Spring Security OAuth2.0(18):资源服务测试
本章代码已分享至Gitee:https://gitee.com/lengcz/distributed-security01.git
文章目录
- 资源服务器配置
- 编写资源
- 配置资源服务
- 验证token
- 添加安全访问控制
- 查看令牌权限
- 问题
资源服务器配置
@EnableResourceServer注解到一个@Configuration配置类上,并且必须使用ResourceServerConfigurer这个配置对象来进行配置(可以选择继承自ResourceServerConfigurerAdapter然后覆写其中的方法,参数就是这个对象的实例),下面是一些可以配置的属性:
ResourceServerSecurityConfigurer中主要包括:
- tokenServices: ResourceServerTokenServices类的实例,用来实现令牌服务。
- tokenStore:TokenStore类的实例,指定令牌如何访问,与tokenServices配置可选
- resourceId:这个资源服务的ID,这个属性是可选的,但是推荐设置并在授权服务中进行验证。
- 其他的扩展属性例如tokenExtrator令牌提取器用来提取请求中的令牌。
HttpSecurity配置这个与Spring Security 类似:
- 请求匹配器,用来设置需要进行保护的资源路径,默认的情况下是保护资源服务的全部路径。
- 通过http.authorizeRequests()来设置受保护的访问规则
- 其他的自定义权限保护规则通过HttpSecurity来进行配置。
@EnableResourceServer 注解自动增加了一个类型为OAuth2AuthenticationProcessingFilter的过滤器链。
编写资源
在order模块下创一个资源
@RestControllerpublicclassOrderController{@GetMapping("r1")@PreAuthorize("hasAnyAuthority('p1')")// 拥有p1权限可以访问此资源publicStringr1(){return"资源1";}}配置资源服务
在order模块下,创建配置 ResourceServerConfig
packagecom.it2.security.distributed.order.config;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.http.SessionCreationPolicy;importorg.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;importorg.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;importorg.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;importorg.springframework.security.oauth2.provider.token.RemoteTokenServices;importorg.springframework.security.oauth2.provider.token.ResourceServerTokenServices;@Configuration@EnableResourceServerpublicclassResourceServerConfigextendsResourceServerConfigurerAdapter{publicstaticfinalStringRESOURCE_ID="res1";@Overridepublicvoidconfigure(ResourceServerSecurityConfigurerresources)throwsException{resources.resourceId(RESOURCE_ID)//资源id.tokenServices(tokenService())//验证令牌的服务.stateless(true);}@Overridepublicvoidconfigure(HttpSecurityhttp)throwsException{http.authorizeRequests().antMatchers("/**").access("#oauth2.hasScope('all')").and().csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);}}验证token
ResourceServerTokenServices 是组成授权服务的另一半,如果你的授权服务器和资源服务在同一个应用程序的话,你可以使用DefaultTokenServices,这样的话,你就不用考虑关于实现所有必要接口的接口的一致性问题。如果你的资源服务器是分离开的,那么你就需必须确保能够有匹配授权服务提供的ResourceServerTokenServices,它知道如何对令牌进行解码。
令牌解析方法:
使用DefaultTokenServices 在资源服务器本地配置令牌存储,解码,解析方式
使用RemoteTokenServices 资源服务器通过HTTP 请求来解码令牌,每次都请求授权服务器端点/oauth/check_token
使用授权服务的/oauth/check_token 端点你需要在授权服务将这个端点暴露出去,以便资源服务可以进行访问,这在授权服务配置中提到过,下面是一个例子,已经在授权中配置了 /oauth/check_token和/oauth/token_key这两个端点
@Overridepublicvoidconfigure(AuthorizationServerSecurityConfigurersecurity)throwsException{security.tokenKeyAccess("permitAll()")//oauth/token_key 公开.checkTokenAccess("permitAll()")//oauth/check_token 公开.allowFormAuthenticationForClients();//表单认证,申请令牌}添加安全访问控制
*必须配置HttpSecurity ,否则会导致没有该资源权限也能访问。
在order的config下添加安全访问控制
importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true)//开启不同的方法权限注解publicclassWebSecurityConfigextendsWebSecurityConfigurerAdapter{//配置安全拦截机制protectedvoidconfigure(HttpSecuritysecurity)throwsException{security.csrf().disable().authorizeRequests().antMatchers("/r/**").authenticated()//所有的/r/**的请求必须认证通过.anyRequest().permitAll();//除此之外的请求,都可以访问}}查看令牌权限
http://localhost:53020/uaa/oauth/check_token
问题
这种方式的缺点:每次请求进行鉴权时,都需要请求远程接口,请求量大时,这种网络请求将会占用大量网络资源。
