SpringCloud微服务架构_Java_Mr_Jin_springcloud微服务架构

irpas 02-07 1743

什么是微服务

微服务架构的基础是将的那个应用程序开发为一组小型独立服务，这些独立服务在自己的进程中运行，独立开发和部署。

SpringCloud Alibaba微服务：

Spring Cloud Alibaba 是Spring Cloud的一个子项目，致力于提供微服务开发的一站式解决方案。此项目包含开发分布式应用微服务的必需组件，方便开发者通过 Spring Cloud 编程模型轻松使用这些组件来开发分布式应用服务。依托 Spring Cloud Alibaba，您只需要添加一些注解和少量配置，就可以将 Spring Cloud 应用接入阿里微服务解决方案，通过阿里中间件来迅速搭建分布式应用系统。

核心组件

服务限流降级：

默认支持WebServlet、OpenFeign、RestTemplate、Spring Cloud GateWay、RocketMQ限流降级功能的接入，可以在运行时通过控制台实时修改限流降级规则，还支持查看限流降级Metrics监控

服务注册与发现：

基于Spring Cloud服务注册与发现标准，借助Nacos进行实现，默认还继集成了Ribbon支持

分布式配置管理：

基于Nacos支持分布式系统中的外部化配置，配置更改时自动刷新

消息驱动能力：

基于spring Cloud Stream为微服务应用构建消息驱动能力

分布式事务：

使用@GlobalTransactional注解，高效并且对业务零侵入地解决分布式事务问题

分布式任务调度：提供秒级、精准、高可靠、高可用的定时（基于 Cron 表达式）任务调度服务。同时提供分布式的任务执行模型，如网格任务。网格任务支持海量子任务均匀分配到所有 Worker上执行。

IVProjects (工作区/空项目) ├── 01-sca ? //(微服务父工程) ? ? ?├── sca-provider ? ? ? ? ? ?//服务提供方法 ? ? ?├── sca-consumer ? ? ? ? //服务消费方法 ? ? ?├── sca-gateway ? ? ? ? ? ?//网关服务

相关配置：

一：配置JDK编译环境

聚合工程在编译时，需要对相关依赖的工程进行一起编译，所以要做一些配置

?指定JDK编译版本：

?配置工作区中项目编码方式

?第二步：配置项目pom.xml文件

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://·piler.source>8</maven.compiler.source> <maven.compiler.target>8</maven.compiler.target> </properties> -->   <dependencyManagement> <dependencies>  <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-dependencies</artifactId> <version>2.3.2.RELEASE</version> <type>pom</type> <scope>import</scope> </dependency>  <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-dependencies</artifactId> <version>Hoxton.SR9</version> <type>pom</type> <scope>import</scope> </dependency>  <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-alibaba-dependencies</artifactId> <version>2.2.6.RELEASE</version> <type>pom</type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement>  <dependencies>  <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <scope>provided</scope> </dependency>  <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.jupiter</groupId> <artifactId>junit-jupiter-engine</artifactId> </exclusion> </exclusions> </dependency>  </dependencies>  <build> <plugins>  <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId>  <version>3.8.1</version> <configuration> <source>8</source> <target>8</target> </configuration> </plugin> </plugins> </build> </project>

其中，服务核心依赖版本可参考如下网址（涉及到一个兼容性问题，不能随意指定其版本）：

https://github.com/alibaba/spring-cloud-alibaba/wiki/%E7%89%88%E6%9C%AC%E8%AF%B4%E6%98%8E

nacos、sentinel、gateway请去看其他笔记

单点登录系统（sso）:

单点登陆系统单点登录，英文是 Single Sign On（缩写为 SSO）。即多个站点共用一台认证授权服务器，用户在其中任何一个站点登录后，可以免登录访问其他所有站点。而且，各站点间可以通过该登录状态直接交互。例如：

创建认证授权工程添加项目依赖

? <dependency> ? ? ? ? <groupId>org.springframework.boot</groupId> ? ? ? ? <artifactId>spring-boot-starter-web</artifactId> ? ? </dependency> ? ? <dependency> ? ? ? ? <groupId>org.springframework.cloud</groupId> ? ? ? ? <artifactId>spring-cloud-starter-oauth2</artifactId> ? ? </dependency> ? ? <dependency> ? ? ? ? <groupId>com.alibaba.cloud</groupId> ? ? ? ? <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> ? ? </dependency> ? ? <dependency> ? ? ? ? <groupId>com.alibaba.cloud</groupId> ? ? ? ? <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId> ? ? </dependency>

构建项目配置文件在sca-auth工程中创建bootstrap.yml文件，例如：

server: ? port: 8071 spring: ? application: ? ? name: sca-auth ? cloud: ? ? nacos: ? ? ? discovery: ? ? ? ? server-addr: localhost:8848 ? ? ? config: ? ? ? ? server-addr: localhost:8848

添加项目启动类

package com.jt; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class ResourceAuthApplication { ? ? public static void main(String[] args) { ? ? ? ? SpringApplication.run(ResourceAuthApplication.class, args); ? ? } }

自定义登陆逻辑业务描述

我们的单点登录系统最终会按照如下结构进行设计和实现,例如:

我们在实现登录时,会在UI工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号，登陆密码,将请求提交给网关,然后网关将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现

定义安全配置类修改SecurityConfig配置类,添加登录成功或失败的处理逻辑,例如:

package com.jt.auth.config; import org.codehaus.jackson.map.ObjectMapper; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.core.Authentication; import org.springframework.security.core.AuthenticationException; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.authentication.AuthenticationFailureHandler; import org.springframework.security.web.authentication.AuthenticationSuccessHandler; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map; /** ?* spring security 配置类,此类中要配置: ?* 1)加密对象 ?* 2)配置认证规则 ?* 当我们在执行登录操作时,底层逻辑(了解): ?* 1)Filter(过滤器) ?* 2)AuthenticationManager (认证管理器) ?* 3)AuthenticationProvider(认证服务处理器) ?* 4)UserDetailsService(负责用户信息的获取及封装) ?*/ @Configuration public class SecurityConfig ? ? ? ? extends WebSecurityConfigurerAdapter { ? ? //初始化加密对象 ? ? //此对象提供了一种不可逆的加密方式,相对于md5方式会更加安全 ? ? @Bean ? ? public BCryptPasswordEncoder passwordEncoder(){ ? ? ? ? return new BCryptPasswordEncoder(); ? ? } ? ?? ? ? /**配置认证规则*/ ? ? @Override ? ? protected void configure(HttpSecurity http) ? ? ? ? ? ? throws Exception { ? ? ? ? //super.configure(http);//默认所有请求都要认证 ? ? ? ? //1.禁用跨域攻击(先这么写，不写会报403异常) ? ? ? ? http.csrf().disable(); ? ? ? ? //2.放行所有资源的访问(后续可以基于选择对资源进行认证和放行) ? ? ? ? http.authorizeRequests() ? ? ? ? ? ? ? ? .anyRequest().permitAll(); ? ? ? ? //3.自定义定义登录成功和失败以后的处理逻辑(可选) ? ? ? ? //假如没有如下设置登录成功会显示404 ? ? ? ? http.formLogin()//这句话会对外暴露一个登录路径/login ? ? ? ? ? ? ? ? ?.successHandler(successHandler()) ? ? ? ? ? ? ? ? ?.failureHandler(failureHandler()); ? ? } ? ? //定义认证成功处理器 ? ? //登录成功以后返回json数据 ? ? @Bean ? ? public AuthenticationSuccessHandler successHandler(){ ? ? ?// ? ? ? ?return new AuthenticationSuccessHandler() { ? ? // ? ? ? ? ? ?@Override ? ?// ? ? ? ? ? ?public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse ? ? ? ? ? ? ?httpServletResponse, Authentication authentication) throws IOException, ServletException { ? // ? // ? ? ? ? ? ?} ? // ? ? ? ?}; ? ? ? ? ?//lambda ? ? ? ? ?return (request,response,authentication)->{ ? ? ? ? ? ? ?//构建map对象封装到要响应到客户端的数据 ? ? ? ? ? ? ?Map<String,Object> map=new HashMap<>(); ? ? ? ? ? ? ?map.put("state",200); ? ? ? ? ? ? ?map.put("message", "login ok"); ? ? ? ? ? ? ?//将map对象转换为json格式字符串并写到客户端 ? ? ? ? ? ? ?writeJsonToClient(response,map); ? ? ? ? ?}; ? ? } ? ? //定义登录失败处理器 ? ? @Bean ? ? public AuthenticationFailureHandler failureHandler(){ ? ? ? ? return (request,response,exception)->{ ? ? ? ? ? ? //构建map对象封装到要响应到客户端的数据 ? ? ? ? ? ? Map<String,Object> map=new HashMap<>(); ? ? ? ? ? ? map.put("state",500); ? ? ? ? ? ? map.put("message", "login error"); ? ? ? ? ? ? //将map对象转换为json格式字符串并写到客户端 ? ? ? ? ? ? writeJsonToClient(response,map); ? ? ? ? }; ? ? } ? ? private void writeJsonToClient( ? ? ? ? ? ? HttpServletResponse response, ? ? ? ? ? ? Map<String,Object> map) throws IOException { ? ? ? ? ?//将map对象,转换为json ? ? ? ? ? String json=new ObjectMapper().writeValueAsString(map); ? ? ? ? ? //设置响应数据的编码方式 ? ? ? ? ? response.setCharacterEncoding("utf-8"); ? ? ? ? ? //设置响应数据的类型 ? ? ? ? ? response.setContentType("application/json;charset=utf-8"); ? ? ? ? ? //将数据响应到客户端 ? ? ? ? ? PrintWriter out=response.getWriter(); ? ? ? ? ? out.println(json); ? ? ? ? ? out.flush(); ? ? } } 定义用户信息处理对象

在spring security应用中底层会借助UserDetailService对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如:

package com.jt.auth.service; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.stereotype.Service; import java.util.List; /** ?* 登录时用户信息的获取和封装会在此对象进行实现, ?* 在页面上点击登录按钮时,会调用这个对象的loadUserByUsername方法, ?* 页面上输入的用户名会传给这个方法的参数 ?*/ @Service public class UserDetailsServiceImpl implements UserDetailsService { ? ? @Autowired ? ? private BCryptPasswordEncoder passwordEncoder; ? ? //UserDetails用户封装用户信息(认证和权限信息) ? ? @Override ? ? public UserDetails loadUserByUsername(String username) ? ? ? ? ? ? throws UsernameNotFoundException { ? ? ? ? //1.基于用户名查询用户信息(用户名,用户状态,密码,....) ? ? ? ? //Userinfo userinfo=userMapper.selectUserByUsername(username); ? ? ? ? String encodedPassword=passwordEncoder.encode("123456"); ? ? ? ? //2.查询用户权限信息(后面会访问数据库) ? ? ? ? //这里先给几个假数据 ? ? ? ? List<GrantedAuthority> authorities = ? ? ? ? AuthorityUtils.createAuthorityList(//这里的权限信息先这么写,后面讲 ? ? ? ? ? ? ? ? "sys:res:create", "sys:res:retrieve"); ? ? ? ? //3.对用户信息进行封装 ? ? ? ? return new User(username,encodedPassword,authorities); ? ? } }

网关中登陆路由配置在网关配置文件中添加登录路由配置,例如

?- id: router02 ? ?uri: lb://sca-auth ?#lb表示负载均衡,底层默认使用ribbon实现 ? ?predicates: #定义请求规则(请求需要按照此规则设计) ? ? ? - Path=/auth/login/** #请求路径设计 ? ?filters: ? ? ? - StripPrefix=1 #转发之前去掉path中第一层路径

启动sca-gateway，sca-auth服务，然后基于postman访问网关,执行登录测试

自定义登陆页面在sca-resource-ui工程的static目录中定义登陆页面，例如：

<!doctype html> <html lang="en"> <head> ? ?  ? ? <meta charset="utf-8"> ? ? <meta name="viewport" content="width=device-width, initial-scale=1"> ? ?  ? ? <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-EVSTQN3/azprG1Anm3QDgpJLIm9Nao0Yz1ztcQTwFspd3yD65VohhpuuCOmLASjC" crossorigin="anonymous"> ? ? <title>login</title> </head> <body> <div class="container"id="app"> ? ? <h3>Please Login</h3> ? ? <form> ? ? ? ? <div class="mb-3"> ? ? ? ? ? ? <label for="usernameId" class="form-label">Username</label> ? ? ? ? ? ? <input type="text" v-model="username" class="form-control" id="usernameId" aria-describedby="emailHelp"> ? ? ? ? </div> ? ? ? ? <div class="mb-3"> ? ? ? ? ? ? <label for="passwordId" class="form-label">Password</label> ? ? ? ? ? ? <input type="password" v-model="password" class="form-control" id="passwordId"> ? ? ? ? </div> ? ? ? ? <button type="button" @click="doLogin()" class="btn btn-primary">Submit</button> ? ? </form> </div> <script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js" integrity="sha384-MrcW6ZMFYlzcLA8Nl+NtUVF0sA7MsXsP1UyJoMp4YLEuNSfAP+JcXn/tWtIaxVXM" crossorigin="anonymous"></script> <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script> <script src="https://unpkg.com/axios/dist/axios.min.js"></script> <script> ? ? var vm=new Vue({ ? ? ? ? el:"#app",//定义监控点，vue底层会基于此监控点在内存中构建dom树 ? ? ? ? data:{ //此对象中定义页面上要操作的数据 ? ? ? ? ? ? username:"", ? ? ? ? ? ? password:"" ? ? ? ? }, ? ? ? ? methods: {//此位置定义所有业务事件处理函数 ? ? ? ? ? ? doLogin() { ? ? ? ? ? ? ? ? //1.定义url ? ? ? ? ? ? ? ? let url = "http://localhost:9000/auth/login" ? ? ? ? ? ? ? ? //2.定义参数 ? ? ? ? ? ? ? ? let params = new URLSearchParams() ? ? ? ? ? ? ? ? params.append('username',this.username); ? ? ? ? ? ? ? ? params.append('password',this.password); ? ? ? ? ? ? ? ? //3.发送异步请求 ? ? ? ? ? ? ? ? axios.post(url, params).then((response) => { ? ? ? ? ? ? ? ? ? ? debugger ? ? ? ? ? ? ? ? ? ? let result=response.data; ? ? ? ? ? ? ? ? ? ? console.log(result); ? ? ? ? ? ? ? ? ? ? if (result.state == 200) { ? ? ? ? ? ? ? ? ? ? ? ? alert("login ok"); ? ? ? ? ? ? ? ? ? ? } else { ? ? ? ? ? ? ? ? ? ? ? ? alert(result.message); ? ? ? ? ? ? ? ? ? ? } ? ? ? ? ? ? ? ? }) ? ? ? ? ? ? } ? ? ? ? } ? ? }); </script> </body> </html>

启动sca-resource-ui服务后，进入登陆页面，输入用户名jack,密码123456进行登陆测试

颁发登陆成功令牌构建令牌配置对象

本次我们借助JWT(Json Web Token-是一种json格式）方式将用户相关信息进行组织和加密,并作为响应令牌(Token),从服务端响应到客户端,客户端接收到这个JWT令牌之后,将其保存在客户端(例如localStorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源. ?

package com.jt.auth.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore; /** * 在此配置类中配置令牌的生成，存储策略，验签方式(令牌合法性)。 */ @Configuration public class TokenConfig { /** * 配置令牌的存储策略,对于oauth2规范中提供了这样的几种策略 * 1)JdbcTokenStore(这里是要将token存储到关系型数据库) * 2)RedisTokenStore(这是要将token存储到redis数据库-key/value) * 3)JwtTokenStore(这里是将产生的token信息存储客户端，并且token * 中可以以自包含的形式存储一些用户信息) * 4).... */ @Bean public TokenStore tokenStore(){ //这里采用JWT方式生成和存储令牌信息 return new JwtTokenStore(jwtAccessTokenConverter()); } /** * 配置令牌的创建及验签方式 * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中 * 然后再存储到TokenStore对象，外界需要时，会从tokenStore进行获取。 */ @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter= new JwtAccessTokenConverter(); //JWT令牌构成：header(签名算法，令牌类型),payload(数据部分),Signing(签名) //这里的签名可以简单理解为加密，加密时会使用header中算法以及我们自己提供的密钥， //这里加密的目的是为了防止令牌被篡改。（这里密钥要保管好，要存储在服务端） jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥 return jwtAccessTokenConverter; } /** * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐) * 1)生成的令牌需要这个密钥进行签名 * 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性，是否被篡改过) */ private static final String SIGNING_KEY="auth"; } 定义认证授权核心配置

第一步：在SecurityConfig中添加如下方法（创建认证管理器对象，后面授权服务器会用到）：

@Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }

第二步：所有零件准备好了开始拼装最后的主体部分，这个主体部分就是授权服务器的核心配置

package com.jt.auth.config; import lombok.AllArgsConstructor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.*; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import java.util.Arrays; /** * 在这个对象中负责将所有的认证和授权相关配置进行整合，例如 * 业务方面： * 1)如何认证(认证逻辑的设计) * 2)认证通过以后如何颁发令牌(令牌的规范) * 3)为谁颁发令牌(客户端标识，client_id,...) * 技术方面： * 1)SpringSecurity (提供认证和授权的实现) * 2)TokenConfig(提供了令牌的生成，存储，校验方式) * 3)Oauth2(定义了一套认证规范，例如为谁发令牌，都发什么内容，...) */ @AllArgsConstructor //生成一个全参构造函数 @Configuration @EnableAuthorizationServer//启动认证和授权 public class Oauth2Config extends AuthorizationServerConfigurerAdapter { //@Autowired private AuthenticationManager authenticationManager; //@Autowired private UserDetailsService userDetailsService; //@Autowired private TokenStore tokenStore; //@Autowired private PasswordEncoder passwordEncoder; //@Autowired private JwtAccessTokenConverter jwtAccessTokenConverter; /** * oauth2中的认证细节配置 * @param endpoints * @throws Exception */ @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { //super.configure(endpoints); endpoints //由谁完成认证？(认证管理器) .authenticationManager(authenticationManager) //谁负责访问数据库？(认证时需要两部分信息：一部分来自客户端，一部分来自数据库) .userDetailsService(userDetailsService) //支持对什么请求进行认证（默认支持post方式） .allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST) //认证成功以后令牌如何生成和存储？(默认令牌生成UUID.randomUUID(),存储方式为内存) .tokenServices(tokenService()); } //系统底层在完成认证以后会调用TokenService对象的相关方法 //获取TokenStore，基于tokenStore获取token对象 @Bean public AuthorizationServerTokenServices tokenService(){ //1.构建TokenService对象(此对象提供了创建，获取，刷新token的方法) DefaultTokenServices tokenServices= new DefaultTokenServices(); //2.设置令牌生成和存储策略 tokenServices.setTokenStore(tokenStore); //3.设置是否支持令牌刷新(访问令牌过期了，是否支持通过令牌刷新机制，延长令牌有效期) tokenServices.setSupportRefreshToken(true); //4.设置令牌增强(默认令牌会比较简单，没有业务数据， //就是简单随机字符串，但现在希望使用jwt方式) TokenEnhancerChain tokenEnhancer=new TokenEnhancerChain(); tokenEnhancer.setTokenEnhancers(Arrays.asList( jwtAccessTokenConverter)); tokenServices.setTokenEnhancer(tokenEnhancer); //5.设置访问令牌有效期 tokenServices.setAccessTokenValiditySeconds(3600);//1小时 //6.设置刷新令牌有效期 tokenServices.setRefreshTokenValiditySeconds(3600*72);//3天 return tokenServices; } /** * 假如我们要做认证，我们输入了用户名和密码，然后点提交 * ，提交到哪里(url-去哪认证)，这个路径是否需要认证？还有令牌过期了， * 我们要重新生成一个令牌，哪个路径可以帮我们重新生成？ * 如下这个方法就可以提供这个配置 * @param security * @throws Exception */ @Override public void configure( AuthorizationServerSecurityConfigurer security) throws Exception { //super.configure(security); security //1.定义(公开)要认证的url(permitAll()是官方定义好的) //公开oauth/token_key端点 .tokenKeyAccess("permitAll()") //return this //2.定义(公开)令牌检查的url //公开oauth/check_token端点 .checkTokenAccess("permitAll()") //3.允许客户端直接通过表单方式提交认证 .allowFormAuthenticationForClients(); } /** * 认证中心是否要给所有的客户端发令牌呢？假如不是，那要给哪些客户端 * 发令牌，是否在服务端有一些规则的定义呢？ * 例如：老赖不能做飞机，不能做高铁 * @param clients * @throws Exception */ @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { //super.configure(clients); clients.inMemory() //定义客户端的id(客户端提交用户信息进行认证时需要这个id) .withClient("gateway-client") //定义客户端密钥(客户端提交用户信息时需要携带这个密钥) .secret(passwordEncoder.encode("123456")) //定义作用范围(所有符合规则的客户端) .scopes("all") //允许客户端基于密码方式，刷新令牌方式实现认证 .authorizedGrantTypes("password","refresh_token"); } } ?配置网关认证的URL - id: router02 uri: lb://sca-auth predicates: #- Path=/auth/login/** #没要令牌之前,以前是这样配置 - Path=/auth/oauth/** #微服务架构下,需要令牌,现在要这样配置 filters: - StripPrefix=1 登陆页面登陆方法设计

登陆成功以后，将token存储到localStorage中,修改登录页面的doLogin方法,也可以直接定义login-sso.html页面

doLogin() { //1.定义url let url = "http://localhost:9000/auth/oauth/token" //2.定义参数 let params = new URLSearchParams() params.append('username',this.username); params.append('password',this.password); params.append("client_id","gateway-client"); params.append("client_secret","123456"); params.append("grant_type","password"); //3.发送异步请求 axios.post(url, params).then((response) => { alert("login ok"); let result=response.data; localStorage.setItem("accessToken",result.access_token); location.href="/fileupload.html"; }).catch((error)=>{ console.log(error); }) } 资源服务器配置

用户在访问受限资源时，一般要先检测用户是否已经认证（登录），假如没有认证要先认证，认证通过还要检测是否有权限，没有权限则给出提示，有权限则直接访问

添加项目依赖

打开资源服务的pom.xml文件，添加oauth2依赖，基于此依赖实现授权业务。

<dependency> ? ? <groupId>org.springframework.cloud</groupId> ? ? <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> 令牌处理器配置

用户登陆成功以后可以携带token访问服务端资源服务器，资源服务器中需要有解析token的对象，例如：

package com.jt.resource.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore; /** * 在此配置类中配置令牌的生成，存储策略，验签方式(令牌合法性)。 */ @Configuration public class TokenConfig { /** * 配置令牌处理对象 */ @Bean public TokenStore tokenStore(){ //这里采用JWT方式生成和存储令牌信息 return new JwtTokenStore(jwtAccessTokenConverter()); } /** * 配置令牌的创建及验签方式 * 基于此对象创建的令牌信息会封装到OAuth2AccessToken类型的对象中 * 然后再存储到TokenStore对象，外界需要时，会从tokenStore进行获取。 */ @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter= new JwtAccessTokenConverter(); //JWT令牌构成：header(签名算法，令牌类型),payload(数据部分),Signing(签名) //这里的签名可以简单理解为加密，加密时会使用header中算法以及我们自己提供的密钥， //这里加密的目的是为了防止令牌被篡改。（这里密钥要保管好，要存储在服务端） jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);//设置密钥 return jwtAccessTokenConverter; } /** * JWT 令牌签名时使用的密钥(可以理解为盐值加密中的盐) * 1)生成的令牌需要这个密钥进行签名 * 2)获取的令牌需要使用这个密钥进行验签(校验令牌合法性，是否被篡改过) */ private static final String SIGNING_KEY="auth"; } 启动和配置认证和授权规则

定义配置类，在类中定义资源访问规则例如：

package com.jt.resource.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.TokenStore; /** * 思考?对于一个系统而言,它资源的访问权限你是如何进行分类设计的 * 1)不需要登录就可以访问(例如12306查票) * 2)登录以后才能访问(例如12306的购票) * 3)登录以后没有权限也不能访问(例如会员等级不够不让执行一些相关操作) */ @Configuration @EnableResourceServer //启动方法上的权限控制,需要授权才可访问的方法上添加@PreAuthorize等相关注解 @EnableGlobalMethodSecurity(prePostEnabled = true) public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { //super.configure(http); //1.关闭跨域攻击 http.csrf().disable(); //2.放行相关请求 http.authorizeRequests() .antMatchers("/resource/upload/**") .authenticated() .anyRequest().permitAll(); } } ResourceController 方法配置

在controller的上传方法上添加 @PreAuthorize(“hasAuthority(‘sys:res:create’)”)注解，用于告诉底层框架方法此方法需要具备的权限，例如

@PreAuthorize("hasAuthority('sys:res:create')") @PostMapping("/upload/") public String uploadFile(MultipartFile uploadFile) throws IOException { ... } 启动服务访问测试

第一步:启动服务（sca-auth,sca-resource-gateway,sca-resource) 第二步:执行登陆获取access_token令牌第三步:携带令牌访问资源(url中的前缀"sca"是在资源服务器中自己指定的,你的网关怎么配置的,你就怎么写)

设置请求头(header)，要携带令牌并指定请求的内容类型，例如

?文件上传JS方法设计 function upload(file){ //定义一个表单(axios中提供的表单对象) let form=new FormData(); //将文件添加到表单中 form.append("uploadFile",file); //异步提交(现在是提交到网关) //let url="http://localhost:8881/resource/upload/" let url="http://localhost:9000/sca/resource/upload/"; //获取登录后,存储到浏览器客户端的访问令牌 let token=localStorage.getItem("accessToken"); //发送请求时,携带访问令牌 axios.post(url,form,{headers:{"Authorization":"Bearer "+token}}) .then(function (response){ alert("upload ok") console.log(response.data); }) .catch(function (e){//失败时执行catch代码块 //debugger if(e.response.status==401){ alert("请先登录"); location.href="/login-sso.html"; }else if(e.response.status==403){ alert("您没有权限") }else if(e.response.status==429){ alert("上传太频繁了") } console.log("error",e); }) }