可能是全網最詳細的 Spring Cloud OAuth2 單點登錄使用教程了

2020-04-02 07:15:00 Java雙料架構師

OAuth 2 有四種授權模式，分別是授權碼模式（authorization code）、簡化模式（implicit）、密碼模式（resource owner password credentials）、客戶端模式（client credentials），具體 OAuth2 是什麼，可以參考這篇文章。(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html)

本文我們將使用授權碼模式和密碼模式兩種方式來實現用戶認證和授權管理。

OAuth2 其實是一個關於授權的網絡標準，它制定了設計思路和運行流程，利用這個標準我們其實是可以自己實現 OAuth2 的認證過程的。今天要介紹的 spring-cloud-starter-oauth2 ，其實是 Spring Cloud 按照 OAuth2 的標準並結合 spring-security 封裝好的一個具體實現。

什麼情況下需要用 OAuth2

首先大家最熟悉的就是幾乎每個人都用過的，比如用微信登錄、用 QQ 登錄、用微博登錄、用 Google 賬號登錄、用 github 授權登錄等等，這些都是典型的 OAuth2 使用場景。假設我們做了一個自己的服務平臺，如果不使用 OAuth2 登錄方式，那麼我們需要用戶先完成註冊，然後用註冊號的賬號密碼或者用手機驗證碼登錄。而使用了 OAuth2 之後，相信很多人使用過、甚至開發過公眾號網頁服務、小程序，當我們進入網頁、小程序界面，第一次使用就無需註冊，直接使用微信授權登錄即可，大大提高了使用效率。因為每個人都有微信號，有了微信就可以馬上使用第三方服務，這體驗不要太好了。而對於我們的服務來說，我們也不需要存儲用戶的密碼，只要存儲認證平臺返回的唯一ID 和用戶信息即可。

以上是使用了 OAuth2 的授權碼模式，利用第三方的權威平臺實現用戶身份的認證。當然了，如果你的公司內部有很多個服務，可以專門提取出一個認證中心，這個認證中心就充當上面所說的權威認證平臺的角色，所有的服務都要到這個認證中心做認證。

這樣一說，發現沒，這其實就是個單點登錄的功能。這就是另外一種使用場景，對於多服務的平臺，可以使用 OAuth2 實現服務的單點登錄，只做一次登錄，就可以在多個服務中自由穿行，當然僅限於授權範圍內的服務和接口。

實現統一認證功能

本篇先介紹密碼模式實現的單點登錄，下一篇再繼續說授權碼模式。

在微服務橫行的今天，誰敢說自己手上沒幾個微服務。微服務減少了服務間的耦合，同時也在某些方面增加了系統的複雜度，比如說用戶認證。假設我們這裡實現了一個電商平臺，用戶看到的就是一個 APP 或者一個 web 站點，實際上背後是由多個獨立的服務構成的，比如用戶服務、訂單服務、產品服務等。用戶只要第一次輸入用戶名、密碼完成登錄後，一段時間內，都可以任意訪問各個頁面，比如產品列表頁面、我的訂單頁面、我的關注等頁面。

我們可以想象一下，自然能夠想到，在請求各個服務、各個接口的時候，一定攜帶著什麼憑證，然後各個服務才知道請求接口的用戶是哪個，不然肯定有問題，那其實這裡面的憑證簡單來說就是一個 Token，標識用戶身份的 Token。

系統架構說明

認證中心：oauth2-auth-server，OAuth2 主要實現端，Token 的生成、刷新、驗證都在認證中心完成。

訂單服務：oauth2-client-order-server，微服務之一，接收到請求後會到認證中心驗證。

用戶服務：oauth2-client-user-server，微服務之二，接收到請求後會到認證中心驗證。

客戶端：例如 APP 端、web 端等終端

上圖描述了使用了 OAuth2 的客戶端與微服務間的請求過程。大致的過程就是客戶端用用戶名和密碼到認證服務端換取 token，返回給客戶端，客戶端拿著 token 去各個微服務請求數據接口，一般這個 token 是放到 header 中的。當微服務接到請求後，先要拿著 token 去認證服務端檢查 token 的合法性，如果合法，再根據用戶所屬的角色及具有的權限動態的返回數據。

創建並配置認證服務端

配置最多的就是認證服務端，驗證賬號、密碼，存儲 token，檢查 token ,刷新 token 等都是認證服務端的工作。

1、引入需要的 maven 包

<code><dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-web/<artifactid>
/<dependency>
<dependency>
    <groupid>org.springframework.cloud/<groupid>
    <artifactid>spring-cloud-starter-oauth2/<artifactid>
/<dependency>
<dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-data-redis/<artifactid>
/<dependency>
<dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-actuator/<artifactid>
/<dependency>/<code>

spring-cloud-starter-oauth2包含了 spring-cloud-starter-security，所以不用再單獨引入了。之所以引入 redis 包，是因為下面會介紹一種用 redis 存儲 token 的方式。

2、配置好 application.yml

將項目基本配置設置好，並加入有關 redis 的配置，稍後會用到。

<code>spring:
  application:
    name: auth-server
  redis:
    database: 2
    host: localhost
    port: 32768
    password: 1qaz@WSX
    jedis:
      pool:
        max-active: 8
        max-idle: 8
        min-idle: 0
    timeout: 100ms

server:
  port: 6001

management:
  endpoint:
    health:
      enabled: true/<code>

3、spring security 基礎配置

<code>@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 允許匿名訪問所有接口 主要是 oauth 接口 

     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").permitAll();
    }
}/<code>

使用@EnableWebSecurity註解修飾，並繼承自WebSecurityConfigurerAdapter類。

這個類的重點就是聲明 PasswordEncoder 和 AuthenticationManager兩個 Bean。稍後會用到。其中 BCryptPasswordEncoder是一個密碼加密工具類，它可以實現不可逆的加密，AuthenticationManager是為了實現 OAuth2 的 password 模式必須要指定的授權管理 Bean。

4、實現 UserDetailsService

如果你之前用過 Security 的話，那肯定對這個類很熟悉，它是實現用戶身份驗證的一種方式，也是最簡單方便的一種。另外還有結合 AuthenticationProvider的方式，有機會講 Security 的時候再展開來講吧。

UserDetailsService的核心就是 loadUserByUsername方法，它要接收一個字符串參數，也就是傳過來的用戶名，返回一個 UserDetails對象。

<code>@Slf4j
@Component(value = "kiteUserDetailsService")
public class KiteUserDetailsService implements UserDetailsService {


    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("usernameis:" + username); 

        // 查詢數據庫操作
        if(!username.equals("admin")){
            throw new UsernameNotFoundException("the user is not found");
        }else{
            // 用戶角色也應在數據庫中獲取
            String role = "ROLE_ADMIN";
            List<simplegrantedauthority> authorities = new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority(role));
            // 線上環境應該通過用戶名查詢數據庫獲取加密後的密碼
            String password = passwordEncoder.encode("123456");
            return new org.springframework.security.core.userdetails.User(username,password, authorities);
        }
    }
}/<simplegrantedauthority>/<code>

這裡為了做演示，把用戶名、密碼和所屬角色都寫在代碼裡了，正式環境中，這裡應該是從數據庫或者其他地方根據用戶名將加密後的密碼及所屬角色查出來的。賬號 admin ，密碼 123456，稍後在換取 token 的時候會用到。並且給這個用戶設置 "ROLE_ADMIN" 角色。

5、OAuth2 配置文件

創建一個配置文件繼承自 AuthorizationServerConfigurerAdapter.

<code>@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    public PasswordEncoder passwordEncoder;

    @Autowired
    public UserDetailsService kiteUserDetailsService;

    @Autowired
    private AuthenticationManager authenticationManager;
 

    @Autowired
    private TokenStore redisTokenStore;

    @Override
    public void configure(final AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        /**
         * redis token 方式
         */
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(kiteUserDetailsService)
                .tokenStore(redisTokenStore);

    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("order-client")
                .secret(passwordEncoder.encode("order-secret-8888"))
                .authorizedGrantTypes("refresh_token", "authorization_code", "password")
                .accessTokenValiditySeconds(3600)
                .scopes("all")
                .and()
                .withClient("user-client")
                .secret(passwordEncoder.encode("user-secret-8888"))
                .authorizedGrantTypes("refresh_token", "authorization_code", "password")
                .accessTokenValiditySeconds(3600)
                .scopes("all");
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients();
        security.checkTokenAccess("isAuthenticated()");
        security.tokenKeyAccess("isAuthenticated()");
    }
}/<code>

有三個 configure 方法的重寫。

AuthorizationServerEndpointsConfigurer參數的重寫

<code>endpoints.authenticationManager(authenticationManager)
                .userDetailsService(kiteUserDetailsService)
                .tokenStore(redisTokenStore);
複製代碼/<code>

authenticationManage() 調用此方法才能支持 password 模式。

userDetailsService() 設置用戶驗證服務。

tokenStore() 指定 token 的存儲方式。

redisTokenStore Bean 的定義如下：

<code>@Configuration
public class RedisTokenStoreConfig {

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore redisTokenStore (){
        return new RedisTokenStore(redisConnectionFactory);
    }
}/<code>

ClientDetailsServiceConfigurer參數的重寫，在這裡定義各個端的約束條件。包括

ClientId、Client-Secret：這兩個參數對應請求端定義的 cleint-id 和 client-secret

authorizedGrantTypes 可以包括如下幾種設置中的一種或多種：

authorization_code：授權碼類型。
implicit：隱式授權類型。
password：資源所有者（即用戶）密碼類型。
client_credentials：客戶端憑據（客戶端ID以及Key）類型。
refresh_token：通過以上授權獲得的刷新令牌來獲取新的令牌。

accessTokenValiditySeconds：token 的有效期

scopes：用來限制客戶端訪問的權限，在換取的 token 的時候會帶上 scope 參數，只有在 scopes 定義內的，才可以正常換取 token。

上面代碼中是使用 inMemory 方式存儲的，將配置保存到內存中，相當於硬編碼了。正式環境下的做法是持久化到數據庫中，比如 mysql 中。

具體的做法如下：

在數據庫中增加表，並插入數據

<code>create table oauth_client_details (
    client_id VARCHAR(256) PRIMARY KEY,
    resource_ids VARCHAR(256),
    client_secret VARCHAR(256),
    scope VARCHAR(256),
    authorized_grant_types VARCHAR(256),
    web_server_redirect_uri VARCHAR(256),
    authorities VARCHAR(256),
    access_token_validity INTEGER,
    refresh_token_validity INTEGER,
    additional_information VARCHAR(4096),
    autoapprove VARCHAR(256)
);
INSERT INTO oauth_client_details
    (client_id, client_secret, scope, authorized_grant_types,
    web_server_redirect_uri, authorities, access_token_validity,
    refresh_token_validity, additional_information, autoapprove)
VALUES
    ('user-client', '$2a$10$o2l5kA7z.Caekp72h5kU7uqdTDrlamLq.57M1F6ulJln9tRtOJufq', 'all',
    'authorization_code,refresh_token,password', null, null, 3600, 36000, null, true);

INSERT INTO oauth_client_details
    (client_id, client_secret, scope, authorized_grant_types,
    web_server_redirect_uri, authorities, access_token_validity,
    refresh_token_validity, additional_information, autoapprove) 

VALUES
    ('order-client', '$2a$10$GoIOhjqFKVyrabUNcie8d.ADX.qZSxpYbO6YK4L2gsNzlCIxEUDlW', 'all',
    'authorization_code,refresh_token,password', null, null, 3600, 36000, null, true);/<code>

注意： client_secret 字段不能直接是 secret 的原始值，需要經過加密。因為是用的 BCryptPasswordEncoder，所以最終插入的值應該是經過 BCryptPasswordEncoder.encode()之後的值。

然後在配置文件 application.yml 中添加關於數據庫的配置

<code>spring:
  datasource:
    url: jdbc:mysql://localhost:3306/spring_cloud?characterEncoding=UTF-8&useSSL=false
    username: root
    password: password
    hikari:
      connection-timeout: 30000
      idle-timeout: 600000
      max-lifetime: 1800000
      maximum-pool-size: 9   /<code>

Spring Boot 2.0 之後默認使用 hikari 作為數據庫連接池。如果使用其他連接池需要引入相關包，然後對應的增加配置。

在 OAuth2 配置類(OAuth2Config)中增加 DataSource 的注入

<code>@Autowired
private DataSource dataSource;/<code>

將 public void configure(ClientDetailsServiceConfigurer clients)重寫方法修改為如下：

<code>@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
\tJdbcClientDetailsServiceBuilder jcsb = clients.jdbc(dataSource);
\tjcsb.passwordEncoder(passwordEncoder); 

}/<code>

還有一個重寫的方法 public void configure(AuthorizationServerSecurityConfigurer security)，這個方法限制客戶端訪問認證接口的權限。

<code>security.allowFormAuthenticationForClients();
security.checkTokenAccess("isAuthenticated()");
security.tokenKeyAccess("isAuthenticated()");/<code>

第一行代碼是允許客戶端訪問 OAuth2 授權接口，否則請求 token 會返回 401。

第二行和第三行分別是允許已授權用戶訪問 checkToken 接口和獲取 token 接口。

完成之後，啟動項目，如果你用的是 IDEA 會在下方的 Mapping 窗口中看到 oauth2 相關的 RESTful 接口。

主要有如下幾個：

<code>POST /oauth/authorize  授權碼模式認證授權接口
GET/POST /oauth/token  獲取 token 的接口
POST  /oauth/check_token  檢查 token 合法性接口/<code>

創建用戶客戶端項目

上面創建完成了認證服務端，下面開始創建一個客戶端，對應到我們系統中的業務相關的微服務。我們假設這個微服務項目是管理用戶相關數據的，所以叫做用戶客戶端。

1、引用相關的 maven 包

<code><dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-web/<artifactid>
/<dependency>
<dependency>
    <groupid>org.springframework.cloud/<groupid>
    <artifactid>spring-cloud-starter-oauth2/<artifactid>
/<dependency>
<dependency>
    <groupid>org.springframework.boot/<groupid>
    <artifactid>spring-boot-starter-data-redis/<artifactid>
/<dependency>/<code>

2、application.yml 配置文件

<code>spring:
  application:
    name: client-user
  redis:
    database: 2
    host: localhost
    port: 32768
    password: 1qaz@WSX
    jedis: 

      pool:
        max-active: 8
        max-idle: 8
        min-idle: 0
    timeout: 100ms
server:
  port: 6101
  servlet:
    context-path: /client-user

security:
  oauth2:
    client:
      client-id: user-client
      client-secret: user-secret-8888
      user-authorization-uri: http://localhost:6001/oauth/authorize
      access-token-uri: http://localhost:6001/oauth/token
    resource:
      id: user-client
      user-info-uri: user-info
    authorization:
      check-token-access: http://localhost:6001/oauth/check_token/<code>

上面是常規配置信息以及 redis 配置，重點是下面的 security 的配置，這裡的配置稍有不注意就會出現 401 或者其他問題。

client-id、client-secret 要和認證服務中的配置一致，如果是使用 inMemory 還是 jdbc 方式。

user-authorization-uri 是授權碼認證方式需要的，下一篇文章再說。

access-token-uri 是密碼模式需要用到的獲取 token 的接口。

authorization.check-token-access 也是關鍵信息，當此服務端接收到來自客戶端端的請求後，需要拿著請求中的 token 到認證服務端做 token 驗證，就是請求的這個接口

3、資源配置文件

在 OAuth2 的概念裡，所有的接口都被稱為資源，接口的權限也就是資源的權限，所以 Spring Security OAuth2 中提供了關於資源的註解 @EnableResourceServer，和 @EnableWebSecurity的作用類似。

<code>@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Value("${security.oauth2.client.client-id}")
    private String clientId;

    @Value("${security.oauth2.client.client-secret}")
    private String secret;

    @Value("${security.oauth2.authorization.check-token-access}")
    private String checkTokenEndpointUrl;

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore redisTokenStore (){
        return new RedisTokenStore(redisConnectionFactory);
    }

    @Bean
    public RemoteTokenServices tokenService() {
        RemoteTokenServices tokenService = new RemoteTokenServices();
        tokenService.setClientId(clientId);
        tokenService.setClientSecret(secret);
        tokenService.setCheckTokenEndpointUrl(checkTokenEndpointUrl);
        return tokenService;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.tokenServices(tokenService());
    }
}/<code>

因為使用的是 redis 作為 token 的存儲，所以需要特殊配置一下叫做 tokenService 的 Bean，通過這個 Bean 才能實現 token 的驗證。

4、最後，添加一個 RESTful 接口

<code>@Slf4j
@RestController
public class UserController {

    @GetMapping(value = "get")
    //@PreAuthorize("hasAuthority('ROLE_ADMIN')")
    @PreAuthorize("hasAnyRole('ROLE_ADMIN')")
    public Object get(Authentication authentication){
        //Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        authentication.getCredentials();
        OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails)authentication.getDetails();
        String token = details.getTokenValue();
        return token;
    }
}/<code>

一個 RESTful 方法，只有當訪問用戶具有 ROLE_ADMIN 權限時才能訪問，否則返回 401 未授權。

通過 Authentication 參數或者 SecurityContextHolder.getContext().getAuthentication() 可以拿到授權信息進行查看。

測試認證功能

1、啟動認證服務端，啟動端口為 6001

2、啟動用戶服務客戶端，啟動端口為6101

3、請求認證服務端獲取 token

我是用 REST Client 來做訪問請求的，請求格式如下：

<code>POST http://localhost:6001/oauth/token?grant_type=password&username=admin&password=123456&scope=all
Accept: */*
Cache-Control: no-cache
Authorization: Basic dXNlci1jbGllbnQ6dXNlci1zZWNyZXQtODg4OA==/<code>

假設咱們在一個 web 端使用，grant_type 是 password，表明這是使用 OAuth2 的密碼模式。

username=admin 和 password=123456 就相當於在 web 端登錄界面輸入的用戶名和密碼，我們在認證服務端配置中固定了用戶名是 admin 、密碼是 123456，而線上環境中則應該通過查詢數據庫獲取。

scope=all 是權限有關的，在認證服務的 OAuthConfig 中指定了 scope 為 all 。

Authorization 要加在請求頭中，格式為 Basic 空格 base64(clientId:clientSecret)，這個微服務客戶端的 client-id 是 user-client，client-secret 是 user-secret-8888，將這兩個值通過冒號連接，並使用 base64 編碼(user-client:user-secret-8888)之後的值為 dXNlci1jbGllbnQ6dXNlci1zZWNyZXQtODg4OA==，可以通過 https://www.sojson.com/base64.html 在線編碼獲取。

運行請求後，如果參數都正確的話，獲取到的返回內容如下，是一段 json 格式

<code>{
  "access_token": "9f958300-5005-46ea-9061-323c9e6c7a4d",
  "token_type": "bearer",
  "refresh_token": "0f5871f5-98f1-405e-848e-80f641bab72e",
  "expires_in": 3599,
  "scope": "all"
}/<code>

access_token : 就是之後請求需要帶上的 token，也是本次請求的主要目的 token_type：為 bearer，這是 access token 最常用的一種形式 refresh_token：之後可以用這個值來換取新的 token，而不用輸入賬號密碼 expires_in：token 的過期時間(秒)

4、用獲取到的 token 請求資源接口

我們在用戶客戶端中定義了一個接口 http://localhost:6101/client-user/get，現在就拿著上一步獲取的 token 來請求這個接口。

<code>GET http://localhost:6101/client-user/get
Accept: */*
Cache-Control: no-cache
Authorization: bearer ce334918-e666-455a-8ecd-8bd680415d84/<code>

同樣需要請求頭 Authorization，格式為 bearer + 空格 + token，正常情況下根據接口的邏輯，會把 token 原樣返回。

5、token 過期後，用 refresh_token 換取 access_token

一般都會設置 access_token 的過期時間小於 refresh_token 的過期時間，以便在 access_token 過期後，不用用戶再次登錄的情況下，獲取新的 access_token。

<code>### 換取 access_token
POST http://localhost:6001/oauth/token?grant_type=refresh_token&refresh_token=706dac10-d48e-4795-8379-efe8307a2282
Accept: */*
Cache-Control: no-cache
Authorization: Basic dXNlci1jbGllbnQ6dXNlci1zZWNyZXQtODg4OA==/<code>

grant_type 設置為 refresh_token。

refresh_token 設置為請求 token 時返回的 refresh_token 的值。

請求頭加入 Authorization，格式依然是 Basic + 空格 + base64(client-id:client-secret)

請求成功後會返回和請求 token 同樣的數據格式。

用 JWT 替換 redisToken

上面 token 的存儲用的是 redis 的方案，Spring Security OAuth2 還提供了 jdbc 和 jwt 的支持，jdbc 的暫不考慮，現在來介紹用 JWT 的方式來實現 token 的存儲。

用 JWT 的方式就不用把 token 再存儲到服務端了，JWT 有自己特殊的加密方式，可以有效的防止數據被篡改，只要不把用戶密碼等關鍵信息放到 JWT 裡就可以保證安全性。

認證服務端改造

先把有關 redis 的配置去掉。

添加 JwtConfig 配置類

<code>@Configuration
public class JwtTokenConfig {

    @Bean
    public TokenStore jwtTokenStore() { 

        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        accessTokenConverter.setSigningKey("dev");
        return accessTokenConverter;
    }
}/<code>

JwtAccessTokenConverter是為了做 JWT 數據轉換，這樣做是因為 JWT 有自身獨特的數據格式。如果沒有了解過 JWT ，可以搜索一下先了解一下。

更改 OAuthConfig 配置類

<code>@Autowired
private TokenStore jwtTokenStore;

@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;

@Override
public void configure(final AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        /**
         * 普通 jwt 模式
         */
         endpoints.tokenStore(jwtTokenStore)
                .accessTokenConverter(jwtAccessTokenConverter)
                .userDetailsService(kiteUserDetailsService)
                /**
                 * 支持 password 模式
                 */
                .authenticationManager(authenticationManager);
}/<code>

注入 JWT 相關的 Bean，然後修改 configure(final AuthorizationServerEndpointsConfigurer endpoints) 方法為 JWT 存儲模式。

改造用戶客戶端

修改 application.yml 配置文件

<code>security:
  oauth2:
    client:
      client-id: user-client
      client-secret: user-secret-8888
      user-authorization-uri: http://localhost:6001/oauth/authorize
      access-token-uri: http://localhost:6001/oauth/token
    resource:
      jwt:
        key-uri: http://localhost:6001/oauth/token_key
        key-value: dev/<code>

注意認證服務端 JwtAccessTokenConverter設置的 SigningKey 要和配置文件中的 key-value 相同，不然會導致無法正常解碼 JWT ，導致驗證不通過。

ResourceServerConfig 類的配置

<code>@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();

        accessTokenConverter.setSigningKey("dev");
        accessTokenConverter.setVerifierKey("dev");
        return accessTokenConverter;
    }

    @Autowired
    private TokenStore jwtTokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.tokenStore(jwtTokenStore);
    }
}/<code>

運行請求 token 接口的請求

<code>POST http://localhost:6001/oauth/token?grant_type=password&username=admin&password=123456&scope=all
Accept: */*
Cache-Control: no-cache
Authorization: Basic dXNlci1jbGllbnQ6dXNlci1zZWNyZXQtODg4OA==/<code>

返回結果如下：

<code>{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzE3NDM0OTQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiI4Y2NhMjlhZi1lYTc3LTRmZTYtOWZlMS0zMjc0MTVkY2QyMWQiLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.0Ik3UwB1xjX2le5luEdtVAI_MEyu_OloRRYtPOvtvwM",
  "token_type": "bearer",
  "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJhdGkiOiI4Y2NhMjlhZi1lYTc3LTRmZTYtOWZlMS0zMjc0MTVkY2QyMWQiLCJleHAiOjE1NzE3NzU4OTQsImF1dGhvcml0aWVzIjpbIlJPTEVfQURNSU4iXSwianRpIjoiZjdkMjg4NDUtMmU2ZC00ZmRjLTg1OGYtMWNiY2RlNzI1ZmMyIiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQifQ.vk_msYtbrAr93h5sK4wy6EC2_wRD_cD_UBS8O6eRziw",
  "expires_in": 3599,
  "scope": "all",
  "jti": "8cca29af-ea77-4fe6-9fe1-327415dcd21d"
}/<code>

我們已經看到返回的 token 是 JWT 格式了，到 JWT 在線解碼網站 jwt.io/ 或者 jwt.calebb.net/將 token 解碼看一下

看到了沒，user_name、client_id 等信息都在其中。

拿著返回的 token 請求用戶客戶端接口

<code>GET http://localhost:6101/client-user/get
Accept: */*
Cache-Control: no-cache
Authorization: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzE3NDM0OTQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiI4Y2NhMjlhZi1lYTc3LTRmZTYtOWZlMS0zMjc0MTVkY2QyMWQiLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCIsInNjb3BlIjpbImFsbCJdfQ.0Ik3UwB1xjX2le5luEdtVAI_MEyu_OloRRYtPOvtvwM/<code>

增強 JWT

如果我想在 JWT 中加入額外的字段(比方說用戶的其他信息)怎麼辦呢，當然可以。spring security oauth2 提供了 TokenEnhancer 增強器。其實不光 JWT ，RedisToken 的方式同樣可以。

<code>public class JWTokenEnhancer implements TokenEnhancer {

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {
        Map<string> info = new HashMap<>();
        info.put("jwt-ext", "JWT 擴展信息");
        ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(info);
        return oAuth2AccessToken;
    }
}/<string>/<code>

通過 oAuth2Authentication 可以拿到用戶名等信息，通過這些我們可以在這裡查詢數據庫或者緩存獲取更多的信息，而這些信息都可以作為 JWT 擴展信息加入其中。

OAuthConfig 配置類修改

注入增強器

<code>@Autowired
private TokenEnhancer jwtTokenEnhancer;
 

@Bean
public TokenEnhancer jwtTokenEnhancer(){
    return new JWTokenEnhancer();
}/<code>

修改 configure(final AuthorizationServerEndpointsConfigurer endpoints)方法

<code>@Override
public void configure( final AuthorizationServerEndpointsConfigurer endpoints ) throws Exception{
\t/**
\t * jwt 增強模式
\t */
\tTokenEnhancerChain\tenhancerChain\t= new TokenEnhancerChain();
\tList<tokenenhancer>\tenhancerList\t= new ArrayList<>();
\tenhancerList.add( jwtTokenEnhancer );
\tenhancerList.add( jwtAccessTokenConverter );
\tenhancerChain.setTokenEnhancers( enhancerList );
\tendpoints.tokenStore( jwtTokenStore )
\t.userDetailsService( kiteUserDetailsService )
\t/**
\t * 支持 password 模式
\t */
\t.authenticationManager( authenticationManager )
\t.tokenEnhancer( enhancerChain )
\t.accessTokenConverter( jwtAccessTokenConverter );
}/<tokenenhancer>/<code>

再次請求 token ，返回內容中多了個剛剛加入的 jwt-ext 字段

<code>{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsImp3dC1leHQiOiJKV1Qg5omp5bGV5L-h5oGvIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTU3MTc0NTE3OCwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJhNDU1MWQ5ZS1iN2VkLTQ3NTktYjJmMS1mMGI5YjIxY2E0MmMiLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCJ9.5j4hNsVpktG2iKxNqR-q1rfcnhlyV3M6HUBx5cd6PiQ",
  "token_type": "bearer",
  "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsImp3dC1leHQiOiJKV1Qg5omp5bGV5L-h5oGvIiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImE0NTUxZDllLWI3ZWQtNDc1OS1iMmYxLWYwYjliMjFjYTQyYyIsImV4cCI6MTU3MTc3NzU3OCwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJmNTI3ODJlOS0wOGRjLTQ2NGUtYmJhYy03OTMwNzYwYmZiZjciLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCJ9.UQMf140CG8U0eWh08nGlctpIye9iJ7p2i6NYHkGAwhY",
  "expires_in": 3599,
  "scope": "all",
  "jwt-ext": "JWT 擴展信息",
  "jti": "a4551d9e-b7ed-4759-b2f1-f0b9b21ca42c"
}/<code>

用戶客戶端解析 JWT 數據

我們如果在 JWT 中加入了額外信息，這些信息我們可能會用到，而在接收到 JWT 格式的 token 之後，用戶客戶端要把 JWT 解析出來。

引入 JWT 包

<code><dependency>
    <groupid>io.jsonwebtoken/<groupid>
    <artifactid>jjwt/<artifactid>
    <version>0.9.1/<version>
/<dependency>/<code>

加一個 RESTful 接口，在其中解析 JWT

<code>@GetMapping(value = "jwt")
@PreAuthorize("hasAnyRole('ROLE_ADMIN')")
public Object jwtParser(Authentication authentication){
    authentication.getCredentials();
    OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails)authentication.getDetails();
    String jwtToken = details.getTokenValue();
    Claims claims = Jwts.parser()
                .setSigningKey("dev".getBytes(StandardCharsets.UTF_8))
                .parseClaimsJws(jwtToken)
                .getBody();
    return claims;
}/<code>

同樣注意其中籤名的設置要與認證服務端相同。

用上一步的 token 請求上面的接口

<code>### 解析 jwt
GET http://localhost:6101/client-user/jwt
Accept: */*
Cache-Control: no-cache
Authorization: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsImp3dC1leHQiOiJKV1Qg5omp5bGV5L-h5oGvIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTU3MTc0NTE3OCwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJhNDU1MWQ5ZS1iN2VkLTQ3NTktYjJmMS1mMGI5YjIxY2E0MmMiLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCJ9.5j4hNsVpktG2iKxNqR-q1rfcnhlyV3M6HUBx5cd6PiQ/<code>

返回內容如下：

<code>{
  "user_name": "admin",
  "jwt-ext": "JWT 擴展信息",
  "scope": [
    "all"
  ],
  "exp": 1571745178,
  "authorities": [ 

    "ROLE_ADMIN"
  ],
  "jti": "a4551d9e-b7ed-4759-b2f1-f0b9b21ca42c",
  "client_id": "user-client"
}/<code>

分享到:

閱讀更多 Java雙料架構師 的文章

關鍵字: Google 全網教程

教程：為數據科學構建自己的大數據基礎架構

【教程】無需代碼小白也能建個人網站

由資深程序員整理的最全Java乾貨+教程，要的趕緊拿走

Python任務自動化工具 tox 教程

教程：騰訊雲使用WordPress從零開始建站-黑科雞Blog（六）

Navicat 連接MYSQL8 教程

外網IP訪問暢捷通T+教程

教程：用golang從零開始手寫一個bt下載客戶端（7）

微軟最新推薦的400集Python 教程，居然用7個章節將Python講明白

03.02 Python MongoDB 教程

教程：用golang從零開始手寫一個bt下載客戶端（6）

教程：用golang從零開始手寫一個bt下載客戶端（5）

教程：用golang從零開始手寫一個bt下載客戶端（4）

03.02 教程：用golang從零開始手寫一個bt下載客戶端

02.28 Python 教程

Python 3 教程

「教程」Windows下php安裝redis擴展

學習Shell 教程

最系統最詳細的Python 教程：從小白到大師

全網最系統且全面的JVM知識點總結，附贈Java328集視頻教程

10.22 Axure 教程：原型中埋點統計驗證需求

全網頂尖、最系統的JVM知識點總結，附贈Java300集視頻教程

全網頂級、最系統的JVM知識點總結，附贈Java300集視頻教程

乾貨｜MySQL配置優化32個技巧詳解，附面試題+教程

Axure 教程：web網站原型設計技巧的分享

Python3 教程-- 3、解釋器

Python3 教程-- 2、基本數據類型

【教程】TestComplete測試桌面應用程序教程（六）

pychram下部署Django博客【變餅檔】教程

Android Studio 安裝教程

SQL 教程：如何編寫更佳的查詢

大小僅17KB！這個微型風格遷移模型太好玩了｜代碼+教程

HTML 教程-(HTML5 標準）

Python 教程：從零到大師！我不相信你學不會！

史上最簡單的 MyBatis 教程

「小白學Python教程」最簡單，最容易理解的Django 教程

Webpack4 教程：入口、輸入和ES6模塊（第一章）

教程：採用梯度下降算法實現線性回歸！

教程、學習和網址

教程：Python量子計算入門

「教程」IOS10.2越獄後CYDIA閃退的解決方案（搬運）

「教程」終於有人把Java內存模型說清楚了！

全網最簡明的PyQt 5 教程，神級Python現場開發一個專屬瀏覽器！

06.22 教程：如何使用遷移學習分類坑窪圖像

教程：如何使用遷移學習分類坑窪圖像

06.08 教程：用強化學習玩轉恐龍跳跳

「教程」如何進入內網

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"