OAuth2 服务器

目前文档内容对标 ballcat v0.2.0 以上版本

授权服务器

Ballcat 中的授权服务器是基于 spring-security-oauth2 项目实现的，该项目现已被 Spring 标记为弃用，但是新的授权服务器 Spring 团队还在孵化中，未达到生产可用状态，所以暂时无法更新。

新的授权服务器已经发布，使用相关请移步 Ballcat Spring Authorization Server

首先，根据 OAuth2 中的定义，授权服务器本身也可以是一个资源服务器。

在使用 ballcat 构建的单体应用中，授权服务器和资源服务器肯定是在一起的，但是为了方便扩展，在代码层面，Ballcat 将授权服务器和资源服务的代码做了分离：

核心模块 ballcat-common-security 模块中，是对于 spring-security 使用的基本封装，OAuth2User 实体的定义等双方需要共享的部分，授权服务器和资源服务器都会使用。

由于资源服务器的配置较少，所以其相关代码也在 common-security 中，但默认是不开启的。

ballcat 中关于授权服务器的代码处理在以下模块中：

ballcat-auth
|-ballcat-auth-biz		 // 授权服务的相关配置、Token 增强、异常处理等
|-ballcat-auth-controller  // 登出接口

引入上述依赖后，通过在配置上添加 @EnableOauth2AuthorizationServer 注解以达到自动开启授权服务器相关配置的功能。

目前授权服务器强关联 ballcat-system 相关业务模块

验证码开关

授权服务器默认集成了基于 anji-captch 的登录验证码，用户可以通过以下配置关闭验证码的校验：

ballcat:
	security:
		oauth2:
			authorizationserver:
				login-captcha-enabled: false  # 登录验证码开关，默认开启

登录返回信息

spring-security-oauth2 的令牌端点地址为：”/oauth/token“，其默认的返回数据仅仅只有以几个：

{
    "access_token":"2YotnFZFEjr1zCsicMWpAA",
    "token_type":"example",
    "expires_in":3600,
    "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
    "scope": "server"
}

实际在业务开发中，我们还会有需要一些其他的信息，需要在登陆时返回，Ballcat 默认提供的 CustomTokenEnhancer 类中，额外添加了 用户的 权限，角色，以及用户自身的一些附属属性：

{
    "access_token":"2YotnFZFEjr1zCsicMWpAA",
    "token_type":"example",
    "expires_in":3600,
    "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
    "scope": "server",
    "attributes": {    // 用户附加属性
        "permissions": [  // 权限
            "system:role:grant",
            "notify:announcement:edit",
            "notify:announcement:read",
        ],
        "roles": [   // 角色
            "ROLE_ADMIN",
        ]
    },
    "info": {		// 用户信息
        "userId": 1,
        "username": "admin",
        "nickname": "超管牛逼",
        "avatar": "sysuser/1/avatar/20200226/ab6bd5221afe4238ae4987f278758113.jpg",
        "organizationId": 11,
        "type": 1
    }
}

用户可以通过自定义 TokenEnhancer 类，来覆盖 Ballcat 的默认行为，对登录的返回信息进行增删处理。

自省返回信息

spring-security-oauth2 的令牌自省端点地址为：”/oauth/check_token“

其返回信息也可以通过自定义 AccessTokenConverter 来进行定制处理，Ballcat 默认提供的CustomAccessTokenConverter 中，主要是针对客户端的权限，来控制是否将用户的所有 attributes 返回。

资源服务器

授权服务器是基于 spring-security 5.x 实现的，理论上来说，可以对接任何遵守 OAuth2 协议的资源服务器，Ballcat 在 security 之上针对自己的授权服务器和业务做了一些调整。

资源服务器的配置仅仅依赖于 ballcat-common-security ，引入此依赖后，通过 @EnableOauth2ResourceServer 即可开启授权服务器相关配置。

自定义配置

资源服务器提供了以下配置文件：

ballcat:
  security:
    oauth2:
      resourceserver:
      	## 是否禁止嵌入 iframe
      	iframe-deny: true
      	## 是否与资源服务器，共享token存储环境
      	shared-stored-token: true
      	## 不共享 token 存储环境时，需要远程鉴权
      	opaque-token：
      		# 客户端id
      		client-id:
            # 客户端密钥
      		client-secret:
      		# 令牌自省端点：授权服务器暴露出来的一个 url, 用于获取指定 token 的信息
      		introspection-uri: 
        ## 忽略鉴权的 url 列表，即允许匿名访问
        ignore-urls:
          - /public/**

• ballcat.security.oauth2.resourceserver.shared-stored-token

  在单体应用，或者某些微服务架构下，授权服务器和资源服务器是共享 token 存储的。

  也就是说授权服务器将登录的 token 存储在数据库或者 redis 中，而资源服务器使用的是相同的数据库或者 redis，资源服务器又是知道授权服务器的存储格式的，这时为了减少资源服务器和授权服务器的交互开销，资源服务器可以不向授权服务器发起请求，而是自己直接去存储环境中读取对应的 token 信息。

• ballcat.security.oauth2.resourceserver.opaque-token

  • client-id
  • client-secret
  • introspection-uri

  在授权服务器和资源服务器环境隔离的情况下，当用户携带 token 向资源服务器请求受保护的资源，资源服务器为了验证 token 的有效性，以及获取到 token 对应的一些用户信息，就需要向授权服务器发起 token 的自省请求。

  资源服务器本身也是一个客户端，配置的 client-id 和 client-secret 确定了其在 OAuth2 中的身份，资源服务器接收自省请求前会校验 client-id 和 client-secret 的有效性。

  introspection-uri 即是授权服务器的自省端点地址，ballcat 的授权服务器是基于 spring-security-oauth2 的，其默认的自省端点为 ”/oauth/check_token“

注意，仅当 ballcat.oauth2.resourceserver.shared-stored-token 为 false 时，自省端点的配置才会生效

Token 解析器

共享 Token 解析

在共享 token 存储时，ballcat 将会默认注册 SharedStoredOpaqueTokenIntrospector 解析器，其内部利用 spring-security-oauth2 提供的 TokenStroe ，调用 TokenStore#readAccessToken 方法直接进行 token 信息的解析。

自省端点解析

当配置为自省端点时，ballcat 将会注册 RemoteOpaqueTokenIntrospector，其内部会根据 check_token 端点的返回值，进行 token 信息的构建

自定义解析

用户可以根据自己的需要定制自己的解析器，只需实现 OpaqueTokenIntrospector, 并注册到 spring 中即可