Spring Boot、Spring Security、Oauth2实现的权限控制和认证服务

秒速五厘米 2024-03-27 18:00 51阅读 0赞

### Spring Boot、Spring Security、Oauth2实现的权限控制和认证服务 ###

> 基于Spring Boot、Spring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等

### 一.简介 ###

该项目是基于Spring Boot搭建而成,通过Spring Security以及Spring Security Oauth2等,实现RBAC权限模型。其中包含了登录授权功能,以及第三方oauth授权和获取资源信息功能等。

### 二.OAuth2 协议的授权模式介绍 ###

#### 1.授权码模式(Authorization Code) ####

功能最完整，流程最严密的授权模式。国内各大服务提供商（微信、QQ、微博、淘宝 、百度）都采用此模式进行授权。可以确定是用户真正同意授权。

#### 2.简化模式(Implicit) ####

令牌是发放给浏览器的，oauth客户端运行在浏览器中 ，通过JS脚本去申请令牌。不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌 ，不需要先获取授权码。  
直接可以一次请求就可得到令牌，在 redirect\_uri 指定的回调地址中传递令牌（ access\_token ）。

#### 3.密码模式(Resource Owner Password Credentials) ####

将用户名和密码传过去，直接获取 access\_token 。用户同意授权动作是在第三方应用上完成 ，而不是在认证服务器上。第三方应用申请令牌时，直接带着用户名密码去向认证服务器申请令牌。这种方式认证服务器无法断定用户是否真的授权了，用户名密码可能是第三方应用盗取来的。

#### 4.客户端证书模式(Client credentials) ####

用得少。当一个第三应用自己本身需要获取资源（而不是以用户的名义），而不是获取用户的资源时，客户端模式十分有用。

### 三.令牌管理策略介绍 ###

*  内存存储采用的是 TokenStore 接口的默认实现类 InMemoryTokenStore , 开发时方便调试，适用单机版。
 *  RedisTokenStore 将令牌存储到 Redis 非关系型数据库中，适用于并发高的服务。
 *  JdbcTokenStore 基于 JDBC 将令牌存储到 关系型数据库中，可以在不同的服务器之间共享令牌。
 *  JwtTokenStore （JSON Web Token）将用户信息直接编码到令牌中，这样后端可以不用存储它，资源服务器可以直接解析获取用户数据。

### 四.为什么使用jwt令牌方式 ###

当认证服务器和资源服务器不是在同一工程时, 要使用 ResourceServerTokenServices 去远程请求认证服务器来校验  
令牌的合法性，如果用户访问量较大时将会影响系统的性能。

此时,采用 JWT 格式就可以解决上面的问题。  
因为当用户认证后获取到一个JWT令牌，而这个 JWT 令牌包含了用户基本信息，客户端只需要携带JWT访问资源服  
务器，资源服务器会通过事先约定好的算法进行解析出来，然后直接对 JWT 令牌校验，不需要每次远程请求认证服  
务器完成授权。

当然并不是说jwt管理令牌是最优的方式,该方式也是存在着一定的不足的…

### **五.后端技术选型**： ###

*  Spring Boot 2.6.0
 *  Spring Security 2.6.6
 *  Spring Security oauth 2 2.2.6.RELEASE
 *  jjwt 0.7.0
 *  MyBatis 3.5.5
 *  MyBatis-Plus 3.4.3.4
 *  MySQL 5.1.30
 *  …

### 六.后端项目结构: ###

主要的三个模块项目

1.  platform-auth-server即认证服务
2.  platform-common即公共服务
3.  platform-resources-server即资源服务

### 七.相关配置解读: ###

platform-auth-server:

micai-platform-auth:
      #jwt-token登录相关配置
      token:
        #sign key
        sign-key: micai-security-@Jwt!&Secret^#
        #jwt 过期时间 单位:分钟
        timeout: 60
        # token名称
        token-name: Authorization
        # token前缀
        token-prefix: Bearer
      #oauth
      oauth-auth:
        #sign key
        sign-key: micai-oauth2-@Jwt!&Secret^#

platform-resources-server:

micai-platform-auth:
      #jwt相关配置
      token:
        #sign key
        sign-key: micai-security-@Jwt!&Secret^#
        #jwt 过期时间 单位:分钟
        timeout: 60
        # token名称
        token-name: Authorization
        # token前缀
        token-prefix: Bearer
    
      oauth-resources:
        #sign key
        sign-key: micai-oauth2-@Jwt!&Secret^#
        #资源id
        resource-ids: resources-server
        #过滤器匹配路径 可以使用**
        request-matcher:
          - /demo/**
          - /user/list

注意:

*  在oauth-resources. request-matcher下配置了的路径,代表该接口是需要携带oauth生成的access\_token,其他默认的接口是需要携带登录生成的token
 *  认证服务和资源服务配置的sign-key需要统一,不然会导致携带的token无法获取对应的资源

### 八.项目流程图: ###

![在这里插入图片描述][9c47977b1df7414fb311facd2464311c.png_pic_center]

#### 本系统登录授权流程: ####

1.  调用登录接口http://localhost:8080/login 返回token令牌

curl --location --request POST 'http://localhost:8080/login' \
    --header 'Content-Type: application/json' \
    --data-raw '{
        "username":"root","password":"root"}'

2.携带返回的token信息,访问需要获取资源接口

#### 第三方应用授权流程: ####

##### 授权码模式流程: #####

1.  调用登录接口http://localhost:8080/login 返回token令牌

curl --location --request POST 'http://localhost:8080/login' \
    --header 'Content-Type: application/json' \
    --data-raw '{
        "username":"root","password":"root"}'

2.携带返回的token信息,访问oauth2授权接口,使用**授权码模式**http://localhost:8080/oauth/authorize?response\_type=code&client\_id=pc,重定向到设定的**web\_server\_redirect\_uri**地址并且拼接了授权码信息

curl --location --request GET 'http://localhost:8080/oauth/authorize?response_type=code&client_id=pc' \
    --header 'Authorization: Bear xxxxxx'

如图所示:\[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9oH0CXda-1676523779300)(./doc/README.assets/image-20221228140017204.png)\]

3.根据获取的授权码信息,调用获取access\_token信息http://localhost:8080/oauth/token?grant\_type=authorization\_code&client\_id=pc&client\_secret=admin&code=fQxVEU

curl --location --request POST 'http://localhost:8080/oauth/token?grant_type=authorization_code&client_id=pc&client_secret=admin&code=fQxVEU'

返回的信息,如下:

{
        
       		           "access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjb20iOiJsaXVjb25nIiwid2l0aCI6Im1pY2FpIiwiYXVkIjpbInJlc291cmNlcy1zZXJ2ZXIiXSwidXNlcl9uYW1lIjoiMS1yb290LVt",
    "token_type": "bearer",
    "refresh_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJjb20iOiJsaXVjb25nIiwid2l0aCI6Im1pY2FpIiwiYXVkIjpbInJlc291cmNlcy1zZXJ2ZXIiXSwidXNlcl9uYW1lIjoiMS1yb290LVtcIlJPTEVfcm9vdFwiLFwi",
        "expires_in": 43199,
        "scope": "pc",
        "author": "liucong",
        "jti": "cfc312f6-c38f-4670-9140-9985372cb7c9"
    }

access\_token:返回的token令牌,可以访问对应资源服务;

token\_type:token类型,token前缀

expires\_in:过期时间

scope:作用范围

author:通过实现TokenEnhancer,添加自定义信息

jti:jwt唯一标识

4.携带access\_token信息,访问需要获取资源接口

##### 密码模式流程: #####

调用接口地址

curl --location --request POST 'http://localhost:8080/oauth/token?username=root&password=root&grant_type=password&client_id=pc&client_secret=admin'

返回对象,返回相关的access\_token 、 expires\_in 、 scope 等相关信息,如授权码模式

##### 简化模式流程: #####

调用接口地址

http://localhost:8080/oauth/authorize?response_type=token&client_id=pc

会跳转到指定的 redirect\_uri ，回调路径携带着令牌 access\_token 、 expires\_in 、 scope 等相关信息,如图所示:

![在这里插入图片描述][692d2f389cc54d0dbb7d23322b421d59.png_pic_center]

##### 客户端模式流程: #####

该使用的情况比较少,大家可以自行体验

### 九.swagger地址: ###

我们使用的是knife4j

[Knife4j · 集Swagger2及OpenAPI3为一体的增强解决方案. | Knife4j (xiaominfo.com)][Knife4j _ _Swagger2_OpenAPI3_. _ Knife4j _xiaominfo.com]

*  platform-auth-server:http://localhost:8080/doc.html
 *  platform-resources-server:http://localhost:8081/doc.html

### 十.联系我们 ###

请查看个人资料

**git地址**：https://gitee.com/micai-code/micai-platform-auth

[9c47977b1df7414fb311facd2464311c.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/27/6316d0b9f6a848faac22c29d568e2943.png
[692d2f389cc54d0dbb7d23322b421d59.png_pic_center]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/27/d505bb209dd0405890b38bd3dd5a4f3d.png
[Knife4j _ _Swagger2_OpenAPI3_. _ Knife4j _xiaominfo.com]: https://doc.xiaominfo.com/