java構(gòu)建OAuth2授權(quán)服務(wù)器

第java構(gòu)建OAuth2授權(quán)服務(wù)器目錄構(gòu)建OAuth2授權(quán)服務(wù)器

設(shè)置客戶端和用戶認(rèn)證信息

設(shè)置客戶端信息

設(shè)置用戶認(rèn)證信息

生成Token

構(gòu)建OAuth2授權(quán)服務(wù)器

從表現(xiàn)形式上看，OAuth2授權(quán)服務(wù)器也是一個(gè)獨(dú)立的微服務(wù)，因此構(gòu)建授權(quán)服務(wù)器的方法也是創(chuàng)建一個(gè)SpringBoot應(yīng)用程序，我們需要引入對應(yīng)的Maven依賴，如下所示：

dependency

groupIdorg.springframework.security.oauth/groupId

artifactIdspring-security-oauth2/artifactId

/dependency

這里的spring-security-oauth2就是來自SpringSecurity中的OAuth2庫?，F(xiàn)在Maven依賴已經(jīng)添加完畢，下一步就是構(gòu)建Bootstrap類作為訪問的入口：

@SpringBootApplication

@EnableAuthorizationServer

publicclassAuthServer{

publicstaticvoidmain(String[]args){

SpringApplication.run(AuthServer.class,args);

請注意，這里出現(xiàn)了一個(gè)新的注解@EnableAuthorizationServer，這個(gè)注解的作用在于為微服務(wù)運(yùn)行環(huán)境提供一個(gè)基于OAuth2協(xié)議的授權(quán)服務(wù)，該授權(quán)服務(wù)會暴露一系列基于RESTful風(fēng)格的端點(diǎn)（例如/oauth/authorize和/oauth/token）供OAuth2授權(quán)流程使用。

構(gòu)建OAuth2授權(quán)服務(wù)只是集成OAuth2協(xié)議的第一步，授權(quán)服務(wù)器是一種集中式系統(tǒng)，管理著所有與安全性流程相關(guān)的客戶端和用戶信息。因此，接下來我們需要在授權(quán)服務(wù)器中對這些基礎(chǔ)信息進(jìn)行初始化，而SpringSecurity為我們提供了各種配置類來實(shí)現(xiàn)這一目標(biāo)。

設(shè)置客戶端和用戶認(rèn)證信息

OAuth2.0有幾個(gè)授權(quán)模式：授權(quán)碼模式、簡化模式、密碼模式、客戶端憑證模式。其中，密碼模式以其簡單性得到了廣泛的應(yīng)用。在接下來的內(nèi)容中，我們就以密碼模式為例展開講解。

在密碼模式下，用戶向客戶端提供用戶名和密碼，并將用戶名和密碼發(fā)給授權(quán)服務(wù)器從而請求Token。授權(quán)服務(wù)器首先會對密碼憑證信息進(jìn)行認(rèn)證，確認(rèn)無誤后，向客戶端發(fā)放Token。整個(gè)流程如下圖所示：

請注意，授權(quán)服務(wù)器在這里執(zhí)行認(rèn)證操作的目的是驗(yàn)證傳入的用戶名和密碼是否正確。在密碼模式下，這一步是必需的，如果采用其他授權(quán)模式，不一定會有用戶認(rèn)證這一環(huán)節(jié)。

確定采用密碼模式后，我們來看為了實(shí)現(xiàn)這一授權(quán)模式，需要對授權(quán)服務(wù)器做哪些開發(fā)工作。首先我們需要設(shè)置一些基礎(chǔ)數(shù)據(jù)，包括客戶端信息和用戶信息。

設(shè)置客戶端信息

我們先來看如何設(shè)置客戶端信息。設(shè)置客戶端時(shí)，用到的配置類是ClientDetailsServiceConfigurer，該配置類用來配置客戶端詳情服務(wù)ClientDetailsService。用于描述客戶端詳情的ClientDetails接口則包含了與安全性控制相關(guān)的多個(gè)重要方法，該接口中的部分方法定義如下：

publicinterfaceClientDetailsextendsSerializable{

//客戶端唯一性Id

StringgetClientId();

//客戶端安全碼

StringgetClientSecret();

//客戶端的訪問范圍

SetStringgetScope();

//客戶端可以使用的授權(quán)模式

SetStringgetAuthorizedGrantTypes();

首先ClientId是一個(gè)必備屬性，用來唯一標(biāo)識客戶的Id，而ClientSecret代表客戶端安全碼。這里的Scope用來限制客戶端的訪問范圍，如果這個(gè)屬性為空，客戶端就擁有全部的訪問范圍。常見的設(shè)置方式可以是webclient或mobileclient，分別代表Web端和移動端。

最后，authorizedGrantTypes代表客戶端可以使用的授權(quán)模式，可選的范圍包括代表授權(quán)碼模式的authorization_code、代表隱式授權(quán)模式implicit、代表密碼模式的password以及代表客戶端憑據(jù)模式的client_credentials。這個(gè)屬性在設(shè)置上也可以添加refresh_token，通過刷新操作獲取以上授權(quán)模式下產(chǎn)生的新Token。

和實(shí)現(xiàn)認(rèn)證過程類似，SpringSecurity也提供了AuthorizationServerConfigurerAdapter這個(gè)配置適配器類來簡化配置類的使用方式。我們可以通過繼承該類并覆寫其中的configure(ClientDetailsServiceConfigurerclients)方法進(jìn)行配置。使用AuthorizationServerConfigurerAdapter進(jìn)行客戶端信息配置的基本代碼結(jié)構(gòu)如下：

@Configuration

publicclassSpringAuthorizationServerConfigurerextendsAuthorizationServerConfigurerAdapter{

@Override

publicvoidconfigure(ClientDetailsServiceConfigurerclients)throwsException{

clients.inMemory()

.withClient("spring")

.secret("{noop}spring_secret")

.authorizedGrantTypes("refresh_token","password","client_credentials")

.scopes("webclient","mobileclient");

可以看到，我們創(chuàng)建了一個(gè)SpringAuthorizationServerConfigurer類來繼承AuthorizationServerConfigurerAdapter，并通過ClientDetailsServiceConfigurer配置類設(shè)置了授權(quán)模式為密碼模式。在授權(quán)服務(wù)器中存儲客戶端信息有兩種方式，一種就是如上述代碼所示的基于內(nèi)存級別的存儲，另一種則是通過JDBC在數(shù)據(jù)庫中存儲詳情信息。為了簡單起見，這里使用了內(nèi)存級別的存儲方式。

同時(shí)我們注意到，在設(shè)置客戶端安全碼時(shí)使用了"{noop}spring_secret"這種格式。這是因?yàn)樵赟pringSecurity5中統(tǒng)一使用PasswordEncoder對密碼進(jìn)行編碼，在設(shè)置密碼時(shí)要求格式為“{id}password”。而這里的前綴“{noop}”就是代表具體PasswordEncoder的id，表示我們使用的是NoOpPasswordEncoder。

@EnableAuthorizationServer注解會暴露一系列的端點(diǎn)，而授權(quán)過程是使用AuthorizationEndpoint這個(gè)端點(diǎn)進(jìn)行控制的。要想對該端點(diǎn)的行為進(jìn)行配置，你可以使用AuthorizationServerEndpointsConfigurer這個(gè)配置類。和ClientDetailsServiceConfigurer配置類一樣，我們也通過使用AuthorizationServerConfigurerAdapter配置適配器類進(jìn)行配置。

因?yàn)槲覀冎付耸跈?quán)模式為密碼模式，而密碼模式包含認(rèn)證環(huán)節(jié)。所以針對AuthorizationServerEndpointsConfigurer配置類需要指定一個(gè)認(rèn)證管理器AuthenticationManager，用于對用戶名和密碼進(jìn)行認(rèn)證。同樣因?yàn)槲覀冎付嘶诿艽a的授權(quán)模式，所以需要指定一個(gè)自定義的UserDetailsService來替換全局的實(shí)現(xiàn)，可以通過如下代碼來配置AuthorizationServerEndpointsConfigurer：

@Configuration

publicclassSpringAuthorizationServerConfigurerextendsAuthorizationServerConfigurerAdapter{

@Autowired

privateAuthenticationManagerauthenticationManager;

@Autowired

privateUserDetailsServiceuserDetailsService;

@Override

publicvoidconfigure(AuthorizationServerEndpointsConfigurerendpoints)throwsException{endpoints.authenticationManager(authenticationManager).userDetailsService(userDetailsService);

至此，客戶端設(shè)置工作全部完成，我們所做的事情就是實(shí)現(xiàn)了一個(gè)自定義的SpringAuthorizationServerConfigurer配置類并覆寫了對應(yīng)的配置方法。

設(shè)置用戶認(rèn)證信息

設(shè)置用戶認(rèn)證信息所依賴的配置類是WebSecurityConfigurer類，SpringSecurity同樣提供了WebSecurityConfigurerAdapter類來簡化該配置類的使用方式，我們可以繼承WebSecurityConfigurerAdapter類并且覆寫其中的configure()的方法來完成配置工作。

關(guān)于WebSecurityConfigurer配置類，我們首先需要明確配置的內(nèi)容。實(shí)際上，設(shè)置用戶信息非常簡單，只需要指定用戶名（User）、密碼（Password）和角色（Role）這三項(xiàng)數(shù)據(jù)即可，如下所示：

@Configuration

publicclassSpringWebSecurityConfigurerextendsWebSecurityConfigurerAdapter{

@Override

@Bean

publicAuthenticationManagerauthenticationManagerBean()throwsException{

returnsuper.authenticationManagerBean();

@Override

@Bean

publicUserDetailsServiceuserDetailsServiceBean()throwsException{

returnsuper.userDetailsServiceBean();

@Override

protectedvoidconfigure(AuthenticationManagerBuilderbuilder)throwsException{

builder

.inMemoryAuthentication()

.withUser("user1")

.password("{noop}password1")

.roles("USER")

.and()

.withUser("admin")

.password("{noop}password2")

.roles("USER","ADMIN");

結(jié)合上面的代碼，我們看到構(gòu)建了具有不同角色和密碼的兩個(gè)用戶，請注意"user1"代表的角色是一個(gè)普通用戶，"admin"則具有管理員角色。我們在設(shè)置密碼時(shí)，同樣需要添加前綴“{noop}”。同時(shí)，我們還看到authenticationManagerBean()和userDetailsServiceBean()方法分別返回了父類的默認(rèn)實(shí)現(xiàn)，而這里返回的UserDetailsService和AuthenticationManager在前面設(shè)置客戶端時(shí)會用到。

生成Token

現(xiàn)在，OAuth2授權(quán)服務(wù)器已經(jīng)構(gòu)建完畢，啟動這個(gè)授權(quán)服務(wù)器，我們就可以獲取Token。我們在構(gòu)建OAuth2服務(wù)器時(shí)已經(jīng)提到授權(quán)服務(wù)器中會暴露一批端點(diǎn)供HTTP請求進(jìn)行訪問，而獲取Token的端點(diǎn)就是http://localhost:2000/oauth/token。在使用該端點(diǎn)時(shí)，我們需要提供前面配置的客戶端信息和用戶信息。

這里使用Postman來模擬HTTP請求，客戶端信息設(shè)置方式如下圖所示：

我們在“