微服务下的SpringSecurity认证端

从三板斧开始微服务下的SpringSecurity开始

一、引入组件包

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

二、创建适配器

AuthorizationServerConfigurerAdapter是一个授权适配器，在这个适配器中有如下几个核心方法：

• ClientDetailsServiceConfigurer

用来配置客户端详情服务（ClientDetailsService），这里的配置表明不是任何人都可以来授权中心进行授权的，客户端详情信息在这里进行初始化，可以在内存中也可以来自于数据库，根据你自己的需要进行配置；一个ClientDetails标识一个客户端的详情描述，ClientDetails具体的属性如下：

重要属性说明

属性名称	说明
clientId	是一个唯一标识，用于标识客户
secret	客户端的安全码；微信登录就有安全码
scope	用来限制客户端的访问范围，如果为空，标识所有范围都可以访问
authrizedGrantTypes	可以使用的授权类型（可选值范围："authorization_code", "password", "client_credentials", "implicit", "refresh_token"），为空标识所有都支持；微信仅支持authorization_code；
authorities	客户端可以使用的权限（基于Spring Security Authorities）
redirectUris	回调地址，授权服务会往此地址回调推送客户端相关信息

ClientDetails客户端详情可以在运行时进行更新，可以通过访问底层存储介质（例如：JdbcClientDetailsService）或者自己实现ClientRegisterationService接口或者实现ClientDetailsService来进行定制；

• AuthorizationServerSecurityConfigurer

配置令牌端点的安全约束；此接口包含了关于令牌管理的必要操作；

实现一个AuthorizationServerTokenServices接口需要继承DefaultTokenServices这个类；此类中包含了一些有用的实现，可以使用它来修改令牌的格式和令牌的存储模式；默认情况下，在创建一个令牌的时候，是使用随机值来进行填充的；这个类中完成了令牌管理的几乎所有事情，唯一需要依赖的是Spring容器中的一个TokenStore对象来定制令牌持久化；在Spring中有一个默认的TokenStore实现，即：ImMemoryTokenStore，这个类是将令牌保存到内存中，其他几个TokenStore实现类都可以根据自己的选择进行使用；

ImMemoryTokenStore：基于内存；

JdbcTokenStore：基于JDBC；

JwtTokenStore：基于JWT，这里啰嗦一下，此种类型时经常常用的类型，全称是“Json web Token”；是吧令牌信息全部编码到令牌本身，这样后端不需要维护令牌相关的信息，这是一大优势，当然缺点就是撤销令牌困难；传输占用空间比较大；

• AuthorizationServerEndpointsConfigurer

用来配置令牌的访问端点和令牌服务；授权类型（Grant Types）有如下几点：

授权类型说明

授权类型	说明
authenticationManager	认证管理器，如果你选择的是password（资源所有者密码）这个授权类型时，需要指定authenticationManager对象来进行鉴权
userDetailsService	用户主体管理服务，在拥有自己UserDetailsService接口的实现，如果设置了这个属性，那么refresh_token刷新令牌的方式授权类型流程中会多一个检查的步骤，来确保是否依然有效
authorizationCodeServices	用于authorization_code授权码模式，用来设置授权服务；
implicitGrantService	用于设置隐式授权模式的状态；
tokenGranter	这个是深度拓展时使用的；一旦设置，授权将会全部交由自己来掌控，会忽略以上几个属性；

  1 @Configuration2 @EnableAuthorizationServer3 @EnableConfigurationProperties(value = JwtCaProperties.class)4 public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {5 6     /**7      * 属性描述：注入数据源8      *9      * @date : 2020/4/12 0012 上午 11:5410      */11     private final DataSource dataSource;12 13     /**14      * 属性描述：JWT配置信息15      *16      * @date : 2020/4/12 0012 下午 10:4917      */18     private final JwtCaProperties jwtCaProperties;19 20     /**21      * 属性描述：用户信息处理22      *23      * @date : 2020/4/13 0013 上午 12:1224      */25     private final MyUserDetailServiceImpl myUserDetailServiceImpl;26 27     private final AuthenticationManager authenticationManager;28 29     /**30      * 功能描述：认证中心配置31      *32      * @author : XXSD33      * @date : 2020/4/12 0012 上午 11:5434      */35     public AuthServerConfig(DataSource dataSource, JwtCaProperties jwtCaProperties, MyUserDetailServiceImpl myUserDetailServiceImpl, AuthenticationManager authenticationManager) {36         this.dataSource = dataSource;37         this.jwtCaProperties = jwtCaProperties;38         this.myUserDetailServiceImpl = myUserDetailServiceImpl;39         this.authenticationManager = authenticationManager;40     }41 42     /**43      * 功能描述：配置第三方客户端的授权服务器安全配置44      * <br />45      * 用来配置令牌的端点安全约束46      *47      * @author : XXSD48      * @date : 2020/4/14 0014 下午 8:5549      */50     @Override51     public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {52         //第三方客户端校验token需要带入 clientId 和clientSecret来校验53         security.checkTokenAccess("isAuthenticated()")54                 //来获取我们的tokenKey需要带入clientId,clientSecret55                 .tokenKeyAccess("isAuthenticated()");56         //使用表单认证的方式进行申领令牌57         security.allowFormAuthenticationForClients();58     }59 60     /**61      * 功能描述：配置接入的客户端62      * <br />63      * 用来配置客户端详情（ClientDetailsService），客户端详情杂这里进行初始化，可以把客户端详情信息写死或这通过64      * 数据库来存储详情信息65      *66      * @author : XXSD67      * @date : 2020/4/12 0012 上午 11:4968      */69     @Override70     public void configure(ClientDetailsServiceConfigurer clients) throws Exception {71         /*//使用内存方式72         clients.inMemory()73                 .withClient("这里写客户端的ID")74                 .secret(new BCryptPasswordEncoder().encode("这里放入密码"))75                 .resourceIds("这里是客户端的资源列表")76                 //此客户端可以使用的授权类型77                 .authorizedGrantTypes("authorization_code", "password", "client_credentials", "implicit", "refresh_token")78                 .scopes("允许的授权范围；没有什么特殊的意义，就是一个字符串，是自己根据我们后台的服务进行的一个划分而已")79                 //跳转到授权页面，是否显示授权页面；True标识默认用户同意，不显示授权页面80                 .autoApprove(false)81                 .redirectUris("这里写入你自己的回调地址");82                 //如果有更多的，在这里添加and83                 .and()84                 */85         clients.withClientDetails(clientDetails());86     }87 88     /**89      * 功能描述：配置Token信息90      * <br />91      * 用于配置令牌（Token）的访问端点和令牌服务（TokenService）92      *93      * @author : XXSD94      * @date : 2020/4/12 0012 下午 11:2395      */96     @Override97     public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {98 99         /*
100         * AuthorizationServerEndpointsConfigurer对于不同类型的授权类别也需要配置不同的属性
101         * authenticationManager:
102         * 认证管理器，如果你选择的是password（资源所有者密码）这个授权类型时，需要指定authenticationManager对象来进行鉴权
103         * userDetailsService：
104         * 用户主体管理服务，在拥有自己UserDetailsService接口的实现，如果设置了这个属性，那么refresh_token刷新令牌的方式授权类型流程中会多一个检查的步骤，来确保是否依然有效
105         * authorizationCodeServices：
106         * 用于authorization_code授权码模式，用来设置授权服务；
107         * implicitGrantService：
108         * 用于设置隐式授权模式的状态；
109         * tokenGranter：
110         * 这个是深度拓展时使用的；一旦设置，授权将会全部交由自己来掌控，会忽略以上几个属性；
111         * */
112 
113         final TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
114         //加入了之后增强器才有效果
115         tokenEnhancerChain.setTokenEnhancers(Arrays.asList(tokenEnchaner(), jwtAccessTokenConverter()));
116         /*
117         * OAuth2.0已经默认配置了几个端点：
118         * /oauth/authorize：授权端点；
119         * /oauth/token：令牌端点；
120         * /oauth/confirm_access：用户确认授权提交的端点；
121         * /oauth/error：授权服务错误信息端点；
122         * /oauth/check_token：用于资源服务访问的令牌进行解析的端点；
123         * /oauth/token_key：使用JWT令牌需要用到的提供共有密钥的端点；
124         * */
125         endpoints
126                 //自定义重新定义端点路径
127 //                .pathMapping("")
128                 .tokenStore(tokenStore())
129                 .tokenEnhancer(tokenEnhancerChain)
130                 .userDetailsService(myUserDetailServiceImpl)
131                 //指定令牌管理服务
132 //                .tokenServices(tokenServices())
133                 //限制Token的信息允许提交的模式
134 //                .allowedTokenEndpointRequestMethods(HttpMethod.POST);
135                 .authenticationManager(authenticationManager);
136     }
137 
138     /*private AuthorizationServerTokenServices tokenServices(){
139         final DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
140         //客户端详情服务
141         defaultTokenServices.setClientDetailsService(clientDetails());
142         //令牌自动刷新
143         defaultTokenServices.setSupportRefreshToken(true);
144         //令牌存储策略
145         defaultTokenServices.setTokenStore(tokenStore());
146         //令牌默认有效期，当前设置为2小时；单位秒
147         defaultTokenServices.setAccessTokenValiditySeconds(7200);
148         //刷新令牌默认有效期，当前设置为3天；单位秒
149         defaultTokenServices.setRefreshTokenValiditySeconds(259200);
150 
151         return defaultTokenServices;
152     }*/
153 
154     /**
155      * 功能描述：注入基于JWT的自定义Token增强器
156      *
157      * @author : XXSD
158      * @date : 2020/4/12 0012 下午 11:21
159      */
160     @Bean
161     public AuthTokenEnchaner tokenEnchaner() {
162         return new AuthTokenEnchaner();
163     }
164 
165     /**
166      * 功能描述：Token存储控制对象
167      *
168      * @author : XXSD
169      * @date : 2020/4/12 0012 下午 1:01
170      */
171     @Bean
172     public TokenStore tokenStore() {
173         /*
174          * Token有如下几种方式存储：
175          * 1、基于内存：InMemoryTokenStore；
176          * 2、基于数据库：JdbcTokenStore；
177          * 3、基于Redis：RedisTokenStore；
178          * 4、基于JWT：JwtTokenStore
179          * 这里是基于JWT的
180          * */
181         return new JwtTokenStore(jwtAccessTokenConverter());
182     }
183 
184     /**
185      * 功能描述：Token与用户信息之间的转换器
186      *
187      * @author : XXSD
188      * @date : 2020/4/12 0012 下午 1:01
189      */
190     @Bean
191     public JwtAccessTokenConverter jwtAccessTokenConverter() {
192         final JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
193         jwtAccessTokenConverter.setKeyPair(keyPair());
194         return jwtAccessTokenConverter;
195     }
196 
197     /**
198      * 功能描述：注入证书
199      *
200      * @author : XXSD
201      * @date : 2020/4/12 0012 下午 11:22
202      */
203     @Bean
204     public KeyPair keyPair() {
205         KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource(jwtCaProperties.getKeyPairName()), jwtCaProperties.getKeyPairSecret().toCharArray());
206         return keyStoreKeyFactory.getKeyPair(jwtCaProperties.getKeyPairAlias(), jwtCaProperties.getKeyPairStoreSecret().toCharArray());
207     }
208 
209     /**
210      * 功能描述：客户端处理服务
211      *
212      * @author : XXSD
213      * @date : 2020/4/12 0012 上午 11:58
214      */
215     @Bean
216     public ClientDetailsService clientDetails() {
217         /*
218         * 如果是使用JDBC的方式进行，那么就需要在数据库中创建一个表
219         * 表的名称为：oauth_client_details
220         * CREATE TABLE `oauth_client_details` (
221             -- 标识客户端的ID；
222             `client_id` varchar(256) CHARACTER SET utf8 NOT NULL,
223             `resource_ids` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
224             -- 客户端安全码；
225             `client_secret` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
226             -- 用来限制客户端的访问范围，如果为空标识客户端拥有全部的访问范围
227             `scope` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
228             -- authrized；此客户端可以使用的授权类型，默认为空（全部可用：authorizaton_code、password、client_credentals、implicit、refresh_token）；注：在微信中只支持authoriazton_code这一种
229             `authorized_grant_types` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
230             -- 回调的地址；授权服务会往此地址推送客户端的相关信息
231             `web_server_redirect_uri` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
232             -- 此客户端可以使用的权限（基于Spring Security authorities）
233             `authorities` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
234             `access_token_validity` int(11) DEFAULT NULL,
235             `refresh_token_validity` int(11) DEFAULT NULL,
236             `additional_information` varchar(4096) CHARACTER SET utf8 DEFAULT NULL,
237             -- 跳转到授权页面，是否跳转到授权同意页面
238             `autoapprove` varchar(256) CHARACTER SET utf8 DEFAULT NULL,
239             PRIMARY KEY (`client_id`)
240             ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
241         * */
242         return new JdbcClientDetailsService(dataSource);
243     }
244 }

三、授权中心配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {/*** 属性描述：认证服务器加载用户信息对象** @date : 2020/4/13 0013 上午 12:16*/private final MyUserDetailServiceImpl myUserDetailServiceImpl;/*** 功能描述：授权中心安全配置** @author : XXSD* @date : 2020/10/10 0010 下午 1:11*/public WebSecurityConfig(MyUserDetailServiceImpl myUserDetailServiceImpl) {this.myUserDetailServiceImpl = myUserDetailServiceImpl;}/*** 功能描述：用于构建用户认证组件,需要传递userDetailsService和密码加密器** @author : XXSD* @date : 2020/4/13 0013 上午 12:15*/@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(myUserDetailServiceImpl).passwordEncoder(passwordEncoder());}/*** 功能描述：配置安全拦截策略** @author : XXSD* @date : 2021/1/9 0009 下午 6:34*/@Overrideprotected void configure(HttpSecurity http) throws Exception {http//关闭CSRF跨域检查.csrf().disable()
//                .authorizeRequests()
//                //配置其他请求要求登录
//                .anyRequest().authenticated()
//                //设置并行策略
//                .and()
//                // 可以从默认的login页面登录
//                .formLogin();}/*** 设置前台静态资源不拦截*/@Overridepublic void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/assets/**", "/css/**", "/images/**");}/*** 功能描述：随机密码加密器** @author : XXSD* @date : 2020/4/13 0013 上午 12:19*/@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}}