学成在线 - Spring Security Oauth2 JWT

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接： https://blog.csdn.net/Yuudachi/article/details/97787395

1 用户认证需求分析

1.1 用户认证与授权

       截至目前，项目已经完成了在线学习功能，用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢？要想掌握学生的学习情况就需要知道用户的身份信息，记录哪个用户在什么时间学习什么课程；如果用户要购买课程也需要知道用户的身份信息。所以，去管理学生的学习过程最基本的要实现用户的身份认证。

什么是用户身份认证？
       用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息，身份合法方可继续访问。常见的用户身份认证表现形式有：用户名密码登录，指纹打卡等方式。

什么是用户授权？
       用户认证通过后去访问系统的资源，系统会判断用户是否拥有访问资源的权限，只允许访问有权限的系统资源，没有权限的资源将无法访问，这个过程叫用户授权。

1.2 单点登录需求

       本项目包括多个子项目，如：学习系统，教学管理中心、系统管理中心等，为了提高用户体验性需要实现用户只认证一次便可以在多个拥有访问权限的系统中访问，这个功能叫做单点登录。引用百度百科：单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。
       SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。下图是SSO的示意图，用户登录学成网一次即可访问多个系统。

1.3 第三方认证需求

       作为互联网项目难免需要访问外部系统的资源，同样本系统也要访问第三方系统的资源接口，一个场景如下：
一个微信用户没有在学成在线注册，本系统可以通过请求微信系统来验证该用户的身份，验证通过后该用户便可在本系统学习，它的基本流程如下：

       从上图可以看出，微信不属于本系统，本系统并没有存储微信用户的账号、密码等信息，本系统如果要获取该用户的基本信息则需要首先通过微信的认证系统（微信认证）进行认证，微信认证通过后本系统便可获取该微信用户的基本信息，从而在本系统将该微信用户的头像、昵称等信息显示出来，该用户便不用在本系统注册却可以直接学习。

什么是第三方认证（跨平台认证）？
       当需要访问第三方系统的资源时需要首先通过第三方系统的认证（例如：微信认证），由第三方系统对用户认证通过，并授权资源的访问权限。

2 用户认证技术方案

2.1 单点登录技术方案

       分布式系统要实现单点登录，通常将认证系统独立抽取出来，并且将用户身份信息存储在单独的存储介质，比如：MySQL、Redis，考虑性能要求，通常存储在Redis中，如下图：

单点登录的特点是：
1、认证系统为独立的系统。
2、各子系统通过Http或其它协议与认证系统通信，完成用户认证。
3、用户身份信息存储在Redis集群。

Java中有很多用户认证的框架都可以实现单点登录：
1、Apache Shiro.
2、CAS
3、Spring security CAS

2.2 Oauth2认证

2.2.1 Oauth2认证流程

       第三方认证技术方案最主要是解决认证协议的通用标准 问题，因为要实现 跨系统认证，各系统之间要遵循一定的接口协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAUTH是简易的。互联网很多服务如Open API，很多大公司如Google，Yahoo，Microsoft等都提供了OAUTH认证服务，这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。
       Oauth协议目前发展到2.0版本，1.0版本过于复杂，2.0版本已得到广泛应用。
       参考：https://baike.baidu.com/item/oAuth/7153134?fr=aladdin
       Oauth协议：https://tools.ietf.org/html/rfc6749
       Oauth2.0认证流程如下：
       引自Oauth2.0协议rfc6749 https://tools.ietf.org/html/rfc6749

扫描二维码关注公众号，回复： 7635313 查看本文章

Oauth2包括以下角色：

1、客户端
本身不存储资源，需要通过资源拥有者的授权去请求资源服务器的资源，比如：学成在线Android客户端、学成在线Web客户端（浏览器端）、微信客户端等。
2、资源拥有者
通常为用户，也可以是应用程序，即该资源的拥有者。
3、授权服务器（也称认证服务器）
用来对资源拥有的身份进行认证、对访问资源进行授权。客户端要想访问资源需要通过认证服务器由资源拥有者授权后方可访问。
4、资源服务器
存储资源的服务器，比如，学成网用户管理服务器存储了学成网的用户信息，学成网学习服务器存储了学生的学习信息，微信的资源服务存储了微信的用户信息等。客户端最终访问资源服务器获取资源信息。

2.3 Spring security Oauth2认证解决方案

       本项目采用 Spring security + Oauth2完成用户认证及用户授权，Spring security 是一个强大的和高度可定制的身份验证和访问控制框架，Spring security 框架集成了Oauth2协议，下图是项目认证架构图：

1、用户请求认证服务完成认证。
2、认证服务下发用户身份令牌，拥有身份令牌表示身份合法。
3、用户携带令牌请求资源服务，请求资源服务必先经过网关。
4、网关校验用户身份令牌的合法，不合法表示用户没有登录，如果合法则放行继续访问。
5、资源服务获取令牌，根据令牌完成授权。
6、资源服务完成授权则响应资源信息。

3 Spring Security Oauth2研究

3.1 目标

       本项目认证服务基于Spring Security Oauth2进行构建，并在其基础上作了一些扩展，采用JWT令牌机制，并自定义了用户身份信息的内容。 本教程的主要目标是学习在项目中集成Spring Security Oauth2的方法和流程，通过spring Security Oauth2的研究需要达到以下目标：
       1、理解Oauth2的授权码认证流程及密码认证的流程。
       2、理解spring Security Oauth2的工作流程。
       3、掌握资源服务集成spring Security框架完成Oauth2认证的流程。

3.2 搭建认证服务器

3.2.1导入基础工程

       导入“资料”目录下的 xc-service-ucenter-auth工程，该工程是基于Spring Security Oauth2的一个二次封装的工程，导入此工程研究Oauth2认证流程。

3.2.2 创建数据库

       导入资料目录下的 xc_user.sql，创建用户数据库

       以“oauth_”开头的表都是spring Security 自带的表。本项目中spring Security 主要使用oauth_client_details表：

client_id：客户端id
resource_ids：资源id（暂时不用）
client_secret：客户端密码
scope：范围
access_token_validity：访问token的有效期（秒）
refresh_token_validity：刷新token的有效期（秒）
authorized_grant_type：授权类型
authorization_code：授权码
password：密码
refresh_token：刷新token码（用这个码可以重新申请令牌）
client_credentials：客户端证明

3.3 Oauth2授权码模式

3.3.1 Oauth2授权模式

       Oauth2有以下授权模式：授权码模式（Authorization Code） 隐式授权模式（Implicit） 密码模式（Resource Owner Password Credentials） 客户端模式（Client Credentials）其中授权码模式和密码模式应用较多，本小节介绍授权码模式。

3.3.2 授权码授权流程

       授权码模式流程如下：
              1、客户端请求第三方授权
              2、用户(资源拥有者)同意给客户端授权
              3、客户端获取到授权码，请求认证服务器申请令牌
              4、认证服务器向客户端响应令牌
              5、客户端请求资源服务器的资源，资源服务校验令牌合法性，完成授权
              6、资源服务器返回受保护资源

3.3.3 申请授权码

       请求认证服务获取授权码：
       Get请求：

localhost:40400/auth/oauth/authorize?
client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost

       参数列表如下：

client_id：客户端id，和授权配置类中设置的客户端id一致。
response_type：授权码模式固定为code
scop：客户端范围，和授权配置类中设置的scop一致。
redirect_uri：跳转uri，当授权码申请成功后会跳转到此地址，并在后边带上code参数（授权码）。

       接下来进入授权页面：

       点击“同意”。接下来返回授权码：认证服务携带授权码跳转redirect_uri

3.3.4 申请令牌

       拿到授权码后，申请令牌。
       Post请求：http://localhost:40400/auth/oauth/token
       参数如下：

grant_type：授权类型，填写authorization_code，表示授权码模式
code：授权码，就是刚刚获取的授权码，注意：授权码只使用一次就无效了，需要重新申请。
redirect_uri：申请授权码时的跳转url，一定和申请授权码时用的redirect_uri一致。

       此链接需要使用 http Basic认证。
       什么是http Basic认证？
       http协议定义的一种认证方式，将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接，并用base64编码，放在header中请求服务端，一个例子：

Authorization：Basic WGNXZWJBcHA6WGNXZWJBcHA=WGNXZWJBcHA6WGNXZWJBcHA=

       是用户名:密码的base64编码。认证失败服务端返回 401 Unauthorized 以上测试使用postman完成：
       http basic认证：

       客户端Id和客户端密码会匹配数据库oauth_client_details表中的客户端id及客户端密码。
       Post请求参数：

       点击发送：
       申请令牌成功：

access_token：访问令牌，携带此令牌访问资源
token_type：有MAC Token与Bearer Token两种类型，两种的校验算法不同，RFC 6750建议Oauth2采用 Bearer Token（http://www.rfcreader.com/#rfc6750）。
refresh_token：刷新令牌，使用此令牌可以延长访问令牌的过期时间。
expires_in：过期时间，单位为秒。
scope：范围，与定义的客户端范围一致。