使用 Spring Security OAuth2 实现 SSO 单点登录（传统技术栈）-工具盒子

1、概览 {#1概览}

本文将带你了解如何使用 Spring Security OAuth 和 Spring Boot 实现单点登录（SSO）。

我们会使用三个不同的应用：

授权服务器 - 中央认证机制
两个客户端应用：使用 SSO 的应用

简单来说，当用户试图访问客户端应用中受保护的页面时，他们会被重定向到过身份认证服务器进行身份验。使用 OAuth2 的 "授权码（Authorization Code）模式"。

注：本文使用的是 Spring OAuth 传统技术。如果你想查看新版 Spring Security 的版本，请参阅《使用 Spring Security OAuth2 实现 SSO 单点登录》。

2、客户端应用 {#2客户端应用}

从客户端应用开始。当然，使用 Spring Boot 构建。

2.1、Maven 依赖 {#21maven-依赖}

在 pom.xml 中加入以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.0.1.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>

2.2、Security 配置 {#22security-配置}

接下来是最重要的部分，即客户端应用的 Security 配置：

@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
          .authorizeRequests()
          .antMatchers("/", "/login**")
          .permitAll()
          .anyRequest()
          .authenticated();
    }
}

该配置的核心部分是用来启用单点登录的 @EnableOAuth2Sso 注解。

注意，需要继承 WebSecurityConfigurerAdapter，否则，所有路径都将会到保护，因此用户在尝试访问任何页面时都将被重定向到登录页面。在本例中，只有主页（index）和登录页（login）可以在没有身份认证的情况下访问。

最后，还定义了一个 RequestContextListener Bean 来处理 Requests Scope。

添加 application.yml：

server:
    port: 8082
    servlet:
        context-path: /ui
    session:
      cookie:
        name: UISESSION
security:
  basic:
    enabled: false
  oauth2:
    client:
      clientId: SampleClientId
      clientSecret: secret
      accessTokenUri: http://localhost:8081/auth/oauth/token
      userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
    resource:
      userInfoUri: http://localhost:8081/auth/user/me
spring:
  thymeleaf:
    cache: false

简要说明：

禁用了默认的 Basic Authentication
accessTokenUri 是获取 Access Token 的 URI
userAuthorizationUri 是用户将被重定向到的授权 URI
userInfoUri 是用于获取当前用户详细信息的用户端点的 URI

还要注意的是，在本例中，配置的授权服务器也可以使用其他第三方提供商，如 Facebook 或 GitHub 来代替。

2.3、前端 {#23前端}

现在，来看看客户端应用的前端配置。使用 thymeleaf 模板引擎。

非常简单，index.html 如下：

<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>

securedPage.html 如下：

<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>

securedPage.html 页面需要用户通过身份认证。如果未通过身份认证的用户试图访问 securedPage.html，则会被重定向到登录页面。

3、授权服务器 {#3授权服务器}

现在，创建授权服务器。

3.1、Maven 依赖 {#31maven-依赖}

首先，在 pom.xml 中定义依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.3.RELEASE</version>
</dependency>

3.2、OAuth 配置 {#32oauth-配置}

注意，这里我们把授权服务器和资源服务器作为一个可部署的单元，同时运行。

首先是资源服务器，同时也是 main 程序：

@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
    public static void main(String[] args) {
        SpringApplication.run(AuthorizationServerApplication.class, args);
    }
}

然后，配置授权服务器：

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    
    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    @Override
    public void configure(
      AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()")
          .checkTokenAccess("isAuthenticated()");
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
          .withClient("SampleClientId")
          .secret(passwordEncoder.encode("secret"))
          .authorizedGrantTypes("authorization_code")
          .scopes("user_info")
          .autoApprove(true) 
          .redirectUris(
            "http://localhost:8082/ui/login","http://localhost:8083/ui2/login"); 
    }
}

注意，只启用了一个使用 authorization_code （授权码模式）的简单客户端。

此外，autoApprove 设置为 true，这样就不会被重定向并需要手动批准任何 scope。

3.3、Security 配置 {#33security-配置}

首先，通过 application.properties 禁用默认的 Basic Authentication：

server.port=8081
server.servlet.context-path=/auth

然后，进入配置，定义一个简单的表单登录：

@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers()
          .antMatchers("/login", "/oauth/authorize")
          .and()
          .authorizeRequests()
          .anyRequest().authenticated()
          .and()
          .formLogin().permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("john")
            .password(passwordEncoder().encode("123"))
            .roles("USER");
    }
    
    @Bean 
    public BCryptPasswordEncoder passwordEncoder(){ 
        return new BCryptPasswordEncoder(); 
    }
}

这里使用的是简单的内存认证，也可以用自定义的 userDetailsService 进行替换。

3.4、User 端点 {#34user-端点}

最后，创建之前在配置中使用的用户端点：

@RestController
public class UserController {
    @GetMapping("/user/me")
    public Principal user(Principal principal) {
        return principal;
    }
}

该端点以 JSON 的形式返回用户数据。