认证授权需求概要

功能需求

基于开发平台的业务背景需要实现以下功能：

• 系统管理员登录平台,配置平台参数。
• 商户注册及授权登录。
• 商户客户端注册及授权。

非功能需求

• 资源授权访问支持网络隔离及非网络隔离两种模式。
• 实现JWT及Redis缓存两类授权实现方式。

认证授权概要设计

功能概要设计

基于springsecurity+oauth2协议实现。

image.png

认证

• 开放平台管理后台针对管理员做用户密码模式认证。
• 开放平台门户基于用户密码模式或手机验证码模式认证。
• 商户客户端基于客户端做认证。
• 其它模式待需要时扩展。

授权

• 平台管理应用基于定义义模式授权。

• 平台门户基于定义义模式授权。

• 商户应用基于客户端模式授权。

• 第三方应用基于授权码模式实现授权。

• 其它模式待需要时扩展。

认证授权工程设计

uaa

uaa用于实现商户认证与授权的相关API

2.jpg

auth-client-spring-boot-start

为了实现网络隔离的兼容性，及授权认证方式的配置切换。将与资源服务器相关的授权配置及授权方式的配置,基于spring-boot技术封装成一个组件，方便配置与开发。

3.png

详细设计

attach_15999a5a49c3cb4c (1).jpg

接口设计

• 开放平台管理后台针对管理员做用户密码模式认证。

Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/user/token?username={username}&password={password}&validCode={validCode}&deviceId={deviceId}

• 开放平台门户基于用户密码模式或手机验证码模式认证。

Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/mobile/token?mobile={mobile}&password={password}

• 商户客户端基于客户端做认证。

Header
Authorization:Basic base64加密({clientId}:{clientSecret})
POST /api-uaa/oauth/token?grant_type=client_credentials&scope={scope}

token格式

{
  "user_name": "admin",
  "role": "ADMIN",
  "scope": [
    "app"
  ],
  "exp": 1556459175,
  "authorities": [
    "ADMIN"
  ],
  "jti": "7268f3d9-452e-490d-9b6f-c55e4c95914e",
  "client_id": "webApp"
}

网关访问服务的Header信息

            RequestContext ctx = RequestContext.getCurrentContext();
            ctx.addZuulRequestHeader(SecurityConstants.USER_HEADER, userInfo);
            ctx.addZuulRequestHeader(SecurityConstants.ROLE_HEADER, CollectionUtil.join(authentication.getAuthorities(), ","));

服务设计

attach_1599cda4ecebab8c (1).png

模型设计

attach_1599cec2c6a3882c (1).jpg

非功能概要设计

• 网络隔离兼容
  如果在网络隔离的情况下，资源服务器就是网关。所有服务的访问都需要通过网关路由。

  
  image

如果在非网络隔离的情况下，所有微服务都是资源服务器，都需要配置资源权限逻辑。

attach_15980a1232678bfc (1).png

• 授权认证方式兼容
  如果是基于jwt实现认证授权，只需要生成非对称加密的公私钥，将私钥放于授权服务器加密。
  在资源服务器端使用公钥对密文解密及完成鉴权的过程。

  
  x.png

如果是基于Reids缓存实现认证授权，需要将令牌令牌缓存到分布式缓存服务器中，实现授权服务器与资源服务器对令牌信息的共享。

attach_15980a607b4f69a4 (1).png

部分源码分析

功能介绍:

本公共模块主要是封装security client端的通用逻辑
1.DefaultResourceServerConf:
    a.本类是封装了资源服务配置的基础功能，在网关和授权微服务实现资源服务功能继承该类；
    b.配置了同目录下DefaultSecurityHandlerConfig封装的未登录，oauth处理失败等情况的处理办法；
    c.实现了token存储办法，url权限控制等基础方法；
2.TokenStoreConfig：
    a.读取配置文件token存储方式：db,redis,authJwt,resJwt；
    b.com.hxhealth.oauth2.common.store包下是token各个存储方式的具体实现方法，若需拓展某存储功能可扩展对应类；
3.SecurityProperties：
    a.通过配置文件读取认证配置，放权白名单url，验证码配置；
    b.同目录下AuthProperties，PermitProperties，ValidateCodeProperties是具体实现；
4.IPermissionService：
    a.权限判断的基类，资源服务必须根据具体情况实现；
5.AuthUtils：
    a.工具类-请求token以及header处理方法；

模块使用：

1.平台网关(zuul-gateway)和授权服务(uaa)使用了该公共模块；
2.配置资源服务时需继承DefaultResourceServerConf；@EnableConfigurationProperties(SecurityProperties.class)导入认证相关配置；
@Import(TokenStoreConfig.class)导入token处理的配置；然后定制相应功能；