【OAuth2.0】Spring Security OAuth2.0篇之初識
-
不吐不快
因為項目需求開始接觸OAuth2.0授權(quán)協(xié)議。斷斷續(xù)續(xù)接觸了有兩周左右的時間。不得不吐槽的,依然是自己的學習習慣問題,總是著急想了解一切,習慣性地鉆牛角尖去理解小的細節(jié),而不是從宏觀上去掌握,或者說先用起來(少年,一輩子辣么長,你這么著急合適嗎?)。好在前人們已經(jīng)做好了很好的demo,我自己照著抄一抄也就理解了大概如何用,依舊手殘黨,依舊敲不出好代碼。懺悔…
-
WHAT?
項目之中實際使用OAuth2.0實現(xiàn)是用的Spring Security OAuth2.0,一套基于Spring Security項目的實現(xiàn),配合Spring Security配置使用。
總體來講,自己所理解的這套實現(xiàn)當中,是在Spring Security的基礎(chǔ)之上又增加了幾部分內(nèi)容:
- authorization server
這部分配置算是OAuth2.0的核心配置部分。
該配置涉及:
client details service(第三方client端信息查詢配置)、
token service(token查詢操作相關(guān))、
authorization code service(授權(quán)code獲取)、
user approval handler(用戶授權(quán)處理)、
client端的各種grant_type等等。
同時,這部分內(nèi)容“內(nèi)置”了兩個FrameworkEndpoint(和Controller意義相同):AuthorizationEndpoint和TokenEndpoint,分別對應(yīng)請求/oauth/authorize和/oauth/token。只要在spring配置文件中開啟MVC配置就能使用并攔截對應(yīng)
該部分簡單配置:
1 <mvc:annotation-driven/> 2 <mvc:default-servlet-handler/> 3 4 <!-- 1. OAuth2 related config --> 5 <oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices" 6 user-approval-handler-ref="oauthUserApprovalHandler" 7 user-approval-page="oauth_approval" 8 error-page="oauth_error"> 9 <oauth2:authorization-code authorization-code-services-ref="authorizationCodeServices" /> 10 <oauth2:implicit/> 11 <oauth2:refresh-token/> 12 <oauth2:client-credentials/> 13 <oauth2:password/> 14 </oauth2:authorization-server> 15 16 <!-- 1.1 client detail service --> 17 <beans:bean id="clientDetailsService" class="com.cyou.nad.bet.oauth.service.impl.CustomJdbcClientDetailsServiceImpl"> 18 <beans:constructor-arg index="0" ref="platform_dataSource"/> 19 </beans:bean> 20 21 <!-- 1.2 Config token services--> 22 <beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices"> 23 <beans:property name="tokenStore" ref="tokenStore"/> 24 <beans:property name="supportRefreshToken" value="true"/> 25 </beans:bean> 26 <beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore"> 27 <beans:constructor-arg index="0" ref="platform_dataSource"/> 28 </beans:bean> 29 30 <!-- 1.3 oauthUserApprovalHandler --> 31 <beans:bean id="oauthUserApprovalHandler" class="com.cyou.nad.bet.oauth.approval.SimpleTokenServiceUserApprovalHandler"> 32 <beans:property name="tokenServices" ref="tokenServices"/> 33 <beans:property name="oauthClientDetailsService" ref="oauthClientDetailsService"/><!-- FIXME 考慮直接使用clientDetailService --> 34 </beans:bean> 35 36 <!-- 1.4 authorization code creator --> 37 <beans:bean id="authorizationCodeServices" class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices"> 38 <beans:constructor-arg index="0" ref="platform_dataSource"/> 39 </beans:bean>
- 第三方client配置
在spring的這套實現(xiàn)當中,在第三方client端也有自己單獨的id、secret和權(quán)限,所以從某種程度上來講,其實client端相當于是一種特殊的user了。
以前使用Spring Security配置user權(quán)限校驗的時候,會配置authentication-manager,使用DB的話,還需要提供userService用于查詢DB獲取用戶信息。
這里在配置OAuth的時候,client端也有類似配置,同樣需要配置authentication-manager并指定clientDetailService。
實際后續(xù)了解更多之后,發(fā)現(xiàn)實際校驗時,二者封裝成的都是類UserDetails的實例
用于client端校驗的AuthenticationManager配置:
1 <authentication-manager id="oauth2ProviderManager"> 2 <authentication-provider user-service-ref="oauth2ClientDetailsUserService"/> 3 </authentication-manager> 4 <beans:bean id="oauth2ClientDetailsUserService" 5 class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService"> 6 <beans:constructor-arg ref="clientDetailsService"/> 7 </beans:bean>
- resource custom filter
在spring oauth2.0的配置當中,可以單獨配置resource-server,指定特定的resource-id。
這個resource-server的用處在于,之后會作為一個custom-filter加到Spring Security Filter Chain當中的。當?shù)谌絚lient嘗試訪問受限資源時,該filter會對client信息和其攜帶過來的access_token進行校驗,校驗通過之后才能拿到資源。
resource配置:
1 <oauth2:resource-server id="userResourceServerFilter" resource-id="user" token-services-ref="tokenServices"/>
后續(xù)作為custom-filter添加到http配置中:
1 <http pattern="/oauth/userInfo*" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint" 2 access-decision-manager-ref="oauth2AccessDecisionManager"> 3 <anonymous enabled="false"/> 4 <!-- 獲取用戶信息 --> 5 <intercept-url pattern="/oauth/userInfo*" access="ROLE_UNITY,scope=READ"/> 6 <custom-filter ref="userResourceServerFilter" before="PRE_AUTH_FILTER"/> 7 <access-denied-handler ref="oauth2AccessDeniedHandler"/> 8 </http>
另外需要一提的就是,OAuth2.0當中還有一個SCOPE的概念,相當于用戶對client授權(quán)訪問自己擁有的某一資源時,可以指定其范圍,比如read(只讀), write(可寫),或者get_user_info(獲取用戶信息), share(分享)等等。一開始沒有很好的理解,后來看到別的項目的配置,感覺可以這樣想:如果resource對應(yīng)的是工程的Controller的話,那么scope可以理解為Controller當中的方法,類似于user.getUserInfo()或者user.addShare()等。配置參考:https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml
添加scope之后,在<http>配置的AccessDecisionManager中就需要添加用于oauth2.0 scope校驗相關(guān)的voter了:
<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"> <beans:constructor-arg> <beans:list> <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter"> <beans:property name="scopePrefix" value="scope="></beans:property> </beans:bean> <beans:bean class="org.springframework.security.access.vote.RoleVoter"/> <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/> </beans:list> </beans:constructor-arg> </beans:bean>
關(guān)于Spring這套實現(xiàn)的配置,前輩們分享的已經(jīng)很多了,基本都是類似的配置。后續(xù)主要整理對于整體流程和諸如code或token的生成和存儲規(guī)則相關(guān)的東西,最最重要的,還是要把使用過程中遇到的各種問題記錄下來才是。
浙公網(wǎng)安備 33010602011771號