技术栈选择

Spring Security是基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。在Web请求级别和方法调用级别处理身份认证和授权充分利用了Spring IOC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,并且提供了非常丰富的安全认证接入与安全拦截的功能与接口, 特别是OAuth2.0的认证模式,可以与Spring Gateway无缝对接,它是用来解决JEE 特别是Spring Boot/Spring Cloud的应用安全管理的利器,是企业级的安全级的重要认证管理框架。

平台采用它主要用来解决平台的以问题:

  1. 身份认证 (你是谁)
  2. 应用功能授权 (你能干什么)
  3. 攻击防护 (防止伪造身份)

其核心就是一组过滤器链,由平台的网关自动加载,不同的Filter实现不同的功能拦截功能管理,如 Basic Authentication Filter 用来认证用户的身份。

而平台的身份认证采用的是基于Spring Security 中OAuth2.0的认证实现。

OAuth 2.0 认证的四种模式

平台采用的是OAuth 2.0的认证体系,需要了解一下其认证的原理。

整体认证流程

流程说明:

  1. 用户打开客户端,客户端要求向资源所有者(即用户)给予授权;
  2. 用户同意授权;
  3. 客户端得知用户同意授权后,向授权服务器获取授权;
  4. 授权服务器给予客户端授权,并将授权码(Access Token)即为令牌下发给客户端;
  5. 客户端携带授权码去请求资源服务器;
  6. 资源服务器将受限的资源开放给客户端。 大多数情况下,认证服务器和资源服务者在一台机器上,但是逻辑上属于两个概念,很多系统将其作为单独的微服务和其他资源服务区分开来。

OAuth2协议规定的4种授权类型

授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型:

  • authorization code(授权码模式)
  • implicit(简化模式)
  • resource owner password credentials(密码模式)
  • client credentials(客户端模式)

#授权码模式

实现流程

授权码模式流程说明

  • 用户访问客户端,客户端通过用户代理向认证服务器请求授权码;
  • 用户同意授权;
  • 认证服务器通过用户代理返回授权码给客户端;
  • 客户端携带授权码向认证服务器请求访问令牌(AccessToken);
  • 认证服务器返回访问令牌;
  • 客户端携带访问令牌向资源服务器请求资源;
  • 资源服务器返回资源。

简化模式

简化模式流程说明

用户访问客户端,客户端通过用户代理向认证服务器请求授权码;
用户同意授权;
认证服务器返回一个重定向地址,该地址的url的Hash部分包含了令牌;
用户代理向资源服务器发送请求,其中不带令牌信息;
资源服务器返回一个网页,其中包含的脚本可以获取Hash中的令牌;
用户代理执行脚本提取令牌;
用户代理将令牌返回给客户端;
客户端携带令牌向资源服务器请求资源;
资源服务器返回资源。

密码模式

密码模式流程说明

用户向客户端提供用户名密码;
客户端将用户名和密码发给认证服务器请求令牌;
认证服务器确认无误后,向客户端提供访问令牌;
客户端携带令牌向资源服务器请求访问资源;
资源服务器返回资源

客户端模式

实现流程

客户端模式流程说明

  • 客户端向认证服务器进行身份认证,并要求一个访问令牌;
  • 认证服务器确认无误后,向客户端提供访问令牌;
  • 客户端携带令牌向资源服务器请求访问资源;
  • 资源服务器返回资源。

具体的原理请参考:

https://www.toutiao.com/i6837290719879627272/?tt_from=weixin_moments&utm_campaign=client_share&wxshare_count=2&timestamp=1591962103&app=news_article&utm_source=weixin_moments&utm_medium=toutiao_ios&use_new_style=0&req_id=202006121941430101291631540F2DD526&group_id=6837290719879627272&pbid=6874812174142178828

文档更新时间: 2021-09-15 10:30   作者:zyg