Spring Cloud入門(mén)-Oauth2授權(quán)之基于JWT完成單點(diǎn)登錄(Hoxton版本)

python_lover 2020-01-14

展開(kāi)全文

文章目錄

摘要
單點(diǎn)登錄簡(jiǎn)介
創(chuàng)建oauth2-client模塊
修改授權(quán)服務(wù)器配置
網(wǎng)頁(yè)單點(diǎn)登錄演示
調(diào)用接口單點(diǎn)登錄演示
oauth2-client添加權(quán)限校驗(yàn)
使用到的模塊
項(xiàng)目源碼地址

項(xiàng)目使用的Spring Cloud為Hoxton版本,，Spring Boot為2.2.2.RELEASE版本

摘要

Spring Cloud Security 為構(gòu)建安全的SpringBoot應(yīng)用提供了一系列解決方案，結(jié)合Oauth2可以實(shí)現(xiàn)單點(diǎn)登錄功能,，本文將對(duì)其單點(diǎn)登錄用法進(jìn)行詳細(xì)介紹,。

單點(diǎn)登錄簡(jiǎn)介

單點(diǎn)登錄（Single Sign On）指的是當(dāng)有多個(gè)系統(tǒng)需要登錄時(shí)，用戶只需登錄一個(gè)系統(tǒng),，就可以訪問(wèn)其他需要登錄的系統(tǒng)而無(wú)需登錄,。

創(chuàng)建oauth2-client模塊

這里我們創(chuàng)建一個(gè)oauth2-client服務(wù)作為需要登錄的客戶端服務(wù)，使用上一節(jié)中的oauth2-jwt-server服務(wù)作為授權(quán)服務(wù),，當(dāng)我們?cè)趏auth2-jwt-server服務(wù)上登錄以后,，就可以直接訪問(wèn)oauth2-client需要登錄的接口，來(lái)演示下單點(diǎn)登錄功能,。

在pom.xml中添加相關(guān)依賴：

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.cloud</groupId>
	<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.cloud</groupId>
	<artifactId>spring-cloud-starter-security</artifactId>
</dependency>

在application.yml中進(jìn)行配置：

server:
  port: 9501
  servlet:
    session:
      cookie:
        # 防止cookie沖突,，沖突會(huì)導(dǎo)致登錄驗(yàn)證不通過(guò)
        name: OAUTH2-CLIENT-SESSIONID

oauth2-service-url: http://localhost:9401

spring:
  application:
    name: oauth2-client

security:
  # 與oauth2-server對(duì)應(yīng)的配置
  oauth2:
    client:
      client-id: admin
      client-secret: admin123456
      user-authorization-uri: ${oauth2-service-url}/oauth/authorize
      access-token-uri: ${oauth2-service-url}/oauth/token
    resource:
      jwt:
        key-uri: ${oauth2-service-url}/oauth/token_key

在啟動(dòng)類上添加@EnableOAuth2Sso注解來(lái)啟用單點(diǎn)登錄功能：

@EnableOAuth2Sso
@SpringBootApplication
public class Oauth2ClientApplication {

    public static void main(String[] args) {
        SpringApplication.run(Oauth2ClientApplication.class, args);
    }

}

添加接口用于獲取當(dāng)前登錄用戶信息：

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("/getCurrentUser")
    public Object getCurrentUser(Authentication authentication) {
        return authentication;
    }

}

修改授權(quán)服務(wù)器配置

修改oauth2-jwt-server模塊中的AuthorizationServerConfig類，將綁定的跳轉(zhuǎn)路徑為http://localhost:9501/login,，并添加獲取秘鑰時(shí)的身份認(rèn)證,。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    //以上省略一堆代碼...
    
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                // 配置client_id
                .withClient("admin")
                // 配置client_secret
                .secret(passwordEncoder.encode("admin123456"))
                // 配置訪問(wèn)token的有效期
                .accessTokenValiditySeconds(3600)
                // 配置刷新token的有效期
                .refreshTokenValiditySeconds(864000)
                // 配置redirect_uri,用于授權(quán)成功后的跳轉(zhuǎn)
                // .redirectUris("http://www.baidu.com")
                // 單點(diǎn)登錄時(shí)配置
                .redirectUris("http://localhost:9501/login")
                // 自動(dòng)授權(quán)配置
                // .autoApprove(true)
                // 配置申請(qǐng)的權(quán)限范圍
                .scopes("all")
                // 配置grant_type,表示授權(quán)類型
                .authorizedGrantTypes("authorization_code", "password", "refresh_token");
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // 獲取密鑰需要身份認(rèn)證，使用單點(diǎn)登錄時(shí)必須配置
        security.tokenKeyAccess("isAuthenticated()");
    }
}

網(wǎng)頁(yè)單點(diǎn)登錄演示

啟動(dòng)oauth2-client服務(wù)和oauth2-jwt-server服務(wù),；

訪問(wèn)客戶端需要授權(quán)的接口http://localhost:9501/user/getCurrentUser會(huì)跳轉(zhuǎn)到授權(quán)服務(wù)的登錄界面,；

在這里插入圖片描述

進(jìn)行登錄操作后跳轉(zhuǎn)到授權(quán)頁(yè)面；

在這里插入圖片描述

授權(quán)后會(huì)跳轉(zhuǎn)到原來(lái)需要權(quán)限的接口地址,，展示登錄用戶信息,；

在這里插入圖片描述

如果需要跳過(guò)授權(quán)操作進(jìn)行自動(dòng)授權(quán)可以添加autoApprove(true)配置：

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    //以上省略一堆代碼...
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                // 配置client_id
                .withClient("admin")
                // 配置client_secret
                .secret(passwordEncoder.encode("admin123456"))
                // 配置訪問(wèn)token的有效期
                .accessTokenValiditySeconds(3600)
                // 配置刷新token的有效期
                .refreshTokenValiditySeconds(864000)
                // 配置redirect_uri,用于授權(quán)成功后的跳轉(zhuǎn)
                // .redirectUris("http://www.baidu.com")
                // 單點(diǎn)登錄時(shí)配置
                .redirectUris("http://localhost:9501/login")
                // 自動(dòng)授權(quán)配置
                .autoApprove(true)
                // 配置申請(qǐng)的權(quán)限范圍
                .scopes("all")
                // 配置grant_type,表示授權(quán)類型
                .authorizedGrantTypes("authorization_code", "password", "refresh_token");
    }
}

調(diào)用接口單點(diǎn)登錄演示

這里我們使用Postman來(lái)演示下如何使用正確的方式調(diào)用需要登錄的客戶端接口。

訪問(wèn)客戶端需要登錄的接口：http://localhost:9501/user/getCurrentUser

使用Oauth2認(rèn)證方式獲取訪問(wèn)令牌：

在這里插入圖片描述

輸入獲取訪問(wèn)令牌的相關(guān)信息,，點(diǎn)擊請(qǐng)求令牌：

在這里插入圖片描述

此時(shí)會(huì)跳轉(zhuǎn)到授權(quán)服務(wù)器進(jìn)行登錄操作：

在這里插入圖片描述

登錄成功后使用獲取到的令牌：

在這里插入圖片描述

最后請(qǐng)求接口可以獲取到如下信息：

{
	"authorities": [{
		"authority": "admin"
	}],
	"details": {
		"remoteAddress": "0:0:0:0:0:0:0:1",
		"sessionId": "6F5A553BB678C7272145FF9FF2A5D8F4",
		"tokenValue": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJqb3Vyd29uIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTU3NzY4OTc2NiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiZjAwYjVkMGUtNjFkYi00YjBmLTkyNTMtOWQxZDYwOWM4ZWZmIiwiY2xpZW50X2lkIjoiYWRtaW4iLCJlbmhhbmNlIjoiZW5oYW5jZSBpbmZvIn0.zdgFTWJt3DnAsjpQRU6rNA_iM7gVHX7E9bCyF73MOSM",
		"tokenType": "bearer",
		"decodedDetails": null
	},
	"authenticated": true,
	"userAuthentication": {
		"authorities": [{
			"authority": "admin"
		}],
		"details": null,
		"authenticated": true,
		"principal": "jourwon",
		"credentials": "N/A",
		"name": "jourwon"
	},
	"clientOnly": false,
	"oauth2Request": {
		"clientId": "admin",
		"scope": ["all"],
		"requestParameters": {
			"client_id": "admin"
		},
		"resourceIds": [],
		"authorities": [],
		"approved": true,
		"refresh": false,
		"redirectUri": null,
		"responseTypes": [],
		"extensions": {},
		"grantType": null,
		"refreshTokenRequest": null
	},
	"principal": "jourwon",
	"credentials": "",
	"name": "jourwon"
}

oauth2-client添加權(quán)限校驗(yàn)

添加配置開(kāi)啟基于方法的權(quán)限校驗(yàn)：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(101)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

在UserController中添加需要admin權(quán)限的接口：

@RestController
@RequestMapping("/user")
public class UserController {

    @PreAuthorize("hasAuthority('admin')")
    @GetMapping("/auth/admin")
    public Object adminAuth() {
        return "Has admin auth!";
    }

}

訪問(wèn)需要admin權(quán)限的接口：http://localhost:9501/user/auth/admin

在這里插入圖片描述

使用沒(méi)有admin權(quán)限的賬號(hào),，比如andy:123456獲取令牌后訪問(wèn)該接口，會(huì)發(fā)現(xiàn)沒(méi)有權(quán)限訪問(wèn),。

在這里插入圖片描述

使用到的模塊

springcloud-learning
├── oauth2-jwt-server -- 使用jwt的oauth2認(rèn)證測(cè)試服務(wù)
└── oauth2-client -- 單點(diǎn)登錄的oauth2客戶端服務(wù)

項(xiàng)目源碼地址

GitHub項(xiàng)目源碼地址

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式,、誘導(dǎo)購(gòu)買等信息,，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,，請(qǐng)點(diǎn)擊一鍵舉報(bào),。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： python_lover > 《待分類》

舉報(bào)/認(rèn)領(lǐng)