使用OAuth2的SSO分析

1.浏覽器向UI伺服器點選觸發要求安全認證 

2.跳轉到授權伺服器擷取授權許可碼 

3.從授權伺服器帶授權許可碼跳回來 

4.UI伺服器向授權伺服器擷取AccessToken 

5.傳回AccessToken到UI伺服器 

6.發出/resource請求到UI伺服器 

7.UI伺服器将/resource請求轉發到Resource伺服器 

8.Resource伺服器要求安全驗證,于是直接從授權伺服器擷取認證授權資訊進行判斷後(最後會響應給UI伺服器,UI伺服器再響應給浏覽中器）

一.先建立OAuth2授權伺服器 

1.使用spring Initializrt生成初始項目,選使用spring boot 1.3.3生成maven項目,根據需要填寫group,artifact,依賴選Web和Security兩塊,點生成按鈕即可. 

2.加入OAuth2依賴到pom.xml

修改主類(這裡同時也作為資源伺服器)

同時修改servlet容器的port,contextPath,注冊一個測試使用者與用戶端,加入配置:application.properties

基于spring boot的security的session建立政策預設是STATELESS,至于幾個選項意義,可看

啟動授權伺服器後,可測試了: 

a.打開浏覽器輸入位址

送出請求,然後根據以上配置,輸入使用者名/密碼,點同意,擷取傳回的授權許可碼 

b.在Linux的bash或mac的terminal輸入 

回車擷取access token,其中fjRdsL替換上步擷取的授權許可碼.傳回結果類似如下: 

從傳回結果複制access_token,繼續: 

其中上面的8eded27d-b849-4473-8b2d-49ae49e17943是access_token,根據實際情況替換,第二個指令傳回結果類似如下: 

從結果來看,使用access token通路資源一切正常,說明授權伺服器沒問題.

二.再看分離的資源伺服器(改動也不少) 

不再使用Spring Session從Redis抽取認證授權資訊,而是使用ResourceServerTokenServices向授權伺服器發送請求擷取認證授權資訊.

因些沒用到Spring Session時可移除,同時application.properties

配置

security.oauth2.resource.userInfoUri

或

security.oauth2.resource.tokenInfoUri

中的一個,

主類修改如下:

最後運作主類的main方法,開始測試(授權伺服器前面啟動了,access_token也得到了),于是在使用curl指令: 

傳回結果類似如下: 

可借鑒的經驗,我在windows上開發,啟動資源伺服器,然後資源伺服器有配置

,這裡限制容器隻能是本機通路,

如果使用區域網路IP是不可以通路的,比如你在别人的機器或在一台虛拟的linux上使用curl都是不是通路的,注釋這行配置,這限制就解除. 

跟蹤下擷取認證授權的資訊過程: 

1.userInfoRestTemplate Bean的聲明在

2.使用前面配置的userInfoUri和上面的userInfoRestTemplate Bean在org.springframework.boot.autoconfigure.security.oauth2.resource.ResourceServerTokenServicesConfiguration.

RemoteTokenServicesConfiguration.

UserInfoTokenServicesConfiguration#userInfoTokenServices

建立UserInfoTokenServices Bean. 

3.在org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer#configure添加了org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter 

4.當使用curl -H “Authorization: Bearer $TOKEN” 192.168.1.115:9000送出請求時,直到被OAuth2AuthenticationProcessingFilter攔截器處理, 

org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter

#doFilter{ 

Authentication authentication = tokenExtractor.extract(request);//抽取Token 

Authentication authResult = authenticationManager.authenticate(authentication);//還原解碼認證授權資訊 

} 

org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationManager

#authenticate{ 

OAuth2Authentication auth = tokenServices.loadAuthentication(token);//這裡的tokenServices就是上面的UserInfoTokenServices Bean,就在這裡向授權伺服器送出請求. 

三.UI伺服器作為SSO的用戶端. 

1.同樣UI伺服器不需要Spring Session,認證如我們所期望的,交給授權伺服器,是以使用Spring Security OAuth2依賴替換Spring Session和Redis依賴

2.當然UI伺服器還是API網關的角色,是以不要移除@EnableZuulProxy

在UI伺服器主類加上@EnableOAuth2Sso,這個注解會幫我們完成跳轉到授權伺服器,當然要些配置application.yml

這裡将”/user”請求代理到授權伺服器 

3.繼續修改UI主類繼承WebSecurityConfigurerAdapter,重寫org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter

#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity) 

目的是為了修改@EnableOAuth2Sso引起的預設Filter鍊,預設是org.springframework.boot.autoconfigure.security.oauth2.client.OAuth2SsoDefaultConfiguration

#configure,

這個類上面有@Conditional(NeedsWebSecurityCondition.class)意思應該是,沒有WebSecurityConfigurerAdapter才會去執行這個config,

因為繼承了這個類,是以此config不再執行. 

4.作為oauth2的用戶端,application.yml下面這幾項是少不了的

最後一項,因為也作為資源伺服器,是以也加上吧

spring aop預設一般都是使用jdk生成代理,前提是要有接口,cglib生成代理,目标類不能是final類,這是最基本的條件.

估計是那些restTemplate沒有實作接口,是以不得不在這裡使用cglib生成代理. 

5.其它的前端微小改變,這裡不贅述.把授權伺服器,分離的資源伺服器和這個UI伺服器都啟動.準備測試:http://localhost:8080/login 

a.經過security的攔截連結中的

org.springframework.security.oauth2.client.filter.OAuth2ClientAuthenticationProcessingFilter.doFilter攔截,

觸發了attemptAuthentication方法

acquireAccessToken(context)去擷取token的時候觸發抛異常.

在org.springframework.security.oauth2.client.token.grant.code.AuthorizationCodeAccessTokenProvider

#getRedirectForAuthorization處理發送的url,

最後這個UserRedirectRequiredException往上抛，

一直往上抛到org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter#doFilter

終于看到redirectUser(redirect, request, response);進行跳轉到授權伺服器去了.

授權伺服器跳回到UI伺服器原來的位址(帶回來授權許可碼),再次被OAuth2ClientAuthenticationProcessingFilter攔截發送擷取accessToken,

經org.springframework.security.oauth2.client.token.OAuth2AccessTokenSupport

#retrieveToken送出POST請求,擷取到傳回原來發請求處得到OAuth2AccessToken對象. 

在org.springframework.security.oauth2.client.OAuth2RestTemplate#acquireAccessToken使用oauth2Context.setAccessToken(accessToken);

對token進行儲存.有了accessToken,就可以從授權伺服器擷取使用者資訊了.

最後,當使用者點logout的時候,授權伺服器根本沒有退出(銷毀認證授權資訊)

http://blog.csdn.net/xiejx618/article/details/51039653