认证授权需求概要

功能需求

基于开发平台的业务背景需要实现以下功能：

• 系统管理员登录平台,配置平台参数。
• 商户注册及授权登录。
• 商户客户端注册及授权。

非功能需求

• 资源授权访问支持网络隔离及非网络隔离两种模式。
• 实现JWT及Redis缓存两类授权实现方式。

认证授权概要设计

功能概要设计

基于springsecurity+oauth2协议实现。

attach_159999d42daab5dc.jpg

认证

• 开放平台管理后台针对管理员做用户密码模式认证。
• 开放平台门户基于用户密码模式或手机验证码模式认证。
• 商户客户端基于客户端做认证。
• 其它模式待需要时扩展。

授权

• 平台管理应用基于定义义模式授权。
• 平台门户基于定义义模式授权。
• 商户应用基于客户端模式授权。

• 第三方应用基于授权码模式实现授权。

  
  attach_1595e3846b1d0bcc.jpg

• 其它模式待需要时扩展。

认证授权工程设计

uaa

uaa用于实现商户认证与授权的相关API

attach_15980ac82eaed720.png

auth-client-spring-boot-start

为了实现网络隔离的兼容性，及授权认证方式的配置切换。将与资源服务器相关的授权配置及授权方式的配置,基于spring-boot技术封装成一个组件，方便配置与开发。

attach_15980afd04f50834.png

详细设计

attach_15999a5a49c3cb4c.jpg

接口设计

• 开放平台管理后台针对管理员做用户密码模式认证。

      `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
      `POST /api-uaa/oauth/user/token?username={username}&password={password}&validCode={validCode}&deviceId={deviceId}`

• 开放平台门户基于用户密码模式或手机验证码模式认证。

     `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
     `POST /api-uaa/oauth/mobile/token?mobile={mobile}&password={password}`

• 商户客户端基于客户端做认证。

     `Header`
     `Authorization:Basic base64加密({clientId}:{clientSecret})`
      `POST /api-uaa/oauth/token?grant_type=client_credentials&scope={scope}`

token格式

 `{`
 `"user_name":  "admin",`
 `"role":  "ADMIN",`
 `"scope":  [`
 `"app"`
 `],`
 `"exp":  1556459175,`
 `"authorities":  [`
 `"ADMIN"`
  `],`
  `"jti":  "7268f3d9-452e-490d-9b6f-c55e4c95914e",`
  `"client_id":  "webApp"`
  `}`

网关访问服务的Header信息

  `RequestContext ctx =  RequestContext.getCurrentContext();`
  `ctx.addZuulRequestHeader(SecurityConstants.USER_HEADER, userInfo);`
  `ctx.addZuulRequestHeader(SecurityConstants.ROLE_HEADER,  CollectionUtil.join(authentication.getAuthorities(),  ","));`

服务设计

attach_1599cda4ecebab8c.png

模型设计

attach_1599cec2c6a3882c.jpg

非功能概要设计

• 网络隔离兼容
  如果在网络隔离的情况下，资源服务器就是网关。所有服务的访问都需要通过网关路由。

  
  attach_15980a103274cc24.png

  如果在非网络隔离的情况下，所有微服务都是资源服务器，都需要配置资源权限逻辑。

  
  attach_15980a1232678bfc.png

• 授权认证方式兼容
  如果是基于jwt实现认证授权，只需要生成非对称加密的公私钥，将私钥放于授权服务器加密。
  在资源服务器端使用公钥对密文解密及完成鉴权的过程。

  
  attach_15980a103274cc24 (1).png

如果是基于Reids缓存实现认证授权，需要将令牌令牌缓存到分布式缓存服务器中，实现授权服务器与资源服务器对令牌信息的共享。

attach_15980a607b4f69a4.png

部分源码分析

功能介绍:

 `本公共模块主要是封装security client端的通用逻辑`
 `1.DefaultResourceServerConf:`
   `a.本类是封装了资源服务配置的基础功能，在网关和授权微服务实现资源服务功能继承该类；`
   `b.配置了同目录下DefaultSecurityHandlerConfig封装的未登录，oauth处理失败等情况的处理办法；`
   `c.实现了token存储办法，url权限控制等基础方法；`
 `2.TokenStoreConfig：`
   `a.读取配置文件token存储方式：db,redis,authJwt,resJwt；`
   `b.com.hxhealth.oauth2.common.store包下是token各个存储方式的具体实现方法，若需拓展某存储功能可扩展对应类；`
 `3.SecurityProperties：`
    `a.通过配置文件读取认证配置，放权白名单url，验证码配置；`
    `b.同目录下AuthProperties，PermitProperties，ValidateCodeProperties是具体实现；`
  `4.IPermissionService：`
    `a.权限判断的基类，资源服务必须根据具体情况实现；`
  `5.AuthUtils：`
    `a.工具类-请求token以及header处理方法；`

模块使用：

  `1.平台网关(zuul-gateway)和授权服务(uaa)使用了该公共模块；`
  `2.配置资源服务时需继承DefaultResourceServerConf；
     @EnableConfigurationProperties(SecurityProperties.class)导入认证相关配置；`
    `@Import(TokenStoreConfig.class)导入token处理的配置；然后定制相应功能；`