使用 Spring 创建 OAuth2 授权服务器

在分布式系统中，授权系统是必不可少的，作为最流行的分布式系统架构 Spring Cloud 提供了对 OAuth2 授权服务器（OAuth2 Provider）的支持。Spring 对与 OAuth2 Provider 的开发支持可以参看官方文档。但是但是官方对与 OAuth2 Provider 的支持已经过时（Deprecated，但是仍然在发布安全更新），并独立到一个新的项目中：https://github.com/spring-projects-experimental/spring-authorization-server/，但是新的项目还在开发当中，没有正式发布。本文仍然基于老的开发方式进行讲解

Spring Cloud 对与 OAuth2 的支持都集成在 spring.security.oatuh2 包中，使用 Spring 开发 OAuth2 授权服务器，主要需要四个步骤：

1. 使用 `@EnableAuthorizationServer` 注解

该注解会启用 /oauth/authorization 和 /oauth/token 端点，用于获取授权码和 Token

@RestController
@EnableAuthorizationServer
@SpringBootApplication
public class OauthServerApplication {
    public static void main(String[] args) {
       	SpringApplication.run(OauthServerApplication.class, args);
    }
}

2. 注册 Client 信息

通过继承AuthorizationServerConfigurerAdapter 注册 Client 信息，要注册的信息包括：Client ID，Client Secret，授权模式，重定向 URL 以及权限范围。

其中 client ID 和 Client Secret 用与 Client Authentication

@Configuration
public class Oauth2Config extends AuthorizationServerConfigurerAdapter {
    //...
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception 	   {
        clients.inMemory()
                .withClient("eagleeye")
                .secret("{noop}thisissecret")
                .authorizedGrantTypes("authorization_code")
                .redirectUris("http://localhost:9090/callback")
                .scopes("webclient", "mobileclient");
    }
    //...
}

3. 配置 Resource Owner 的信息

在配置了 Client 的信息后，需配置Resource Owner 的相关信息，也就是在授权服务器需要输入的用户名和密码信息

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}password").roles("USER", "ADMIN");
    }

4. 提供 Rest 接口返回用户信息

在 Client 获取到 Token 之后，就可以使用该 Token 访问 /oauth/token 端点，获取真正的用户信息：

	@RequestMapping(value = {"/user"}, produces="application/json")
	public Map<String, Object> user(OAuth2Authentication user) {
		Map<String, Object> userInfo = new HashMap<>();
		userInfo.put(
				"user",
				user.getUserAuthentication().getPrincipal());
		userInfo.put(
				"authorities",
				AuthorityUtils.authorityListToSet(user.getUserAuthentication().getAuthorities()));
		return userInfo;
	}