oauth2单点登录难掌握?配置一下就搞定
单点登录是我们在分布式系统中很常见的一个需求。
分布式系统由多个不同的子系统组成,而我们在使用系统的时候,只需要登录一次即可,这样其他系统都认为用户已经登录了,不用再次去登录。大家可以登录淘宝天猫、支付宝、阿里云等网址体验一下单点登录
熟悉了oauth2单点登录功能,去面试时将是刘备遇到诸葛亮,如鱼得水
今天亨哥想和大家说一说 Spring Boot+OAuth2 做单点登录,利用 @EnableOAuth2Sso 注解快速实现单点登录功能。
源码下载地址
话不多说,开搞步骤
项目创建
把授权服务器和资源服务器搭建在一起(当然最好是分开,但是也有很多企业的产品也是放在一起的,这样做的目的就是方便)。
今天我们一共需要三个服务:
项目 端口 描述
auth-server 9090 授权服务器+资源服务器
client1 9091 子系统1
client2 9092 子系统2
auth-server 用来扮演授权服务器+资源服务器的角色,client1 和 client2 则分别扮演子系统的角色,将来等 client1 登录成功之后,我们也就能访问 client2 了,这样就能看出来单点登录的效果。
我们创建一个名为 oauth2-sso 的 Maven 项目作为父工程即可。
统一认证中心
接下来我们来搭建统一认证中心。
org.springframework.boot spring-boot-starter-web org.springframework.cloud spring-cloud-starter-oauth2 org.springframework.cloud spring-cloud-starter-security @SpringBootApplication
@EnableResourceServer
public class AuthServerApplication {public static void main(String[] args) {SpringApplication.run(AuthServerApplication.class, args);}}
@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {@AutowiredPasswordEncoder passwordEncoder;@Overridepublic void configure(AuthorizationServerSecurityConfigurer security) throws Exception {security.checkTokenAccess("permitAll()");}@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("api").secret(passwordEncoder.encode("123456")).autoApprove(true).redirectUris("http://127.0.0.1:9091/login", "http://127.0.0.1:9092/login").scopes("user").accessTokenValiditySeconds(7200).authorizedGrantTypes("authorization_code");}
}
这里只需要简单配置一下客户端的信息即可,配置很简单
为了简便,客户端的信息配置是基于内存的
@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {@BeanPasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Overridepublic void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/login.html", "/css/**", "/js/**", "/images/**");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.requestMatchers().antMatchers("/login").antMatchers("/oauth/authorize").and().authorizeRequests().anyRequest().authenticated().and().formLogin().loginPage("/login.html").loginProcessingUrl("/login").permitAll().and().csrf().disable();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("harry").password(passwordEncoder().encode("admin123")).roles("admin");}
}
这里来大致捋一下:
1.首先提供一个 BCryptPasswordEncoder 的实例,用来做密码加解密用。
由于我自定义了登录页面,所以在 WebSecurity 中对这些静态资源放行。
HttpSecurity 中,我们对认证相关的端点放行,同时配置一下登录页面和登录接口。
2.AuthenticationManagerBuilder 中提供一个基于内存的用户(可以在这里修改为从数据库加载)。
3.还有一个比较关键的地方,因为资源服务器和授权服务器在一起,所以我们需要一个 @Order 注解来提升 Spring Security 配置的优先级。
@RestController
public class UserController {@GetMapping("/user")public Principal getCurrentUser(Principal principal) {return principal;}
}
server.port=9091
另外,亨哥自己提前准备了一个登录页面,如下:
注意一下 action 提交地址不要写错即可。
如此之后,我们的统一认证登录平台就算是 OK 了。
客户端创建
接下来我们来创建一个客户端项目,创建一个名为 client1 的 Spring Boot 项目,
org.springframework.boot spring-boot-starter-web org.springframework.cloud spring-cloud-starter-oauth2 org.springframework.cloud spring-cloud-starter-security @Configuration
@EnableOAuth2Sso
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated().and().csrf().disable();}
}
这段配置很简单,就是说我们 client1 中所有的接口都需要认证之后才能访问,另外添加一个 @EnableOAuth2Sso 注解来开启单点登录功能。
@RestController
public class UserController {@Value("${server.port}")private String port;@GetMapping("/getLogin")public String getLogin() {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();return "当前登录的用户是"+authentication.getName() + Arrays.toString(authentication.getAuthorities().toArray())+",登录端口:"+port;}
}
这个测试接口返回当前登录用户的姓名和角色信息,服务端口号。
security.oauth2.client.client-secret=123456
security.oauth2.client.client-id=api
security.oauth2.client.user-authorization-uri=http://127.0.0.1:9090/oauth/authorize
security.oauth2.client.access-token-uri=http://127.0.0.1:9090/oauth/token
security.oauth2.resource.user-info-uri=http://127.0.0.1:9090/userserver.port=9091server.servlet.session.cookie.name=client1
这里的配置也比较熟悉,我们来看一下:
client-secret 是客户端密码。
client-id 是客户端 id。
user-authorization-uri 是用户授权的端点。
access-token-uri 是获取令牌的端点。
user-info-uri 是获取用户信息的接口(从资源服务器上获取)。
最后再配置一下端口,然后给 cookie 取一个名字。
如此之后,我们的 client1 就算是配置完成了。
按照相同的方式,我们再来配置一个 client2,client2 和 client1 一模一样,就是 cookie 的名字不同(随意取,不相同即可)。
测试
接下来,我们分别启动 auth-server、client1 和 client2,首先我们尝试去方式 client1 中的 getLogin接口,这个时候会自动跳转到统一认证中心
然后输入用户名:harry,密码:admin123
登录成功之后,会自动跳转回 client1 的 hello 接口,如下:
client1登录后,我们再去访问 client2 ,发现也不用登录了,直接就可以访问:
OK,如此之后,我们的单点登录就成功了。
流程解析
最后,我再来和小伙伴们把上面代码的一个执行流程捋一捋:
1.首先我们去访问 client1 的 /getLogin接口,这个接口是需要登录才能访问的,因此我们的请求被拦截下来,拦截下来之后,系统会给我们重定向到 client1 的 /login 接口,这是让我们去登录。
2.当我们去访问 client1 的登录接口时,由于我们配置了 @EnableOAuth2Sso 注解,这个操作会再次被拦截下来,单点登录拦截器会根据我们在 application.properties 中的配置,自动发起请求去获取授权码:
3.在第二步发送的请求是请求 auth-server 服务上的东西,这次请求当然也避免不了要先登录,所以再次重定向到 auth-server 的登录页面,也就是大家看到的统一认证中心。
4.在统一认证中心完成登录功能之后,会继续执行第二步的请求,这个时候就可以成功获取到授权码了。
5.获取到授权码之后,这个时候会重定向到我们 client1 的 login 页面,但是实际上我们的 client1 其实是没有登录页面的,所以这个操作依然会被拦截,此时拦截到的地址包含有授权码,拿着授权码,在 OAuth2ClientAuthenticationProcessingFilter 类中向 auth-server 发起请求,就能拿到 access_token 了。
6.在第五步拿到 access_token 之后,接下来在向我们配置的 user-info-uri 地址发送请求,获取登录用户信息,拿到用户信息之后,在 client1 上自己再走一遍 Spring Security 登录流程,这就 OK 了。
需要项目学习的可以到我的github上去clone下来
GitHub源码地址
标签:
相关文章
-
无相关信息