资料

本文涉及代码地址：https://gitlab.com/goddy-test/public/kong
接口文档：https://documenter.getpostman.com/view/4234097/RzZ6Jfxj
kong的介绍：https://www.jianshu.com/p/358888f2d706
kong+oauth2 postman的使用：https://www.jianshu.com/p/814a5307632b
kong+dashboard的使用：https://www.jianshu.com/p/a490dba6edfd
kong+oauth2 四种登录方式的时序图：https://www.jianshu.com/p/81289dfd8205

图解流程

kong 官方密码模式的流程图

图中可见，kong的官方设计是需要我们自己开发一个backend(后端)项目，来做客户端与kong中间层，用于拼接完整的oauth请求信息并请求至kong。但是这里的webapp backend是没有被kong管理起来的，它也需要kong来提供管理服务，理想设计为下图。

本文设计的流程图

原图在资料第一条仓库中

图例：(线段是对应颜色节点的行为)

绿色client application: 客户端，前端项目
黄色kong: kong + kong dashboard
蓝色webapp backend: 待开发的用户验证服务，需要连接用户数据库
紫色resource service: 资源服务

webapp backend 搭建

backend需要做的：

步骤1: 验证用户输入的用户名、密码（如果用户提供的手机号或者其他信息，需要转为步骤2所需要的信息)
步骤2: 拼接完整的信息，请求kong的oauth服务
步骤3: 返回kong返回它的token信息

下图是一个简单版本的backend，去除了和数据库的交互。
注：这里使用的flask框架

java(reactor)版本的backend也在代码库中: https://gitlab.com/goddy-test/public/kong/blob/master/bot-auth/docker-compose.yml。有一个坑: https://stackoverflow.com/questions/7648872/can-i-override-the-host-header-where-using-javas-httpurlconnection-class。以及java解析权限的示例项目：https://gitlab.com/goddy-test/public/kong/tree/dev/demo-resource

字段数据的来源：

grant_type: 固定写死password
client_id、client_secret、provision_key: 在kong中注册得来
username、password、authenticated_userid、scope: 用户数据库存储的

构建流程

1.docker-compose启动服务

参考：https://github.com/Kong/docker-kong/tree/master/compose

version: '2.1'
services:
  kong-database:
    image: postgres:9.5
    environment:
      - POSTGRES_USER=kong
      - POSTGRES_DB=kong
    healthcheck:
      test: ["CMD", "pg_isready", "-U", "postgres"]
      interval: 30s
      timeout: 30s
      retries: 3
    restart: on-failure
  kong:
    image: kong:latest
    command: kong start --run-migrations
    depends_on:
      kong-database:
        condition: service_healthy
    healthcheck:
      test: "kong health"
      interval: 10s
      timeout: 5s
      retries: 5
    environment:
      - KONG_DATABASE=postgres
      - KONG_PG_HOST=kong-database
      - KONG_PG_DATABASE=kong
      - KONG_ADMIN_LISTEN=0.0.0.0:8001        
    ports:
      - "8000:8000"
      - "8001:8001" # 后续需要加密
      - "8443:8443"
      - "8444:8444" # 后续需要加密
    restart: on-failure
  kong-dashboard:
    image: pgbi/kong-dashboard
    depends_on:
      kong:
        condition: service_healthy
    entrypoint: ./docker/entrypoint_dev.sh
    ports:
      - "8081:8080" # 后续需要加密，可以不使用
  kong-backend:
    image: godbaby/kong-python:1.0
    volumes:
      - "/Users/goddy/test/kong/docker/app.py:/code/app.py" # 方便测试
    ports:
      - "3000:5000" # 这里不需要暴露，只是方便调试
  kong-resource:
    image: godbaby/kong-python:1.0
    volumes:
      - "/Users/goddy/test/kong/docker/resource.py:/code/app.py" # 方便测试
    ports:
      - "3001:5000" # 这里不需要暴露，只是方便调试

2.构建kong管理服务

构建backend的service+route
构建resource的service+route
对backend加rate-limiting plugin
对resource加oauth2 plugin
详情见接口文档：https://documenter.getpostman.com/view/4234097/RzZ6Jfxj

注：这里也可以使用kong dashboard来操作。

3. 访问资源

通过kong访问backend获取token、refresh token
通过kong+token访问resource
通过kong+refresh token获取token、refresh token

Kong + Oauth 密码模式设计