认证授权需求概要
功能需求
基于开发平台的业务背景需要实现以下功能:
- 系统管理员登录平台,配置平台参数。
- 商户注册及授权登录。
- 商户客户端注册及授权。
非功能需求
- 资源授权访问支持网络隔离及非网络隔离两种模式。
- 实现JWT及Redis缓存两类授权实现方式。
认证授权概要设计
功能概要设计
基于springsecurity+oauth2协议实现。
image.png
认证
- 开放平台管理后台针对管理员做用户密码模式认证。
- 开放平台门户基于用户密码模式或手机验证码模式认证。
- 商户客户端基于客户端做认证。
- 其它模式待需要时扩展。
授权
-
平台管理应用基于定义义模式授权。
-
平台门户基于定义义模式授权。
-
商户应用基于客户端模式授权。
-
第三方应用基于授权码模式实现授权。
-
其它模式待需要时扩展。
认证授权工程设计
uaa
uaa用于实现商户认证与授权的相关API
2.jpg
auth-client-spring-boot-start
为了实现网络隔离的兼容性,及授权认证方式的配置切换。将与资源服务器相关的授权配置及授权方式的配置,基于spring-boot技术封装成一个组件,方便配置与开发。
3.png
详细设计
attach_15999a5a49c3cb4c (1).jpg
接口设计
- 开放平台管理后台针对管理员做用户密码模式认证。
Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/user/token?username={username}&password={password}&validCode={validCode}&deviceId={deviceId}
- 开放平台门户基于用户密码模式或手机验证码模式认证。
Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/mobile/token?mobile={mobile}&password={password}
- 商户客户端基于客户端做认证。
Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/token?grant_type=client_credentials&scope={scope}
token格式
{
"user_name": "admin",
"role": "ADMIN",
"scope": [
"app"
],
"exp": 1556459175,
"authorities": [
"ADMIN"
],
"jti": "7268f3d9-452e-490d-9b6f-c55e4c95914e",
"client_id": "webApp"
}
网关访问服务的Header信息
RequestContext ctx = RequestContext.getCurrentContext();
ctx.addZuulRequestHeader(SecurityConstants.USER_HEADER, userInfo);
ctx.addZuulRequestHeader(SecurityConstants.ROLE_HEADER, CollectionUtil.join(authentication.getAuthorities(), ","));
服务设计
attach_1599cda4ecebab8c (1).png
模型设计
attach_1599cec2c6a3882c (1).jpg
非功能概要设计
-
网络隔离兼容
如果在网络隔离的情况下,资源服务器就是网关。所有服务的访问都需要通过网关路由。
image
如果在非网络隔离的情况下,所有微服务都是资源服务器,都需要配置资源权限逻辑。
attach_15980a1232678bfc (1).png
-
授权认证方式兼容
如果是基于jwt实现认证授权,只需要生成非对称加密的公私钥,将私钥放于授权服务器加密。
在资源服务器端使用公钥对密文解密及完成鉴权的过程。
x.png
如果是基于Reids缓存实现认证授权,需要将令牌令牌缓存到分布式缓存服务器中,实现授权服务器与资源服务器对令牌信息的共享。
attach_15980a607b4f69a4 (1).png
部分源码分析
功能介绍:
本公共模块主要是封装security client端的通用逻辑
1.DefaultResourceServerConf:
a.本类是封装了资源服务配置的基础功能,在网关和授权微服务实现资源服务功能继承该类;
b.配置了同目录下DefaultSecurityHandlerConfig封装的未登录,oauth处理失败等情况的处理办法;
c.实现了token存储办法,url权限控制等基础方法;
2.TokenStoreConfig:
a.读取配置文件token存储方式:db,redis,authJwt,resJwt;
b.com.hxhealth.oauth2.common.store包下是token各个存储方式的具体实现方法,若需拓展某存储功能可扩展对应类;
3.SecurityProperties:
a.通过配置文件读取认证配置,放权白名单url,验证码配置;
b.同目录下AuthProperties,PermitProperties,ValidateCodeProperties是具体实现;
4.IPermissionService:
a.权限判断的基类,资源服务必须根据具体情况实现;
5.AuthUtils:
a.工具类-请求token以及header处理方法;
模块使用:
1.平台网关(zuul-gateway)和授权服务(uaa)使用了该公共模块;
2.配置资源服务时需继承DefaultResourceServerConf;@EnableConfigurationProperties(SecurityProperties.class)导入认证相关配置;
@Import(TokenStoreConfig.class)导入token处理的配置;然后定制相应功能;
网友评论