欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

单点登录框架有哪些(单点登录失败解决措施)

程序员文章站 2023-11-18 10:50:58
背景分析传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重...

背景分析

传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:

单点登录框架有哪些(单点登录失败解决措施)

这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。

单点登陆系统

单点登录,英文是 single sign on(缩写为 sso)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:

单点登录框架有哪些(单点登录失败解决措施)

快速入门实践

工程结构如下

基于资源服务工程添加单点登陆认证和授权服务,工程结构定义如下:

单点登录框架有哪些(单点登录失败解决措施)

创建认证授权工程

单点登录框架有哪些(单点登录失败解决措施)

添加项目依赖

  <dependency>
        <groupid>org.springframework.boot</groupid>
        <artifactid>spring-boot-starter-web</artifactid>
    </dependency>
    <dependency>
        <groupid>org.springframework.cloud</groupid>
        <artifactid>spring-cloud-starter-oauth2</artifactid>
    </dependency>
    <dependency>
        <groupid>com.alibaba.cloud</groupid>
        <artifactid>spring-cloud-starter-alibaba-nacos-discovery</artifactid>
    </dependency>
    <dependency>
        <groupid>com.alibaba.cloud</groupid>
        <artifactid>spring-cloud-starter-alibaba-nacos-config</artifactid>
    </dependency>

构建项目配置文件

在sca-auth工程中创建bootstrap.yml文件,例如:

server:
  port: 8071
spring:
  application:
    name: sca-auth
  cloud:
    nacos:
      discovery:
        server-addr: localhost:8848
      config:
        server-addr: localhost:8848

添加项目启动类

package com.jt;

import org.springframework.boot.springapplication;
import org.springframework.boot.autoconfigure.springbootapplication;

@springbootapplication
public class resourceauthapplication {
    public static void main(string[] args) {
        springapplication.run(resourceauthapplication.class, args);
    }
}

启动并访问项目

项目启动时,系统会默认生成一个登陆密码,例如:

单点登录框架有哪些(单点登录失败解决措施)
单点登录框架有哪些(单点登录失败解决措施)

其中,默认用户名为user,密码为系统启动时,在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面(因为没有定义登陆页面,所以会出现404):

单点登录框架有哪些(单点登录失败解决措施)

自定义登陆逻辑

业务描述

我们的单点登录系统最终会按照如下结构进行设计和实现,例如:

单点登录框架有哪些(单点登录失败解决措施)

我们在实现登录时,会在ui工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号,登陆密码,将请求提交给网关,然后网关将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现

定义安全配置类

修改securityconfig配置类,添加登录成功或失败的处理逻辑,例如:

package com.jt.auth.config;

import com.fasterxml.jackson.databind.objectmapper;
import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.security.config.annotation.web.builders.httpsecurity;
import org.springframework.security.config.annotation.web.configuration.websecurityconfigureradapter;
import org.springframework.security.crypto.bcrypt.bcryptpasswordencoder;
import org.springframework.security.web.authentication.authenticationfailurehandler;
import org.springframework.security.web.authentication.authenticationsuccesshandler;

import javax.servlet.http.httpservletresponse;
import java.io.ioexception;
import java.io.printwriter;
import java.util.hashmap;
import java.util.map;

@configuration
public class securityconfig extends websecurityconfigureradapter {
    /**初始化密码加密对象*/
    @bean
    public bcryptpasswordencoder passwordencoder(){
        return new bcryptpasswordencoder();
    }
    /**在这个方法中定义登录规则
     * 1)对所有请求放行(当前工程只做认证)
     * 2)登录成功信息的返回
     * 3)登录失败信息的返回
     * */
    @override
    protected void configure(httpsecurity http) throws exception {
        //关闭跨域工具
        http.csrf().disable();
        //放行所有请求
        http.authorizerequests().anyrequest().permitall();
        //登录成功与失败的处理
        http.formlogin()
                .successhandler(successhandler())
                .failurehandler(failurehandler());
    }

    @bean
    public authenticationsuccesshandler successhandler(){
//        return new authenticationsuccesshandler() {
//            @override
//            public void onauthenticationsuccess(httpservletrequest httpservletrequest, httpservletresponse httpservletresponse, authentication authentication) throws ioexception, servletexception {
//
//            }
//        }
        return (request,response,authentication) ->{
            //1.构建map对象,封装响应数据
            map<string,object> map=new hashmap<>();
            map.put("state",200);
            map.put("message","login ok");
            //2.将map对象写到客户端
            writejsontoclient(response,map);
        };
    }
    @bean
    public authenticationfailurehandler failurehandler(){
        return (request,response, e)-> {
            //1.构建map对象,封装响应数据
            map<string,object> map=new hashmap<>();
            map.put("state",500);
            map.put("message","login failure");
            //2.将map对象写到客户端
            writejsontoclient(response,map);
        };
    }
    private void writejsontoclient(httpservletresponse response,
                                   object object) throws ioexception {
        //1.将对象转换为json
        //将对象转换为json有3种方案:
        //1)google的gson-->tojson  (需要自己找依赖)
        //2)阿里的fastjson-->json (spring-cloud-starter-alibaba-sentinel)
        //3)springboot web自带的jackson-->writevalueasstring (spring-boot-starter-web)
        //我们这里借助springboot工程中自带的jackson
        //jackson中有一个对象类型为objectmapper,它内部提供了将对象转换为json的方法
        //例如:
        string jsonstr=new objectmapper().writevalueasstring(object);
        //3.将json字符串写到客户端
        printwriter writer = response.getwriter();
        writer.println(jsonstr);
        writer.flush();
    }
}

定义用户信息处理对象

在spring security应用中底层会借助userdetailservice对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如:

package com.jt.auth.service;

import org.springframework.beans.factory.annotation.autowired;
import org.springframework.security.core.grantedauthority;
import org.springframework.security.core.authority.authorityutils;
import org.springframework.security.core.userdetails.user;
import org.springframework.security.core.userdetails.userdetails;
import org.springframework.security.core.userdetails.userdetailsservice;
import org.springframework.security.core.userdetails.usernamenotfoundexception;
import org.springframework.security.crypto.bcrypt.bcryptpasswordencoder;
import org.springframework.stereotype.service;

import java.util.list;

/**
 * 登录时用户信息的获取和封装会在此对象进行实现,
 * 在页面上点击登录按钮时,会调用这个对象的loaduserbyusername方法,
 * 页面上输入的用户名会传给这个方法的参数
 */
@service
public class userdetailsserviceimpl implements userdetailsservice {
    @autowired
    private bcryptpasswordencoder passwordencoder;
    //userdetails用户封装用户信息(认证和权限信息)

    @override
    public userdetails loaduserbyusername(string username)
            throws usernamenotfoundexception {
        //1.基于用户名查询用户信息(用户名,用户状态,密码,....)
        //userinfo userinfo=usermapper.selectuserbyusername(username);
        string encodedpassword=passwordencoder.encode("123456");
        //2.查询用户权限信息(后面会访问数据库)
        //这里先给几个假数据
        list<grantedauthority> authorities =
        authorityutils.createauthoritylist(//这里的权限信息先这么写,后面讲
                "sys:res:create", "sys:res:retrieve");
        //3.对用户信息进行封装
        return new user(username,encodedpassword,authorities);
    }
}

网关中登陆路由配置

在网关配置文件中添加登录路由配置,例如

 - id: router02
   uri: lb://sca-auth  #lb表示负载均衡,底层默认使用ribbon实现
   predicates: #定义请求规则(请求需要按照此规则设计)
      - path=/auth/login/** #请求路径设计
   filters:
      - stripprefix=1 #转发之前去掉path中第一层路径

基于postman进行访问测试

启动sca-gateway,sca-auth服务,然后基于postman访问网关,执行登录测试,例如:

单点登录框架有哪些(单点登录失败解决措施)

自定义登陆页面

在sca-resource-ui工程的static目录中定义登陆页面,例如:

<!doctype html>
<html lang="en">
<head>
    <!-- required meta tags -->
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <!-- bootstrap css -->
    <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-evstqn3/azprg1anm3qdgpjlim9nao0yz1ztcqtwfspd3yd65vohhpuucomlasjc" crossorigin="anonymous">
    <title>login</title>
</head>
<body>
<div class="container"id="app">
    <h3>please login</h3>
    <form>
        <div class="mb-3">
            <label for="usernameid" class="form-label">username</label>
            <input type="text" v-model="username" class="form-control" id="usernameid" aria-describedby="emailhelp">
        </div>
        <div class="mb-3">
            <label for="passwordid" class="form-label">password</label>
            <input type="password" v-model="password" class="form-control" id="passwordid">
        </div>
        <button type="button" @click="dologin()" class="btn btn-primary">submit</button>
    </form>
</div>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js" integrity="sha384-mrcw6zmfylzcla8nl+ntuvf0sa7msxsp1uyjomp4yleunsfap+jcxn/twtiaxvxm" crossorigin="anonymous"></script>
<script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script>
    var vm=new vue({
        el:"#app",//定义监控点,vue底层会基于此监控点在内存中构建dom树
        data:{ //此对象中定义页面上要操作的数据
            username:"",
            password:""
        },
        methods: {//此位置定义所有业务事件处理函数
            dologin() {
                //1.定义url
                let url = "http://localhost:9000/auth/login"
                //2.定义参数

                let params = new urlsearchparams()
                params.append('username',this.username);
                params.append('password',this.password);
                //3.发送异步请求
                axios.post(url, params).then((response) => {
                    debugger
                    let result=response.data;
                    console.log(result);
                    if (result.state == 200) {
                        alert("login ok");
                    } else {
                        alert(result.message);
                    }
                })
            }
        }
    });
</script>
</body>
</html>

启动sca-resource-ui服务后,进入登陆页面,输入用户名jack,密码123456进行登陆测试。

颁发登陆成功令牌

构建令牌配置对象

本次我们借助jwt(json web token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(token),从服务端响应到客户端,客户端接收到这个jwt令牌之后,将其保存在客户端(例如localstorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.

package com.jt.auth.config;

import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.security.oauth2.provider.token.tokenstore;
import org.springframework.security.oauth2.provider.token.store.jwtaccesstokenconverter;
import org.springframework.security.oauth2.provider.token.store.jwttokenstore;

@configuration
public class tokenconfig {
    //定义签名key,在执行令牌签名需要这个key,可以自己指定.
     private string signing_key = "auth";

    //定义令牌生成策略.
    @bean
    public tokenstore tokenstore() {
        return new jwttokenstore(jwtaccesstokenconverter());
    }
    //定义jwt转换器,负责生成jwt令牌,解析令牌内容
    @bean
    public jwtaccesstokenconverter jwtaccesstokenconverter(){
        jwtaccesstokenconverter converter=new jwtaccesstokenconverter();
        //设置加密/解密口令
        converter.setsigningkey(signing_key);
        return converter;
    }

}

定义认证授权核心配置

第一步:在securityconfig中添加如下方法(创建认证管理器对象,后面授权服务器会用到):

 @bean
    public authenticationmanager authenticationmanagerbean()
            throws exception {
        return super.authenticationmanagerbean();
    }

第二步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置

package com.jt.auth.config;

import lombok.allargsconstructor;
import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.http.httpmethod;
import org.springframework.security.authentication.authenticationmanager;
import org.springframework.security.core.userdetails.userdetailsservice;
import org.springframework.security.crypto.password.passwordencoder;
import org.springframework.security.oauth2.config.annotation.configurers.clientdetailsserviceconfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.authorizationserverconfigureradapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.enableauthorizationserver;
import org.springframework.security.oauth2.config.annotation.web.configurers.authorizationserverendpointsconfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.authorizationserversecurityconfigurer;
import org.springframework.security.oauth2.provider.token.authorizationservertokenservices;
import org.springframework.security.oauth2.provider.token.defaulttokenservices;
import org.springframework.security.oauth2.provider.token.tokenenhancerchain;
import org.springframework.security.oauth2.provider.token.tokenstore;
import org.springframework.security.oauth2.provider.token.store.jwtaccesstokenconverter;

import java.util.arrays;

/**
 * 完成所有配置的组装,在这个配置类中完成认证授权,jwt令牌签发等配置操作
 * 1)springsecurity (安全认证和授权)
 * 2)tokenconfig
 * 3)oauth2(暂时不说)
 */

@allargsconstructor
@configuration
@enableauthorizationserver //开启认证和授权服务
public class oauth2config extends authorizationserverconfigureradapter {
    //此对象负责完成认证管理
    private authenticationmanager authenticationmanager;
    //tokenstore负责完成令牌创建,信息读取
    private tokenstore tokenstore;
    //jwt令牌转换器(基于用户信息构建令牌,解析令牌)
    private jwtaccesstokenconverter jwtaccesstokenconverter;
    //密码加密匹配器对象
    private passwordencoder passwordencoder;
    //负责获取用户信息信息
    private userdetailsservice userdetailsservice;

    //设置认证端点的配置(/oauth/token),客户端通过这个路径获取jwt令牌
    @override
    public void configure(authorizationserverendpointsconfigurer endpoints) throws exception {
        endpoints
        //配置认证管理器
        .authenticationmanager(authenticationmanager)
        //验证用户的方法获得用户详情
        .userdetailsservice(userdetailsservice)
        //要求提交认证使用post请求方式,提高安全性
        .allowedtokenendpointrequestmethods(httpmethod.post,httpmethod.get)
        //要配置令牌的生成,由于令牌生成比较复杂,下面有方法实现
        .tokenservices(tokenservice());//这个不配置,默认令牌为uuid.randomuuid().tostring()
    }

    //定义令牌生成策略
    @bean
    public authorizationservertokenservices tokenservice(){
        //这个方法的目标就是获得一个令牌生成器
        defaulttokenservices services=new defaulttokenservices();
        //支持令牌刷新策略(令牌有过期时间)
        services.setsupportrefreshtoken(true);
        //设置令牌生成策略(tokenstore在tokenconfig配置了,本次我们应用jwt-定义了一种令牌格式)
        services.settokenstore(tokenstore);
        //设置令牌增强(允许设置令牌生成策略,默认是非jwt方式,现在设置为jwt方式,并在令牌payload部分允许添加扩展数据,例如用户权限信息)
        tokenenhancerchain chain=new tokenenhancerchain();
        chain.settokenenhancers(arrays.aslist(jwtaccesstokenconverter));
        services.settokenenhancer(chain);
        //设置令牌有效期
        services.setaccesstokenvalidityseconds(3600);//1小时
        //刷新令牌应用场景:一般在用户登录系统后,令牌快过期时,系统自动帮助用户刷新令牌,提高用户的体验感
        services.setrefreshtokenvalidityseconds(3600*72);//3天
        return services;
    }

    //设置客户端详情类似于用户详情
    @override
    public void configure(clientdetailsserviceconfigurer clients) throws exception {
        clients.inmemory()
        //客户端id (客户端访问时需要这个id)
        .withclient("gateway-client")
        //客户端秘钥(客户端访问时需要携带这个密钥)
        .secret(passwordencoder.encode("123456"))
        //设置权限
        .scopes("all")//all只是个名字而已和写abc效果相同
        //允许客户端进行的操作  这里的认证方式表示密码方式,里面的字符串千万不能写错
        .authorizedgranttypes("password","refresh_token");
    }
    // 认证成功后的安全约束配置,对指定资源的访问放行,我们登录时需要访问/oauth/token,需要对这样的url进行放行
    @override
    public void configure(authorizationserversecurityconfigurer security) throws exception {
        //认证通过后,允许客户端进行哪些操作
        security
        //公开oauth/token_key端点
        .tokenkeyaccess("permitall()")
        //公开oauth/check_token端点
        .checktokenaccess("permitall()")
        //允许提交请求进行认证(申请令牌)
        .allowformauthenticationforclients();
    }
}

配置网关认证的url

  - id: router02
      uri: lb://sca-auth
      predicates:
        #- path=/auth/login/**  #没要令牌之前,以前是这样配置
        - path=/auth/oauth/**   #微服务架构下,需要令牌,现在要这样配置
      filters:
        - stripprefix=1

postman访问测试

第一步:启动服务
依次启动sca-auth服务,sca-resource-gateway服务。

第二步:检测sca-auth服务控制台的endpoints信息,例如:

单点登录框架有哪些(单点登录失败解决措施)

第三步:打开postman进行登陆访问测试

单点登录框架有哪些(单点登录失败解决措施)
登陆成功会在控制台显示令牌信息,例如:

{
    "access_token": "eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjlehaioje2mjk5otg0njasinvzzxjfbmftzsi6imphy2silcjhdxrob3jpdgllcyi6wyjzexm6cmvzomnyzwf0zsisinn5czpyzxm6cmv0cmlldmuixswianrpijoiywq3zdk1odytmjuwys00m2m4lwi0odytnjiyyjjmy2uzmdniiiwiy2xpzw50x2lkijoiz2f0zxdhes1jbgllbnqilcjzy29wzsi6wyjhbgwixx0.-zcmxwh0pz3gtkdktpr4fknfb1v23w-e501y7tzmlg4",
    "token_type": "bearer",
    "refresh_token": "eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyj1c2vyx25hbwuioijqywnriiwic2nvcguiolsiywxsil0simf0asi6imfkn2q5ntg2lti1mgetndnjoc1indg2ltyymmiyzmnlmzazyiisimv4cci6mtyzmdi1nda2mcwiyxv0ag9yaxrpzxmiolsic3lzonjlczpjcmvhdguilcjzexm6cmvzonjldhjpzxzlil0simp0asi6ijiyotdjmtg2lwm4mdktndzizi1inmmxlwfiywexy2exzjq1ziisimnsawvudf9pzci6imdhdgv3yxkty2xpzw50in0.1bf5iazrotffju31qv3rwavetfc1nhwu1z_dsgcnsx0",
    "expires_in": 3599,
    "scope": "all",
    "jti": "ad7d9586-250a-43c8-b486-622b2fce303b"
}

登陆页面登陆方法设计

登陆成功以后,将token存储到localstorage中,修改登录页面的dologin方法,例如

  dologin() {
    //1.定义url
     let url = "http://localhost:9000/auth/oauth/token"
    //2.定义参数
      let params = new urlsearchparams()
       params.append('username',this.username);
       params.append('password',this.password);
       params.append("client_id","gateway-client");
       params.append("client_secret","123456");
       params.append("grant_type","password");
      //3.发送异步请求
       axios.post(url, params).then((response) => {
          alert("login ok");
           let result=response.data;
           localstorage.setitem("accesstoken",result.access_token);
            location.href="/fileupload.html";
          }).catch((error)=>{
                    console.log(error);
         })
       }

资源服务器配置

添加依赖

打开资源服务的pom.xml文件,添加oauth2依赖。

<dependency>
    <groupid>org.springframework.cloud</groupid>
    <artifactid>spring-cloud-starter-oauth2</artifactid>
</dependency>

令牌处理器配置

package com.jt.auth.config;

import org.springframework.context.annotation.bean;
import org.springframework.context.annotation.configuration;
import org.springframework.security.oauth2.provider.token.tokenstore;
import org.springframework.security.oauth2.provider.token.store.jwtaccesstokenconverter;
import org.springframework.security.oauth2.provider.token.store.jwttokenstore;

/**
 * 创建jwt令牌配置类,基于这个类实现令牌对象的创建和解析.
 * jwt令牌的构成有三部分构成:
 * 1)header (头部信息:令牌类型,签名算法)
 * 2)payload (数据信息-用户信息,权限信息,令牌失效时间,...)
 * 3)signature (签名信息-对header和payload部分进行加密签名)
 */
@configuration
public class tokenconfig {
    //定义令牌签发口令(暗号),这个口令自己定义即可
    //在对header和payload部分进行签名时,需要的一个口令
    private string signing_key= "auth";
    //初始化令牌生成策略(默认生成策略 uuid)
    //这里我们采用jwt方式生成令牌
    @bean
    public tokenstore tokenstore(){
        return new jwttokenstore(jwtaccesstokenconverter());
    }
    //构建jwt令牌转换器对象,基于此对象创建令牌,解析令牌
    @bean
    public jwtaccesstokenconverter jwtaccesstokenconverter(){
        jwtaccesstokenconverter converter=new jwtaccesstokenconverter();
        converter.setsigningkey(signing_key);
        return converter;
    }
}

资源服务令牌解析配置

package com.jt.resource.config;

import com.fasterxml.jackson.databind.objectmapper;
import org.springframework.beans.factory.annotation.autowired;
import org.springframework.context.annotation.configuration;
import org.springframework.security.config.annotation.method.configuration.enableglobalmethodsecurity;
import org.springframework.security.config.annotation.web.builders.httpsecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.enableresourceserver;
import org.springframework.security.oauth2.config.annotation.web.configuration.resourceserverconfigureradapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.resourceserversecurityconfigurer;
import org.springframework.security.oauth2.provider.token.tokenstore;
import org.springframework.security.web.access.accessdeniedhandler;

import javax.servlet.http.httpservletresponse;
import java.io.printwriter;
import java.util.hashmap;
import java.util.map;

@configuration
@enableresourceserver
@enableglobalmethodsecurity(prepostenabled = true)
public class resourceserverconfig extends resourceserverconfigureradapter {

    @autowired
    private tokenstore tokenstore;
    /**
     * token服务配置
     */
    @override
    public void configure(resourceserversecurityconfigurer resources) throws exception {
        resources.tokenstore(tokenstore);
    }
    /**
     * 路由安全认证配置
     */
    @override
    public void configure(httpsecurity http) throws exception {
        http.csrf().disable();
        http.exceptionhandling()
                .accessdeniedhandler(accessdeniedhandler());
        http.authorizerequests().anyrequest().permitall();

    }
    //没有权限时执行此处理器方法
    public accessdeniedhandler accessdeniedhandler() {
        return (request, response, e) -> {
            map<string, object> map = new hashmap<>();
            map.put("state", httpservletresponse.sc_forbidden);//sc_forbidden的值是403
            map.put("message", "没有访问权限,请联系管理员");
            //1设置响应数据的编码
            response.setcharacterencoding("utf-8");
            //2告诉浏览器响应数据的内容类型以及编码
            response.setcontenttype("application/json;charset=utf-8");
            //3获取输出流对象
            printwriter out=response.getwriter();
            //4 输出数据
            string result=
                    new objectmapper().writevalueasstring(map);
            out.println(result);
            out.flush();
        };
    }

}

资源服务令牌解析配置

package com.jt.resource.config;

import com.fasterxml.jackson.databind.objectmapper;
import org.springframework.beans.factory.annotation.autowired;
import org.springframework.context.annotation.configuration;
import org.springframework.security.config.annotation.method.configuration.enableglobalmethodsecurity;
import org.springframework.security.config.annotation.web.builders.httpsecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.enableresourceserver;
import org.springframework.security.oauth2.config.annotation.web.configuration.resourceserverconfigureradapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.resourceserversecurityconfigurer;
import org.springframework.security.oauth2.provider.token.tokenstore;
import org.springframework.security.web.access.accessdeniedhandler;

import javax.servlet.http.httpservletresponse;
import java.io.printwriter;
import java.util.hashmap;
import java.util.map;

@configuration
@enableresourceserver
@enableglobalmethodsecurity(prepostenabled = true)
public class resourceserverconfig extends resourceserverconfigureradapter {

    @autowired
    private tokenstore tokenstore;
    /**
     * token服务配置
     */
    @override
    public void configure(resourceserversecurityconfigurer resources) throws exception {
        resources.tokenstore(tokenstore);
    }
    /**
     * 路由安全认证配置
     */
    @override
    public void configure(httpsecurity http) throws exception {
        http.csrf().disable();
        http.exceptionhandling()
                .accessdeniedhandler(accessdeniedhandler());
        http.authorizerequests().anyrequest().permitall();

    }
    //没有权限时执行此处理器方法
    public accessdeniedhandler accessdeniedhandler() {
        return (request, response, e) -> {
            map<string, object> map = new hashmap<>();
            map.put("state", httpservletresponse.sc_forbidden);//sc_forbidden的值是403
            map.put("message", "没有访问权限,请联系管理员");
            //1设置响应数据的编码
            response.setcharacterencoding("utf-8");
            //2告诉浏览器响应数据的内容类型以及编码
            response.setcontenttype("application/json;charset=utf-8");
            //3获取输出流对象
            printwriter out=response.getwriter();
            //4 输出数据
            string result=
                    new objectmapper().writevalueasstring(map);
            out.println(result);
            out.flush();
        };
    }

}

resourcecontroller 方法配置

在controller的上传方法上添加 @preauthorize(“hasauthority(‘sys:res:create’)”)注解,用于告诉底层框架方法此方法需要具备的权限,例如

  @preauthorize("hasauthority('sys:res:create')")
  @postmapping("/upload/")
   public string uploadfile(multipartfile uploadfile) throws ioexception {
       ...
   }

启动服务访问测试

  • 第一步:启动服务(sca-auth,sca-resource-gateway,sca-resource)
  • 第二步:执行登陆获取access_token令牌
  • 第三步:携带令牌访问资源(url中的前缀”sca”是在资源服务器中自己指定的,你的网关怎么配置的,你就怎么写)

设置请求头(header),要携带令牌并指定请求的内容类型,例如

单点登录框架有哪些(单点登录失败解决措施)

设置请求体(body),设置form-data,key要求为file类型,参数名与你服务端controller文件上传方法的参数名相同,值为你选择的文件,例如

单点登录框架有哪些(单点登录失败解决措施)

上传成功会显示你访问文件需要的路径,假如没有权限会提示你没有访问权限。

文件上传js方法设计

 function upload(file){
        //定义一个表单
        let form=new formdata();
        //将图片添加到表单中
        form.append("uploadfile",file);
        let url="http://localhost:9000/sca/resource/upload/";
        //异步提交方式1
        axios.post(url,form,{headers:{"authorization":"bearer "+localstorage.getitem("accesstoken")}})
             .then(function (response){
                 let result=response.data;
                 if(result.state==403){
                     alert(result.message);
                     return;
                 }
                 alert("upload ok");
             })
    }

技术摘要应用实践说明

背景分析

企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如spring security,apache shiro,jwt,oauth2等技术诞生了.

spring security 技术

spring security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制,正在逐步的转向spring security。spring security 在企业中实现认证和授权业务时,底层构建了大量的过滤器,如图所示:

单点登录框架有哪些(单点登录失败解决措施)
其中:

图中绿色部分为认证过滤器,黄色部分为授权过滤器。spring security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.

jwt 数据规范

jwt(json web token)是一个标准,采用数据自包含方式进行json格式数据设计,实现各方安全的信息传输,其官方网址为:https://jwt.io/。官方jwt规范定义,它构成有三部分,分别为header(头部),payload(负载),signature(签名),其格式如下:

xxxxx.yyyyy.zzzzz

header 部分是一个 json 对象,描述 jwt 的元数据,通常是下面的样子。

{
  "alg": "hs256",
  "typ": "jwt"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 hmac sha256(简写hs256);typ属性表示这个令牌(token)的类型(type),jwt 令牌统一写为jwt。最后,将这个 json 对象使用 base64url 算法(详见后文)转成字符串。

payload部分

payload 部分也是一个 json 对象,用来存放实际需要传递的数据。jwt规范中规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (not before):生效时间
  • iat (issued at):签发时间
  • jti (jwt id):编号
  • 除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。
{
  "sub": "1234567890",
  "name": "john doe",
  "admin": true
}

注意,jwt 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 json 对象也要使用 base64url 算法转成字符串。

signature部分

signature 部分是对前两部分的签名,其目的是防止数据被篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 header 里面指定的签名算法(默认是 hmac sha256),按照下面的公式产生签名。

hmacsha256(
  base64urlencode(header) + "." +
  base64urlencode(payload),
  secret)

算出签名以后,把 header、payload、signature 三个部分拼成一个字符串,每个部分之间用”点”(.)分隔,就可以返回给用户。

oauth2规范

oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:

1)资源有者(user)

2)认证授权服务器(jt-auth)

3)资源服务器(jt-resource)

4)客户端应用(jt-ui)

同时,在这种协议中规定了认证授权时的几种模式:

1)密码模式 (基于用户名和密码进行认证)

2)授权码模式(就是我们说的三方认证:qq,微信,微博,。。。。)

3)…

总结(summary)

重难点分析

  • 单点登陆系统的设计架构(微服务架构)
  • 服务的设计及划分(资源服务器,认证服务器,网关服务器,客户端服务)
  • 认证及资源访问的流程(资源访问时要先认证再访问)
  • 认证和授权时的一些关键技术(spring security,jwt,oauth2)

faq 分析

  • 为什么要单点登陆(分布式系统,再访问不同服务资源时,不要总是要登陆,进而改善用户体验)
  • 单点登陆解决方案?(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)
  • spring security 是什么?(spring框架中的一个安全默认,实现了认证和授权操作)
  • jwt是什么?(一种令牌格式,一种令牌规范,通过对json数据采用一定的编码,加密进行令牌设计)
  • oauth2是什么?(一种认证和授权规范,定义了单点登陆中服务的划分方式,认证的相关类型)

bug 分析

  • 401 : 访问资源时没有认证。
  • 403 : 访问资源时没有权限。
  • 404:访问的资源找不到(一定要检查你访问资源的url)
  • 405: 请求方式不匹配(客户端请求方式是get,服务端处理请求是post就是这个问题)
  • 500: 不看后台无法解决?(error,warn)