springboot-oauth（二）.jpeg

前言

上一篇我们已经用最简单的方式，搭建了一个授权方式是 client_credentials 的 Oauth2 的流程。那么现在，在此基础上，我们就再往前迈一步，我们把 client 信息和 token 存储到数据库当中，方便我们管理。并且密码需要保证安全，那么就需要加密。目标明确，那我们开始吧！

client&token存储到数据库

步骤：

1. 数据库准备：只创建我们需要用到的表
2. 添加数据库相关依赖：使用 mysql 数据库
3. Oauth 存储配置的设置
4. 验证

数据库准备

在本地数据库，创建两张表：

• 一张表存储 client 相关信息
• 另一张表存储 token

# client 相关信息
create table oauth_client_details
(
    client_id               VARCHAR(256) PRIMARY KEY comment '必填，Oauth2 client_id',
    resource_ids            VARCHAR(256) comment '可选，资源id集合，多个资源用英文逗号隔开',
    client_secret           VARCHAR(256) comment '必填，Oauth2 client_secret',
    scope                   VARCHAR(256) comment '必填，Oauth2 权限范围，比如 read，write等可自定义',
    authorized_grant_types  VARCHAR(256) comment '必填，Oauth2 授权类型，支持类型：authorization_code,password,refresh_token,implicit,client_credentials，多个用英文逗号隔开',
    web_server_redirect_uri VARCHAR(256) comment '可选，客户端的重定向URI,当grant_type为authorization_code或implicit时,此字段是需要的',
    authorities             VARCHAR(256) comment '可选，指定客户端所拥有的Spring Security的权限值',
    access_token_validity   INTEGER comment '可选，access_token的有效时间值(单位:秒)，不填写框架(类refreshTokenValiditySeconds)默认12小时',
    refresh_token_validity  INTEGER comment '可选，refresh_token的有效时间值(单位:秒)，不填写框架(类refreshTokenValiditySeconds)默认30天',
    additional_information  VARCHAR(4096) comment '预留字段，格式必须是json',
    autoapprove             VARCHAR(256) comment '该字段适用于grant_type="authorization_code"的情况下，用户是否自动approve操作'
);

# token 存储
create table oauth_access_token
(
    token_id          VARCHAR(256) comment 'MD5加密后存储的access_token',
    token             BLOB comment 'access_token序列化的二进制数据格式',
    authentication_id VARCHAR(256) PRIMARY KEY comment '主键，其值是根据当前的username(如果有),client_id与scope通过MD5加密生成的,具体实现参见DefaultAuthenticationKeyGenerator',
    user_name         VARCHAR(256),
    client_id         VARCHAR(256),
    authentication    BLOB comment '将OAuth2Authentication对象序列化后的二进制数据',
    refresh_token     VARCHAR(256) comment 'refresh_token的MD5加密后的数据'
);

之后，我们需要添加自定义 Client 信息。本次演示添加的 Client 信息如下（尽量能不配置就不配置）：

INSERT INTO oauth_client_details (client_id, resource_ids, client_secret, scope, authorized_grant_types, web_server_redirect_uri, authorities, access_token_validity, refresh_token_validity, additional_information, autoapprove) VALUES ('gold', 'res', '{noop}123456', 'write', 'client_credentials', null, null, null, null, null, null);

说明

1. 在官方给出的源码当中，是有对应的 schema.sql 文件，这里只创建涉及我们示例中需要的表
2. 对两张表的操作，我们可以去看这两个类：JdbcClientDetailsService & JdbcTokenStore
3. 此外本示例，添加了 resource_ids ，注意在配置 ResourceServerSecurityConfigurer 中对应

Pom

    <dependency>
      <groupId>mysql</groupId>
      <artifactId>mysql-connector-java</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-jdbc</artifactId>
    </dependency>

认证服务器代码修改

@Configuration
@EnableAuthorizationServer
public class MyAuthorizationServerConfigurer extends AuthorizationServerConfigurerAdapter {

    private final DataSource dataSource;

    public MyAuthorizationServerConfigurer(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(new JdbcTokenStore(dataSource));
    }
}

上述代码只显示改动的部分，修改 client 的配置和 tokenStore 的配置，都进行添加数据源即可

请求 token

下面的请求是在 postman 中进行的。 base_url 为设置的全局变量，实际为 http://127.0.0.1:8080

image-20200901102558730

获取资源

image-20200901102640629

观察数据库

image-20200901102741912

由于 token 在数据库是存储的是二进制形式，但是我们通过 client_id 数据，可以看出是我们刚刚请求的 client。

到此为止我们已经是实现了，把 client 及 token 信息存储到数据库了，这样更便于我们对 client 及 token 数据的管理。但是数据库存储明文密码是不安全，那么接下来，我们对 client_secret 进行加密。

client_secret 加密

配置 passwordEncoder

SpringBoot Oauth 本身支持的加密算法有很多种，详细信息可以看类 PasswordEncoderFactories ，包括我们最常用的 MD5、SHA 等，我们使用 bcrypt 加密算法， 那么直接配置支持全部算法的 passwordEncoder ，即 DelegatingPasswordEncoder 。

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
                    clients.jdbc(dataSource).passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder());

}

加密 client_secret

既然我们这次使用 bcrypt 加密， 直接可以找到 BCryptPasswordEncoder ，通过它可以给我们的密码进行加密，并把密码存储于数据库当中。

@NoArgsConstructor(access = AccessLevel.PRIVATE)
public class PasswordEncodeUtil {

    private static final BCryptPasswordEncoder bcryptEncoder = new BCryptPasswordEncoder();

    public static String bcryptEncode(String password) {
        return bcryptEncoder.encode(password);
    }

    public static String genOauthEncodePwd(String password) {
        return "{bcrypt}" + bcryptEncode(password);
    }


    public static void main(String[] args) {
        String oriPwd = "123456";
        System.out.println(genOauthEncodePwd(oriPwd));

    }
}

原密码：123456
加密后密码：{bcrypt}10$NPxtsEUMmBGTlzVXlT.scubSCXNEDlBAq2r2t7iQFB/.RaNBlh0nO

image-20200901113958428

注意：加密密码的前缀 大括号 "{xxx}"，是指定算法名称。因为框架支持多种算法那么必须需要带有算法前缀。

请求获取 token

下面的请求是在 postman 中进行的。 base_url 为设置的全局变量，实际为 http://127.0.0.1:8080

获取token

请求资源

请求资源

小结

本文主要是以 client_credentials 的授权方式，把 client 和 token 信息存储在数据库当中，来方便我们管理。同时，为了保证密码的安全，我们把 client_secret 用 bcrypt 算法进行了加密操作，并存储到数据库当中。挺简单的吧，那动起来，实现一下吧！

个人水平有限，欢迎大家指正，一起交流哦~~~

demo：https://github.com/goldpumpkin/learn-demo/tree/master/springboot-oauth

Reference:

1. spring-oauth-server 数据库表说明