SpringSecurity整合OAuth2是開發者公認的資源保護、服務認證的最佳搭配夥伴,這對好基友一直在默默的守護著應用服務的安全,根據訪問者的不同角色可以顆粒度控制到具體的接口,從而實現權限的細微劃分。
而SpringSecurity框架在安全框架的隊伍中算是入門比較高的,雖然Spring通過SpringBoot進行了封裝,但是使用起來還是有很多容易遺漏的配置,因為配置比較多,讓初學者理解起來也比較困難,針對這個問題ApiBoot對SpringSecurity以及OAuth2進行了封裝,在基礎上極大的簡化了配置(只做簡化、增強,SpringSecurity的基礎語法、配置還可以正常使用)
創建項目
使用IDEA開發工具創建一個SpringBoot項目。
ApiBoot的底層是SpringBoot,而且ApiBoot為了支持SpringBoot的2.2.x分支,也對應的創建了2.2.x分支版本。
添加ApiBoot統一依賴
創建完項目後我們需要在pom.xml添加ApiBoot的統一版本依賴,如下所示:
<dependencymanagement>
<dependencies>
<dependency>
<groupid>org.minbox.framework/<groupid>
<artifactid>api-boot-dependencies/<artifactid>
<version>2.2.0.RELEASE/<version>
<type>pom/<type>
<scope>import/<scope>
/<dependency>
/<dependencies>
/<dependencymanagement>
添加相關依賴
本章我們需要查詢數據庫內的用戶信息進行認證,所以需要在pom.xml添加數據庫相關的依賴,如下所示:
<dependencies>
<dependency>
<groupid>org.springframework.boot/<groupid>
<artifactid>spring-boot-starter-web/<artifactid>
/<dependency>
<dependency>
<groupid>org.minbox.framework/<groupid>
<artifactid>api-boot-starter-security-oauth-jwt/<artifactid>
/<dependency>
<dependency>
<groupid>mysql/<groupid>
<artifactid>mysql-connector-java/<artifactid>
/<dependency>
<dependency>
<groupid>com.zaxxer/<groupid>
<artifactid>HikariCP/<artifactid>
/<dependency>
<dependency>
<groupid>org.minbox.framework/<groupid>
<artifactid>api-boot-starter-mybatis-enhance/<artifactid>
/<dependency>
/<dependencies>
在本章使用到了ApiBoot Mybatis Enhance,具體的使用請訪問官方文檔ApiBoot MyBatis Enhance使用文檔
配置數據源
添加數據庫相關的依賴後,在application.yml文件內添加如下配置信息:
spring:
application:
name: apiboot-security-oauth-custom-certification-user
# 數據源配置
datasource:
type: com.zaxxer.hikari.HikariDataSource
url: jdbc:mysql://127.0.0.1:3306/test?characterEncoding=utf8&serverTimezone=Asia/Shanghai
username: root
password: 123456
driver-class-name: com.mysql.cj.jdbc.Driver
server:
port: 9090
配置ApiBoot Security
ApiBoot Security默認採用的是內存方式(memory)讀取用戶信息,我們本章需要修改為JDBC方式,並且禁用默認讀取用戶信息(ApiBoot Security內部提供了默認的表結構,建表後添加數據即可直接使用用戶信息進行認證,詳見:ApiBoot Security使用文檔)。
在application.yml配置文件中添加如下配置:
# ApiBoot配置
api:
boot:
security:
# ApiBoot Security 使用JDBC方式讀取用戶
away: jdbc
# 禁用默認的讀取用戶方式
enable-default-store-delegate: false
api.boot.security.enable-default-store-delegate配置參數默認值為true,也就是會自動讀取數據源對應數據庫內的api_boot_user_info用戶信息表,當我們設置為false後需要通過實現ApiBootStoreDelegate接口來進行自定義查詢的用戶信息。
配置ApiBoot OAuth
api-boot-starter-security-oauth-jwt這個依賴內部也默認集成了OAuth2,而且默認的數據存儲方式與Spring Security一致也是內存方式(memory),我們本章的主要目的是查詢認證用戶信息,而不是客戶端信息,所以我們還是採用默認的內存方式,不過修改下客戶端的默認配置信息,在application.yml文件內添加配置如下所示:
# ApiBoot配置
api:
boot:
oauth:
# ApiBoot OAuth2的客戶端列表
clients:
- clientId: hengboy
clientSecret: chapter
grantTypes: password,refresh_token
在ApiBoot中OAuth2默認的客戶端配置信息,可以通過查看org.minbox.framework.api.boot.autoconfigure.oauth.ApiBootOauthProperties.Client源碼瞭解詳情。
用戶認證
配置已經完成,下面我們來編寫查詢用戶信息,將用戶信息交給ApiBoot Security框架進行認證、生成AccessToken等操作。
本章使用的持久化框架是ApiBoot MyBatis Enhance,具體的使用方法請查看官方文檔。
創建用戶表
我們在數據庫內創建一張名為system_user的系統用戶信息表,表結構如下所示:
CREATE TABLE `system_user` (
`su_id` varchar(36) COLLATE utf8mb4_general_ci NOT NULL COMMENT '用戶編號',
`su_login_name` varchar(30) COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '登錄名',
`su_nick_name` varchar(30) COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '暱稱',
`su_password` varchar(200) COLLATE utf8mb4_general_ci DEFAULT NULL COMMENT '用戶密碼',
`su_create_time` timestamp NULL DEFAULT CURRENT_TIMESTAMP COMMENT '創建時間',
`su_status` int(11) DEFAULT '1' COMMENT '用戶狀態,1:正常,0:凍結,-1:已刪除',
PRIMARY KEY (`su_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci COMMENT='系統用戶信息表';
system_user用戶表創建完成後,我們往這張表內添加一條用戶數據,如下所示:
INSERT INTO `system_user` VALUES ('9b69fd26-14db-11ea-b743-dcd28627348e','yuqiyu','恆宇少年 - 於起宇','$2a$10$RbJGpi.v3PwkjrYENzOzTuMxazuanX3Qa2hwI/f55cYsZhFT/nX3.','2019-12-02 08:13:22',1);我們在登錄時用戶名對應su_login_name字段,而密碼則是對應su_password字段,yuqiyu這個用戶的密碼初始化為123456,密碼的格式必須為BCryptPasswordEncoder加密後的密文。
創建用戶實體
針對system_user表我們需要來創建一個ApiBoot MyBatis Enhance使用的實體,創建一個名為SystemUser的實體如下所示:
/**
* 系統用戶基本信息
*
* @author 恆宇少年
*/
@Data
@Table(name = "system_user")
public class SystemUser implements UserDetails {
/**
* 用戶編號
*/
@Id(generatorType = KeyGeneratorTypeEnum.UUID)
@Column(name = "su_id")
private String userId;
/**
* 登錄名
*/
@Column(name = "su_login_name")
private String loginName;
/**
* 暱稱
*/
@Column(name = "su_nick_name")
private String nickName;
/**
* 密碼
*/
@Column(name = "su_password")
private String password;
/**
* 創建時間
*/
@Column(name = "su_create_time")
private String createTime;
/**
* 用戶狀態
* 1:正常,0:已凍結,-1:已刪除
*/
@Column(name = "su_status")
private Integer status;
@Override
public Collection extends GrantedAuthority> getAuthorities() {
return Collections.EMPTY_LIST;
}
@Override
public String getUsername() {
return this.loginName;
}
@Override
public String getPassword() {
return this.password;
}
/**
* UserDetails提供的方法,用戶是否未過期
* 可根據自己用戶數據表內的字段進行擴展,這裡為了演示配置為true
*
* @return
*/
@Override
public boolean isAccountNonExpired() {
return true;
}
/**
* UserDetails提供的方法,用戶是否未鎖定
* 可根據自己用戶數據表內的字段進行擴展,這裡為了演示配置為true
*
* @return
*/
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* UserDetails提供的方法,憑證是否未過期
* 可根據自己用戶數據表內的字段進行擴展,這裡為了演示配置為true
*
* @return
*/
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* UserDetails提供的方法,是否啟用
*
* @return
*/
@Override
public boolean isEnabled() {
return this.status == 1;
}
}
具體的註解使用詳見ApiBoot MyBatis Enhance文檔,這裡還一點需要注意的是,SystemUser實現了UserDetails接口,如果使用過Spring Security的同學應該都知道這是Spring Security提供的用戶詳情接口定義,我們如果自定義查詢用戶就應該讓我們自定義的用戶實體(注:這是的自定義用戶實體也就是SystemUser實體)實現這個接口並全部實現UserDetails接口內提供的方法。
創建用戶數據接口
用戶的實體已經創建完成,我們本章需要一個根據用戶的登錄名來查詢用戶基本的數據接口,創建一個名為SystemUserEnhanceMapper的接口如下所示:
/**
* ApiBoot Enhance提供的增強Mapper
* 自動被掃描並且註冊到IOC
*
* @author 恆宇少年
* @see org.minbox.framework.api.boot.autoconfigure.enhance.ApiBootMyBatisEnhanceAutoConfiguration
*/
public interface SystemUserEnhanceMapper extends EnhanceMapper<systemuser> {
/**
* 根據用戶登錄名查詢用戶信息
*
* @param loginName {@link SystemUser#getLoginName()}
* @return {@link SystemUser}
*/
SystemUser findByLoginName(@Param("loginName") String loginName);
}/<systemuser>
該接口繼承了EnhanceMapper<entity>接口,可以自動被掃描到創建代理的實例後並且加入IOC,這樣我們在項目其他的地方可以直接注入使用。/<entity>
注意:findByXxx方法是ApiBoot MyBatis Enhance提供的方法命名規則查詢,多個查詢條件可以使用And或者Or追加,會自動根據方法的規則生成對應的SQL。
實現ApiBootStoreDelegate接口
ApiBoot Security提供了一個接口ApiBootStoreDelegate,這個接口主要是用來查詢登錄用戶的具體信息的作用,當我們通過grant_type=password&username=xxx的方式進行獲取AccessToken時,ApiBoot Security會直接把username的參數值傳遞給ApiBootStoreDelegate#loadUserByUsername的方法內,這樣我們就可以根據username進行查詢用戶並返回給ApiBoot Security做後續的認證操作。
我們來創建一個名為UserService的類並實現ApiBootStoreDelegate接口,如下所示:
/**
* 自定義讀取用戶信息
*
* @author 恆宇少年
*/
@Service
public class UserService implements ApiBootStoreDelegate {
/**
* logger instance
*/
static Logger logger = LoggerFactory.getLogger(UserService.class);
/**
* 用戶數據接口
*/
@Autowired
private SystemUserEnhanceMapper mapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserDetails userDetails = mapper.findByLoginName(username);
if (ObjectUtils.isEmpty(userDetails)) {
throw new UsernameNotFoundException("用戶:" + username + ",不存在.");
}
logger.info("登錄用戶的信息:{}", JSON.toJSONString(userDetails));
return userDetails;
}
}
loadUserByUsername方法的返回值是UserDetails接口類型,在之前我們已經將SystemUser實現了該接口,所以我們可以直接將SystemUser實例作為返回值。
運行測試
代碼一切就緒,通過XxxxApplication的方式來啟動項目。
測試點:獲取AccessToken
在獲取AccessToken之前,我們需要確認application.yml文件內配置的api.boot.oauth.clients的客戶端的clientId、clientSecret配置內容,下面是通過CURL的方式:
➜ ~ curl hengboy:chapter@localhost:9090/oauth/token -d 'grant_type=password&username=yuqiyu&password=123456'
{"access_token":"3beb1bee-9ca6-45e1-9fb8-5fc181670f63","token_type":"bearer","refresh_token":"d2243e18-8ab3-4842-a98f-ebd79da94e2e","expires_in":7199,"scope":"api"}
測試點:刷新AccessToken
複製上面獲取到的refresh_token的值進行刷新,下面是刷新AccessToken的CURL方式:
➜ ~ curl hengboy:chapter@localhost:9090/oauth/token -d 'grant_type=refresh_token&refresh_token=d2243e18-8ab3-4842-a98f-ebd79da94e2e'
{"access_token":"e842c2ee-5672-49db-a530-329186f36492","token_type":"bearer","refresh_token":"d2243e18-8ab3-4842-a98f-ebd79da94e2e","expires_in":7199,"scope":"api"}
hengboy這個OAuth2客戶端在application.yml中通過配置grantTypes授權了兩種grant_type,分別是password、refresh_token,如果需要別的方式可以在配置文件內對應添加。
敲黑板,劃重點
ApiBoot整合Spring Security以及OAuth2後讀取自定義用戶信息,我們只需要關注具體怎麼讀取用戶信息,之前那些懵懵懂懂的代碼配置都可以通過配置文件的方式代替,本章的主要內容是ApiBootStoreDelegate這個接口,ApiBoot所提供的功能還不止這些,
閱讀更多 努力的程序員 的文章
