Spring Security OAuth整合JWT/Redis
看标题是不是有点奇怪,其实是这样的,一开始是想着做一个Spring Boot和OAuth2的授权模块,然后看了下觉得可以把Redis搞进去,存取Token性能好点。后来又发现JWT这个神奇的东西,心生邪念,要不再加进去?OAuth2+Redis+JWT岂不是叼炸天?然后一顿操作,发现还是不要瞎搞的好,理解每个事物存在的意义,再来决定怎么使用,不然可能到头来全是给自己添烦恼。(好吧BB半天其实就是踩坑了)。
那下面就分享下学(cai)习(keng)的过程吧。
References:
- https://gitee.com/log4j/pig 基本上想到的这里都有,很强大的一个项目,本文的很多代码都参考了此项目,感谢
- https://projects.spring.io/spring-security-oauth/docs/oauth2.html 官方文档,目前很不完整
- https://tools.ietf.org/html/rfc6749 OAuth2 RFC文档
- https://oauth.net/2/grant-types/ OAuth2授权模式简介
- https://alexbilbie.com/guide-to-oauth-2-grants/ OAuth2授权模式选择
- https://www.javacodegeeks.com/2017/06/oauth2-jwt-open-id-connect-confusing-things.html
- https://auth0.com/docs/api-auth/which-oauth-flow-to-use#is-the-client-absolutely-trusted-with-user-credentials-
- https://backstage.forgerock.com/knowledge/kb/article/a45882528 curl命令请求OAuth2 Token
- https://stackoverflow.com/questions/3044315/how-to-set-the-authorization-header-using-curl
- https://juejin.im/post/5a580e726fb9a01caf3757a1 OAuth整合参考
- http://www.spring4all.com/article/449
- https://www.jianshu.com/p/13a480ff46e0
- https://juejin.im/post/5c1398e5f265da6134384aee Jedis配置
- https://www.cnblogs.com/rwxwsblog/p/5846752.html
- https://blog.marcosbarbero.com/centralized-authorization-jwt-spring-boot2/ OAuth2 + JWT整合参考,JWT部分大部分参考此
- https://www.baeldung.com/spring-security-oauth-jwt
- https://www.jianshu.com/p/29b12ccbc215
- https://www.kancloud.cn/kongqq/microservice/697250
- https://www.jianshu.com/p/766cf742e3e8
- https://www.cnblogs.com/guolianyu/p/9872661.html JWT使用RSA
- http://www.marcoder.com/2017/12/11/jwt-rsa/
- https://blog.freessl.cn/ssl-cert-format-introduce/ 证书格式普及
- https://docs.oracle.com/cd/E19830-01/819-4712/ablra/index.html keytool使用
- https://learning.getpostman.com/docs/postman/sending_api_requests/authorization/ postman发送OAuth2请求
- https://github.com/postmanlabs/postman-app-support/issues/2296 postman关于body中的client_secret
好吧,这应该是我有史以来参考文章最多的一次了。以上列出的只是一部分,踩了无数坑,泪目。那下面慢慢看吧。
首先是OAuth2,相信你已经看过相关的文章了。不知道的上面有RFC文档链接,这里就聊聊坑好了。
先明确下OAuth2中几个角色的含义:
- resource owner: 资源所有者,一般来说是用户自己
- resource server: 资源服务器,存放着受保护的资源
- authorization server: 授权服务器,发放access token
- client: 一般就是需要访问resource server上资源的应用代码(可能是服务器上的webapp或者手机app或者Javascript app)。
- user agent: 浏览器或者手机app
 其中authorization server和resource server可以在相同的应用中,也可以分开。
 首先是授权模式的选择,一般有4种:Authorization Code,Implicit,Password,Client Credentials。 
这张图很好的展示了各种模式在什么情况下使用。首先是Access token owner是否是机器,即机器和机器之间的授权,比如cron任务这种没有人参与的,就选Client Credentials。然后是Client type类型,client能否保存secret决定了应该使用哪种授权。如果client是一个完全的前端应用(例如SPA),那么对于first party clients应该使用Password(这种情况应该是最多的),对于third party clients应该使用Implicit。如果client是一个web应用有服务端组件,那应该使用Authorization Code。如果client是native app,那么first party clients还是Password,third party clients使用Authorization Code。所以这么来看first party一般用password,third party一般用code。
那这里会先后把code和password的折腾过程都说一下,另外两种不常用,就不管了。
那先来看下最复杂流程也最完整的code方式吧,Token存Redis。根据RFC文档,我们要搭建OAuth2服务器至少要有Authorization Server和Resource Server。那少废话,看下相关代码吧:
pom文件,这里只贴一些关键的,常用的相信你知道应该有什么:
<!-- redis -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
    <exclusions>
        <!-- 不依赖Redis的异步客户端lettuce -->
        <exclusion>
            <groupId>io.lettuce</groupId>
            <artifactId>lettuce-core</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>redis.clients</groupId>
    <artifactId>jedis</artifactId>
</dependency>
<dependency>
    <!-- help IDE show you content assist/auto-completion -->
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-configuration-processor</artifactId>
    <optional>true</optional>
</dependency>
<!-- cloud -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>yml配置也很简单:
server:
  port: 8888
  
spring:
  application:
    name: auth
  redis:
    host: 127.0.0.1
    port: 6379
    password: 
    database: 0
    jedis:
      pool:
        max-active: 8
        max-idle: 8
        max-wait: -1
        min-idle: 0Authorization Server配置:
/**
 * OAuth2授权服务器配置
 */
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    private final AuthenticationManager authenticationManager;
    private final TokenStore tokenStore;
    @Autowired
    public OAuth2AuthorizationServerConfig(AuthenticationManager authenticationManager, TokenStore tokenStore) {
        super();
        this.authenticationManager = authenticationManager;
        this.tokenStore = tokenStore;
    }
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // @formatter:off
        security
            .allowFormAuthenticationForClients() // 允许表单登录
            .tokenKeyAccess("permitAll()")
            .checkTokenAccess("permitAll()");
        // @formatter:on
    }
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // @formatter:off
        clients
            // 客户端信息存储在内存中
            .inMemory()
            // client id
            .withClient("client")
            // grant types,这里直接开2中模式,方便测试切换
            .authorizedGrantTypes("password", "authorization_code", "refresh_token")
            // grant scopes
            .scopes("user_info")
            // client secret
            .secret("{noop}secret")
            // redirect uri,code模式才需要设置
            .redirectUris("https://www.racecoder.com")
            // token有效时间
            .accessTokenValiditySeconds(60 * 2);
        // @formatter:on
    }
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // @formatter:off
        endpoints
            .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
            .tokenStore(tokenStore)
            .reuseRefreshTokens(false)
            .authenticationManager(authenticationManager);
        // @formatter:on
    }
}Resource Server:
/**
 * OAuth2资源服务器配置
 */
@Configuration
@EnableResourceServer
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {
    private final TokenStore tokenStore;
    @Autowired
    public OAuth2ResourceServerConfig(TokenStore tokenStore) {
        super();
        this.tokenStore = tokenStore;
    }
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.tokenStore(tokenStore);
    }
    /*
    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 和WebSecurityConfig中的HttpSecurity相同,因此此处不用配置了
    }
    */
}然后是Spring Security的配置,配置Web请求的拦截:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启spring security注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("root")
            .password("{noop}123456") // passwordEncoder.encode("123456")
            .roles("ADMIN");
    }
    /**
     * spring security不做拦截处理的请求,忽略静态文件
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        // @formatter:off
        web.ignoring().antMatchers(
                "/favicon.ico", // 浏览器tab页图标
                "/static/**",
                "/images/**",
                "/resources/**",
                "/oauth/uncache_approvals",
                "/oauth/cache_approvals"
                );
        // @formatter:on
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
            .csrf().disable()
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
            .authorizeRequests()
                .antMatchers("/login**").permitAll()
                .antMatchers("/oauth/authorize").permitAll()
                .antMatchers("/oauth/**").authenticated()
                .anyRequest().authenticated()
                .and()
            .httpBasic();
        // @formatter:on
    }
    @Bean
    @Override
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}token存Redis:
@Configuration
public class TokenConfig {
    @Bean
    @Autowired
    public TokenStore tokenStore(RedisConnectionFactory redisConnectionFactory) {
        // Redis存 token一是性能比较好,二是自动过期的机制,符合token的特性
        return new RedisTokenStore(redisConnectionFactory);
    }
}Redis配置:
@Configuration
public class RedisConfig {
    @Value("${spring.redis.host}")
    private String host;
    @Value("${spring.redis.port}")
    private Integer port;
    @Value("${spring.redis.password}")
    private String password;
    @Value("${spring.redis.database}")
    private Integer database;
    @Value("${spring.redis.jedis.pool.max-active:8}")
    private Integer maxActive;
    @Value("${spring.redis.jedis.pool.max-idle:8}")
    private Integer maxIdle;
    @Value("${spring.redis.jedis.pool.max-wait:-1}")
    private Long maxWait;
    @Value("${spring.redis.jedis.pool.min-idle:0}")
    private Integer minIdle;
    @Bean
    @Autowired
    public RedisConnectionFactory jedisConnectionFactory(RedisStandaloneConfiguration standaloneConfig, JedisClientConfiguration clientConfig) {
        return new JedisConnectionFactory(standaloneConfig, clientConfig);
    }
    @Bean(name = "redisTemplate")
    @Autowired
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory) {
        RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>();
        // 设置字符串序列化器
        RedisSerializer<String> stringSerializer = redisTemplate.getStringSerializer();
        GenericJackson2JsonRedisSerializer jackson2JsonSerializer = new GenericJackson2JsonRedisSerializer();
        redisTemplate.setKeySerializer(stringSerializer);
        redisTemplate.setValueSerializer(jackson2JsonSerializer);
        redisTemplate.setHashKeySerializer(stringSerializer);
        redisTemplate.setHashValueSerializer(jackson2JsonSerializer);
        redisTemplate.setConnectionFactory(redisConnectionFactory);
        return redisTemplate;
    }
    
    /**
     * jedis配置连接池
     */
    @Bean
    @Autowired
    public JedisClientConfiguration clientConfig(JedisPoolConfig poolConfig) {
        JedisClientConfigurationBuilder builder = JedisClientConfiguration.builder();
        return builder.usePooling().poolConfig(poolConfig).build();
    }
    /**
     * jedis连接池设置
     */
    @Bean
    public JedisPoolConfig jedisPoolConfig() {
        JedisPoolConfig jedisPoolConfig = new JedisPoolConfig();
        jedisPoolConfig.setMaxIdle(maxIdle);
        jedisPoolConfig.setMaxWaitMillis(maxWait);
        jedisPoolConfig.setMaxTotal(maxActive);
        jedisPoolConfig.setMinIdle(minIdle);
        return jedisPoolConfig;
    }
    /**
     * redis服务器配置
     */
    @Bean
    public RedisStandaloneConfiguration standaloneConfig() {
        RedisStandaloneConfiguration config = new RedisStandaloneConfiguration();
        config.setHostName(host);
        config.setPort(port);
        config.setDatabase(database);
        config.setPassword(RedisPassword.of(password));
        return config;
    }
}设置基本就这些,测试呢一开始用的postman,发现有点问题,所以先用curl命令的方式测,等会再说postman。code方式授权首先要获取code,然后再换token,再用token取请求资源。以上述为例,直接用浏览器完成code的获取:
地址栏输入:http://localhost:8888/oauth/authorize?response_type=code&client_id=client&redirect_uri=https://www.racecoder.com回车。response_type为code表示获取code,client_id为刚刚在代码中设置的client,redirect_uri表示服务器生成code后会重定向到此地址并把code拼在uri后,这个uri其实不存在都无所谓的,反正你能拿到code就行。
那这里由于设置httpbasic方式的验证,要求我们先输入用户名和密码,和QQ快捷登陆的过程类似,这里输入的是上面设置的root和123456,那输入之后就看到一个默认授权页面了
选择Approve授权后就会跳转到刚刚设置的uri并带上code,这个code使用一次后就会失效,所以获取到token后需要保存好token
这里就允许授权,并拿到了code了,然后去换token
[root@raspberrypi ~]# curl -X POST -H "Authorization: Basic Y2xpZW50OnNlY3JldA==" -H "Content-Type: application/x-www-form-urlencoded" -d "grant_type=authorization_code&code=uybltT&redirect_uri=https://www.racecoder.com" http://192.168.1.8:8888/oauth/token
{"access_token":"2b1d5a71-fbab-491c-9e26-3e83a04dd237","token_type":"bearer","refresh_token":"68c7bc38-9c32-4854-9cde-11cea860db04","expires_in":119,"scope":"user_info"}
[root@raspberrypi ~]#这样就获取到了access_token和refresh_token。然后就可以使用这个token请求资源了
$ curl -X GET -H "Authorization: Bearer 2b1d5a71-fbab-491c-9e26-3e83a04dd237" -H "Content-Type: application/x-www-form-urlencoded" http://192.168.1.8:8888/user/test?str=abc
使用postman测时一直都是这样
搞得我都要怀疑人生了,猜测是因为httpbasic方式的用户名密码输入,postman不支持这么做,所以授权失败。不过之前折腾的时候有一两次使用formLogin成功了,但是代码被改乱了,只有一个抓包记录。postman使用formLogin是可以授权的,但是Client Authentication要选择Send client crendentials in body
否则就是Bad client credentials异常,通过fiddler抓下包看下请求参数
比curl方式多了传了一个client_id,虽然请求头有Authorization字段,但是spring security貌似只要看到client_id就会当作secret也在url后面,就会尝试去获取,然后没获取到就校验失败了。虽然RFC标准规定body中可以传client_id作为标记,但是spring security对OAuth2的支持貌似还不是很完整。所以这里用postman的话要选择将client和secret都在body中传。参考:https://github.com/postmanlabs/postman-app-support/issues/2296
postman使用formLogin授权的代码其实就是httpBasic那里改成formLogin方式,不想再折腾了。那关于Authorization Code方式的授权就到这里吧,下面说说password方式的授权,有了code的铺垫这个就很简单了。
代码都不用改,postman改下授权模式就行了
token拿到了就都一样了,不说了。下面就是JWT方式的token折腾过程了。
其实一开始是想着OAuth2的token使用JWT的格式的,虽然两者结合并不冲突,但是JWT本意就是为了分布式认证存在的,这和OAuth2完全不同。如果整合了这两个就多了一个校验JWT签名的步骤,因为这一步对于OAuth2来说完全多余,有token控制就足够了,但是如果想在token中放一些信息使用JWT是完全没问题的。但是,但是还有Redis这个东西,token存Redis中也完全没问题,可以缓存并集中管理token,但是JWT就和这个思想截然相反了,JWT设计就是为了服务端不存任何状态,只管校验JWT就行。因此越折腾越发现Redis和JWT是水火不容的东西,呃,也没那么夸张但是你懂我的意思吧,你确实可以强行将这两个结合起来,但是这么做只是徒增麻烦而已,没有任何作用。
那下面就看下OAuth2和JWT整合吧,不要Redis了。
先上代码,再慢慢说:
<build>
        <finalName>${project.name}</finalName>
        <resources>
            <resource>
                <directory>src/main/resources</directory>
                <filtering>true</filtering>
                <excludes>
                    <exclude>**/*.jks</exclude>
                </excludes>
            </resource>
            <!-- 不过滤jks文件,否则会导致文件不正常 -->
            <resource>
                <directory>src/main/resources</directory>
                <filtering>false</filtering>
                <includes>
                    <include>**/*.jks</include>
                </includes>
            </resource>
        </resources>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>yml加上jwt
security:
  oauth2:
    resource:
      jwt:
        key-store: classpath:keystore.jks
        key-store-password: DyRTTlwbjN6Qmd8k
        key-alias: jwt
        key-password: x5tIMkxIYmEJZB6v
        public-key: classpath:public.txt授权服务器设置AuthorizationServerConfig需要增加jwtTokenConverter
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    // @formatter:off
    endpoints
        .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
        .tokenStore(tokenStore)
        .reuseRefreshTokens(false)
        .authenticationManager(authenticationManager)
        .accessTokenConverter(jwtAccessTokenConverter);
    // @formatter:on
}Token设置,此处JWT使用了RSA非对称加密,而不是默认的HS256。HS256是对称加密,也就是加密和解密的key是一样的,而RSA则不一样,这在Auth Server和Resource Server之间不需要共享密钥。
@Configuration
public class TokenConfig {
    /*@Bean
    @Autowired
    public TokenStore tokenStore(RedisConnectionFactory redisConnectionFactory) {
        // Redis存 token一是性能比较好,二是自动过期的机制,符合token的特性
        return new RedisTokenStore(redisConnectionFactory);
    }*/
    @Bean
    @Autowired
    public TokenStore tokenStore(JwtAccessTokenConverter accessTokenConverter) {
        return new JwtTokenStore(accessTokenConverter);
    }
    @Bean
    @Qualifier("rsaProp")
    @Autowired
    public JwtAccessTokenConverter accessTokenConverter(RSAProp rsaProp) {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setKeyPair(keyPair(rsaProp)); // 使用RSA
        converter.setVerifierKey(publicKey(rsaProp)); // RSA public key
        return converter;
    }
    /**
     * RSA key pair(a public key and a private key)
     */
    private KeyPair keyPair(RSAProp rsaProp) {
        Resource keyStore = rsaProp.getKeyStore();
        String keyStorePassword = rsaProp.getKeyStorePassword();
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(keyStore, keyStorePassword.toCharArray());
        String keyAlias = rsaProp.getKeyAlias();
        String keyPassword = rsaProp.getKeyPassword();
        KeyPair keyPair = keyStoreKeyFactory.getKeyPair(keyAlias, keyPassword.toCharArray());
        return keyPair;
    }
    /**
     * RSA public key
     */
    private String publicKey(RSAProp rsaProp) {
        try (InputStream is = rsaProp.getPublicKey().getInputStream()) {
            return StreamUtils.copyToString(is, Charset.defaultCharset());
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
}RSA的属性
@Configuration("rsaProp")
@EnableConfigurationProperties(RSAProp.class)
@ConfigurationProperties(prefix="security.oauth2.resource.jwt")
public class RSAProp {
    // Can be understood as a database of key pairs
    private Resource keyStore;
    // to access keyStore
    private String keyStorePassword;
    // particular key alias
    private String keyAlias;
    // to access particular key pair's private key
    private String keyPassword;
    // RSA public key to validate token
    private Resource publicKey;
    // getter & setter ...
}还有jks文件和public key。那这里关于RSA的介绍就不说了,一般在Java中用的RSA文件格式是jks(最多的是Android)。所以这里用Java的keytool工具先生成jks文件,算法为RSA,keysize为2048,keystore类似于数据库,可以存多个key,storepass就是keysotre的密码,alias就是key的名字,类似于主键,而且只能通过alias找到这个key,每个key还有单独的密码即keypass:
$ keytool -genkey -keyalg RSA -keysize 2048 -alias jwt -keypass x5tIMkxIYmEJZB6v -keystore keystore.jks -storepass DyRTTlwbjN6Qmd8k运行后会让你输入一些store的信息,因为JWT用私钥加密后需要用公钥验证,而keystore中存了两个密钥,所以我们需要导出其中的公钥给资源服务器验证签名。
$ keytool -export -alias jwt -keystore keystore.jks -rfc -file public.txt需要你输入keystore的密码后就可以导出了公钥了,操作过程如下图
然后把这两个文件丢到项目的Resource下,现在的token是这样的
由于JWT第一部分存储了加密方式的信息,把设置RSA之前和之后的头部拿出来解码(BASE64是编码不是加密)
可以看到确实换掉了,那就这样吧。
过程中错误很多,常见的是
- Full authentication is required to access this resource
- InsufficientAuthenticationException
 这俩一般是spring security的HttpSecurity配置有问题
- Bad client credentials
 这个一般就是上面说到的postman会出现的问题,body中只包含了client_id
分享结束,感谢收看。
\>\> update 20200330,看到一个大佬对Session和JWT的解释非常清晰,强烈建议看一下,能够更容易理解JWT和Session应该在什么场景下使用:https://blog.by24.cn/archives/about-session.html
 这破站
                                        这破站