摘要

---

Spring Cloud Security 為構建安全的SpringBoot應用提供了一系列解決方案，結合Oauth2可以實現單點登錄、令牌中繼、令牌交換等功能，本文將對其結合Oauth2入門使用進行詳細介紹。

OAuth2 簡介

---

OAuth 2.0是用于授權的行業標準協議。OAuth 2.0為簡化客戶端開發提供了特定的授權流，包括Web應用、桌面應用、移動端應用等。

OAuth2 相關名詞解釋

---

• Resource owner（資源擁有者）：擁有該資源的最終用戶，他有訪問資源的賬號密碼；
• Resource server（資源服務器）：擁有受保護資源的服務器，如果請求包含正確的訪問令牌，可以訪問資源；
• Client（客戶端）：訪問資源的客戶端，會使用訪問令牌去獲取資源服務器的資源，可以是瀏覽器、移動設備或者服務器；
• Authorization server（認證服務器）：用于認證用戶的服務器，如果客戶端認證通過，發放訪問資源服務器的令牌。

四種授權模式

---

• Authorization Code（授權碼模式）：正宗的OAuth2的授權模式，客戶端先將用戶導向認證服務器，登錄后獲取授權碼，然后進行授權，最后根據授權碼獲取訪問令牌；
• Implicit（簡化模式）：和授權碼模式相比，取消了獲取授權碼的過程，直接獲取訪問令牌；
• Resource Owner Password Credentials（密碼模式）：客戶端直接向用戶獲取用戶名和密碼，之后向認證服務器獲取訪問令牌；
• Client Credentials（客戶端模式）：客戶端直接通過客戶端認證（比如client_id和client_secret）從認證服務器獲取訪問令牌。

兩種常用的授權模式

授權碼模式

• (A)客戶端將用戶導向認證服務器；
• (B)用戶在認證服務器進行登錄并授權；
• ?認證服務器返回授權碼給客戶端；
• (D)客戶端通過授權碼和跳轉地址向認證服務器獲取訪問令牌；
• (E)認證服務器發放訪問令牌（有需要帶上刷新令牌）。

授權碼模式

---

• (A)客戶端從用戶獲取用戶名和密碼；
• (B)客戶端通過用戶的用戶名和密碼訪問認證服務器；
• ?認證服務器返回訪問令牌（有需要帶上刷新令牌）。

Oauth2的使用

---

創建oauth2-server模塊

這里我們創建一個oauth2-server模塊作為認證服務器來使用。

• 在pom.xml中添加相關依賴：

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId> </dependency>

• 在application.yml中進行配置：

server:port: 9401 spring:application:name: oauth2-service

• 添加UserService實現UserDetailsService接口，用于加載用戶信息：

/*** Created by macro on 2019/9/30.*/ @Service public class UserService implements UserDetailsService {private List<User> userList;@Autowiredprivate PasswordEncoder passwordEncoder;@PostConstructpublic void initData() {String password = passwordEncoder.encode("123456");userList = new ArrayList<>();userList.add(new User("macro", password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));userList.add(new User("andy", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));userList.add(new User("mark", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {List<User> findUserList = userList.stream().filter(user -> user.getUsername().equals(username)).collect(Collectors.toList());if (!CollectionUtils.isEmpty(findUserList)) {return findUserList.get(0);} else {throw new UsernameNotFoundException("用戶名或密碼錯誤");}} }

• 添加認證服務器配置，使用@EnableAuthorizationServer注解開啟：

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {endpoints.authenticationManager(authenticationManager).userDetailsService(userService);}@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("admin")//配置client_id.secret(passwordEncoder.encode("admin123456"))//配置client_secret.accessTokenValiditySeconds(3600)//配置訪問token的有效期.refreshTokenValiditySeconds(864000)//配置刷新token的有效期.redirectUris("http://www.baidu.com")//配置redirect_uri，用于授權成功后跳轉.scopes("all")//配置申請的權限范圍.authorizedGrantTypes("authorization_code","password");//配置grant_type，表示授權類型} }

• 添加資源服務器配置，使用@EnableResourceServer注解開啟

/*** 資源服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter {@Overridepublic void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated().and().requestMatchers().antMatchers("/user/**");//配置需要保護的資源路徑} }

• 添加SpringSecurity配置，允許認證相關路徑的訪問及表單登錄：

/*** SpringSecurity配置* Created by macro on 2019/10/8.*/ @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter {@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}@Overridepublic void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/oauth/**", "/login/**", "/logout/**").permitAll().anyRequest().authenticated().and().formLogin().permitAll();} }

• 添加需要登錄的接口用于測試：

/*** Created by macro on 2019/9/30.*/ @RestController @RequestMapping("/user") public class UserController {@GetMapping("/getCurrentUser")public Object getCurrentUser(Authentication authentication) {return authentication.getPrincipal();} }

授權碼模式使用

• 啟動oauth2-server服務；
• 在瀏覽器訪問該地址進行登錄授權：http://localhost:9401/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all&state=norma
• 輸入賬號密碼進行登錄操作：
  
• 登錄后進行授權操作：
  
• 之后會瀏覽器會帶著授權碼跳轉到我們指定的路徑：

https://www.baidu.com/?code=eTsADY&state=normal

• 使用授權碼請求該地址獲取訪問令牌：http://localhost:9401/oauth/token
• 使用Basic認證通過client_id和client_secret構造一個Authorization頭信息；
  
• 在body中添加以下參數信息，通過POST請求獲取訪問令牌；
  
• 在請求頭中添加訪問令牌，訪問需要登錄認證的接口進行測試，發現已經可以成功訪問：http://localhost:9401/user/getCurrentUser
  

密碼模式使用

• 使用密碼請求該地址獲取訪問令牌：http://localhost:9401/oauth/token
• 使用Basic認證通過client_id和client_secret構造一個Authorization頭信息；
  
• 在body中添加以下參數信息，通過POST請求獲取訪問令牌；
  

使用到的模塊

---

springcloud-learning └── oauth2-server -- oauth2認證測試服務

項目源碼地址

---

https://github.com/macrozheng/springcloud-learning

總結

以上是生活随笔為你收集整理的Spring Cloud Security：Oauth2使用入门的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。