基于Shiro 的 springCloudOAuth2授权管理

叁歲伎倆 2022-03-15 05:18 770阅读 0赞

##### >一 . OAuth 角色 #####

\------1 . 1 资源拥有者 ： 能授权访问受保护资源的一个实体  
\------1 . 2 资源服务器 ： 存储受保护的资源  
\------1 . 3 授权服务器 ： 成功验证资源拥有者并且获取授权之后，为他们颁发授权令牌给客户端  
\------1 . 4 客户端 ： 使用它访问受保护的资源

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p6ZzE5OTUwODI0_size_16_color_FFFFFF_t_70]

##### >二 . 认证流程 #####

\------1、客户端从资源拥有者那请求授权。授权请求可以直接发给资源拥有者，或间接的通过授权服务器这种中介，后者更可取。  
\------2、客户端收到一个授权许可，代表资源服务器提供的授权。  
\------3、客户端使用它自己的私有证书及授权许可到授权服务器验证。  
\------4、如果验证成功，则下发一个访问令牌。  
\------5、客户端使用访问令牌向资源服务器请求受保护资源。  
\------6、资源服务器会验证访问令牌的有效性，如果成功则下发受保护资源。

##### >三 . spring maven 依赖 #####

\------1 . groupid : org.apache.oltu.oauth2 <----->artifactId : org.apache.oltu.oauth2.authzserver  
\------2 . groupId : org.apache.oltu.oauth2<----->artifactId : org.apache.oltu.oauth2.resourceserver

##### >四 . 常用的数据字典 USER #####

\------ ID — bigInt — 主键  
\------ username — varchar— 用户名  
\------ password — varchar— 密码  
\------ salt— varchar— 盐

##### >五 . 常用的数据字典 Client #####

\------ ID — bigInt — 主键  
\------ client\_name — varchar—客户端名称  
\------ client\_id — varchar— 唯一ID  
\------ client\_secret — varchar— 客户端安全KEY

##### >六 . 授权控制器 #####

\------1 . 1 OAuthAuthzRequest oauthRequest = new OAuthAuthzRequest(request);  
\------>?------构建Oauth 授权请求  
\------1 . 2 检查提交的客户端ID ， 对不合格的ID会返回Error信息  
\------1 . 3 获得Subject , 并且判断是否已经登录 , 根据情况跳转到登录页面  
\------1 . 3 . 1 >— 注意 ：因为Oauth 登录 ， 所以可通过设置client 属性 ，跳转到指定的client  
\------1 . 4 生成对应的授权码（ 可生成 code 或者 Token ）,可根据请求需求返回某种授权码  
\------1 . 4 . 1 >— 方法为 OAuthIssuerImpl . authorizationCode( )  
\------1 . 5 进行OAuth 响应的构建 （ OAuthASResponse.OAuthAuthorizationResponseBuilder ）  
\------>-----OAuthASResponse.authorizationResponse(request,HttpServletResponse.SC\_FOUND);  
\------1 . 6 设置授权码 （ builder.setCode(authorizationCode) ）  
\------1 . 7 得到客户端重定向地址  
\------1 . 8 构建响应  
\------1 . 9 根据OAuthResponse 返回ResponseEntity 响应  
\------\* 此处建议添加异常处理

##### >七 . 登录方法 login ( ) 方法解析 #####

\------ 1 . 1 对 请求进行判断是否要求  
\------ 1 . 2 获得请求中的Username 和 password  
\------ 1 . 3 对两种进行初级审核，例如非空等  
\------ 1 . 4 创建 UsernamePasswordToken 对象  
\------ 1 . 5 shiro 登录 subject . login ( token )  
\------ 1 . 6 穿插相关的异常处理不详细说明

##### >八 . 访问令牌控制器 #####

\------ 1 OAuthTokenRequest oauthRequest = new OAuthTokenRequest(request);  
\------ ? ------ 构建OAuth请求  
\------ 2 检查提交的客户端ID ， 对不合格的ID会返回Error信息  
\------ 3 检查客户端安全KEY 是否 正确 ， 对不合格的进行错误Error 信息返回  
\------ 4 获得Oauth code 或者 token 或者 password  
\------ 5 检查验证类型 ， 不合格则返回 error 信息  
\------ 6 生成Access Token ( OAuthIssuer 对象 oauthIssuerImpl.accessToken() 方法 )  
\------ 7 生成OAuth 响应  
\------ > 7 . 1 ------- .tokenResponse(HttpServletResponse.SC\_OK)  
\------ > 7 . 2 ------- .setAccessToken(accessToken)  
\------ > 7 . 3 ------- .setExpiresIn(String.valueOf(oAuthService.getExpireIn()))  
\------ > 7 . 4 ------- .buildJSONMessage();  
\------ 8 根据OAuthResponse生成ResponseEntity

##### >九 . 资源控制器 #####

\------ 1 OAuthAccessResourceRequest oauthRequest = new OAuthAccessResourceRequest(request, ParameterStyle.QUERY);  
\------ ? ------ 构建OAuth资源请求  
\------ 2 获取 Access Token （ oauthRequest.getAccessToken() ）  
\------ 3 验证 Access Token ,不通过返回error信息 （ 注意这个过程可以设置Header ）  
\------ 4 通过 accessToken 获得用户名  
\------ 5 返回 ResponseEntity  
\------ 6 异常处理 ，检查是否设置了错误码 ， 进行相关反馈操作

##### >十 . 客户端配置 #####

\------ groupId ---- org.apache.oltu.oauth2  
\------ artifactId ---- org.apache.oltu.oauth2.client

##### >十一 . 身份验证控制 AuthenticatingFilter #####

\------ 1 若当前用户还没有身份验证 ， 则判断是否有code  
\------ 2 若无code则重定向到登录页面 ， 返回 auth code  
\------ 3 OAuth2AuthenticationFilter 用 auth code 创建 OAuth2Token  
\------ 4 提交给Subject . login 进行登录  
\------ 5 OAuth2Realm 根据 OAuth2Token 进行相应的登录逻辑

##### >十二 . AuthenticatingFilter 详细方法 #####

\------- 1 详细属性  
\------- 1 . 1 —authcCodeParam = “code”; ------?—code 参数名  
\------- 1 . 2 —String clientId; ------?—客户端ID  
\------- 1 . 3 —String redirectUrl; ------?—成功后的重定向地址  
\------- 1 . 4 —String responseType = “code”; ------?—响应类型  
\------- 1 . 5 — String failureUrl; ------?—失败地址  
\------- 2 方法  
\------- 2 AuthenticationToken createToken(ServletRequest request, ServletResponse response)  
\------- ？ -------创建token : 获取HttpServletRequest > 获取code > new OAuth2Token(code)  
\------- 3 onAccessDenied(ServletRequest request, ServletResponse response)  
\------- ？ -------授权失败方法逻辑，如果服务端返回错误则反馈给前端 ， 没有返回且没信息则跳转到服务器授权 ， 有信息则调用subject . login登录  
\------- 4 onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response)  
\------- ？ -------登录成功后的回调方法，进行重定向  
\------- 5 onLoginFailure(AuthenticationToken token, AuthenticationException ae, ServletRequest request, ServletResponse response)  
\------- ？ -------登录失败后的回调

##### >十三 . 自定义 OAuth2Realm #####

\------- 1 通过传入的auth code 去换取Access token  
\------- 2 根据access token 获取用户信息  
\------- 3 根据token 创建 AuthenticationInfo

##### >十四 . OAuth2Realm 具体方法 #####

\------- 1 extends AuthorizingRealm  
\------- 2 AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)  
\------- 2 . 1 >------ OAuth2Token oAuth2Token = (OAuth2Token) token; ------?— 获取token对象  
\------- 2 . 2 >------ String code = oAuth2Token.getAuthCode(); ------?— 获取code  
\------- 2 . 3 >------ String username = extractUsername(code); ------?— 获取用户名  
\------- 2 . 4 >------ SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, code, getName());  
\------- 3 String extractUsername(String code) : 用户获得username  
\------- 3 . 1 >------ 获取access token ( OAuthAccessTokenResponse oAuthResponse )  
\------- 3 . 2 >------ 获取user info ( OAuthClientRequest userInfoRequest )  
\------- 3 . 3 >------ 获取username ( OAuthResourceResponse resourceResponse ) ------ resourceResponse.getBody();

[Github 地址][Github]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p6ZzE5OTUwODI0_size_16_color_FFFFFF_t_70]: /images/20220315/fd62fd4a891b432dbee66ac4c0c7c4de.png
[Github]: https://github.com/black-ant/case/tree/master/case%204.2%20shiro