Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0

在介绍Spring Cloud Security之前，我们先要介绍一下Spring Security。

Spring Security是一套提供了完整的声明式安全访问控制的解决方案。

Spring Security是基于Spring AOP和Servlet过滤器的，它只能服务基于Spring的应用程序。

除常规认证和授权外，它还提供 ACL，LDAP，JAAS，CAS 等高级安全特性以满足复杂环境中的安全需求。

(注:在Spring Security中，Authority和Permission是两个完全独立的概念，两者没有必然的联系。它们之前需要通过配置进行关联。)

安全方案的实现通常分为 认证(Authentication) 和 授权(Authorization) 两部分。

使用者可以使一个 用户 ， 设备 ，和可以在应用程序中执行某种 *** 作的 其它系统 。

认证一般通过用户名和密码的正确性校验来完成通过或拒绝。

Spring Security支持的主流认证如下:

Spring Security进行认证的步骤:

++++++++++++++++++++++++++++++++++++++++++++++++++++++

++ 1 用户使用用户名和密码登陆

++

++ 2 过滤器(UsernamePasswordAuthenticationFilter)获取到用户名

++    和密码，将它们封装成Authentication

++

++ 3 AuthenticationManager认证Token(由Authentication实现类传递)

++

++ 4 AuthenticationManager认证成功，返回一个封装了用户权限信息

++    的Authentication对象，包含用户的上下文信息(角色列表)

++

++ 5 将Authentication对象赋值给当前的SecurityContext，建立这个用户

++ 的安全上下文( SecurityContextHoldergetContextsetAuthentication() )

++

++ 6 当用户进行一些受到访问控制机制保护的 *** 作，访问控制机制会依据

++    当前安全的上下文信息来检查这个 *** 作所需的权限

++++++++++++++++++++++++++++++++++++++++++++++++++++++

Spring Security提供了一系列基本组件，如spring-security-acl, spring-security-cas, spring-security-oauth2等。

具体这里就不详述了，读者可以查看官网的介绍。

 

Spring Cloud Security是用于构建微服务系统架构下的安全的应用程序和服务，它可以轻松实现基于微服务架构的统一的安全认证与授权。

Spring Cloud Security相对于Spring Security整合了Zuul，Feign，而且更加完美地整合了OAuth20。

 

OAuth 20是用于授权的行业标准协议。

原理:

OAuth2是用户资源和第三方应用之间的一个中间层。

它把资源和第三方应用隔开，使得第三方应用无法直接访问资源，第三方应用要访问资源需要通过提供 凭证(Token) 来获得OAuth 20授权。

OAuth2的典型例子:

==============================================

== 微信公众号授权提醒

== 页面d出一个提示框需要获取我们的个人信息

== 单击确定

== 第三方应用会获取我们在微信公众平台中的个人信息

==============================================

OAuth的关键角色:

在用户授权第三方获取私有资源后，第三方通过获取到的token等信息通过授权服务器认证，然后去资源服务器获取资源。

 

密码模式中，资源拥有者负责向客户端提供用户名和密码；

客户端根据用户名和密码箱认证服务器申请令牌，正确后认证服务器发放令牌。

客户端请求参数:

缺点:

用户对客户端高度可信，必须把自己的密码发给客户端，存在被黑客窃取的隐患(不推荐)。

在授权码模式中，客户端是通过其后台服务器与认证服务器进行交互的。

授权码模式的运行流程:

从以上图中我们可以看到客户端服务器和认证服务器需经过2次握手，客户端服务器才能拿到最终的访问和更新令牌。

客户端申请认证的参数:

 

服务器返回的参数:

 

客户端收到授权码以后，附上重定向URI，向认证服务器申请访问令牌。

客户端申请令牌的参数:

 

服务器返回的参数:

 

如果访问令牌已经过期，可以使用更新令牌申请一个新的访问令牌。

通过更新令牌申请访问令牌的参数:

这两种模式不常用，因此在这里就不多叙述了。

在第三方应用程序获取系统资源时，不在该平台输入用户名、密码便可登录。如在平台利用微信登录时并没有输入用户名、密码，会跳到微信平台输入微信密码，微信认证后，将用户信息提供给该平台，该平台利用此信息将用户在平台注册，如此用户虽然在微信端登录却能在平台保存信息，其中就用到了oauth2思想。

1授权码：这是最安全的方式也是最推荐，完整的oauth2框架，真正oauth2框架要解决的问题的方案，其他方式都不是安全的

2密码模式：不建议使用，如此会将用户用户名密码信息暴露在第三方平台上可能导致用户信息泄露，除非该平台是系统信任的平台。

3简化模式：用户在浏览器向认证服务器申请令牌，跳过了“获取授权码”的步骤，不需要用户登录，返回的token可见，用户将此token给客户端，客户端携带去请求

4用户在客户端注册，客户端以自己名义而不是用户名义向认证服务器申请访问令牌

登陆微信公众平台，菜单“设置”→“公众号设置”→功能设置→网页授权域名

定义授权回调页面域名:用户在网页授权页同意授权给公众号后，微信会将授权数据传给一个回调页面，回调页面需在此域名下，以确保安全可靠。

以上定义似乎会把人带入误区，我一开始被整懵了。配了个回调地址，其实不用，只需要配置授权访问的域名就ok了，这里我配置的是testpcentershenbianhuicn。注意，要保证域名可访问并且要把MP_verify_txt放到站点相应的目录下，否则点击“确认”按钮会提示的。

step2 构造微信用户请求的url

页面URL中的scope=snsapi_base 表示应用授权作用域为 不d出授权页面，直接跳转，只获取用户openid

这里我配置的redirect_uri是 >

检查跳转链接是否正确。

1、在使用QQ登录时，应该对QQ登录的跳转链接进行正确的设置。

2、检查URL参数是否被篡改或丢失：surl参数是QQ登录获取OAuth20授权码后返回的URL参数之一，如果它被恶意篡改或丢失，就会导致登录异常。

ok>

腾讯用的是10变种的oauth协议， oauth的核心思想就在于用户授权的那一步， 没有用户的页面 *** 作， 不可能完成oauth流程的。 没有授权， request_token就是未授权状态， 不会有verifier， 更不会产生access_token。

所以结论：没有人的参与， 不可能完成oauth流程。 只有一种条件下可以定时做， 那就是用户必须至少授权一次，你拥有用户的access_token并且token不过期。即使这样， 你还是要调用对方的授权页，只是对方受权页会视情况自动callback回来而已。

以上就是关于Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0全部的内容，包括:Spring Cloud Security[微服务安全](一)初识Spring Cloud Security和OAuth2.0、Oauth2解决第三方登录问题、微信公众平台开发：通过OAuth2.0方式不d出授权页面获得用户基本信息等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！

欢迎分享，转载请注明来源：内存溢出

原文地址:https://54852.com/web/10149115.html