现在可以访问我们的认证服务器,应用我们已经配置好了。
下面配置让用户可以访问我的认证服务器。再来重写一个方法。
EndpointConfigure端点的配置。
authenticationManager用来校验,我们传进来的用户信息是不是合法的
authenticationManager那么它从哪来呢?注入进来。
单独写一个类来配置。
继承这个类 WebSecurityConfigurerAdapter, 这是web应用的安全配置的适配器。
同样在上面要写两个注解,@EnableWebSecurity让安全配置生效。
在这里就是要配置AuthenticationManager,让认证服务器知道用AuthenticationManager识别我的用户,是否是有效的用户。重写覆盖相应的方法。
参数是AuthenticationManagerBuilder它就是用来帮我们构建 AuthenticationManager的
、
要构建AuthenticationManager 需要两个东西,第一是userDetailService
注入进来。这些都是SpringSecurity里面定义的接口。
、
来看下UserDetailsService
里面只有一个方法叫做loadUserByUserName。这个方法的作用就是通过用户名来获取详细的用户信息。一般情况下这个接口的实现类需要我们自己去写。在实现类里面通过去查询数据库拿着这个用户名。查出相关的用户信息来。
如果查不到用户,就抛出UsernameNotFundException
查询的用户信息封装到一个对象里面。这个对象需要实现 UserDetails接口。
下面来看下AuthenticationManager这个接口。
AuthenticationManager这个接口。也只有一个方法
参数Authenticaiton封装的认证的信息。不同的认证方式发的信息不一样。比如说用户名密码的认证就要发用户名和密码,如果是Oauth协议就要发cientId、 ClientSecret。
不同的认证方式会有不同的Authentication接口的实现。
以上两个接口都是Spring Security框架内提供的 ,刚帮我们完成用户的认证的过程。这门课主要讲怎么去用这个东西,怎么组合起来去解决实际应用中的问题。如果想要了解底层原理 可以去看另外一门课。
passwordEncoder直接声明了. 下面直接调用这个方法。
注意这里只是配置了AuthenticationManager,怎么来组装AuthenticationManager 并没有暴露成一个Spring的Bean。还需要再写一步,覆盖掉authenticationManangerBean这个方法
这个方法就是专门用来给你暴露AuthenticationManager 的
可以看一下源码,用了一个委托,传了一个authenticationBuilder过去。
参数builder是我们在这里配置的
这样我们在认证服务里面注入的 AuthenticationManager就是我刚才暴露出来的Bean
同样的注入的passwordEncoder也是这里配置的。
还缺一个组件就是这个UserDetailsService
创建UserDetailsService
userDetialsSercice是用来根据用户名获取用户的详细信息的
继承UserDetailsService的接口。
加上注解@Component
理论上这里应该是要去读取数据库的,这里我们为了简单的演示,先把用户的信息写死,。
为了方便我们写代码,Spring也提供了一些工具类。它来帮助我们构建用户信息
UserDetails是一个接口,它用来封装Spring Security所需要的用户信息。
withUserName的返回是是一个UserBuilder
真正的业务场景下,这里一定是要读数据库的。数据库里面 拿出来的密码一定是密文的。所以这里把密码加密后设置到这个密码里。
这个人拥有的权限,可以理解为一种角色。这就是构建用户所必需的的三个属性。用户名、密码、权限、
三个都设置好后,调用build方法。他就会用这些信息构建出用户信息返回回去。
我们在做测试的时候,用户名是什么无所谓,。但是密码一定要是 123456
这里是合法的应用信息
最后一个配置
最后一个问题订单服务去找认证服务,验证令牌。认证服务器这里需要做一个配置。就是谁能找我验这个令牌。或者说验这个令牌 需要什么样的条件。
重写AuthorizationServerSecurityConfigurer的配置
用来检查token的这个服务的访问规则,
这里我们直接写一个权限表达式。表示验证token 一定是要带着身份认证的,也就是带着用户名和密码
用户名要是oderApp 面是123456 或者 用户名是orderService密码是123456。必须要带着些信息来验证你的token,我才给你验。如果你随便发一个请求来验证token,不能验。
启动测试
启动认证服务
获取token发post请求
同时要携带一些信息。用httpBasic传递,哪个应用要申请令牌。这样他就知道是orderApp这各应用去申请令牌。
再加一个授权类型,这个接口上支持四中授权类型
scope我希望在这个令牌里面包含什么样的权限。希望这个令牌里 包含读写的权限。注意这里用空格隔开,
可以写的单词一定是在scopes这里声明过的单词。
fly是scopes里面没有声明过的
如果密码故意写错
无效的授权。 错误的证书。
如果basic的信息传错了。
就会要求你重新填这个用户名密码。 一定要填正确了 才可以。
这就是用password这种方式,申请令牌的标准的请求,。