[TOC] # **认证中心* auth-server* auth-server在项目中的位置 ![](https://img.kancloud.cn/fe/7a/fe7ac9108d57ec9d64e8d7d55fe5763b_1006x660.png) auth-server在项目用的作用 ![](https://box.kancloud.cn/67e561ea8cb7eeab5f62d74f4956a5ab_1064x532.png) ## 认证服务器颁发token核心流程 * /oauth/token?grant_type=password #请求授权token * /oauth/token?grant_type=refresh_token #刷新token * /oauth/check_token #校验token * /oauth/authorize #授权码模式 ## OAUTH 核心处理调用关系 ![](https://box.kancloud.cn/153c89b5bdf9cef58e6bf51005624413_857x461.png) ## 认证流程图 ![](https://box.kancloud.cn/61db9c23a4af534a31da34b273fedb9b_927x531.png) ## Spring Security Oauth基本设计 ![](https://img.kancloud.cn/f3/4f/f34faab4ebaa42a7b18e895474f54332_1101x517.png) * 访问者(Accessor)需要访问某个资源(Resource)是这个场景最原始的需求,但并不是谁都可以访问资源,也不是任何资源都允许任何人来访问,所以中间我们要加入一些检查和防护 * 在访问资源的所经之路上,可能遇到细菌,病毒,不管怎么样,对于要防护的资源来说最好的方法就是设关卡点,对于上图的FilterSecurityInvation,MethodIncation,Jointpoint,这些在spring security oauth中统称SecuredObjects * 我们知道在哪里设置关卡点最合适,下一步就是设置关卡,对应FileSecurityInterceptor,MethodSecurityInterceptor,AspectSecurityInterceptor, 这些关卡统一的抽象类是AbstractSecurityInterceptor * 有关卡点,关卡了以后,到底谁该拦截谁不应该呢,spring security oauth中由 AccessDecisionManager控制 * 最后一个问题,这个谁怎么定义,我们总得知道当前这个访问者是谁才能告诉AccessDecisionManager拦截还是放行,在spring security oauth框架中AuthenticationManager将解决访问者身份认证问题,只有确定你在册了,才可以给授权访问。AuthenticationManager,AccessDecisionManager,AbstractSecurityInterceptor属于spring security框架的基础铁三角。 * 有了以上骨架,真正执行防护任务的其实是SecurityFilterChain中定于的一系列Filter,其中ExceptionTranslationFilter,它负责接待或者送客,如果访问者来访,对方没有报上名来,那么,它就会让访客去登记认证(找AuthenticationManager做认证),如果对方报上名了,但认证失败,那么请重新认证送客,送客的方式是抛出相应的Exception,所以名字叫做ExceptionTranslationFilter。 * 最后,这个filter序列中可能不满足我们的需求,比如增加验证码,所以我们需要在其中穿插自己的Filter实现类,为定制和扩展Spring Security Oauth的防护体系。 * spring security内置的filter序列 ![](https://img.kancloud.cn/5f/30/5f3006bb1d84ed61dbd12c71ec4c5099_1811x888.png) * 执行过滤链 ![](https://img.kancloud.cn/22/bc/22bcdefc6698fc9f5a5e7535566aa2dc_1270x348.png) ## AuthorizationServerEndpointsConfiguration ### 授权码 ![](https://img.kancloud.cn/be/3c/be3c89bc44445138d5ae0e41b81155ef_1707x782.png) ### 密码 ![](https://img.kancloud.cn/75/75/7575d2b703c5870019126b14125bff2e_1482x340.png) 根据以上流程重写了密码模式,(仅用来学习流程,并没有真正调用) ![](https://img.kancloud.cn/27/99/2799f66d19f34fe5e9f747ee609e32b0_1696x702.png) 根据以上流程重写了客户端模式(仅用来学习流程,并没有真正调用) ![](https://img.kancloud.cn/b1/39/b13974faa7ff9bb863f9187af7187705_1315x426.png) ## auth-server作为一个认证服务器,引入uaa-server-spring-boot-starter ![](https://img.kancloud.cn/5c/c7/5cc78590b1cb6a723e0681c9ce2e904e_1552x622.png) ### 引入oauth的以下模式 * 简易模式 * 客户端模式 * 密码模式 * 授权码模式 * 刷新模式 * 短信模式 ## auth-server核心表 oauth_client_details --> JdbcClientDetailsService 处理 ![](https://box.kancloud.cn/35a46621f0574c3e6165dda495e416c1_1916x543.png) 应用管理 com.open.capacity.uaa.controller.SysClientController ![](https://img.kancloud.cn/5c/89/5c89ad9b23a3d7abd43a97f9fade13a1_1533x706.png) 在auth-server启动时,会把oauth_client_details 的数据加载到redis中,在oauth申请令牌时,会通过org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter中的attemptAuthentication方法校验应用以及密钥 ## 服务管理 com.open.capacity.uaa.controller.SysServiceController * sys_service 服务表 * sys_client_service 应用服务表 ![](https://img.kancloud.cn/0f/25/0f257fd44833670d3fecf4ab422ea9b5_1835x700.png) ## token列表 com.open.capacity.uaa.controller.OAuth2Controller.getTokenList(Map<String, Object>) redis scann获取在线用户的token列表 ![](https://img.kancloud.cn/6a/cc/6accc642c637a40f792934a1abb33680_1818x669.png) ## auth-server 自定义用户验证逻辑 处理密码模式中的用户名密码获取 ![](https://img.kancloud.cn/1b/98/1b983dc2d653043bd63a294acf7166ff_1679x784.png) feign声明调用用户中心,获取sys_user表中的用户信息 ![](https://box.kancloud.cn/8b0f61a737fa07e771f61d6678b8c65a_1752x726.png) 原理部分[28.服务间调用](29.%E6%9C%8D%E5%8A%A1%E9%97%B4%E8%B0%83%E7%94%A8.md) ### 启动user-center后测试auth-server的密码模式 ![](https://img.kancloud.cn/86/1d/861d40a358dbfa865d3b99dc8d30e8ed_1917x780.png) **如果是客户端模式,可以通过swagger测试** 访问认证中心地址http://130.75.131.208:8000/api-auth/doc.html ![](https://img.kancloud.cn/30/e9/30e9e6537c5af35b0388c02bd69bdb22_1920x803.png) 需要带上token,否则无法访问auth-server的资源 ![](https://img.kancloud.cn/13/e9/13e97782cf3b796920bd983223b164a3_1919x787.png) 需要带上token,正确访问 ![](https://img.kancloud.cn/67/f7/67f703e039550cdf058d748a77bd5be4_1920x734.png) ## 权限访问白名单 ### 配置文件 ![](https://box.kancloud.cn/141d93cff0be2656f6310faa239a43cd_1742x673.png) ### 处理类 ![](https://img.kancloud.cn/24/bd/24bdaee394247dc160e89b76e2715ab2_1656x676.png) ### 处理/oauth/authorize 核心类AuthorizationEndpoint ![](https://box.kancloud.cn/d970243ea0fac42f0784d4e7a2895dec_1118x678.png) #### 授权码模式 * 获取授权码 (http://127.0.0.1:8000/api-auth/oauth/authorize?client_id=owen&redirect_uri=http://127.0.0.1:9997/dashboard/login&state=abc&scope=app&response_type=code) * 跳转统一登录页面,登录成功获取授权码 ![](https://img.kancloud.cn/56/e2/56e2409077b22173ea9102f2fab47384_1918x461.png) * 用授权码换token ![](https://img.kancloud.cn/30/ba/30bab4f598230a47349bedf8b425dd9f_1711x512.png) #### 密码模式 >[info]基本流程就是: 通过ClientDetailsSevice根据ClientId查找对应的Client,由Oauth2RequestFactory生成TokenRequest。检查是否能对应的找到Client,没有就抛出异常。 检查参数,都没问题了最后就调用Ganter的grant方法来生成Token并返回。输入参数,即用户提供username,password,clientId,clientSecret,grantType=password等信息,请求/oauth/token,获得access_token,用户即可通过access_token访问资源 访问/oauth/token >[info]对应代码处理流程 此时FilterChainProxy的filter顺序如下。重要的Filter有ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilter,前者从request parameters中抽取client信息,后者从header Authorization Basic XXXX中抽取client信息。 80端口是nginx负载的网关,测试可以改成9200 ![](https://box.kancloud.cn/c2da6efd9ac36097796aafc414f93246_1648x843.png) >[info]**ClientCredentialsTokenEndpointFilter**会从parameter中抽取client_id,client_secret信息,并进行client的身份验证。 ![](https://box.kancloud.cn/ba4b7bf3c47c4dc5459d4192259e9fc8_833x494.png) ![](https://box.kancloud.cn/9963569242229cd877dd1abb6a522b2a_912x739.png) >[info] 访问/oauth/token,都事先验证了client信息,并作为authentication存储在SecurityContextHolder中。传递到TokenEndPoint的principal是client,paramters包含了user的信息和grantType。 ### 处理/oauth/token核心类TokenEndpoint ![](https://box.kancloud.cn/95a0c28a24999a030093a8ca832980d8_1206x532.png) ### 认证流程图 ![](https://box.kancloud.cn/cd129821b9eb34b2145923e976062188_961x683.png) #### security认证原理 >[info] 认证的工作是交给AuthenticationManager去做,AuthenticationManager下有多个认证器 AuthenticationProvider 只要其中一个AuthenticationProvider通过认证就算登陆成功,而且在认证器中抛出异常,无法终止认证流程只是算该认证器未通过。 第一个config就算配置了一个AuthenticationManagerBuilder 这个类会生成一个 AuthenticationManager和DaoAuthenticationProvider认证器,认证调用userdetailservice 的loadUserByUsername方法来和你传入的username passworde做比较,password 是通过BCryptPasswordEncoder来做编码后比较的,这样做是为了提高安全性。 ## 通过arthas理解OAUTH密码模式 * 端点过滤器TokenEndpointAuthenticationFilter * 端点对应的action类TokenEndpoint * 受保护的资源信息类ResourceOwnerPasswordResourceDetails * 和认证服务器交互资源信息类ResourceOwnerPasswordAccessTokenProvider ![](https://box.kancloud.cn/c166a2246d88ca8cc31b64f7d32a77f6_1563x394.png) ![](https://box.kancloud.cn/b73ab6847f26a3fc8e545ac8d8360ab0_1547x314.png) ![](https://box.kancloud.cn/a2e57bed6f98c43750f8b9d782ceb134_1548x127.png) ## 代码分析 ![](https://img.kancloud.cn/b7/67/b767e7d66c6d0c16c6b78465553cd87a_663x420.png) ### 认证授权效果图 注意可能访问是:8000/api-auth/doc.html,项目更新版本增加了相对路径,此处没有更新 ![](https://box.kancloud.cn/abab658b5e65084b2aead66130dc90f6_1922x950.gif) ### redis token 结构 ``` 排除refresh_token,主要key如下: * auth_to_access:OAuth2Authentication相关信息加密后的值,value为string结构 这个主要是通过OAuth2Authentication来获取OAuth2AccessToken * auth:token值,value为string结构 这个主要用来获取token的OAuth2Authentication,用来获取相应的权限信息 * client_id_to_access:clientId,value为list结构 这个主要是存储了每个clientId申请的OAuth2AccessToken的集合 方便用来审计和应急处理跟clientId相关的token * access:token值,value为string 这个主要是通过token值来获取OAuth2AccessToken * uname_to_access:clientId:userId,value的结构是list 存储OAuth2AccessToken的集合 主要是为了通过clientId,userId来获取OAuth2AccessToken集合,方便用来获取及revoke approval ``` ### 监控redis 的操作情况 ``` D:\soft\redis>redis-cli.exe -h 59.110.164.254 -p 6379 59.110.164.254:6379> select 2 OK 59.110.164.254:6379[2]> monitor ``` ![](https://img.kancloud.cn/b5/f5/b5f5b1b7625fe5ca5b98b2908f17f4a2_1598x535.png) ## 项目pom版本依赖 ![](https://img.kancloud.cn/8f/d3/8fd39b9edd8752e85ecabff3f65cac07_644x413.png) 左侧2.0.x版本 左侧1.5.9版本差异 ![](https://box.kancloud.cn/6c10f0c1ae40e1bdbf5ba48f35fb1f4b_920x816.png) # 认证中心的**另一种选择***keycloak* ![](https://img.kancloud.cn/e9/f2/e9f285e1b267ad31ce26e1d02df373e6_1392x754.png) ## 简介 Keycloak 为现代应用和分布式服务提供了一套完整的认证授权管理解决方案,它是开源的,是一个独立的认证授权服务器。它主要是基于OAuth2协议的实现,同时提供了多种语言库,让我们可以很快速地根据我们的需求将Keycloak集成到我们的项目中去使用。 Keycloak功能: * 是一个独立的认证授权服务器,提供完整的认证授权解决方案 * 主要基于OpenID-Connect & SAML协议 * 基本的登录注册,以及登录注册页面主题自定义 * 很人性化的用户界面管理,比如用户、角色、session、Clients等等的管理 * 具有独立的数据库,用于存储用户等认证授权数据 * 支持联合数据存储,比如集成Ldap服务器;提供SPI扩展,比如user Storage SPI,可以让用户的一部分数据存储在你自己的数据库,一部分存储在keycloak自己的数据库 * 提供多种语言库集成keycloak * 提供管理API,用于管理keycloak中所有的认证授权对象 * Docker-compose一键安装,同时windows解压版解压后即可使用 ## 安装 解压版安装 – 下载地址:[ https://downloads.jboss.org/keycloak/11.0.3/keycloak-11.0.3.zip]() https://www.keycloak.org/downloads – 默认是使用H2数据库存储数据,如果你想要换成其他数据库可以参考: [https://www.cnblogs.com/ifme/p/12588910.html]() 解压目录如下 ![](https://img.kancloud.cn/27/7a/277ab8366afde2e592ba483890287032_597x849.png) ## 启动服务器 Keycloak提供多种模式启动,standalone单机启动,domain集群启动。我们这里使用单机启动,进去到bin目录,找到standalone.bat, 双击启动。启动后访问 http://localhost:8080,正常访问说明启动成功,如下: ![](https://img.kancloud.cn/0d/85/0d85ce6b35c14f4380a0519cd785c28f_1553x662.png) 点击Administration Console, 第一次需要给admin用户创建密码。 docker-compoe安装 – Docker安装:[ https://github.com/keycloak/keycloak-containers/tree/master/docker-compose-examples]() 安装使用很简单,这里就累述了。 专有名词 & 基本使用 当你启动的keyclaok服务器,然后使用admin账号登录以后,进去到keycloak管理页面: ![](https://img.kancloud.cn/28/ac/28ac00972e62fc9f74b2af7b37690a6d_1581x810.png) 这是Master Realm的settings页面,Master Realm是keycloak默认有的realm,顾名思义就是用于管理的realm,例如admin这个用户就是属于这个realm: ![](https://img.kancloud.cn/fd/7f/fd7fbd70a8dfb6b97d814c02e52311ae_1445x763.png) 那Realm是什么意思呢?Realm字面意思是领域可以理解为一个租户,指的是在某一个软件业务领域中所涉及的用户认证授权管理相关的对象,在这个realm下有用户、角色、会话(session)等等用于认证授权管理的对象。 假设一个公司A使用一个ERP系统,那么就可以给这个公司A设置一个Realm,用于该公司所有员工的授权管理。那么如果另一个公司B也使用这个ERP系统(假设这个ERP系统是第三方提供给所有公司使用的一个ERP服务,就需要给公司B也创建一个Realm,用于公司B员工的授权管理。 所以Realm之间的相互隔离的一个业务领域概念。 创建一个Realm ![](https://img.kancloud.cn/a3/13/a31366befd99070675409a9439e5da82_1189x787.png) 设置一个名字,然后你就可以给你自己的realm设置各种对象了。比如创建用户,创建一个角色,给用户授予角色等等。 例如:我创建一个USER的角色,创建一个testuser01用户,然后给这个用户授予USER角色: ![](https://img.kancloud.cn/db/b6/dbb678198e18592108836b34e4d57647_1542x737.png) 界面使用非常简单,大家探索一下就行了。 集成Keycloak ![](https://img.kancloud.cn/5e/1e/5e1e691972471f2b49a5177f9fdeb468_1251x761.png) 假设我们有两个web服务器,我们需要使用keycloak来对我们的资源进行保护,只有用户登录以后才能访问到这两个服务器的资源,否则就要跳转到登录页面。所以我们要在两个服务之前加一个gateway层,在这一层对用户请求进行拦截,验证用户是否已经登录(了解OAuth2的话,就知道这里就是验证accessToken),如果没有的话,就要引导用户去到keycloak登录页面,认证以后再跳转回到要访问的页面。