Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0

在介绍Spring Cloud Security之前，我们先要介绍一下Spring Security。

Spring Security是一套提供了完整的声明式安全访问控制的解决方案。

Spring Security是基于Spring AOP和Servlet过滤器的，它只能服务基于Spring的应用程序。

除常规认证和授权外，它还提供 ACL，LDAP，JAAS，CAS 等高级安全特性以满足复杂环境中的安全需求。

(注:在Spring Security中，Authority和Permission是两个完全独立的概念，两者没有必然的联系。它们之前需要通过配置进行关联。)

安全方案的实现通常分为 认证(Authentication) 和 授权(Authorization) 两部分。

使用者可以使一个 用户 ， 设备 ，和可以在应用程序中执行某种 *** 作的 其它系统 。

认证一般通过用户名和密码的正确性校验来完成通过或拒绝。

Spring Security支持的主流认证如下:

Spring Security进行认证的步骤:

++++++++++++++++++++++++++++++++++++++++++++++++++++++

++ 1 用户使用用户名和密码登陆

++

++ 2 过滤器(UsernamePasswordAuthenticationFilter)获取到用户名

++    和密码，将它们封装成Authentication

++

++ 3 AuthenticationManager认证Token(由Authentication实现类传递)

++

++ 4 AuthenticationManager认证成功，返回一个封装了用户权限信息

++    的Authentication对象，包含用户的上下文信息(角色列表)

++

++ 5 将Authentication对象赋值给当前的SecurityContext，建立这个用户

++ 的安全上下文( SecurityContextHoldergetContextsetAuthentication() )

++

++ 6 当用户进行一些受到访问控制机制保护的 *** 作，访问控制机制会依据

++    当前安全的上下文信息来检查这个 *** 作所需的权限

++++++++++++++++++++++++++++++++++++++++++++++++++++++

Spring Security提供了一系列基本组件，如spring-security-acl, spring-security-cas, spring-security-oauth2等。

具体这里就不详述了，读者可以查看官网的介绍。

 

Spring Cloud Security是用于构建微服务系统架构下的安全的应用程序和服务，它可以轻松实现基于微服务架构的统一的安全认证与授权。

Spring Cloud Security相对于Spring Security整合了Zuul，Feign，而且更加完美地整合了OAuth20。

 

OAuth 20是用于授权的行业标准协议。

原理:

OAuth2是用户资源和第三方应用之间的一个中间层。

它把资源和第三方应用隔开，使得第三方应用无法直接访问资源，第三方应用要访问资源需要通过提供 凭证(Token) 来获得OAuth 20授权。

OAuth2的典型例子:

==============================================

== 微信公众号授权提醒

== 页面d出一个提示框需要获取我们的个人信息

== 单击确定

== 第三方应用会获取我们在微信公众平台中的个人信息

==============================================

OAuth的关键角色:

在用户授权第三方获取私有资源后，第三方通过获取到的token等信息通过授权服务器认证，然后去资源服务器获取资源。

 

密码模式中，资源拥有者负责向客户端提供用户名和密码；

客户端根据用户名和密码箱认证服务器申请令牌，正确后认证服务器发放令牌。

客户端请求参数:

缺点:

用户对客户端高度可信，必须把自己的密码发给客户端，存在被黑客窃取的隐患(不推荐)。

在授权码模式中，客户端是通过其后台服务器与认证服务器进行交互的。

授权码模式的运行流程:

从以上图中我们可以看到客户端服务器和认证服务器需经过2次握手，客户端服务器才能拿到最终的访问和更新令牌。

客户端申请认证的参数:

 

服务器返回的参数:

 

客户端收到授权码以后，附上重定向URI，向认证服务器申请访问令牌。

客户端申请令牌的参数:

 

服务器返回的参数:

 

如果访问令牌已经过期，可以使用更新令牌申请一个新的访问令牌。

通过更新令牌申请访问令牌的参数:

这两种模式不常用，因此在这里就不多叙述了。

我们前面都是使用@PreAuthorize注解，然后在在其中使用的是hasAuthority方法进行校验。除此之外，spring security还为我们提供了其它方法例如：hasAnyAuthority，hasRole，hasAnyRole等。

hasAuthority原码：

hasAuthority方法底层是执行了SecurityExpressionRoot类的hasAuthority方法，它内部其实是调用authentication的getAuthorities方法获取用户的权限列表，然后判断我们传入的参数是否在权限列表中。

hasAnyAuthority方法可以传入多个权限，只要用户有其中任意一个权限都可以访问对应资源。

hasRole要求有对应的角色才可以访问，但是它内部会把我们传入的参数拼接上 ROLE_ 后再去比较，所以这种情况下要求用户对应的权限也要有 ROLE_ 这个前缀才可以。

hasAnyRole有任意的角色就可以访问，它内部也会把我们传入的参数拼接上 ROLE_ 后再去比较，所以这种情况下也要求用户对应的权限也要有 ROLE_ 这个前缀才可以。

自定义自己的权限校验方法

在SPEL表达式中使用 @ex相当于获取容器中bean的名字为ex的对象，然后再调用这个对象的hasAuthority方法

我们也可以在配置类中使用使用配置的方式对资源进行权限控制

1springsecurity

2登录页

如果只实现一个WebSecurityConfigurerAdapter然后重写一下configure方法，效果会默认使用springsecurity的登录页 ，以及项目启动时后台会打印出一个默认的密码，然后使用任意账号就可以进行登录访问指定的资源

3自定义登录页 与 UserDetailsService 用户名密码校验

4登陆页面提交页面 /authentication/form

5动态配置登录页

5登陆成功/登陆失败处理

springsecurityloginpage没有作用的原因如下。

1、配置错误：需要在SpringSecurity的配置文件中正确配置LoginPage，确保LoginPage的路径和名称与实际的文件相匹配。

2、路径错误：需要检查LoginPage的路径是否正确，是否存在于项目的资源目录中。

3、权限设置不正确：如果LoginPage需要身份验证才能访问，需要确保用户具有正确的权限才能访问该页面。

4、页面资源损坏：如果LoginPage的资源文件损坏或缺失，也会导致LoginPage无法正常工作。

使用SpringBoot Security进行登录验证，可以结合具体的业务需求来使用。在

SpringBoot Security前后端分离，登录退出等返回json

一文中，描述了前后端分离的情况下，如何进行登录验证和提示错误信息的。现在针对自定义的登录页面，能够精确地提示错误信息，做一个简单的演示demo。

本文使用的SpringBoot版本是214RELEASE，下面直接进入使用阶段。

加上这个架包，重启项目后，整个项目就配置了登录拦截和验证。

不输入用户名和密码，直接点击登录时，会有提示信息，输入框的颜色还会变红。查看源码，可以发现，架包默认的登录页面提交方式为表单提交，method为post，并且默认是开启csrf的，在表单里自动生成了一个隐藏域，防止跨域提交，确保请求的安全性。

输入错误的用户名或密码，可以看到页面进行了跳转，跳转后的页面又回到了登录页，只是url地址后面多了一个参数，页面提示错误信息。

从页面源码，我们可以获得以下几个方面的信息：

如果页面是我们自己自定义的，如果要使用默认的过滤器获取登录信息，则必须使用post方式进行提交，如果使用ajax json的方式进行提交，则获取不到参数。

接下来自定义一个登录页面，为了快速构建登录页面，这里使用了thymeleaf模板。

在这个配置中，对登录页面进行了设置，设置使用自定义的登录页面，在Controller需要添加对应的页面渲染。

一个很丑的登录页面，这不是重点。重点是，登录名和密码正确时，页面可以正确的跳转，输入错误时，可以在登录页面进行信息提示。

在MyCustomUserService类中，我们设置了用户名为admin，密码为123456；输入其他的用户名称时，提示用户不存在；不输入用户名称，提示用户不能为空；密码不是123456时，提示密码错误；输入admin，123456时，页面前往index页面，下面进行验证。

以上就是关于Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0全部的内容，包括:Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0、五 spring security 其他权限检验及自定义校验方法、springsecurity详解等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！