黑马程序员技术交流社区

标题: 【郑州校区】学成在线-第16天-讲义- Spring Security Oauth2 JWT四 [打印本页]
作者: 我是楠楠    时间: 2020-1-8 14:24
标题: 【郑州校区】学成在线-第16天-讲义- Spring Security Oauth2 JWT四
【郑州校区】学成在线-第16天-讲义- Spring Security Oauth2 JWT四

3.3.3 申请令牌
拿到授权码后,申请令牌。
Post请求http://localhost:40400/auth/oauth/token
参数如下:
grant_type:授权类型,填写authorization_code,表示授权码模式
code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
此链接需要使用 http Basic认证。
什么是http Basic认证?
http协议定义的一种认证方式,将客户端id和客户端密码按照客户端ID:客户端密码的格式拼接,并用base64码,放在header中请求服务端,一个例子:
AuthorizationBasic WGNXZWJBcHA6WGNXZWJBcHA=
WGNXZWJBcHA6WGNXZWJBcHA= 是用户名:密码的base64编码。
认证失败服务端返回 401 Unauthorized
以上测试使用postman完成:
http basic认证:



access_token:访问令牌,携带此令牌访问资源
token_type:有MAC TokenBearer Token两种类型,两种的校验算法不同,RFC 6750建议Oauth2采用 BearerTokenhttp://www.rfcreader.com/#rfc6750)。
refresh_token:刷新令牌,使用此令牌可以延长访问令牌的过期时间。
expires_in:过期时间,单位为秒。
scope:范围,与定义的客户端范围一致。
3.3.4 资源服务授权
3.3.4.1 资源服务授权流程
资源服务拥有要访问的受保护资源,客户端携带令牌访问资源服务,如果令牌合法则可成功访问资源服务中的资源,如下图:


上图的业务流程如下:

1、客户端请求认证服务申请令牌
2、认证服务生成令牌
认证服务采用非对称加密算法,使用私钥生成令牌。
3、客户端携带令牌访问资源服务
客户端在Http header 中添加: AuthorizationBearer 令牌。
4、资源服务请求认证服务校验令牌的有效性
资源服务接收到令牌,使用公钥校验令牌的合法性。
5、令牌有效,资源服务向客户端响应资源信息
3.3.4.2 资源服务授权配置
基本上所有微服务都是资源服务,这里我们在课程管理服务上配置授权控制,当配置了授权控制后如要访问课程信息则必须提供令牌。
1、配置公钥
认证服务生成令牌采用非对称加密算法,认证服务采用私钥加密生成令牌,对外向资源服务提供公钥,资源服务使用公钥 来校验令牌的合法性。
将公钥拷贝到 publickey.txt文件中,将此文件拷贝到资源服务工程的classpath


2、添加依赖
[AppleScript] 纯文本查看 复制代码
 <dependency>

<groupId>org.springframework.cloud</groupId>

<artifactId>spring‐cloud‐starter‐oauth2</artifactId>

</dependency>


4、在confifig包下创建ResourceServerConfifig类:
[AppleScript] 纯文本查看 复制代码
 @Configuration

@EnableResourceServer

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的

PreAuthorize注解

public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

//公钥

private static final String PUBLIC_KEY = "publickey.txt";

//定义JwtTokenStore,使用jwt令牌

@Bean

public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {

return new JwtTokenStore(jwtAccessTokenConverter);

}

//定义JJwtAccessTokenConverter,使用jwt令牌

@Bean

public JwtAccessTokenConverter jwtAccessTokenConverter() {

JwtAccessTokenConverter converter = new JwtAccessTokenConverter();

converter.setVerifierKey(getPubKey());

return converter;

}

/**

* 获取非对称加密公钥 Key

* @return 公钥 Key

*/

private String getPubKey() {

Resource resource = new ClassPathResource(PUBLIC_KEY);

try {

InputStreamReader inputStreamReader = new

InputStreamReader(resource.getInputStream());

BufferedReader br = new BufferedReader(inputStreamReader);

return br.lines().collect(Collectors.joining("\n"));

} catch (IOException ioe) {

return null;

}

}

//Http安全配置,对每个到达系统的http请求链接进行校验

@Override

public void configure(HttpSecurity http) throws Exception {

//所有请求必须认证通过

http.authorizeRequests().anyRequest().authenticated();

}

}


3.3.4.3 资源服务授权测试
这里我们测试课程图片查询http://localhost:31200/course/coursepic/list/4028e58161bd3b380161bd3bcd2f0000
请求时没有携带令牌则报错:

[AppleScript] 纯文本查看 复制代码
{

"error": "unauthorized",

"error_description": "Full authentication is required to access this resource"

}

请求时携带令牌:
http header中添加 AuthorizationBearer 令牌


3.3.4.4 解决swagger-ui无法访问
当课程管理加了授权之后再访问swagger-ui则报错:


修改授权配置类ResourceServerConfifigconfifigure方法:
针对swagger-ui的请求路径进行放行:
[AppleScript] 纯文本查看 复制代码
 //Http安全配置,对每个到达系统的http请求链接进行校验

@Override

public void configure(HttpSecurity http) throws Exception {

//所有请求必须认证通过

http.authorizeRequests()

//下边的路径放行

.antMatchers("/v2/api‐docs", "/swagger‐resources/configuration/ui",

"/swagger‐resources","/swagger‐resources/configuration/security",

"/swagger‐ui.html","/webjars/**").permitAll()

.anyRequest().authenticated();

}


注意:
通过上边的配置虽然可以访问swagger-ui,但是无法进行单元测试,除非去掉认证的配置或在上边配置中添加所有
请求均放行("/**")。






欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/) 黑马程序员IT技术论坛 X3.2