Oauth2

这篇文章以简化的格式描述了 OAuth 2.0，以帮助开发人员和服务提供商实现该协议。

前言

摘要

OAuth2.0 授权框架允许第三方应用获取对 HTTP 服务的有限的访问权限，既可以以资源所有者名义在资源所有者和 HTTP 服务之间进行允许的交互，也可以允许第三方应用以自己的名义进行访问。本规范取代并淘汰 RFC 5849 中描述的 OAuth 1.0 协议。

原文链接：https://www.pubnub.com/guides/oauth/

什么是 OAuth？

OAuth（开放授权）是一种开放标准授权框架，允许第三方应用程序访问用户数据，而无需用户共享其登录凭据。它为用户提供了一种安全且标准化的方式，将其在一个网站上的资源的访问权限授予另一个网站或应用程序，而无需暴露其密码。

今天做了什么：

• 使用 renovate 监控第三方依赖更新 ，renovate 貌似需要付费，放弃。
• spring-security-oauth2-samples 示例工程重命名模块和包名，代码见 spring-security-oauth2-boot
• 实现单点登录并测试

实现单点登录并测试

实现单点登录（Single Sign-On，SSO）可以采用多种思路和技术。下面是几种常见的实现思路：

今天做了什么：

• 重构微服务项目中使用 spring-security-oauth2 搭建 OAuth2 认证服务和资源服务的代码，减少其他模块对此的耦合度。计划将 spring-security-oauth2 迁移到 spring-security-oauth2-authorization-server 上，即使用 OAuth2.1 授权和认证。Spring Authorization Server 相关文档，可以参考 https://blog.51cto.com/u_15268610/category2。
• 看 xuxiaowei-cloud master 分支源代码，整理 /login 登陆逻辑，参数：username、password、tenantId、clientId

登陆成功

今天做了什么：

• 微服务项目中认证服务器配置授权码模式，并测试通过
  • 扩展 RedisAuthorizationCodeServices ，支持设置过期时间。
    • 注意：OAuth2Authentication 无法从 json 反序列化，故无法使用 JSON 反序列化类，只能使用 JDK 反序列化类。
  • 扩展 BearerTokenExtractor，支持从 request 请求的 header 中读取 access_token
  • 配置 JWK token 使用时
    • 扩展 JwtAccessTokenConverter ，用于解析 jwks 接口返回的 json，相关说明参考 creating-the-jwk-set-endpoint
    • JwkDefinitionSource 类中获取 jwkSetUrls 时，不支持 url 中配置服务名称，即不支持负载均衡。故，重写该类以支持通过 RestTemplate （可以注入一个支持负载均衡的 RestTemplate） 解析 jwkSetUrls 返回的 json 类型的字符串；创建了一个支持负载均衡的 TokenStore。
• 运行 xuxiaowei-cloud 项目时
  • 提示 Rollup failed to resolve import "@vue/shared"，原因：这个错误是由于无法解析到 @vue/shared 这个包导致的。@vue/shared 是 Vue 内部使用的一个共享工具库。解决方案：将 @vue/shared 添加到项目的依赖中。

    npm install --save @vue/shared
    

  • Controller 的方法上添加注解判断是否有权限，例子： @PreAuthorize("hasAuthority('manage_user_authority') or #oauth2.hasScope('manage_user_authority')")
  • Principal 中的用户对象，即 UserDetails 对象不添加额外字段，只有 username，如果想获取用户信息，需要通过用户服务去查询。

关于 OAuth2 的参考资料：

Today I Learned. 今天分享内容：Spring Security 对 OAuth2 的支持

Today I Learned. 今天分享内容：使用Spring Security实现OAuth2授权和认证。

OAuth 2.0 基础知识