背景介绍

网上搜索jwt有很多实现，但是大部分都是基于jjwt依赖自己实现jwt的生成逻辑，在Spring Security中结合Oauth2可以以少量代码即可实现Jwt功能，将逻辑转移到上层的框架中，可以有效的避免自写代码的安全漏洞，本项目
基于Springboot3的Spring Security搭建一套微服务的认证授权框架,和大家分享，附上GitHub代码。
Spring-security-jwt代码地址

Goals

• 实现jwt认证(Authentication)
• 实现基于jwt的方法级授权(Authorization)
• 实现在安全模式下的swagger文档(附带)

Assumption

• 本项目使用spring-boot 3.0.4，jdk版本为17
• 使用了pring-security-oauth2-authorization-server来实现Authorization server
• Jwt本身的认证功能可以通过Oauth2的spring-boot-starter-oauth2-resource-server包实现，所以本次实现去除了jjwt的依赖，借助spring-boot-starter-oauth2-resource-server和spring-boot-starter-security实现
• 为了方便调试，添加了swagger-ui支持，文档地址为/swagger-ui.html,基于springdoc而不是springfox，注解有点区别，只是简单地进行了实现

Out of scope

• Oauth2包含好几种认证机制，本次实现只用于微服务的jwt Token
• MethodSecurity有三种类型，在EnableMethodSecurity注解中声明，分别是jsr250Enabled，prePostEnabled，securedEnabled，项目实现了prePostEnabled中的@PreAuthorize和简单的@RolesAllowed。@RolesAllowed是通过Jsr250AuthorizationManager处理的，不进行展开
• 只添加了几个jwt Claim，claim的最佳实践需要自行研究，如果要更改还涉及到jwt转化。
• web-service在解析jwt的时候未做更多的自定义，可在/preAuthorize/id端点看到，直接使用了authentication.name来映射jwt中的sub, 要走Principal的需要自己转化

Approach

整体流程

本次实现包含三个部分，附上三个部分的流程图

• Jwt认证流程(图片不清晰，请参考github etc目录下plantuml文件)

  
  
  JwtAuthentication-jwt_Authentication_Diagram.png

• 基于Jwt的prePostEnabled授权流程

JwtAuorization-Jwt_PreAuthorize_Authorization_Diagram.png

• Spring Security对于url的授权流程

SpringsecurityAuthorization-Spring_Security_Authorization_Diagram.png

Components

示例代码有三个项目组成，具体参考github的README.

• Auth-Service
• Web-service
• Simple-jwt-service

Jwt认证流程解析

jwt的认证是基于Filter来做的，请求进来时FilterChain中的BearerTokenAuthenticationFilter被调用，

Screenshot 2023-04-10 at 00.09.09.png

由代码可知，这里实现了认证过程和SecurityContext的创建，我们继续authenticate，这里面持续地调用下层，到JwtAuthenticationProvider

Screenshot 2023-04-10 at 00.16.55.png

这个authenticate基本是实际认证的地方了，有两个点，一个是jwtDecoder，一个是jwtAuthenticationConverter。

• 我们先抛出一个问题：JWT到底是如何认证的？
  查看auth-service的代码，我们可以发现jwt token是基于密钥对生成的，密钥对举两个常用场景：
  1. 加密。像https,客户端使用公钥加密对称密钥，服务端使用私钥解密，在接下来的通信中使用对称密钥加密数据。
  2. 签名。像jwt，jwt三部分的最后一部分Sigature即为Auth-service使用私钥进行的签名，web-service在启动的时候会自动装配OAuth2ResourceServerJwtConfiguration类
     
     Screenshot 2023-04-10 at 00.26.29.png

里面有几个conditional的bean注入，我们看这个，当issuerUri存在时，会向auth-service拉取jwks，依据公钥生成jwtDecoder，用decoder去解析jwt(上面图中有)，这个过程也附带了认证的过程，同时这里会注册两个validator，一个是issuerUri(jwt中的iss和applicaiton.yml配置的)是否一致，一个是验证jwt有效时间，在JwtValidators.createDefaultWithIssuer()中有声明.

附 jwks example 
http://127.0.0.1:8081/oauth2/jwks

{
   "keys":[
      {
         "kty":"RSA",
         "e":"AQAB",
         "kid":"e902868c-50ec-419c-a85a-1e181794577e",
         "n":"3FlqJr5TRskIQIgdE3Dd7D9lboWdcTUT8a-fJR7MAvQm7XXNoYkm3v7MQL1NYtDvL2l8CAnc0WdSTINU6IRvc5Kqo2Q4csNX9SHOmEfzoROjQqahEcve1jBXluoCXdYuYpx4_1tfRgG6ii4Uhxh6iI8qNMJQX-fLfqhbfYfxBQVRPywBkAbIP4x1EAsbC6FSNmkhCxiMNqEgxaIpY8C2kJdJ_ZIV-WW4noDdzpKqHcwmB8FsrumlVY_DNVvUSDIipiq9PbP4H99TXN1o746oRaNa07rq1hoCgMSSy-85SagCoxlmyE-D-of9SsMY8Ol9t0rdzpobBuhyJ_o5dfvjKw"
      }
   ]
}

• jwtAuthenticationConverter转换
  在web-service的WebSecureConfig中，自定义了一个jwtAuthenticationConverter
  
  Screenshot 2023-04-10 at 00.36.12.png

这个转换器在JwtAuthenticationProvider中调用，把jwt转换成AbstractAuthenticationToken(最开始的图)，

Screenshot 2023-04-10 at 00.39.40.png

converter过程我们简单分为两部分，一部分是sub转换，一部分是权限转换。
默认权限转换时会使用jwt中的scp域，并加上SCOPE_前缀
配置中jwtGrantedAuthoritiesConverter.setAuthorityPrefix("");即为去除SCOPE_前缀

Jwt PreAuth授权解析

prePostEnabled检查是基于aop实现的，配置类为PrePostMethodSecurityConfiguration, 入口类为AuthorizationManagerBeforeMethodInterceptor,执行attemptAuthorization方法

Screenshot 2023-04-10 at 00.48.24.png

最后Spring EL表达式验证，可参考流程图,不再展开。

SpringSecurity Authorization 解析

SpringSecurity Authorization 是指对允许访问的URL的授权认证

Screenshot 2023-04-10 at 00.50.44.png

即我们在WebSecureConfig中配置的url端点授权，基于filterchain,入口为AuthorizationFilter,具体参考流程图，不再展开。

如有错误，请指正，也欢迎更好的实现。

参考文档

• Spring Security Doc
• SO上关于Method Security注解的解释
• baeldung-Spring Method Security
• baeldung-map-authorities-jwt
• JWT解析官网
• GitHub-spring-authorization-server
• Spring Authorization Server Reference
• GitHub-spring-security-samples
• Oauth2.0 RFC7519
• baeldung-springdoc-jwt