JAVA 多用户商城系统b2b2c-SSO单点登陆之OAuth2.0登陆认证

以前写了不少关于spring cloud的文章，须要JAVA Spring Cloud大型企业分布式微服务云构建的B2B2C电子商务平台源码 一零三八七七四六二六 ，今天咱们对OAuth2.0的整合方式作一下笔记，首先我从网上找了一些关于OAuth2.0的一些基础知识点，帮助你们回顾一下知识点：

1、oauth中的角色

client：调用资源服务器API的应用

Oauth 2.0 Provider：包括Authorization Server和Resource Server

（1）Authorization Server：认证服务器，进行认证和受权

（2）Resource Server：资源服务器，保护受保护的资源

user：资源的拥有者

2、下面详细介绍一下Oauth 2.0 Provider

Authorization Server:

（1）AuthorizationEndpoint:进行受权的服务，Default URL: /oauth/authorize

（2）TokenEndpoint：获取token的服务，Default URL: /oauth/token  

Resource Server:

OAuth2AuthenticationProcessingFilter：给带有访问令牌的请求加载认证

3、下面再来详细介绍一下Authorization Server:

通常状况下，建立两个配置类，一个继承AuthorizationServerConfigurerAdapter，一个继承WebSecurityConfigurerAdapter，再去复写里面的方法。

主要出现的两种注解：

一、@EnableAuthorizationServer：声明一个认证服务器，当用此注解后，应用启动后将自动生成几个Endpoint：（注：其实实现一个认证服务器就是这么简单，加一个注解就搞定，固然真正用到生产环境仍是要进行一些配置和复写工做的。）

/oauth/authorize：验证

/oauth/token：获取token

/oauth/confirm_access：用户受权

/oauth/error：认证失败

/oauth/check_token：资源服务器用来校验token

/oauth/token_key：若是jwt模式则能够用此来从认证服务器获取公钥

以上这些endpoint都在源码里的endpoint包里面。

二、@Beans：须要实现AuthorizationServerConfigurer

AuthorizationServerConfigurer包含三种配置：

ClientDetailsServiceConfigurer：client客户端的信息配置，client信息包括：clientId、secret、scope、authorizedGrantTypes、authorities

（1）scope：表示权限范围，可选项，用户受权页面时进行选择

（2）authorizedGrantTypes：有四种受权方式 

Authorization Code：用验证获取code，再用code去获取token（用的最多的方式，也是最安全的方式）

Implicit: 隐式受权模式

Client Credentials (用來取得 App Access Token)

Resource Owner Password Credentials

（3）authorities：授予client的权限

这里的具体实现有多种，in-memory、JdbcClientDetailsService、jwt等。

AuthorizationServerSecurityConfigurer：声明安全约束，哪些容许访问，哪些不容许访问

AuthorizationServerEndpointsConfigurer：声明受权和token的端点以及token的服务的一些配置信息，好比采用什么存储方式、token的有效期等

client的信息的读取：在ClientDetailsServiceConfigurer类里面进行配置，能够有in-memory、jdbc等多种读取方式。

jdbc须要调用JdbcClientDetailsService类，此类须要传入相应的DataSource.

下面再介绍一下如何管理token:

AuthorizationServerTokenServices接口:声明必要的关于token的操做

（1）当token建立后，保存起来，以便以后的接受访问令牌的资源能够引用它。

（2）访问令牌用来加载认证

接口的实现也有多种，DefaultTokenServices是其默认实现，他使用了默认的InMemoryTokenStore，不会持久化token；

token存储方式共有三种分别是：

（1）InMemoryTokenStore：存放内存中，不会持久化

（2）JdbcTokenStore：存放数据库中

（3）Jwt: json web token

受权类型：

能够经过AuthorizationServerEndpointsConfigurer来进行配置，默认状况下，支持除了密码外的全部受权类型。相关受权类型的一些类：

（1）authenticationManager：直接注入一个AuthenticationManager，自动开启密码受权类型

（2）userDetailsService：若是注入UserDetailsService，那么将会启动刷新token受权类型，会判断用户是否仍是存活的

（3）authorizationCodeServices：AuthorizationCodeServices的实例，auth code 受权类型的服务

（4）implicitGrantService：imlpicit grant

（5）tokenGranter：

endpoint的URL的配置：

（1）AuthorizationServerEndpointsConfigurer的pathMapping()方法，有两个参数，第一个是默认的URL路径，第二个是自定义的路径

（2）WebSecurityConfigurer的实例，能够配置哪些路径不须要保护，哪些须要保护。默认全都保护。

自定义UI:

（1）有时候，咱们可能须要自定义的登陆页面和认证页面。登录页面的话，只须要建立一个login为前缀名的网页便可，在代码里，设置为容许访问，这样，系统会自动执行你的登录页。此登录页的action要注意一下，必须是跳转到认证的地址。

（2）另一个是受权页，让你勾选选项的页面。此页面能够参考源码里的实现，本身生成一个controller的类，再建立一个对应的web页面便可实现自定义的功能。

下面梳理一下受权获取token流程：
（1）端口号换成你本身的认证服务器的端口号，client_id也换成你本身的，response_type类型为code。

 localhost:8080/uaa/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com
（2）这时候你将得到一个code值：http://www.baidu.com/?code=G0C20Z

（3）使用此code值来获取最终的token：

curl -X POST -H "Cant-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=G0C20Z&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/uaa/oauth/token"

返回值：

{"access_token":"b251b453-cc08-4520-9dd0-9aedf58e6ca3","token_type":"bearer","expires_in":2591324,"scope":"app"}

（4）用此token值来调用资源服务器内容（若是资源服务器和认证服务器在同一个应用中，那么资源服务器会本身解析token值，若是不在，那么你要本身去作处理）

curl -H "Authorization: Bearer b251b453-cc08-4520-9dd0-9aedf58e6ca3" "localhost:8081/service2（此处换上你本身的url）"

4、Resource Server：保护资源，须要令牌才能访问

在配置类上加上注解@EnableResourceServer即启动。使用ResourceServerConfigurer进行配置：

（1）tokenServices：ResourceServerTokenServices的实例，声明了token的服务

（2）resourceId：资源Id，由auth Server验证。

（3）其它一些扩展点，好比能够从请求中提取token的tokenExtractor

（4）一些自定义的资源保护配置，经过HttpSecurity来设置

使用token的方式也有两种：

（1）Bearer Token（https传输方式保证传输过程的安全）:主流

（2）Mac（http+sign）

如何访问资源服务器中的API？

若是资源服务器和受权服务器在同一个应用程序中，而且您使用DefaultTokenServices，那么您没必要太考虑这一点，由于它实现全部必要的接口，所以它是自动一致的。若是您的资源服务器是一个单独的应用程序，那么您必须确保您匹配受权服务器的功能，并提供知道如何正确解码令牌的ResourceServerTokenServices。与受权服务器同样，您能够常用DefaultTokenServices，而且选项大多经过TokenStore（后端存储或本地编码）表示。

（1）在校验request中的token时，使用RemoteTokenServices去调用AuthServer中的/auth/check_token。

（2）共享数据库，使用Jdbc存储和校验token，避免再去访问AuthServer。

（3）使用JWT签名的方式，资源服务器本身直接进行校验，不借助任何中间媒介。

5、oauth client

在客户端获取到token以后，想去调用下游服务API时，为了能将token进行传递，可使用RestTemplate.而后使用restTemplate进行调用Api。

注：

scopes和authorities的区别：

scopes是client权限，至少授予一个scope的权限，不然报错。

authorities是用户权限。   

以上是我从网上找到的一篇写的不错的博客，但愿能够帮助你们快速了解OAuth2.0,下一篇文章咱们正式介绍OAuth2.0在当前框架中的使用。