概述
OAuth 2.0是用于授权的行业标准协议,允许用户授权第三方应用访问他们存储在其他服务上的信息,而不需要将用户名和密码提供给第三方应用。OAuth 2.0取代了在2006年创建的原始OAuth协议,是OAuth协议的延续版本,但不向后兼容。
一、OAuth2 角色
- 资源所有者 ( 用户 )
- 客户端 ( 第三方应用 )
- 授权服务器 ( 对客户端发送的请求信息进行验证并返回token的服务器 )
- 资源服务器 ( 提供用户资源的服务器 )
授权服务器和资源服务器可以是同一台服务器
二、授权类型
-
authorization_code授权码模式:是功能最完整、流程最严密的授权模式。它的特点就是通过客户端服务器与服务端服务器交互,常见的第三方平台登录功能基本使用这种模式。 -
implicit简化模式:不需要客户端服务器参与,直接通过浏览器向授权服务器申请令牌。 -
password密码模式:用户将账号和密码直接告诉第三方客户端,客户端使用这些信息向授权服务器申请令牌(需要用户对客户端高度信任)。 -
client_credentials客户端模式:客户端使用自身向授权服务器申请授权,不需要用户参与。
三、实践
⚠️以下实例主要介绍密码模式
授权服务器
在application.yml中配置redis
spring:
redis:
host: xxx.xxx.xxx.xxx
port: 6379
创建 WebSecurityConfigure类:
@Configuration
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
@Override
protected UserDetailsService userDetailsService() {
return super.userDetailsService();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 基于内存的认证
auth.inMemoryAuthentication()
.withUser("user")
.password(new BCryptPasswordEncoder().encode("123456"))
.roles("USER")
.and()
.withUser("ruoshy")
.password(new BCryptPasswordEncoder().encode("123456"))
.roles("ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/oauth/**")
.permitAll()
.and()
.csrf().disable();
}
}
该类将 AuthenticationManager,UserDetailsService添加到bean在OAuth配置类中进行配置,并配置基于内存的用户和请求拦截。
创建 OAuthSecurityConfigure类:
@Configuration
@EnableAuthorizationServer
public class OAuthSecurityConfigure extends AuthorizationServerConfigurerAdapter {
@Resource
private AuthenticationManager authenticationManager;
@Resource
private RedisConnectionFactory redisConnectionFactory;
@Resource
private UserDetailsService userDetailsService;
/**
* 配置编码器
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security.tokenKeyAccess("permitAll()").checkTokenAccess("permitAll()")
.allowFormAuthenticationForClients();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory() // 基于内存
.withClient("app") //授权客户端
.secret(passwordEncoder().encode("app-secret")) //授权码
.accessTokenValiditySeconds((int) TimeUnit.HOURS.toSeconds(1)) // 授权过期时间
.authorizedGrantTypes("password", "refresh_token") // 授权模式
.scopes("all") // 授权范围
.resourceIds("rid"); // 授权资源
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory)) // token存储仓库
.authenticationManager(authenticationManager)
.userDetailsService(userDetailsService);
}
}
完成以上配置,授权服务器就简单的完成了。
资源服务器
在application.yml中配置:
security:
oauth2:
client:
user-authorization-uri: http://localhost:8080/oauth/authorize
access-token-uri: http://localhost:8080/oauth/token
client-secret: app-secret
client-id: app
resource:
token-info-uri: http://localhost:8080/oauth/check_token
server:
port: 8081
创建 ResourceConfigure类:
@EnableResourceServer
@Configuration
public class ResourceConfigure extends ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources.resourceId("rid");
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/admin/**").hasRole("ADMIN");
}
}
以上资源服务器也简单的完成了
创建Controller类进行测试:
@RestController
public class ResourceController {
@RequestMapping("/user")
public String user() {
return "user";
}
@RequestMapping("/admin")
public String admin() {
return "admin";
}
}
请求授权服务器获取Token(access_token):
token
使用ADMIN权限账户请求资源服务器:
http://localhost:8081/admin?access_token=23739aad-58ba-4c65-8f4c-9f1d96d87f46
/admin
http://localhost:8081/user?access_token=23739aad-58ba-4c65-8f4c-9f1d96d87f46
/user
当然资源服务器和授权服务器可以为同一台,可以将以上资源服务器的资源配置类和Controller类添加到授权服务器上(application.yml不需要)即可实现相同的功能。
四、基于数据库的认证
配置用户基于数据库认证可以参阅该篇文章:
https://www.jianshu.com/p/a1d47c1d2be4
(配置用户基于数据库认证需要删除以上WebSecurityConfigure类中配置的userDetailsService()方法)
配置客户端信息服务配置基于数据库:
数据库SQL
CREATE TABLE `oauth_client_details` (
`client_id` varchar(20) NOT NULL,
`resource_ids` varchar(256) DEFAULT NULL,
`client_secret` varchar(255) DEFAULT NULL,
`scope` varchar(255) DEFAULT NULL,
`authorized_grant_types` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
`web_server_redirect_uri` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
`authorities` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
`access_token_validity` int(11) DEFAULT NULL,
`refresh_token_validity` int(11) DEFAULT NULL,
`autoapprove` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
`additional_information` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL,
PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
data
在application.yml中配置mysql并在以上OAuthSecurityConfigure类中注入DataSource将configure(ClientDetailsServiceConfigurer clients)方法中基于内存的认证修改为:
@Resource
private DataSource dataSource;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.jdbc(dataSource);
}
完成以上步骤就可以通过数据库来动态的管理授权信息了。
