1.背景
项目由springboot1.5.X升级到springboot2.0.0后，导致各组件API以及依赖包发生了变化。
完整项目demo：码云
2.spring security
Spring Security 从入门到进阶系列教程网址：http://www.spring4all.com/article/428

spring security架构图


认证过程



3.OAuth2

OAuth2基础概念网址：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
OAuth2分为3个部分：1认证服务器2资源服务器3第三方应用
OAuth2有4种授权模式：1授权码模式2简化模式3密码模式4客户端模式

4.使用springboot2+oauth2注意事项

项目搭建参考网址：

https://blog.csdn.net/qq_19671173/article/details/79748422
http://wiselyman.iteye.com/blog/2411813
4.1.在pom.xml文件中导入依赖包发生变化
        <!-- springboot2.0已经将oauth2.0与security整合在一起 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- 由于一些注解和API从spring security5.0中移除，所以需要导入下面的依赖包  -->
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.0.0.RELEASE</version>
        </dependency>
        <!-- redis相关依赖包 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
        </dependency>

4.2.直接使用RedisTokenStore存储token会出现NoSuchMethodError RedisConnection.set([B[B)V错误
解决方案：自己编写一个MyRedisTokenStore，复制RedisTokenStore类中代码，并将代码中conn.set(accessKey, serializedAccessToken)修改为conn.stringCommands().set(accessKey, serializedAccessToken);
4.3.前后端分离时，存在跨域问题
解决方案：

方案一在后端注册corsFilter

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 1
        corsConfiguration.addAllowedOrigin("*");
        // 2
        corsConfiguration.addAllowedHeader("*");
        // 3
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // step 4
        source.registerCorsConfiguration("/**", buildConfig());
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return bean;
    }
}


方案二，在启动类添加bean到IOC容器中

@SpringBootApplication
public class ZuulServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(ZuulServerApplication.class, args);
    }

    /**
     * 解决前后端分离跨域问题
     *
     * @return
     */
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }

}

4.4.前后端分离，登录页面放在前端时登录的问题
解决方案：授权模式使用password的方式

使用post请求访问http://localhost:20000/auth/oauth/token
在请求的headers中新增一个header：key=Authorization，value=Basic Y2xpZW50OnNlY3JldA==


（Y2xpZW50OnNlY3JldA==为64编码，格式：client:secret）


在form-data中传递参数：username（用户账号）、password（用户密码）、grant_type（固定值：password）、scope（作用域）



4.5.访问资源服务器的方式

当通过在认证服务器获取到token后，有三种方式访问资源服务器


在Headers中携带：key=Authorization，value=bearer 797c4200-8b10-4a2b-8764-33397749a8f7
拼接在URL中：http://localhost:8088/user?access_token=797c4200-8b10-4a2b-8764-33397749a8f7
在form表单中：name=access_token，value=797c4200-8b10-4a2b-8764-33397749a8f7

4.6.spring security密码配置问题

secret密码配置从 Spring Security 5.0开始必须以 {加密方式}+加密后的密码 这种格式填写
当前版本5新增支持加密方式：

bcrypt - BCryptPasswordEncoder (Also used for encoding)
ldap - LdapShaPasswordEncoder
MD4 - Md4PasswordEncoder
MD5 - new MessageDigestPasswordEncoder(“MD5”)
noop - NoOpPasswordEncoder
pbkdf2 - Pbkdf2PasswordEncoder
scrypt - SCryptPasswordEncoder
SHA-1 - new MessageDigestPasswordEncoder(“SHA-1”)
SHA-256 - new MessageDigestPasswordEncoder(“SHA-256”)
sha256 - StandardPasswordEncoder
4.7.通过spring security的角色限制访问受保护的接口

在配置类或启动类上添加注解 @EnableGlobalMethodSecurity(securedEnabled = true)

@EnableOAuth2Sso
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/index")
                .permitAll()
                .anyRequest()
                .authenticated();
    }
}


在controller的类或方法上添加注解 @Secured(“ROLE_ADMIN”)

package com.bici.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * @author: keluosi@bicitech.cn
 * @date: 2018/4/17
 */
@RestController
@RequestMapping("/client")
@Secured("ROLE_ADMIN")
public class ClientController {

    @GetMapping("/user")
    public Authentication getUser() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }

    @GetMapping("/index")
    @Secured("ROLE_USER")
    public String index() {
        return "index";
    }
}


4.8.使用自定义的加密方式校验数据库中保存的加密后的密文

在@EnableWebSecurity注解的方法中编写代码

import com.bici.encrypt.EncryptUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Qualifier("userDetailsService")
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected UserDetailsService userDetailsService() {
        // 自定义用户信息类
        return this.userDetailsService;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder(){
            @Override
            public String encode(CharSequence charSequence) {
                // 加密
                return EncryptUtil.hashPasswordAddingSalt(charSequence.toString());
            }
            @Override
            public boolean matches(CharSequence charSequence, String s) {
                // 密码校验
                return EncryptUtil.isValidPassword(charSequence.toString(), s);
            }
        }) ;
    }
}

4.9.通过配置返回通知获取token
可以在这个地方将token和username存入到缓存中，然后如果需要强制某个用户下线时，通过username从缓存中找到token，调用ConsumerTokenServices的revokeToken(token)方法。
package com.zkane.aspect;

import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpRequest;
import org.springframework.http.ResponseEntity;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;

/**
 * @author: 594781919@qq.com
 * @review:
 * @date: 2018/8/24
 */
@Aspect
@Component
public class TokenAspect {

    @Pointcut("execution(* org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.postAccessToken(..))")
    private void token() {
    }

    @AfterReturning(returning = "obj", pointcut = "token()")
    public void doAfterReturning(ResponseEntity<OAuth2AccessToken> obj) throws Exception {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        // 打印用户名
        System.out.println(request.getParameter("username"));
        // 打印token
        System.out.println(obj.getBody().getValue());
    }
}

5.不足或后续改进
5.1.客户端信息保存到数据中

创建sql语句

CREATE TABLE `oauth_client_details` (
  `client_id` varchar(256) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types` varchar(256) DEFAULT NULL,
  `web_server_redirect_uri` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO oauth_client_details (
	client_id,
	resource_ids,
	client_secret,
	scope,
	authorized_grant_types,
	web_server_redirect_uri,
	authorities,
	access_token_validity,
	refresh_token_validity,
	additional_information,
	autoapprove
)
VALUES
	(
		'client',
		NULL,
		'{noop}secret',
		'all',
		'password,authorization_code,refresh_token,implicit,client_credentials',
		NULL,
		NULL,
		NULL,
		NULL,
		NULL,
		'true'
	);


以jdbc方式配置客户端信息

@Configuration
@EnableAuthorizationServer
public class ServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }
}

5.2.前后端分离，导致单点登录问题

目前通过网上下载的demo，还没有查找到第三方应用前后端分离，怎么去登录的问题。
第三方应用一般都是通过请求转发页面时，到认证中心去登录。也就是前后端未分离的情况，使用注解@EnableOAuth2Sso
建议解决方案：通过前端进行跳转到唯一的登录页面，登录成功后再返回到原来系统并带上token

5.3.密码错误时，返回前端的json未实现自定义返回内容
{
    "error": "invalid_grant",
    "error_description": "Bad credentials"
}

update 2018-04-28
自定义返回前端的登录错误信息

将spring-security-core\5.0.3.RELEASE\org\springframework\security\messages_zh_CN.properties拷贝到resources目录下
在启动类中编写代码

@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Bean
    public ReloadableResourceBundleMessageSource messageSource() {
        ReloadableResourceBundleMessageSource messageSource = new ReloadableResourceBundleMessageSource();
        messageSource.setBasename("classpath:messages");
        return messageSource;
    }
}


显示效果，error_description是在messages_zh_CN.properties中自己根据需要编写的

{
    "error": "invalid_grant",
    "error_description": "账号未注册，请联系管理员"
}

那么先简单说一下为什么要写测试用例 ：


可以避免测试点的遗漏，为了更好的进行测试，可以提高测试效率


可以自动测试，可以在项目打包前进行测试校验


可以及时发现因为修改代码导致新的问题的出现，并及时解决


好了，说道这里，应该明白测试的一个重要性了，，，接下来，我们正式进入SpringBoot2.X 的 测试实践中吧。。。
1、引入相关依赖
 <!--springboot程序测试依赖，如果是自动创建项目默认添加-->
     <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-test</artifactId>
         <scope>test</scope>
     </dependency>

2、使用
我们发现 SpringRunner 底层使用的是 JUnit

Junit这种老技术，相信很多人都相当的熟悉了，SpringBoot 2.X  默认使用Junit4

接下来我们简单说一下在SpringBoot 中的使用吧

@RunWith(SpringRunner.class)

@SpringBootTest(classes={Application.class})// 指定启动类

//@SpringApplicationConfiguration(classes = Application.class)// 1.4.0 前版本

public class ApplicationTests {

@Test

public void testOne(){

System.out.println(“test hello 1”);

}
@Test
public void testTwo(){
    System.out.println("test hello 2");
    TestCase.assertEquals(1, 1);
}

@Before
public void testBefore(){
    System.out.println("before");
}

@After
public void testAfter(){
    System.out.println("after");
}

}
ok， 以上就是我们编写的几个简单的测试用例，现在我们查看下测试结果

![这里写图片描述](https://img-blog.csdn.net/20180608082523220?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Z4YmluMTIz/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70)



**Junit基本注解介绍**

*`@BeforeClass`*   在所有测试方法前执行一次，一般在其中写上整体初始化的代码 

*`@AfterClass`*   在所有测试方法后执行一次，一般在其中写上销毁和释放资源的代码 

*`@Before`*   在每个测试方法前执行，一般用来初始化方法（比如我们在测试别的方法时，类中与其他测试方法共享的值已经被改变，为了保证测试结果的有效性，我们会在@Before注解的方法中重置数据） 

*`@After`*  在每个测试方法后执行，在方法执行完成后要做的事情 

*`@Test(timeout = 1000)`* 测试方法执行超过1000毫秒后算超时，测试将失败 

 
*`@Test(expected = Exception.class)`* 测试方法期望得到的异常类，如果方法执行没有抛出指定的异常，则测试失败 


*`@Ignore(“not ready yet”)`*        执行测试时将忽略掉此方法，如果用于修饰类，则忽略整个类 

 *`@Test `*  编写一般测试用例

 *`@RunWith`*    在JUnit中有很多个Runner，他们负责调用你的测试代码，每一个Runner都有各自的特殊功能，你要根据需要选择不同的Runner来运行你的测试代码。 

如果我们只是简单的做普通Java测试，不涉及Spring Web项目，你可以省略@RunWith注解，这样系统会自动使用默认Runner来运行你的代码。


以上就是我们再SpringBoot2.X 中的测试过程示例( 当然也是用 SpringBoot 1.X )，是不是可以说 *`so easy`*? 








`欢迎关注博主公众号`:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200224215653964.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2Z4YmluMTIz,size_16,color_FFFFFF,t_70)



		

概述

SpringBoot2中默认的数据已经更改为hikari，据说性能很高，有兴趣的可以进行测试。

目前使用最广泛的druid基础数组实现，而hikari则是基于threadlocal +CopyOnWriteArrayList实现。


配置
之前在做springBoot1.5升级到springBoot2.0时，发现数据源出错，看了下官方文档，才发现，默认数据源已修改。
使用方式
在pom.xml中引入依赖：
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-jdbc</artifactId>
		</dependency>

然后配置文件中添加配置：
#datasource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/ak_blog?autoReconnect=true&useUnicode=true&characterEncoding=utf-8&allowMultiQueries=true
spring.datasource.username=root
spring.datasource.password=
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.hikari.minimum-idle=5
spring.datasource.hikari.maximum-pool-size=15
spring.datasource.hikari.auto-commit=true
spring.datasource.hikari.idle-timeout=30000
spring.datasource.hikari.pool-name=DatebookHikariCP
spring.datasource.hikari.max-lifetime=1800000
spring.datasource.hikari.connection-timeout=30000
spring.datasource.hikari.connection-test-query=SELECT 1

理论上只需要以上配置即可，但是有些时候整合一些 orm框架或者事务，不够灵活。所以以下是自定义配置。

自定义配置
自定义数据源官网给出了两种方式：
先看官网给的配置文件：
app.datasource.jdbc-url=jdbc:mysql://localhost/test
app.datasource.username=dbuser
app.datasource.password=dbpass
app.datasource.maximum-pool-size=30

1）第一种是使用DataSourceBuilder来构造数据源：
@Bean
@ConfigurationProperties("app.datasource")
public HikariDataSource dataSource() {
	return DataSourceBuilder.create().type(HikariDataSource.class).build();
}

2）第二种是使用DataSourceProperties来构造数据源：
@Bean
@Primary
@ConfigurationProperties("app.datasource")
public DataSourceProperties dataSourceProperties() {
	return new DataSourceProperties();
}

@Bean
@ConfigurationProperties("app.datasource")
public HikariDataSource dataSource(DataSourceProperties properties) {
	return properties.initializeDataSourceBuilder().type(HikariDataSource.class)
			.build();
}


双数据源配置
app.datasource.first.type=com.zaxxer.hikari.HikariDataSource
app.datasource.first.maximum-pool-size=30

app.datasource.second.url=jdbc:mysql://localhost/test
app.datasource.second.username=dbuser
app.datasource.second.password=dbpass
app.datasource.second.max-total=30

采用DataSourceProperties构造：
@Bean
@Primary
@ConfigurationProperties("app.datasource.first")
public DataSourceProperties firstDataSourceProperties() {
	return new DataSourceProperties();
}

@Bean
@Primary
@ConfigurationProperties("app.datasource.first")
public DataSource firstDataSource() {
	return firstDataSourceProperties().initializeDataSourceBuilder().build();
}

@Bean
@ConfigurationProperties("app.datasource.second")
public DataSourceProperties secondDataSourceProperties() {
	return new DataSourceProperties();
}

@Bean
@ConfigurationProperties("app.datasource.second")
public DataSource secondDataSource() {
	return secondDataSourceProperties().initializeDataSourceBuilder().build();
}

springboot2整合OAuth2.0实例
代码实例放到：https://github.com/haoxiaoyong1014/springboot-examples

springboot-oauth2 包括: springboot-oauth2-authorization-server(认证服务)和springboot-oauth2-resource-server(资源服务)

springBoot版本:2.0.1.RELEASE

授权码模式:


访问认证服务器


http://localhost:8888/oauth/authorize?response_type=code&client_id=merryyou&redirect_uri=https://github.com/haoxiaoyong1014?tab=repositories&scope=all


是否同意并授权




假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码(code)。



拿到这个授权码(code)去交换 access_token

认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。







还有一点需要说明 在请求头中处理了加入 Content-Type : application/x-www-form-urlencoded 还要加入:Authorization:Basic bWVycnl5b3U6bWVycnl5b3U=

其中 Authorization的值是 CLIENT_ID 和 CLIENT_SECRET Base64加密得到 详细内容在 springboot-examples/springboot-oauth2-authorization-server/src/test/java/cn/merryyou/security/SpringBoot2Oauth2Test.java 中



写在最后
加wx,获得更多关于Spring Security OAuth2.0视频