认证授权需求概要
功能需求
基于开发平台的业务背景需要实现以下功能:
- 系统管理员登录平台,配置平台参数。
- 商户注册及授权登录。
- 商户客户端注册及授权。
非功能需求
- 资源授权访问支持网络隔离及非网络隔离两种模式。
- 实现JWT及Redis缓存两类授权实现方式。
认证授权概要设计
功能概要设计
基于springsecurity+oauth2协议实现。
attach_159999d42daab5dc.jpg
认证
- 开放平台管理后台针对管理员做用户密码模式认证。
- 开放平台门户基于用户密码模式或手机验证码模式认证。
- 商户客户端基于客户端做认证。
- 其它模式待需要时扩展。
授权
- 平台管理应用基于定义义模式授权。
- 平台门户基于定义义模式授权。
- 商户应用基于客户端模式授权。
-
第三方应用基于授权码模式实现授权。
attach_1595e3846b1d0bcc.jpg
- 其它模式待需要时扩展。
认证授权工程设计
uaa
uaa用于实现商户认证与授权的相关API
attach_15980ac82eaed720.png
auth-client-spring-boot-start
为了实现网络隔离的兼容性,及授权认证方式的配置切换。将与资源服务器相关的授权配置及授权方式的配置,基于spring-boot技术封装成一个组件,方便配置与开发。
attach_15980afd04f50834.png
详细设计
attach_15999a5a49c3cb4c.jpg
接口设计
- 开放平台管理后台针对管理员做用户密码模式认证。
`Header`
`Authorization:Basic base64加密({clientId}:{clientSecret})`
`POST /api-uaa/oauth/user/token?username={username}&password={password}&validCode={validCode}&deviceId={deviceId}`
- 开放平台门户基于用户密码模式或手机验证码模式认证。
`Header`
`Authorization:Basic base64加密({clientId}:{clientSecret})`
`POST /api-uaa/oauth/mobile/token?mobile={mobile}&password={password}`
- 商户客户端基于客户端做认证。
`Header`
`Authorization:Basic base64加密({clientId}:{clientSecret})`
`POST /api-uaa/oauth/token?grant_type=client_credentials&scope={scope}`
token格式
`{`
`"user_name": "admin",`
`"role": "ADMIN",`
`"scope": [`
`"app"`
`],`
`"exp": 1556459175,`
`"authorities": [`
`"ADMIN"`
`],`
`"jti": "7268f3d9-452e-490d-9b6f-c55e4c95914e",`
`"client_id": "webApp"`
`}`
网关访问服务的Header信息
`RequestContext ctx = RequestContext.getCurrentContext();`
`ctx.addZuulRequestHeader(SecurityConstants.USER_HEADER, userInfo);`
`ctx.addZuulRequestHeader(SecurityConstants.ROLE_HEADER, CollectionUtil.join(authentication.getAuthorities(), ","));`
服务设计
attach_1599cda4ecebab8c.png
模型设计
attach_1599cec2c6a3882c.jpg
非功能概要设计
-
网络隔离兼容
如果在网络隔离的情况下,资源服务器就是网关。所有服务的访问都需要通过网关路由。
attach_15980a103274cc24.png如果在非网络隔离的情况下,所有微服务都是资源服务器,都需要配置资源权限逻辑。
attach_15980a1232678bfc.png
-
授权认证方式兼容
如果是基于jwt实现认证授权,只需要生成非对称加密的公私钥,将私钥放于授权服务器加密。
在资源服务器端使用公钥对密文解密及完成鉴权的过程。
attach_15980a103274cc24 (1).png
如果是基于Reids缓存实现认证授权,需要将令牌令牌缓存到分布式缓存服务器中,实现授权服务器与资源服务器对令牌信息的共享。
attach_15980a607b4f69a4.png
部分源码分析
功能介绍:
`本公共模块主要是封装security client端的通用逻辑`
`1.DefaultResourceServerConf:`
`a.本类是封装了资源服务配置的基础功能,在网关和授权微服务实现资源服务功能继承该类;`
`b.配置了同目录下DefaultSecurityHandlerConfig封装的未登录,oauth处理失败等情况的处理办法;`
`c.实现了token存储办法,url权限控制等基础方法;`
`2.TokenStoreConfig:`
`a.读取配置文件token存储方式:db,redis,authJwt,resJwt;`
`b.com.hxhealth.oauth2.common.store包下是token各个存储方式的具体实现方法,若需拓展某存储功能可扩展对应类;`
`3.SecurityProperties:`
`a.通过配置文件读取认证配置,放权白名单url,验证码配置;`
`b.同目录下AuthProperties,PermitProperties,ValidateCodeProperties是具体实现;`
`4.IPermissionService:`
`a.权限判断的基类,资源服务必须根据具体情况实现;`
`5.AuthUtils:`
`a.工具类-请求token以及header处理方法;`
模块使用:
`1.平台网关(zuul-gateway)和授权服务(uaa)使用了该公共模块;`
`2.配置资源服务时需继承DefaultResourceServerConf;
@EnableConfigurationProperties(SecurityProperties.class)导入认证相关配置;`
`@Import(TokenStoreConfig.class)导入token处理的配置;然后定制相应功能;`
