单点登录.png
步骤分析:
1.首先我们用户会找到我们的网站
8081是网关端口,/api/是网关放行的路径
- 比如地址是:http:localhost:8001/api/oauth/toLogin,用户点击后直接会访问网关,我们会在网关的AuthFilter过滤器中判断用户是否是登录请求,如果是登录,和相关必须要放行的请求,我们就可以直接放行,让它去访问登录等相关资源.
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
2.login页面
用户看到登录的页面就可以输入账号密码进行登录,当用户点击登录就会发送一个请求http:localhost:8001/api/oauth/login登录请求,网关放行(UrlFilter包含了需要放行的请求)
if ("/api/oauth/login".equals(path) || !UrlFilter.hasAuthorize(path) ){
// if ("/api/oauth/login".equals(path) ){
//直接放行
return chain.filter(exchange);
}
3.生成令牌(用户认证,也解决单点登录问题)
将用户输入的用户名和密码发送到login的controller中,这时如果输入为空直接 返回错误信息然后去调用申请令牌的service的方法,传入用户名,密码和客户端id和客户端密码,这时在申请令牌的时候,认证服务会自动校验客户端id和客户端密码,自动查询oauth_client_details表,我们会在认证工具类中用过feign的远程调用user服务,用过用户名去查询出user对象,然后认证框架自动帮我们校验,生成最终的jwt令牌,它包含了6部分数据:
//申请令牌
AuthToken token = authService.login(username, password, clientId, clientSecret);
单点.png
access_token:访问令牌,携带此令牌访问资源
token_type:有MAC Token与Bearer Token两种类型,两种的校验算法不同,Oauth2采 用 Bearer Token。
refresh_token:刷新令牌,使用此令牌可以延长访问令牌的过期时间。
expires_in:过期时间,单位为秒。
scope:范围,与定义的客户端范围一致。
jti:当前token的唯一标识
拿到令牌后我们会在方法中取出jwt令牌的值,存储到redis中,设置它的过期时间
//3.将jwt作为redis中的key, 将jwt作为redis中的value进行数据的存储
/*
参数 authToken设置 redis key
set 对应的值
ttl 过期时间
TimeUnit :时间单位 SECONDS:秒
* */
stringRedisTemplate.boundValueOps(authToken.getJti()).set(authToken.getAccessToken(),ttl, TimeUnit.SECONDS);
然后返回令牌,在controller层拿到令牌后 取出jti短令牌存储到cookie中
CookieUtil.addCookie(response,cookieDomain,"/","uid",jti,cookieMaxAge,false);
到这里,用户就登录成功了提示用户,也可以跳转相关页面.
4.访问受保护的资源
这时用户就能够访问我们受保护的资源了,用户会发起请求路径到相关服务层,会经过网关过滤器,不是登录请求不放行,然后校验cookie中有没有短令牌,如果有判断redis中有没有存储jwt令牌信息(存在过期),不满足条件返回401权限不足: return response.setComplete();
都满足条件,对这次用户请求头进行增强操作:
//4.对当前的请求对象进行增强,让它会携带令牌的信息
request.mutate().header("Authorization","Bearer "+jwt);
return chain.filter(exchange);
用户请求到达服务层后,认证服务会自动对jwt令牌进行校验解析,解析通过后访问被保护的资源,
解析不通过返回权限不足错误.
