背景分析

传统的登录系统中，每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可，各站点需要逐一手工登录。例如：

这样的系统，我们又称之为多点登陆系统。应用起来相对繁琐（每次访问资源服务都需要重新登陆认证和授权）。与此同时，系统代码的重复也比较高。由此单点登陆系统诞生。

单点登陆系统

单点登录，英文是 Single Sign On（缩写为 SSO）。即多个站点共用一台认证授权服务器，用户在其中任何一个站点登录后，可以免登录访问其他所有站点。而且，各站点间可以通过该登录状态直接交互。例如：

快速入门实践

工程结构如下

基于资源服务工程添加单点登陆认证和授权服务，工程结构定义如下：

创建认证授权工程

添加项目依赖

构建项目配置文件

在sca-auth工程中创建bootstrap.yml文件，例如：

添加项目启动类

启动并访问项目

项目启动时，系统会默认生成一个登陆密码，例如：

其中，默认用户名为user，密码为系统启动时，在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面（因为没有定义登陆页面，所以会出现404）：

自定义登陆逻辑

业务描述

我们的单点登录系统最终会按照如下结构进行设计和实现,例如:

我们在实现登录时,会在UI工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号，登陆密码,将请求提交给***,然后***将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现

定义安全配置类

修改SecurityConfig配置类,添加登录成功或失败的处理逻辑,例如:

定义用户信息处理对象

在spring security应用中底层会借助UserDetailService对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如:

***中登陆路由配置

在***配置文件中添加登录路由配置,例如

基于Post***n进行访问测试

启动sca-gateway，sca-auth服务，然后基于post***n访问***,执行登录测试，例如：

自定义登陆页面

在sca-resource-ui工程的static目录中定义登陆页面，例如：

启动sca-resource-ui服务后，进入登陆页面，输入用户名jack,密码123456进行登陆测试。

颁发登陆成功令牌

构建令牌配置对象

本次我们借助JWT(Json Web Token-是一种json格式）方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.

定义认证授权核心配置

第一步：在SecurityConfig中添加如下方法（创建认证管理器对象，后面授权服务器会用到）：

第二步：所有零件准备好了开始拼装最后的主体部分，这个主体部分就是授权服务器的核心配置

配置***认证的URL

Post***n访问测试

第一步：启动服务
依次启动sca-auth服务，sca-resource-gateway服务。

第二步：检测sca-auth服务控制台的Endpoints信息，例如:

第三步：打开post***n进行登陆访问测试

登陆页面登陆方法设计

登陆成功以后，将token存储到localStorage中,修改登录页面的doLogin方法,例如

资源服务器配置

添加依赖

打开资源服务的pom.xml文件，添加oauth2依赖。

令牌处理器配置

资源服务令牌解析配置

资源服务令牌解析配置

ResourceController 方法配置

在controller的上传方法上添加 @PreAuthorize(“hasAuthority(‘sys:res:create’)”)注解，用于告诉底层框架方法此方法需要具备的权限，例如

启动服务访问测试

第一步:启动服务（sca-auth,sca-resource-gateway,sca-resource)第二步:执行登陆获取access_token令牌第三步:携带令牌访问资源(url中的前缀”sca”是在资源服务器中自己指定的,你的***怎么配置的,你就怎么写)

设置请求头(header)，要携带令牌并指定请求的内容类型，例如

设置请求体(body)，设置form-data，key要求为file类型，参数名与你服务端controller文件上传方法的参数名相同，值为你选择的文件，例如

上传成功会显示你访问文件需要的路径，假如没有权限会提示你没有访问权限。

文件上传JS方法设计

技术摘要应用实践说明

背景分析

企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如Spring Security,Apache shiro，JWT，Oauth2等技术诞生了.

Spring Security 技术

Spring Security 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制，正在逐步的转向Spring Security。Spring Security 在企业中实现认证和授权业务时,底层构建了大量的过滤器，如图所示：

图中绿色部分为认证过滤器,***部分为授权过滤器。Spring Security就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.

Jwt 数据规范

JWT(JSON WEB Token)是一个标准，采用数据自包含方式进行json格式数据设计，实现各方安全的信息传输，其官方网址为：https://jwt.io/。官方JWT规范定义，它构成有三部分，分别为Header(头部)，Payload(负载)，Signature(签名),其格式如下：

Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（简写HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。最后，将这个 JSON 对象使用 Base***URL 算法（详见后文）转成字符串。

Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT规范中规定了7个官方字段，供选用。

iss (issuer)：签发人exp (expiration time)：过期时间sub (subject)：主题aud (au***nce)：受众nbf (Not Before)：生效时间iat (Issued At)：签发时间jti (JWT ID)：编号除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。

注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base***URL 算法转成字符串。

Signature部分

Signature 部分是对前两部分的签名，其目的是防止数据被篡改。

首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。

算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用”点”（.）分隔，就可以返回给用户。

Oauth2规范

oauth2定义了一种认证授权协议，一种规范，此规范中定义了四种类型的角色：

1)资源有者(User)

2)认证授权服务器(jt-auth)

3)资源服务器(jt-resource)

4)客户端应用(jt-ui)

同时，在这种协议中规定了认证授权时的几种模式：

1)密码模式 (基于用户名和密码进行认证)

2)授权码模式(就是我们说的三方认证：QQ，微信，微博，。。。。)

3)…

总结（Sum***ry）

重难点分析

单点登陆系统的设计架构（微服务架构）服务的设计及划分(资源服务器，认证服务器，***服务器，客户端服务）认证及资源访问的流程(资源访问时要先认证再访问)认证和授权时的一些关键技术(Spring Security,Jwt,Oauth2)

FAQ 分析

为什么要单点登陆（分布式系统，再访问不同服务资源时，不要总是要登陆，进而改善用户体验）单点登陆解决方案？(市场常用两种: spring security+jwt+oauth2,spring securit+redis+oauth2)Spring Security 是什么？（spring框架中的一个安全默认，实现了认证和授权操作）JWT是什么？（一种令牌格式，一种令牌规范，通过对JSON数据采用一定的编码，加密进行令牌设计）OAuth2是什么？（一种认证和授权规范，定义了单点登陆中服务的划分方式，认证的相关类型）

…

Bug 分析

401 : 访问资源时没有认证。403 : 访问资源时没有权限。404：访问的资源找不到（一定要检查你访问资源的url）405: 请求方式不匹配（客户端请求方式是GET，服务端处理请求是Post就是这个问题）500: 不看后台无法解决？（error,warn）…