摘要

---

Spring Cloud Security 為構建安全的SpringBoot應用提供了一系列解決方案，結合Oauth2可以實現單點登錄功能，本文將對其單點登錄用法進行詳細介紹。
單點登錄簡介

單點登錄簡介

---

單點登錄（Single Sign On）指的是當有多個系統需要登錄時，用戶只需登錄一個系統，就可以訪問其他需要登錄的系統而無需登錄。

創建oauth2-client模塊

---

這里我們創建一個oauth2-client服務作為需要登錄的客戶端服務，使用上一節中的oauth2-jwt-server服務作為認證服務，當我們在oauth2-jwt-server服務上登錄以后，就可以直接訪問oauth2-client需要登錄的接口，來演示下單點登錄功能

• 在pom.xml中添加相關依賴：

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> <dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.0</version> </dependency>

• 在application.yml中進行配置：

server:port: 9501servlet:session:cookie:name: OAUTH2-CLIENT-SESSIONID #防止Cookie沖突，沖突會導致登錄驗證不通過 oauth2-server-url: http://localhost:9401 spring:application:name: oauth2-client security:oauth2: #與oauth2-server對應的配置client:client-id: adminclient-secret: admin123456user-authorization-uri: ${oauth2-server-url}/oauth/authorizeaccess-token-uri: ${oauth2-server-url}/oauth/tokenresource:jwt:key-uri: ${oauth2-server-url}/oauth/token_key

• 在啟動類上添加@EnableOAuth2Sso注解來啟用單點登錄功能：

@EnableOAuth2Sso @SpringBootApplication public class Oauth2ClientApplication {public static void main(String[] args) {SpringApplication.run(Oauth2ClientApplication.class, args);}}

• 添加接口用于獲取當前登錄用戶信息：

/*** Created by macro on 2019/9/30.*/ @RestController @RequestMapping("/user") public class UserController {@GetMapping("/getCurrentUser")public Object getCurrentUser(Authentication authentication) {return authentication;}}

修改認證服務器配置

---

修改oauth2-jwt-server模塊中的AuthorizationServerConfig類，將綁定的跳轉路徑為http://localhost:9501/login，并添加獲取秘鑰時的身份認證。

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {//以上省略一堆代碼...@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("admin").secret(passwordEncoder.encode("admin123456")).accessTokenValiditySeconds(3600).refreshTokenValiditySeconds(864000) // .redirectUris("http://www.baidu.com").redirectUris("http://localhost:9501/login") //單點登錄時配置.scopes("all").authorizedGrantTypes("authorization_code","password","refresh_token");}@Overridepublic void configure(AuthorizationServerSecurityConfigurer security) {security.tokenKeyAccess("isAuthenticated()"); // 獲取密鑰需要身份認證，使用單點登錄時必須配置} }

網頁單點登錄演示

---

• 啟動oauth2-client服務和oauth2-jwt-server服務；

• 訪問客戶端需要授權的接口http://localhost:9501/user/getCurrentUser會跳轉到授權服務的登錄界面；
  

• 進行登錄操作后跳轉到授權頁面；
  

• 授權后會跳轉到原來需要權限的接口地址，展示登錄用戶信息；
  

• 如果需要跳過授權操作進行自動授權可以添加autoApprove(true)配置：

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {//以上省略一堆代碼...@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("admin").secret(passwordEncoder.encode("admin123456")).accessTokenValiditySeconds(3600).refreshTokenValiditySeconds(864000) // .redirectUris("http://www.baidu.com").redirectUris("http://localhost:9501/login") //單點登錄時配置.autoApprove(true) //自動授權配置.scopes("all").authorizedGrantTypes("authorization_code","password","refresh_token");} }

調用接口單點登錄演示

---

這里我們使用Postman來演示下如何使用正確的方式調用需要登錄的客戶端接口。

• 訪問客戶端需要登錄的接口：http://localhost:9501/user/getCurrentUser

• 使用Oauth2認證方式獲取訪問令牌：
  

• 輸入獲取訪問令牌的相關信息，點擊請求令牌：
  

• 此時會跳轉到認證服務器進行登錄操作：
  

• 登錄成功后使用獲取到的令牌：
  

• 最后請求接口可以獲取到如下信息：

{"authorities": [{"authority": "admin"}],"details": {"remoteAddress": "0:0:0:0:0:0:0:1","sessionId": "63BB793E35383B2FFC608333B3BF4988","tokenValue": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJtYWNybyIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE1NzI2OTAxNzUsImF1dGhvcml0aWVzIjpbImFkbWluIl0sImp0aSI6IjIwN2U5MTQzLTVjNTUtNDhkMS1iZmU3LTgwMzUyZTQ3Y2QyZCIsImNsaWVudF9pZCI6ImFkbWluIiwiZW5oYW5jZSI6ImVuaGFuY2UgaW5mbyJ9.xf3cBu9yCm0sME0j3UcP53FwF4tJVJC5aJbEj_Y2XcU","tokenType": "bearer","decodedDetails": null},"authenticated": true,"userAuthentication": {"authorities": [{"authority": "admin"}],"details": null,"authenticated": true,"principal": "macro","credentials": "N/A","name": "macro"},"clientOnly": false,"oauth2Request": {"clientId": "admin","scope": ["all"],"requestParameters": {"client_id": "admin"},"resourceIds": [],"authorities": [],"approved": true,"refresh": false,"redirectUri": null,"responseTypes": [],"extensions": {},"grantType": null,"refreshTokenRequest": null},"principal": "macro","credentials": "","name": "macro" }

oauth2-client添加權限校驗

---

• 添加配置開啟基于方法的權限校驗：

/*** 在接口上配置權限時使用* Created by macro on 2019/10/11.*/ @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) @Order(101) public class SecurityConfig extends WebSecurityConfigurerAdapter { }

• 在UserController中添加需要admin權限的接口：

/*** Created by macro on 2019/9/30.*/ @RestController @RequestMapping("/user") public class UserController {@PreAuthorize("hasAuthority('admin')")@GetMapping("/auth/admin")public Object adminAuth() {return "Has admin auth!";}}

• 訪問需要admin權限的接口：http://localhost:9501/user/auth/admin
  
• 使用沒有admin權限的帳號，比如andy:123456獲取令牌后訪問該接口，會發現沒有權限訪問。
  

使用到的模塊

---

springcloud-learning ├── oauth2-jwt-server -- 使用jwt的oauth2認證測試服務 └── oauth2-client -- 單點登錄的oauth2客戶端服務

項目源碼地址

---

https://github.com/macrozheng/springcloud-learning

總結

以上是生活随笔為你收集整理的Spring Cloud Security：Oauth2实现单点登录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。