# **认证中心* auth-server* auth-server在项目中的位置  auth-server在项目用的作用  ## 认证服务器颁发token核心流程 * /oauth/token?grant_type=password #请求授权token * /oauth/token?grant_type=refresh_token #刷新token * /oauth/check_token #校验token * /oauth/authorize #授权码模式 ## OAUTH 核心处理调用关系   根据以上流程重写了密码模式,（仅用来学习流程，并没有真正调用）  根据以上流程重写了客户端模式（仅用来学习流程，并没有真正调用）  # 代码结构 认证服务器@EnableAuthorizationServer  ### AuthorizationServer 认证服务器 AuthorizationServer配置主要是覆写如下的三个方法，分别针对endpoints、clients、security配置。 认证服务同时也是一个资源服务器@EnableResourceServer ### ResourceServer资源服务器配置  # auth-server核心表 oauth_client_details --> JdbcClientDetailsService 处理  为了性能，重构JdbcClientDetailsService，oauth_client_details内容缓存redis中map中  ## 授权码存取策略 授权码缓存redis里面，RedisAuthorizationCodeServices，解决启动多个认证中心授权码问题  ## 异常通用处理  ## token票据服务  ## spring security 自定义用户验证逻辑，取sys_user表  ## 服务间鉴权处理，feigin调用解决token传递问题  **注意，基于密码模式的方式需要先启动用户中心，通过feigin调用**  ### feign原理  ### feign声明  ### 服务调用  启动user-center后测试auth-server的密码模式  **如果是客户端模式，可以通过swagger测试** 访问认证中心地址http://130.75.131.208:8000/document.html  需要带上token，否则无法访问auth-server的资源  ## 权限访问白名单 ### 配置文件  ### 处理类  ### 处理/oauth/authorize 核心类AuthorizationEndpoint  #### 授权码模式 获取授权码 http://127.0.0.1:8000/oauth/authorize?client_id=owen&redirect_uri=http://127.0.0.1:9997/dashboard/login&state=abc&scope=app&response_type=code 用授权码换token  #### 密码模式 >基本流程就是： 通过ClientDetailsSevice根据ClientId查找对应的Client，由Oauth2RequestFactory生成TokenRequest。检查是否能对应的找到Client，没有就抛出异常。 检查参数，都没问题了最后就调用Ganter的grant方法来生成Token并返回。 >密码模式，即用户提供username,password,clientId,clientSecret，grantType=password等信息，请求/oauth/token，获得access_token，用户即可通过access_token访问资源 访问/oauth/token >对应代码处理流程 此时FilterChainProxy的filter顺序如下。重要的Filter有ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilter，前者从request parameters中抽取client信息，后者从header Authorization Basic XXXX中抽取client信息。  **ClientCredentialsTokenEndpointFilter**会从parameter中抽取client_id,client_secret信息，并进行client的身份验证。   访问/oauth/token，都事先验证了client信息，并作为authentication存储在SecurityContextHolder中。传递到TokenEndPoint的principal是client，paramters包含了user的信息和grantType。   ### 处理/oauth/token核心类TokenEndpoint   #### security认证原理 >认证的工作是交给AuthenticationManager去做，AuthenticationManager下有多个认证器 AuthenticationProvider 只要其中一个AuthenticationProvider通过认证就算登陆成功，而且在认证器中抛出异常，无法终止认证流程只是算该认证器未通过。 第一个config就算配置了一个AuthenticationManagerBuilder 这个类会生成一个 AuthenticationManager和DaoAuthenticationProvider认证器，认证调用userdetailservice 的loadUserByUsername方法来和你传入的username passworde做比较，password 是通过BCryptPasswordEncoder来做编码后比较的，这样做是为了提高安全性。 ## 通过arthas理解OAUTH密码模式    ## 代码分析  ### 认证授权效果图  ### redis token 结构 ``` 排除refresh_token，主要key如下： * auth_to_access:OAuth2Authentication相关信息加密后的值,value为string结构 这个主要是通过OAuth2Authentication来获取OAuth2AccessToken * auth:token值，value为string结构 这个主要用来获取token的OAuth2Authentication，用来获取相应的权限信息 * client_id_to_access:clientId，value为list结构 这个主要是存储了每个clientId申请的OAuth2AccessToken的集合 方便用来审计和应急处理跟clientId相关的token * access:token值，value为string 这个主要是通过token值来获取OAuth2AccessToken * uname_to_access:clientId:userId,value的结构是list 存储OAuth2AccessToken的集合 主要是为了通过clientId,userId来获取OAuth2AccessToken集合，方便用来获取及revoke approval ``` ## 项目pom版本依赖  左侧2.0.x版本 左侧1.5.9版本差异