Spring Cloud 微服務中搭建 OAuth2.0 認證授權服務

2018-12-11 17:32:44 Java的小本家

在使用 Spring Cloud 體系來構建微服務的過程中，用戶請求是通過網關(ZUUL 或 Spring APIGateway)以 HTTP 協議來傳輸信息，API 網關將自己註冊為 Eureka 服務治理下的應用，同時也從 Eureka 服務中獲取所有其他微服務的實例信息。搭建 OAuth2 認證授權服務，並不是給每個微服務調用，而是通過 API 網關進行統一調用來對網關後的微服務做前置過濾，所有的請求都必須先通過 API 網關，API 網關在進行路由轉發之前對該請求進行前置校驗，實現對微服務系統中的其他的服務接口的安全與權限校驗。對於微服務安全認證授權機制一塊，目前主流的解決方案有 OAuth2.0 與OIDC(OpenID Connect) 等標準協議。

OAuth2 是一個開放授權標準協議，它允許用戶讓第三方應用訪問該用戶在某服務的特定私有資源，但是不提供賬號密碼信息給第三方應用。

 +--------+ +---------------+
 | |--(A)- Authorization Request ->| Resource |
 | | | Owner |
 | | | | +---------------+
 | |
 | | +---------------+
 | |--(C)-- Authorization Grant -->| Authorization |
 | Client | | Server |
 | | | | +---------------+
 | |
 | | +---------------+
 | |--(E)----- Access Token ------>| Resource |
 | | | Server |
 | | +--------+ +---------------+
 Figure 1: Abstract Protocol Flow

完整授權流程中有四個重要的角色[ RFC 6749 ]：

資源擁有者（resource owner）：能授權訪問受保護資源的一個實體，可以是一個人，那我們稱之為最終用戶；
資源服務器（resource server）：存儲受保護資源，客戶端通過access token請求資源，資源服務器響應受保護資源給客戶端；
授權服務器（authorization server）：成功驗證資源擁有者並獲取授權之後，授權服務器頒發授權令牌（Access Token）給客戶端。
客戶端（client）：第三方應用，也可以是它自己的官方應用；其本身不存儲資源，而是資源擁有者授權通過後，使用它的授權（授權令牌）訪問受保護資源，然後客戶端把相應的數據展示出來/提交到服務器。

OAuth2.0 協議根據使用不同的適用場景，定義了用於四種授權模式。

Authorization code（授權碼模式）

標準的 Server 授權模式，非常適合 Server 端的 Web 應用。一旦資源的擁有者授權訪問他們的數據之後，他們將會被重定向到 Web 應用並在 URL 的查詢參數中附帶一個授權碼（code）。在客戶端裡，該 code 用於請求訪問令牌（access_token）。並且該令牌交換的過程是兩個服務端之前完成的，防止其他人甚至是資源擁有者本人得到該令牌。另外，在該授權模式下可以通過 refresh_token 來刷新令牌以延長訪問授權時間，也是最為複雜的一種方式。

Implicit Grant（隱式模式）

該模式是所有授權模式中最簡單的一種，併為運行於瀏覽器中的腳本應用做了優化。當用戶訪問該應用時，服務端會立即生成一個新的訪問令牌（access_token）並通過URL的#hash段傳回客戶端。這時，客戶端就可以利用JavaScript等將其取出然後請求API接口。該模式不需要授權碼（code），當然也不會提供refresh token以獲得長期訪問的入口。

Resource Owner Password Credentials（密碼模式）

自己有一套用戶體系，這種模式要求用戶提供用戶名和密碼來交換訪問令牌（access_token）。該模式僅用於非常值得信任的用戶，例如API提供者本人所寫的移動應用。雖然用戶也要求提供密碼，但並不需要存儲在設備上。因為初始驗證之後，只需將 OAuth 的令牌記錄下來即可。如果用戶希望取消授權，因為其真實密碼並沒有被記錄，因此無需修改密碼就可以立即取消授權。token本身也只是得到有限的授權，因此相比最傳統的 username/password 授權，該模式依然更為安全。

Client Credentials（客戶端模式）

沒有用戶的概念，一種基於 APP 的密鑰直接進行授權，因此 APP 的權限非常大。它適合像數據庫或存儲服務器這種對 API 的訪問需求。

備註：理解 OAuth 2.0

OAuth2.0 與 OpenID Connect 開源的框架

JAVA 中開源的認證與授權框架比較知名的有 Apereo CAS，Spring Cloud Security，JBoss 開源的 Keycloak 等（.NET IdentityServer4 ）。

Central Authentication Service (CAS) 通常稱為 CAS。 CAS是一種針對Web的企業多語言單點登錄解決方案，並嘗試成為您的身份驗證和授權需求的綜合平臺。

下面是官方的一段簡述：

CAS Enterprise Single Sign-On

Spring Webflow/Spring Boot Java server component.
可拔插認證支持 (LDAP, Database, X.509, SPNEGO, JAAS, JWT, RADIUS, MongoDb, etc)
多種協議支持 (CAS, SAML, WS-Federation, OAuth2, OpenID, OpenID Connect, REST)
通過各種提供商支持多因素身份驗證 (Duo Security, FIDO U2F, YubiKey, Google Authenticator, Microsoft Azure, Authy etc)
支持外部提供者的委託認證，例如： ADFS, Facebook, Twitter, SAML2 IdPs, etc.
Built-in support for password management, notifications, terms of use and impersonation.

Support for attribute release including user consent.
實時監控和跟蹤應用程序行為，統計信息和日誌。
用特定的認證策略管理和註冊客戶端應用程序和服務。
跨平臺的客戶端支持 (Java, .Net, PHP, Perl, Apache, etc).
Integrations with InCommon, Box, Office365, ServiceNow, Salesforce, Workday, WebAdvisor, Drupal, Blackboard, Moodle, Google Apps, etc.

Spring Security OAuth 是建立在 Spring Security 的基礎之上 OAuth2.0 協議實現的一個類庫，它提供了構建 Authorization Server、Resource Server 和 Client 三種 Spring 應用程序角色所需要的功能。

Keycloak 官方語言來解釋，“為現代應用系統和服務提供開源的鑑權和授權訪問控制管理”。Keycloak 實現了OpenID，Auth2.0，SAML單點登錄協議，同時提供LDAP和Active Directory，以及OpenID Connect, SAML2.0 IdPs，Github，Google 等第三方登錄適配功能，能夠做到非常簡單的開箱即用。

備註：從 4.1 版開始，Spring Boot starter 將基於 Spring Boot 2 adapter。如果您使用的是較舊的 Spring Boot 版本，則可以使用 keycloak-legacy-spring-boot-starter。

Spring Security OAuth2 框架

下面使用 Spring Security OAuth2 為 Spring Cloud 搭建認證授權服務（能夠更好的集成到 Spring Cloud 體系中）。

ClientDetailsServiceConfigurer：定義客戶詳細信息服務的配置器。客戶端詳細信息可以被初始化，或者您可以直接引用一個現有的存儲。（client_id ，client_secret，redirect_uri 等配置信息）。
AuthorizationServerSecurityConfigurer：用來配置令牌端點的安全約束。
AuthorizationServerEndpointsConfigurer：用來配置授權以及令牌的訪問端點和令牌服務（比如：配置令牌的簽名與存儲方式）

Authorization Server

在 Authorization Server 的角色中 Spring Security OAuth2 定義了 AuthorizationServerConfigurerAdapter 配置類

public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer {
 public AuthorizationServerConfigurerAdapter() {
 }
 public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
 }
 public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
 }
 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
 }
}

ClientDetailsServiceConfigurer：用來配置客戶端詳情信息，一般使用數據庫來存儲或讀取應用配置的詳情信息（client_id ，client_secret，redirect_uri 等配置信息）。
AuthorizationServerSecurityConfigurer：用來配置令牌端點(Token Endpoint)的安全與權限訪問。
AuthorizationServerEndpointsConfigurer：用來配置授權以及令牌（Token）的訪問端點和令牌服務（比如：配置令牌的簽名與存儲方式）
Resource Server
在 Resource Server 的角色中 Spring Security OAuth2 定義了 ResourceServerConfigurerAdapter 配置類

public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {
 public ResourceServerConfigurerAdapter() {
 }
 public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
 }
 public void configure(HttpSecurity http) throws Exception {
 ((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated();
 }
}

public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {
 public ResourceServerConfigurerAdapter() {
 }
 public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
 }
 public void configure(HttpSecurity http) throws Exception {
 ((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated();
 }
}

ResourceServerConfigurerAdapter 用於保護 OAuth2 要開放的資源，同時主要作用於client端以及token的認證(Bearer Auth)，由於後面 OAuth2 服務端後續還需要提供用戶信息，所以也是一個 Resource Server，默認攔截了所有的請求，也可以通過重新方法方式自定義自己想要攔截的資源 URL 地址。
另外根據 OAuth2.0 規範，獲取票據要支持 Basic 驗證與驗證用戶的賬戶信息，比如密碼模式：

 POST /token HTTP/1.1 

 Host: server.example.com
 Authorization: Basic 1sZCaJks20MzpnMsPOi
 Content-Type: application/x-www-form-urlencoded
 grant_type=password&username=irving&password=123456
 POST /token HTTP/1.1
 Host: server.example.com
 Authorization: Basic 1sZCaJks20MzpnMsPOi
 Content-Type: application/x-www-form-urlencoded
 grant_type=password&username=irving&password=123456

可以在 WebSecurityConfigurerAdapter 類中重新相應的方法來實現。
AuthorizationServerConfigurerAdapter
ResourceServerConfigurerAdapter
WebSecurityConfigurerAdapter
Client
根據 OAuth2.0 規範定義獲得票據需要提供 client_id 與 client_secret ，這個過程需要在服務端申請獲得，比我新浪與騰訊的聯合登錄就是採用的授權碼模式。一般還是要根據適用的場景給與不同的配置與作用域。

 /*
 * 配置客戶端詳情信息(內存或JDBC來實現)
 *
 * */
 @Override
 public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
 //初始化 Client 數據到 DB
 clients.jdbc(dataSource)
 // clients.inMemory()
 .withClient("client_1") 

 .authorizedGrantTypes("client_credentials")
 .scopes("all","read", "write")
 .authorities("client_credentials")
 .accessTokenValiditySeconds(7200)
 .secret(passwordEncoder.encode("123456"))
 .and().withClient("client_2")
 .authorizedGrantTypes("password", "refresh_token")
 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000)
 .authorities("password")
 .secret(passwordEncoder.encode("123456"))
 .and().withClient("client_3").authorities("authorization_code","refresh_token")
 .secret(passwordEncoder.encode("123456"))
 .authorizedGrantTypes("authorization_code")
 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000)
 .redirectUris("http://localhost:8080/callback","http://localhost:8080/signin")
 .and().withClient("client_test")
 .secret(passwordEncoder.encode("123456"))
 .authorizedGrantTypes("all flow")
 .authorizedGrantTypes("authorization_code", "client_credentials", "refresh_token","password", "implicit")
 .redirectUris("http://localhost:8080/callback","http://localhost:8080/signin")
 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000);
 //https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql
 // clients.withClientDetails(new JdbcClientDetailsService(dataSource));
 }

理解上述說的關係後，就可以來實現 OAuth2.0 的相關服務了。
MAVEN

 
 org.springframework.boot 

 spring-boot-starter-parent
 2.0.3.RELEASE
 
 
 
 UTF-8
 UTF-8
 1.8
 Finchley.RELEASE
 
 
 
 
 org.springframework.cloud
 spring-cloud-starter-oauth2
 
 
 org.springframework.cloud
 spring-cloud-starter-security
  

 
 org.springframework.cloud
 spring-cloud-starter-netflix-eureka-client
 
 
 org.springframework.cloud
 spring-cloud-starter-netflix-hystrix
 
 
 
 
 
 
 
 org.springframework.boot
 spring-boot-starter-jdbc
 
 
 mysql 
 mysql-connector-java
 8.0.11
 
 
 org.springframework.boot
 spring-boot-starter-test
 test

SpringApplication

SpringCloudApplication //@SpringBootApplication、@EnableDiscoveryClient、@EnableCircuitBreaker
public class MicrosrvOauth2ServerApplication {
 public static void main(String[] args) {
 SpringApplication.run(MicrosrvOauth2ServerApplication.class, args);
 }
}

*
[/oauth/authorize]
[/oauth/token]
[/oauth/check_token]
[/oauth/confirm_access]
[/oauth/token_key]
[/oauth/error]
*/
@Configuration 

@EnableAuthorizationServer
//@Order(2)
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
 @Autowired
 private AuthenticationManager authenticationManager;
 @Autowired
 private BCryptPasswordEncoder passwordEncoder;
/*
 @Autowired
 private RedisConnectionFactory connectionFactory;
 @Bean
 public RedisTokenStore tokenStore() {
 return new RedisTokenStore(connectionFactory);
 }
 */
 @Autowired
 @Qualifier("dataSource")
 private DataSource dataSource;
// @Bean(name = "dataSource")
// @ConfigurationProperties(prefix = "spring.datasource")
// public DataSource dataSource() {
// return DataSourceBuilder.create().build();
// }
 @Bean("jdbcTokenStore")
 public JdbcTokenStore getJdbcTokenStore() {
 return new JdbcTokenStore(dataSource);
 }
// @Bean
// public UserDetailsService userDetailsService(){
// return new UserService();
// }
 /*
 * 配置客戶端詳情信息(內存或JDBC來實現)
 *
 * */
 @Override
 public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
 //初始化 Client 數據到 DB
 clients.jdbc(dataSource)
 // clients.inMemory()
 .withClient("client_1")
 .authorizedGrantTypes("client_credentials")
 .scopes("all","read", "write")
 .authorities("client_credentials")
 .accessTokenValiditySeconds(7200)
 .secret(passwordEncoder.encode("123456"))
 .and().withClient("client_2")
 .authorizedGrantTypes("password", "refresh_token") 

 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000)
 .authorities("password")
 .secret(passwordEncoder.encode("123456"))
 .and().withClient("client_3").authorities("authorization_code","refresh_token")
 .secret(passwordEncoder.encode("123456"))
 .authorizedGrantTypes("authorization_code")
 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000)
 .redirectUris("http://localhost:8080/callback","http://localhost:8080/signin")
 .and().withClient("client_test")
 .secret(passwordEncoder.encode("123456"))
 .authorizedGrantTypes("all flow")
 .authorizedGrantTypes("authorization_code", "client_credentials", "refresh_token","password", "implicit")
 .redirectUris("http://localhost:8080/callback","http://localhost:8080/signin")
 .scopes("all","read", "write")
 .accessTokenValiditySeconds(7200)
 .refreshTokenValiditySeconds(10000);
 //https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql
 // clients.withClientDetails(new JdbcClientDetailsService(dataSource));
 }
 @Override
 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// endpoints
// .tokenStore(new RedisTokenStore(redisConnectionFactory))
// .authenticationManager(authenticationManager);
 endpoints.authenticationManager(authenticationManager)
 //配置 JwtAccessToken 轉換器
 // .accessTokenConverter(jwtAccessTokenConverter())
 //refresh_token 需要 UserDetailsService is required
 // .userDetailsService(userDetailsService)
 .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
 .tokenStore(getJdbcTokenStore());
 }
 @Override
 public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
 //curl -i -X POST -H "Accept: application/json" -u "client_1:123456" http://localhost:5000/oauth/check_token?token=a1478d56-ebb8-4f21-b4b6-8a9602df24ec
 oauthServer.tokenKeyAccess("permitAll()") //url:/oauth/token_key,exposes public key for token verification if using JWT tokens
 .checkTokenAccess("isAuthenticated()") //url:/oauth/check_token allow check token
 .allowFormAuthenticationForClients();
 }
 /**
 * 使用非對稱加密算法來對Token進行簽名
 * @return
 */
 @Bean 

 public JwtAccessTokenConverter jwtAccessTokenConverter() {
 JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
 KeyPair keyPair = new KeyStoreKeyFactory(
 new ClassPathResource("keystore.jks"), "foobar".toCharArray())
 .getKeyPair("test");
 converter.setKeyPair(keyPair);
 return converter;
 }
}

/*
* 提供 user 信息，所以 oauth2-server 也是一個Resource Server
* */
@Configuration
@EnableResourceServer
//@Order(3)
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
// @Override
// public void configure(HttpSecurity http) throws Exception {
// http
// // Since we want the protected resources to be accessible in the UI as well we need
// // session creation to be allowed (it's disabled by default in 2.0.6)
// .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
// .and()
// .requestMatchers().anyRequest()
// .and()
// .anonymous()
// .and()
// .authorizeRequests()
//// .antMatchers("/product/**").access("#oauth2.hasScope('select') and hasRole('ROLE_USER')")
// .antMatchers("/user/**").authenticated();//必須認證過後才可以訪問
// }
// @Override
// public void configure(HttpSecurity http) throws Exception {
// http.requestMatchers().anyRequest()
// .and()
// .authorizeRequests()
// .antMatchers("/api/**").authenticated();
// }
}

@Configuration
@EnableWebSecurity
//@Order(1)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
 @Bean 

 public UserDetailsService userDetailsService(){
 return new UserService();
 }
 @Bean
 public BCryptPasswordEncoder passwordEncoder(){
 return new BCryptPasswordEncoder();
 }
 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 auth.inMemoryAuthentication()
 .withUser("irving")
 .password(passwordEncoder().encode("123456"))
 .roles("read");
 // auth.userDetailsService(userDetailsService())
 // .passwordEncoder(passwordEncoder());
 }
// @Bean
// public static NoOpPasswordEncoder passwordEncoder() {
// return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
// }
 @Override
 protected void configure(HttpSecurity http) throws Exception {
// http
// .formLogin().loginPage("/login").permitAll()
// .and()
// .requestMatchers()
// .antMatchers("/", "/login", "/oauth/authorize", "/oauth/confirm_access")
// .and()
// .authorizeRequests()
// .anyRequest().authenticated();
// http.requestMatchers()
// .antMatchers("/login", "/oauth/authorize")
// .and()
// .authorizeRequests()
// .anyRequest().authenticated()
// .and()
// .formLogin().permitAll();
 // http.csrf().disable();
 //不攔截 oauth 開放的資源
 http.requestMatchers()
 .anyRequest()
 .and()
 .authorizeRequests()
 .antMatchers("/oauth/**").permitAll();
 }
 @Override
 @Bean
 public AuthenticationManager authenticationManagerBean() throws Exception {
 return super.authenticationManagerBean();
 } 

}

@RestController
@RequestMapping("/api/user")
public class UserController {
 @GetMapping("/me")
 public Principal user(Principal principal) {
 return principal;
 }
 @GetMapping("/{name}")
 public String getUserName(@PathVariable String name) {
 return "hello,"+ name;
 }
}

application.yml

#logging:
# level:
# root: DEBUG
logging:
 level:
 org.springframework: INFO #INFO
 org.springframework.security: DEBUG
spring:
 application:
 name: microsrv-oauth2-server
 datasource:
 url: jdbc:mysql://XXX.XXX.XXX.XXX:3306/oauth2?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false
 username: root
 password: "!TEST"
 driver: com.mysql.cj.jdbc.Driver
 type: com.zaxxer.hikari.HikariDataSource
 hikari:
 minIdle: 10
 idle-timeout: 10000
 maximumPoolSize: 30
server:
 port: 5000
config:
 oauth2:
 # openssl genrsa -out jwt.pem 2048
 # openssl rsa -in jwt.pem
 privateKey: |
 -----BEGIN RSA PRIVATE KEY-----
 MIICXQIBAAKBgQDNQZKqTlO/+2b4ZdhqGJzGBDltb5PZmBz1ALN2YLvt341pH6i5 

 mO1V9cX5Ty1LM70fKfnIoYUP4KCE33dPnC7LkUwE/myh1zM6m8cbL5cYFPyP099t
 hbVxzJkjHWqywvQih/qOOjliomKbM9pxG8Z1dB26hL9dSAZuA8xExjlPmQIDAQAB
 AoGAImnYGU3ApPOVtBf/TOqLfne+2SZX96eVU06myDY3zA4rO3DfbR7CzCLE6qPn
 yDAIiW0UQBs0oBDdWOnOqz5YaePZu/yrLyj6KM6Q2e9ywRDtDh3ywrSfGpjdSvvo
 aeL1WesBWsgWv1vFKKvES7ILFLUxKwyCRC2Lgh7aI9GGZfECQQD84m98Yrehhin3
 fZuRaBNIu348Ci7ZFZmrvyxAIxrV4jBjpACW0RM2BvF5oYM2gOJqIfBOVjmPwUro
 bYEFcHRvAkEAz8jsfmxsZVwh3Y/Y47BzhKIC5FLaads541jNjVWfrPirljyCy1n4
 sg3WQH2IEyap3WTP84+csCtsfNfyK7fQdwJBAJNRyobY74cupJYkW5OK4OkXKQQL
 Hp2iosJV/Y5jpQeC3JO/gARcSmfIBbbI66q9zKjtmpPYUXI4tc3PtUEY8QsCQQCc
 xySyC0sKe6bNzyC+Q8AVvkxiTKWiI5idEr8duhJd589H72Zc2wkMB+a2CEGo+Y5H
 jy5cvuph/pG/7Qw7sljnAkAy/feClt1mUEiAcWrHRwcQ71AoA0+21yC9VkqPNrn3
 w7OEg8gBqPjRlXBNb00QieNeGGSkXOoU6gFschR22Dzy
 -----END RSA PRIVATE KEY-----
 # openssl rsa -in jwt.pem -pubout
 publicKey: |
 -----BEGIN PUBLIC KEY-----
 MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNQZKqTlO/+2b4ZdhqGJzGBDlt
 b5PZmBz1ALN2YLvt341pH6i5mO1V9cX5Ty1LM70fKfnIoYUP4KCE33dPnC7LkUwE
 /myh1zM6m8cbL5cYFPyP099thbVxzJkjHWqywvQih/qOOjliomKbM9pxG8Z1dB26
 hL9dSAZuA8xExjlPmQIDAQAB
 -----END PUBLIC KEY-----
eureka:
 instance:
 preferIpAddress: true
# instanceId: ${spring.cloud.client.ipAddress}:${server.port}
 client:
 serviceUrl:
 defaultZone: http://10.255.131.162:8000/eureka/,http://10.255.131.163:8000/eureka/,http://10.255.131.164:8000/eureka/

運行測試

客戶端模式

POST http://localhost:5000/oauth/token HTTP/1.1
Authorization: Basic Y2xpZW50XzE6MTIzNDU2
cache-control: no-cache
Postman-Token: 86fd25cd-406d-4db1-a67a-eda3cf760ba5
User-Agent: PostmanRuntime/7.1.1
Accept: */*
Host: localhost:5000
content-type: application/x-www-form-urlencoded
accept-encoding: gzip, deflate
content-length: 29 

Connection: keep-alive
grant_type=client_credentials
HTTP/1.1 200
{"access_token":"a1478d56-ebb8-4f21-b4b6-8a9602df24ec","token_type":"bearer","expires_in":1014,"scope":"all read write"}

密碼模式

POST http://localhost:5000/oauth/token HTTP/1.1
Authorization: Basic Y2xpZW50X3Rlc3Q6MTIzNDU2
cache-control: no-cache
Postman-Token: f97aca16-e2ea-4dda-b51f-eb95caa57560
User-Agent: PostmanRuntime/7.1.1
Accept: */*
Host: localhost:5000
content-type: application/x-www-form-urlencoded
grant_type=password&scope=all&username=irving&password=123456
HTTP/1.1 200
{"access_token":"dfe36394-8592-472f-b52b-24739811f6ee","token_type":"bearer","refresh_token":"c150594f-7d00-44cc-bbce-49e1a6e83552","expires_in":7190,"scope":"all"}

獲取資源信息

GET http://localhost:5000/api/user/me?access_token=a1478d56-ebb8-4f21-b4b6-8a9602df24ec HTTP/1.1
Host: localhost:5000
HTTP/1.1 200
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
Content-Type: application/json;charset=UTF-8
Date: Fri, 20 Jul 2018 09:21:32 GMT
Content-Length: 674
{"authorities":[{"authority":"client_credentials"}],"details":{"remoteAddress":"0:0:0:0:0:0:0:1","sessionId":null,"tokenValue":"a1478d56-ebb8-4f21-b4b6-8a9602df24ec","tokenType":"Bearer","decodedDetails":null},"authenticated":true,"userAuthentication":null,"credentials":"","oauth2Request":{"clientId":"client_1","scope":["all","read","write"],"requestParameters":{"grant_type":"client_credentials"},"resourceIds":[],"authorities":[{"authority":"client_credentials"}],"approved":true,"refresh":false,"redirectUri":null,"responseTypes":[],"extensions":{},"refreshTokenRequest":null,"grantType":"client_credentials"},"clientOnly":true,"principal":"client_1","name":"client_1"}

問題

There is no PasswordEncoder mapped for the id “null”問題
一般是老的項目升到 Spring Boot 2.0 依賴的是 Spring 5，相關的依賴都發生了較大的改動 Spring Security 5.0 New Features ，Spring Security 重構了 PasswordEncoder 相關的算法，原先默認配置的 PlainTextPasswordEncoder（明文密碼）被移除了，替代的 BCryptPasswordEncoder ，Client 與 Resource Server 中設計密碼的相關都需要採用新的的編碼方式（上述代碼已採用）。

//兼容老版本 明文存儲
@Bean
PasswordEncoder passwordEncoder(){
 return NoOpPasswordEncoder.getInstance();
}
@Bean
PasswordEncoder passwordEncoder(){
 return new BCryptPasswordEncoder();
}

method_not_allowed(Request method 'GET' not supported) 問題
可以配置，第三方 Client 拿到 access_token 後，如何發送給 Resouce Server 主要有三種方式[ RFC6750 中定義 ] （一般獲取 token 時不採用）：
URI Query Parameter.
Authorization Request Header Field.
Form-Encoded Body Parameter.

@Configuration
public class OAuthSecurityConfig extends AuthorizationServerConfigurerAdapter {
...
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
 ... 

 endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);// add get method
 ...
 endpoints.tokenServices(tokenServices);
}
...
}

Token 存儲 DB 報錯問題
檢查數據庫 token 相關的字段是否是二進制數據類型(默認是：token LONGVARBINARY)，數據庫的腳本可以在 Spring Security OAuth2 官方的項目中找到：https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql

2018-07-19 22:31:29.574 DEBUG 20084 --- [nio-5000-exec-6] .s.s.o.p.c.ClientCredentialsTokenGranter : Getting access token for: client_1
2018-07-19 22:31:29.574 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL query
2018-07-19 22:31:29.574 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL statement [select token_id, token from oauth_access_token where authentication_id = ?]
2018-07-19 22:31:29.575 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Fetching JDBC Connection from DataSource
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Returning JDBC Connection to DataSource
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.s.o.p.token.store.JdbcTokenStore : Failed to find access token for authentication org.springframework.security.oauth2.provider.OAuth2Authentication@f5d4467d: Principal: client_1; Credentials: [PROTECTED]; Authenticated: true; Details: null; Granted Authorities: TRUSTED_CLIENT
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'scopedTarget.clientDetailsService'
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.b.f.s.DefaultListableBeanFactory : Returning cached instance of singleton bean 'scopedTarget.clientDetailsService'
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL query
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL statement [select token_id, token from oauth_access_token where token_id = ?]
2018-07-19 22:31:29.623 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Fetching JDBC Connection from DataSource
2018-07-19 22:31:29.650 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Returning JDBC Connection to DataSource
2018-07-19 22:31:29.650 INFO 20084 --- [nio-5000-exec-6] o.s.s.o.p.token.store.JdbcTokenStore : Failed to find access token for token ad587601-e0fd-4dea-8fcc-75144eb74101
2018-07-19 22:31:29.650 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL update
2018-07-19 22:31:29.650 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.core.JdbcTemplate : Executing prepared SQL statement [insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)]
2018-07-19 22:31:29.650 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Fetching JDBC Connection from DataSource
2018-07-19 22:31:29.651 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.support.lob.DefaultLobHandler : Set bytes for BLOB with length 691
2018-07-19 22:31:29.651 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.support.lob.DefaultLobHandler : Set bytes for BLOB with length 1627
2018-07-19 22:31:29.665 DEBUG 20084 --- [nio-5000-exec-6] o.s.jdbc.datasource.DataSourceUtils : Returning JDBC Connection to DataSource
2018-07-19 22:31:29.665 DEBUG 20084 --- [nio-5000-exec-6] s.j.s.SQLErrorCodeSQLExceptionTranslator : Unable to translate SQLException with Error code '1366', will now try the fallback translator
2018-07-19 22:31:29.665 DEBUG 20084 --- [nio-5000-exec-6] o.s.j.s.SQLStateSQLExceptionTranslator : Extracted SQL state class 'HY' from value 'HY000'
2018-07-19 22:31:29.665 DEBUG 20084 --- [nio-5000-exec-6] .m.m.a.ExceptionHandlerExceptionResolver : Resolving exception from handler [public org.springframework.http.ResponseEntity org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.getAccessToken(java.security.Principal,java.util.Map) throws org.springframework.web.HttpRequestMethodNotSupportedException]: org.springframework.jdbc.UncategorizedSQLException: PreparedStatementCallback; uncategorized SQLException for SQL [insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)]; SQL state [HY000]; error code [1366]; Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1; nested exception is java.sql.SQLException: Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1
2018-07-19 22:31:29.665 DEBUG 20084 --- [nio-5000-exec-6] .m.m.a.ExceptionHandlerExceptionResolver : Invoking @ExceptionHandler method: public org.springframework.http.ResponseEntity org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.handleException(java.lang.Exception) throws java.lang.Exception
2018-07-19 22:31:29.667 ERROR 20084 --- [nio-5000-exec-6] o.s.s.o.provider.endpoint.TokenEndpoint : Handling error: UncategorizedSQLException, PreparedStatementCallback; uncategorized SQLException for SQL [insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)]; SQL state [HY000]; error code [1366]; Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1; nested exception is java.sql.SQLException: Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1
org.springframework.jdbc.UncategorizedSQLException: PreparedStatementCallback; uncategorized SQLException for SQL [insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)]; SQL state [HY000]; error code [1366]; Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1; nested exception is java.sql.SQLException: Incorrect string value: '\\xAC\\xED\\x00\\x05sr...' for column 'token' at row 1

票據存 DB 還是 Redis
根據 QPS 來吧，現階段我們就是使用 DB 來存儲，當然 Redis 或 MongoDB 都是比較好的選擇（因為 Token 是臨時性的，還涉及 Token 的刷新，驗證合法性，過期等機制，操作會很頻繁）。

/*
 @Autowired
 private RedisConnectionFactory connectionFactory;
 @Bean
 public RedisTokenStore tokenStore() {
 return new RedisTokenStore(connectionFactory);
 }
 */
 @Autowired
 @Qualifier("dataSource")
 private DataSource dataSource;
 @Bean("jdbcTokenStore")
 public JdbcTokenStore getJdbcTokenStore() {
 return new JdbcTokenStore(dataSource);
 }
 @Override
 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// endpoints
// .tokenStore(new RedisTokenStore(redisConnectionFactory))
// .authenticationManager(authenticationManager);
 endpoints.authenticationManager(authenticationManager)
 //配置 JwtAccessToken 轉換器
 // .accessTokenConverter(jwtAccessTokenConverter())
 //refresh_token 需要 UserDetailsService is required
 // .userDetailsService(userDetailsService)
 .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
 .tokenStore(getJdbcTokenStore());
 }

GitHub 代碼

REFER:

https://docs.spring.io/spring-security-oauth2-boot/docs/current/reference/html5/

https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/

http://projects.spring.io/spring-security-oauth/docs/oauth2.html

如何構建安全的微服務應用

https://www.cnblogs.com/exceptioneye/p/9341011.html

https://oauth.net/2/

https://github.com/jeansfish/RFC6749.zh-cn

分享到:

閱讀更多 Java的小本家 的文章

關鍵字: 服務 FLOW JavaScript

Redis 創始人宣佈 Redis 6.0.0 穩定版正式 GA

Blogine V1.0.0 發佈，開源個人博客系統

Linux版QQ 擠牙膏式更新又來了 2.0.0 Beta2

Linux QQ 2.0.0 Beta2 發佈

Cerberus FTP服務器企業版11.1.0.0

從tensorflow 2.0.0 升級到2.1.0

Valentina Studio Pro for Mac(專業的數據庫管理軟件) v10.0.0

IPV4協議基礎

腦殘式網絡編程入門(八)：你真的瞭解127.0.0.1和0.0.0.0的區別？

03.03 腦殘式網絡編程入門(八)：你真的瞭解127.0.0.1和0.0.0.0的區別？

「開源資訊」Kuiper 0.2.0 正式發佈

02.26 NOIP-1010郵寄問題

0752-7.0.3-如何在CDP DC7.0.3安裝Ranger

0.1f 改為 0 會使性能降低 10 倍，你信不信？

Oracle 微服務框架 Helidon 2.0.0-M1

網絡基礎學習筆記，IP地址分類

0.1+0.2≠0.3？聊聊 js 中的雙精度浮點數

Shader特效——"徑向畸變"和"反畸變"「GLSL」

企業級 UI 設計語言Ant Design 4.0.0-rc.0 發佈，打包降低50%

12.24 Apache Kylin 3.0.0 發佈，開源的分佈式分析引擎

Spring Cloud Alibaba 0.9.0 升級到 2.1.0 手把手教程

Vue 3.0 官方開源代碼

C# 8.0 的默認接口方法

超詳細！溶解氧（DO）對硝化反硝化的影響

Hutool 5.0.0 發佈，不再支持 JDK 7

多數編程語言裡的0.1+0.2≠0.3?

10.01 Zig 0.5.0 發佈，想要替換 C 的編程語言

[編程工具]QEMU 4.0.0 發佈，幾乎可以模擬任何硬件設備的模擬器

[圖]VirtualBox 6.0.6發佈：支持Linux Kernel 5.0

軟件更新丨vue-element-admin 4.0.0 beta 發佈，後臺集成方案

Wireshark 3.0.0 正式版發佈免費開源的網絡數據包分析軟件

GitHub 項目拾集：天若OCR文字識別 v5.0.0

美客分銷商城1.0.26訂單管理添加“查看”訂單詳情導出訂單詳情

walle 2.0.0 正式發佈，可能是春節前最良心的免費開源部署工具

一隻前端小菜雞犯的錯誤，你碰到過嗎？

喜迎Flutter 1.0.0，天氣預報Demo

軟體更新丨Angular 7.0.0 發布，谷歌維護的前端三大框架之一

尤雨溪公布 Vue 3.0 開發路線：將從頭開始重寫 3.0

爲什麼 Python 4.0 會與 Python 3.0 不同？

爲什麼用localhost連不上mysql，用127.0.0.1卻可以

為什麼 Python 4.0 不會像 3.0 一樣？

06.21 公司奇葩要求，程序員必須紋一串代碼，“0 warning, 0 error”？

MySQL主機127.0.0.1與localhost區別總結

05.02 127.0.0.1這個IP的詳細解釋，localhost與127.0.0.1的區別所在

Node.js發佈10.0.0

剛剛工作的畢業生，一個月只有2000多，是不是太少了？

剛剛:剛剛工作的畢業生，一個月只有2000多，是不是太少了？根據你城市消費水平來看啊，還有你從事的工作，假如你在二三線城市做一份事業單位或者是編制類的工作，薪資水平是隨著你工作年限逐年增長的，而且在年終也有很多福利補貼待遇等等，算下來收入也是可觀的，再舉一個例:-畢業生 2000

為什麼只有edg賺錢？

電競行業作為一個新興產業，這幾年發展勢頭越來越好，IG戰隊，FPX戰隊先後奪得了s8-s9世界賽的冠軍，據俱樂部知情人士透露，除了國內的幾家豪門俱樂部之外，其他俱樂部基本都是虧錢在做的，當然EDG也是:-edg 賺錢:為什麼只有edg賺錢？

網上羅馬仕充電寶20000毫安的，參數怎麼很多樣？哪個是真的？

20000:網上羅馬仕充電寶20000毫安的，參數怎麼很多樣？哪個是真的？天貓旗艦店，或者淘寶旗艦店，或者京東旗艦店肯定包真，質量好，再說可以官方驗證啊，不能圖那十塊五塊的便宜，畢竟一個充電寶要用好久呢，一兩年沒問題的。:-羅馬仕馬仕毫安

我們買的新商品房還沒有拿到房產證，怎麼轉賣最好？

沒有取得房抄產證的房子可以轉讓。但如果確定無法取得房產證的，房產轉讓不受法律保襲護。一般情況下，只有取得房產證的房屋才能確定房屋產權人，才具有轉讓的條件。但如果房屋是合法取得的，以百後可以依法辦理度房:-轉賣房產證商品房拿到:我們買的新商品房還沒有拿到房產證，怎麼轉賣最好？

為什麼突厥人可以成功復國？是大唐的刀不鋒利了麼？

鋒利突厥人你這樣說只能說明你對歷史非常不瞭解，我先用一句話概括突厥被大唐雄兵打的有多慘：三次滅國，背井離鄉，遠赴西亞，打不過，俺躲著你還不行嗎？突厥的意思是中間慫起的頭盔。其來歷已經不可靠，可能有著匈奴、鮮卑或:-復國大唐:為什麼突厥人可以成功復國？是大唐的刀不鋒利了麼？

小高層16層高樓間距60米哪一層比較好？

小高層 60:小高層16層高樓間距60米哪一層比較好？首先需要明白，選擇層數居住與樓間距毫無關係，住在哪一層，肉眼看對面樓的距離，是相差不大的。設定樓間距60米，純粹是混淆視聽。其實，一幢樓的樓層總數確定的情況下，到底哪一層最佳？很簡單，取總層數乘以黃金:-樓間距層高

金銀花盆栽好養嗎？怎麼養？

金銀花可以盆栽，很好養的！金銀花，是忍冬科的常綠纏繞灌木，枝條柔韌修長，多攀爬或匍匐生長。金銀花生性強健，在我國的很多南方省份野外很多地區都能看到它的身影，葉子常年翠綠，到夏季開花，飄香四溢。所以，有:-金銀花盆栽:金銀花盆栽好養嗎？怎麼養？

長城對於抵禦古代匈奴和蒙古人起到了多大作用？

長城真的無用嗎？在今天許多人認為長城無用，古代國家舉國之力建造的長城不過只是文物，就連康熙都曾作詩諷刺，原文如下：萬里經營到海涯，紛紛調發逐浮誇。當時用盡生民力，天下何曾屬爾家。-康熙但真的如此嗎？小:-匈奴抵禦長城:長城對於抵禦古代匈奴和蒙古人起到了多大作用？蒙古人

什麼樹可以嫁接臘梅？

臘梅只能嫁接在不同品種的臘梅上，其他的樹種不行！臘梅的繁殖可以用播種，壓條，嫁接，分株等繁殖方法。播種法因不易保持花卉的原有優良特性，且播種的優點是在於大量繁殖，而臘梅大都只需培植少量幾株，故一般都不:-臘梅嫁接:什麼樹可以嫁接臘梅？

行情堪憂，還有多少教育機構的老師們五一假期有課上的？課時量多不多？

堪憂五一假期:行情堪憂，還有多少教育機構的老師們五一假期有課上的？課時量多不多？事實上，因為教育培訓都是預收費用的模式。但凡有一點點規模的培訓機構老師。在上半年，帶課量是可以得到保證。:-課時量

在農村“立夏節”都有哪些民間習俗？

民間習俗農村:在農村“立夏節”都有哪些民間習俗？在農村“立夏節”都有哪些民間習俗一、農村立夏常見的習俗風俗活動：1、吃雞蛋“立夏吃蛋”習俗由來已久，俗話說“立夏吃了蛋，夏天不疰夏”。據說立夏開始天氣越來越熱，村裡小孩兒會有身體疲勞四肢無力的感覺，吃:-立夏節

男朋友失望分手，但對我還有感覺，答應我兩個月之後可以在一起，我應該怎麼做，才能改變之前他對我的看法？

失望分手看法:男朋友失望分手，但對我還有感覺，答應我兩個月之後可以在一起，我應該怎麼做，才能改變之前他對我的看法？你的這個問題特別的有趣，我覺得你先不要看你要怎麼做才讓他才能讓他對你的印象有所改變，你要去看為什麼是兩個月之後可以在一起，這兩個月他會用來做什麼，為什麼會有這兩個月？例如他的身體碰到了什麼樣的問題嗎？:-答應我

工程分包乙方人員傷殘誰承擔？

承擔:工程分包乙方人員傷殘誰承擔？分包乙方分包致人傷殘責任誰承擔？嚴格來說，需要了解更多傷殘原因才能區分的，作為非專業人士，自己發表一點淺見供題主參考：1、如果甲方是央企的話，他們合同中的責任、義務等條款內已經將自己的責任全部撇開了，更會:-乙方傷殘

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫？

實際上:有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫？歷史人物聯繫這個詞貌似太寬泛了，就好像有一個調皮的答案說的，胡亥和溥儀相隔2000多年，牽強的找，也有聯繫：都是亡國之君不是。我想題主的意思是兩個看起來應該風馬牛不相及的人物，在歷史上居然是熟悉或是一個時代的:-毫不相關

13年雪鐵龍世嘉自動擋7萬多公里，沒有水泡事故，多少錢能買？

法系車不保值，如果準備常開可以入手，性價比高，價格應該在二至三萬之間，二手車一車一況，一況一價，居體價格看車況。:-錢能水泡:13年雪鐵龍世嘉自動擋7萬多公里，沒有水泡事故，多少錢能買？世嘉自動擋

22+吃土少女17年就有駕駛證了，今年才開始開車，想買個二手昂克賽拉，或者有什麼好建議嗎？

17年駕駛證二手:22+吃土少女17年就有駕駛證了，今年才開始開車，想買個二手昂克賽拉，或者有什麼好建議嗎？建議買日系二手車，開順了賣了，買新車，昂克賽拉無法再次出手時獲得好價格，而且也不省油，開完日系車直接換德系:-昂克賽拉

如何騎車去臺灣騎行？

騎車在臺灣沒有迴歸內地前，最好不要去臺灣，一是國內政策不允許你去臺灣，因為已停止了臺灣個人遊。二是你偷著去臺灣旅遊，安全沒有保障，偷渡客在哪裡也沒有安全保障的。以後內地政策允許個人去臺灣旅遊了，建議那時再:-騎行臺灣:如何騎車去臺灣騎行？

本人預算5萬左右，想買一輛二手法系車！求推薦？

預算:本人預算5萬左右，想買一輛二手法系車！求推薦？ 5萬預算5萬元左右，想買一輛二手法系車？推薦東風標緻老款308車型。1 5萬元可以買標緻308車況好的，沒大事故呢，年限15年左右，公里數3萬左右，手動檔車型。2 標緻308車型，底盤調教紮實，跑高速穩定:-法系二手

14年進口馬自達5PK進口10年道奇酷威買哪個划算？

道奇你好，好高興回答你的問題！14年進口馬自達5和10年月道奇酷威個人感覺馬自達5比較划算。新車價馬5報價29.99萬，酷威19.38萬兩款車都是原裝進口，馬5屬於日系，酷威屬於美系。兩款車不屬於同類車型:-酷威馬自達 14年:14年進口馬自達5PK進口10年道奇酷威買哪個划算？

2020年，河南教育行業國務院特殊津貼推薦，河南大學並列第三，大家怎麼看？

特殊津貼高校人才就要重視，河南省高校人才更要重視，這個人才不是評出了的，而是推薦出來的，沒有推薦，連參評的資格都沒有。國務院特殊津貼人員推薦，不推薦是百分百沒希望，推薦了希望就非常，那麼是什麼是國務院特殊津貼:-河南大學並列 2020年:2020年，河南教育行業國務院特殊津貼推薦，河南大學並列第三，大家怎麼看？

本田CRV2019款1.5T舒適版油耗高嗎？

李老貓說車為你非專業解答各種選車用車問題本田crv定位於一款緊湊級suv產品，主要對飈豐田榮放，日產奇駿，這款車整體市場表現非常突出，2019年全年累計銷量為18.44萬臺，平均月銷1.5萬以上，其深:-舒適版本田油耗:本田CRV2019款1.5T舒適版油耗高嗎？

國外疫情如果沒有得到有效控制，世界會發生什麼事情？頭腦風暴？

1.世界經濟遭到重創疫情影響之下，各行各業基本屬於停工停產的狀態，在世界經濟趨於一體化的今天，停工停產勢必會造成一系列的連鎖反應，最後導致的結果可能會引發金融危機。2.世界格局可能發生改變美國仍是世界:-頭腦風暴控制:國外疫情如果沒有得到有效控制，世界會發生什麼事情？頭腦風暴？疫情國外

本田XRV這款車的整體表現怎麼樣？我想買1.5T自動豪華版，全款多少錢？

如果有15萬元的預算，讓你選擇一臺空間和動力都很不錯的小型SUV，我覺得很多的讀者都會想到本田XRV這款車型。因為本田XRV確實太出色了，和同級別的其他盒子SUV車型相比，這款車在空間和動力上都有優勢:-xrv 自動:本田XRV這款車的整體表現怎麼樣？我想買1.5T自動豪華版，全款多少錢？本田豪華版

現在存款有14萬，借了5萬還沒收回來，該做什麼好？

何去何從:現在存款有14萬，借了5萬還沒收回來，該做什麼好？續租存款利息率較低，可以投資較高收益的項目，比如投資基金，一般情況下可獲得6%一10%的回報。如果行情好可達到50%以上收益，去年不少基金超過這目標。目前受疫情影響，股市在低位震盪，也是基金投資的機會。一:-存款 2300

2070super和5700xt買哪個比較好？

如果是玩遊戲毫無疑問選擇n卡，也就是2070 suep。如果追求性價比可以選擇a卡，也就是5700xt. 為什麼遊戲選n卡呢？首先遊戲廠商針對n卡優化比較多，然後就是功耗小，然後N卡架構執行效率極高，:-:2070super和5700xt買哪個比較好？

生完二胎後，感覺自己有點抑鬱，總是想發火，特別煩躁，怎麼辦？

二胎我是兩個孩子的媽媽，曾經的我和你一樣，生完寶寶我也抑鬱了，我知道抑鬱症真的很痛苦，產後的那段日子我整天都不開心，做什麼事也沒積極性，誰也不想搭理，別人給我說話我就覺得很煩。忍不住衝家人發脾氣。每當一個:-生完抑鬱:生完二胎後，感覺自己有點抑鬱，總是想發火，特別煩躁，怎麼辦？發火

人這一生遇到的人和事為什麼感覺都像是必然的經歷？

感覺:人這一生遇到的人和事為什麼感覺都像是必然的經歷？正所謂有因必有果，所以你今天的因，就會產生明天的果。所以這一切你就會覺得是必然的。生活中大部分是普通人大家的生活規律，生活方式，大致相同。當你看到別人家庭的果，自己家也產生同樣的果，你就會覺得這一切是:-人和經歷

現在校內校外到底教的是美式英語還是英式英語還是混搭英語？

校內:現在校內校外到底教的是美式英語還是英式英語還是混搭英語？校外英式答案肯定是不唯一的！美式英語現在是主流，少量英式發音也個別存在！但對於孩子來說，肯定是混搭英語，因為孩子肯定不是一直一位老師教下去，肯定會換老師！而老師的發音肯定是既有英式的，也有美式的！就連一些英語:-美式英語

上有老下有小，我們真的跳不出這個人生循環了嗎？

上有老魔咒:上有老下有小，我們真的跳不出這個人生循環了嗎？的確如此，儘管現在不結婚，晚婚的人很多，但是從人類繁洐生息的歷史和大多數人來看，成家立業，生兒育女，家庭仍是主流，一個人的生理，心理和生存需求決定了生存狀態，生兒育女，瞻養父母即是義務責任，也是生活動:-下有小

如果外面正在下小雨，你會突然想起了誰？

想起:如果外面正在下小雨，你會突然想起了誰？我最不忘，還是秋日的雨夜，天又涼了幾分，已經需要披上一件薄薄的外套了。臨窗而望，眼見窗臺上的幾株小植物，葉片上沾了幾滴小雨珠，我總喜歡，用小手電去照它們，這樣的小水滴看起來晶瑩晶瑩的，有一種清清涼涼的:-小雨

初中同學許久未見大學期間突然聯繫請吃飯，態度還良好，我給推了，會不會讓人很煩？

初中同學:初中同學許久未見大學期間突然聯繫請吃飯，態度還良好，我給推了，會不會讓人很煩？吃飯許久未見，意思就是交情不怎麼樣，無功不受祿，人家憑什麼那麼熱情，難道真的是多年一來忘不了咱們之間的同學情誼，倍感想念了嗎，不是請幫忙、做業務、就是借錢，十有八九十借錢。我建議還是不要去的好，大家都很忙:-許久未見

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心，我愛你更說不出口，好惡心，是什麼心理？

出口心理:現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心，我愛你更說不出口，好惡心，是什麼心理？愛你更多的是心裡問題，可能對方還沒有優秀到你滿意的程度，更沒有到那種離不開的地步！愛情最終還是要回歸生活，而生活離不開兩個人的相處，父母終究會老，孩子終究會飛，所以選擇自己的伴侶尤為重要，你現在覺得噁心更:-喜歡你

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢？

再見王瀝川好看:劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢？《遇見王瀝川》吧，高以翔的王瀝川太招人稀罕了。長相，身材，家世，人品，才能樣樣好，簡直完美，挑不出任何毛病，實在要說一個缺點的話，那就是太tm完美，天妒英才、才讓他飽受病魔折磨。偶像劇、深情帥氣的男主:-何以笙簫默

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎？是否還需要繼續讀研？

學歷是求職必備條件。有了工作不能停止對知識的探索。更高的學歷，可以讓你有更專業的技術能力和學習能力，可以讓你拓展自己的交際圈，可以讓你更知名。總之，活到老，學到老，學習對人總是有好處的，技多不壓身嘛！:-字節跳動:計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎？是否還需要繼續讀研？讀研計算機專業

生完二胎的你們，現在有什麼感想？

二胎家庭日常是什麼樣的？是不是覺得家裡多了一個小人兒，溫馨多了？不存在的！生二胎根本是媽媽們的渡劫磨礪！以前週末睡到自然醒，現在全年無休，時刻警醒著，能睡一次懶覺跟過年似的，黑眼圈不說，頭髮呼啦啦地掉:-生完二胎感想:生完二胎的你們，現在有什麼感想？

華北適合種植蠶豆嗎？

華北適合種植蠶豆，種蠶豆的面積大，在西北，華北，都在種植蠶豆，蠶豆莖稈根部有根瘤菌是種植其它農作物的好茬地，特別是土壤培養和防病蟲害起到作用。:-蠶豆種植適合:華北適合種植蠶豆嗎？華北

華為手機更新EMUI10.1系統後效果咋樣？

大家知道現在智能手機的性能不僅僅跟智能手機的硬件有關，還跟智能手機的系統軟件息息相關，在國產智能手機操作系統裡，小米的MIUI系統跟華為的EMUI系統都是比較優秀的操作系統。最近小米推出了小米MIUI:-咋樣華為華為手機更新:華為手機更新EMUI10.1系統後效果咋樣？

大熱天蜜蜂老是爬到箱外結群正常嗎？

蜜蜂爬到:大熱天蜜蜂老是爬到箱外結群正常嗎？盜蜂現在正是夏季，很多地方蜜源稀少，蜂群中可能缺蜜，也是胡蜂猖獗的時間，所以蜂群中是非常容易發生盜蜂的。在蜂群中發生盜蜂的時候，蜂群守衛蜂會增多，但是這種情況引發的蜜蜂在蜂箱外一般不會結團，只是蜜蜂來:-大熱天

辣椒正是生長最佳期，偏偏有的辣椒苗蔫，不是病蟲害是咋回事？

最佳期霧都山客來回答您的問題。最近山客家鄉的村民正在進行辣椒移栽，確實有像題主提到的情形，辣椒苗移栽前長勢蔥蔥，嫩綠喜人，但是移栽後幾天內就出現萎蔫現象，細心觀察也不是被病蟲害危害。那究竟是什麼原因導致辣椒:-苗蔫辣椒咋回事:辣椒正是生長最佳期，偏偏有的辣椒苗蔫，不是病蟲害是咋回事？

手機相機發展的最終形態會是怎樣的？

最近這幾年手機在電子產品行業裡可謂是發展速度非常快，蘋果和華為兩大公司可以說也是，明爭暗鬥，產品一次比一次有賣點，前一段時間華為和蘋果還都推出了手機新品，兩家都在大力宣傳強調著拍照功能，像iPhone:-形態相機手機最終:手機相機發展的最終形態會是怎樣的？

華為為什麼不出一款5寸全面屏手機呢？我想應該會有很多人支持吧？

5寸手機支持:華為為什麼不出一款5寸全面屏手機呢？我想應該會有很多人支持吧？很高興回答你的問題，刷頭條刷出來的問題，看到很多人回答，感覺還有一些觀點沒有寫出，所以我來回答一下。首先，華為為什麼不出小尺寸全面屏手機？其實並不只有華為一家沒有出小屏手機，放眼近期各大手機廠商發佈的:-華為

生吃山芋，生吃胡蘿蔔，還有哪些蔬菜可以生吃呢？

胡蘿蔔蔬菜:生吃山芋，生吃胡蘿蔔，還有哪些蔬菜可以生吃呢？第一種，黃瓜。這個瓜，可不是菜市場中堆放滿滿的青瓜。各位可要睜大眼睛看清楚了，這個黃瓜，青中帶黃，品種屬以前鄉下農戶少量種植的，形態上面來看這種瓜矮、短、圓，表面覆蓋有比較淡的細毛，經水輕輕沖洗之後整:-山芋

為什麼馬鈴薯不宜過早過遲播種？

不宜:為什麼馬鈴薯不宜過早過遲播種？播種過早為什麼馬鈴薯不宜過早過遲播種？馬鈴薯的種植主要是由於氣候條件的限制，過早出苗後容易遇到低溫被凍死，種植晚了容易遇到乾旱和高溫，影響產量。馬鈴薯種植時間的早晚必須根據種植地方的氣候條件來確定。馬鈴薯生長:-馬鈴薯

疫情愈發嚴重，原油為何反而大漲？

原油愈發:疫情愈發嚴重，原油為何反而大漲？疫情愈發嚴重和原油大漲沒有必然關係。但是資金總是從高處流向低處，原油價格跌的越多，投資價值越明顯，相對於其他產業更有投資價值。舉個例子：深圳南山房價均價大約6萬左右，寶安均價5萬左右，如果南山房價漲到:-疫情

生菜球很好吃，怎麼種植才能高產呢？

種植:生菜球很好吃，怎麼種植才能高產呢？高產對環境條件的要求、1.溫度生菜球為喜冷涼、忌高溫作物，種子在4度以上可發芽、以15～20度為發芽適溫。幼苗能耐較低溫度，日平均溫度12度時生長壯健，葉球生長最適溫度為13～16度。不過目前有些結球生菜:-生菜

裝修高手來幫忙看下144平，套內122平，怎麼三房改四房？？

看下這個戶型三房改四房，改一個小房間，應該沒有問題。△原戶型圖這個戶型改四房，能改的方案比較多，但是修改以後是否好用，是一件值得考慮的事情。一、主臥室變為兩個臥室可以將主臥室改為兩個臥室，但是這樣的改動佔:-房改 122:裝修高手來幫忙看下144平，套內122平，怎麼三房改四房？？ 144

大家幫忙看看這個房子如果要砸牆的話，怎麼改比較好？

房子:大家幫忙看看這個房子如果要砸牆的話，怎麼改比較好？這個戶型砸牆，當然可以砸牆，但是在砸牆之前，要搞清楚為什麼要砸牆，砸牆以後有什麼優劣。△原戶型原戶型圖上的白色牆體部分不是承重牆，理論上說否可以砸掉。但是外牆和與旁邊戶型或者是公共區域的共用牆體和圖上:-幫忙

意蜂夏季喝什麼水降溫？

降溫意蜂夏季喝什麼水降溫？氣溫高，蜂巢溫度高的情況下，蜜蜂是通過採水的辦法掛在蜂箱的四壁來蒸發帶走熱量，降低蜂巢溫度同時也能幫助蜂群維持正常的溼度。在平常的情況下，蜜蜂是在室外採自然水的。夏季消耗的水量:-意蜂夏季:意蜂夏季喝什麼水降溫？

黃瓜種子催芽後種植需要打底水嗎？

黃瓜種子:黃瓜種子催芽後種植需要打底水嗎？你好很高興回答這個問題。答案：不用。1-2天可出芽。黃瓜種子催芽：選用飽滿的種子，用30℃水浸泡4小時後催芽。也可用100倍福爾馬林溶液浸泡種子10-20分鐘，洗淨後清水浸種3-4小時，然後於25-3:-催芽黃瓜打底

書友們展示一下自我感覺發揮較好的作品，一起學習？

自我較好這幅作品是參賽的，色彩的搭配，紙張的拼接都是自己設計完成的，一如既往的清新淡雅感覺。書體用的魏碑中楷書，增加了書寫的趣味性。:-書友展示:書友們展示一下自我感覺發揮較好的作品，一起學習？