncoder;

    @PostConstruct
    public void initData() {
        String password = passwordEncoder.encode("123456");
        userList = new ArrayList<>();
        userList.add(new User("macro", password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));
        userList.add(new User("andy", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
        userList.add(new User("mark", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<User> findUserList = userList.stream().filter(user -> user.getUsername().equals(username)).collect(Collectors.toList());
        if (!CollectionUtils.isEmpty(findUserList)) {
            return findUserList.get(0);
        } else {
            throw new UsernameNotFoundException("用户名或密码错误");
        }
    }
}

• Добавьте конфигурацию сервера аутентификации и включите ее с помощью аннотации @EnableAuthorizationServer:

/**
 * 认证服务器配置
 * Created by macro on 2019/9/30.
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserService userService;

    /**
     * 使用密码模式需要配置
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("admin")//配置client_id
                .secret(passwordEncoder.encode("admin123456"))//配置client_secret
                .accessTokenValiditySeconds(3600)//配置访问token的有效期
                .refreshTokenValiditySeconds(864000)//配置刷新token的有效期
                .redirectUris("http://www.baidu.com")//配置redirect_uri，用于授权成功后跳转
                .scopes("all")//配置申请的权限范围
                .authorizedGrantTypes("authorization_code","password");//配置grant_type，表示授权类型
    }
}

• Добавьте конфигурацию сервера ресурсов и включите ее с помощью аннотации @EnableResourceServer:

/**
 * 资源服务器配置
 * Created by macro on 2019/9/30.
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .requestMatchers()
                .antMatchers("/user/**");//配置需要保护的资源路径
    }
}

• Добавьте конфигурацию SpringSecurity, чтобы разрешить доступ к путям, связанным с аутентификацией, и форме входа:

/**
 * SpringSecurity配置
 * Created by macro on 2019/10/8.
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf()
                .disable()
                .authorizeRequests()
                .antMatchers("/oauth/**", "/login/**", "/logout/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .permitAll();
    }
}

• Добавьте интерфейс, требующий авторизации для тестирования:

/**
 * Created by macro on 2019/9/30.
 */
@RestController
@RequestMapping("/user")
public class UserController {
    @GetMapping("/getCurrentUser")
    public Object getCurrentUser(Authentication authentication) {
        return authentication.getPrincipal();
    }
}

Использование режима кода авторизации

• Запустите службу oauth2-сервера;
• Получите доступ к этому адресу в браузере для авторизации входа:http://localhost:9401/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all&state=normal
• Введите пароль учетной записи для входа:

• После авторизации авторизируйте операцию:

• После этого браузер перейдет на указанный нами путь с кодом авторизации:

https://www.baidu.com/?code=eTsADY&state=normal

• Запросите этот адрес с кодом авторизации, чтобы получить токен доступа:http://localhost:9401/oauth/token

• Используйте обычную аутентификацию для создания информации заголовка авторизации через client_id и client_secret;

• Добавьте следующую информацию о параметрах в тело и получите токен доступа через запрос POST;

• Добавьте токен доступа в заголовок запроса, получите доступ к интерфейсу, который требует аутентификации входа для тестирования, и обнаружите, что доступ к нему был успешно выполнен:http://localhost:9401/user/getCurrentUser

использование режима пароля

• Запросите этот адрес с паролем, чтобы получить токен доступа:http://localhost:9401/oauth/token

• Используйте обычную аутентификацию для создания информации заголовка авторизации через client_id и client_secret;

• Добавьте следующую информацию о параметрах в тело и получите токен доступа через запрос POST;

используемые модули

springcloud-learning
└── oauth2-server -- oauth2认证测试服务

Адрес исходного кода проекта

GitHub.com/macro-positive/…

публика

проект торгового центраПолный набор учебных пособий сериализуется,Обратите внимание на общедоступный номерПолучите это прямо сейчас.