这将是3个系列文章，探讨如何为基于Spring Boot 2的应用程序启用具有OAuth2提供程序的SSO。 我将在这些帖子中介绍以下内容：

1.引导兼容OpenID Connect的OAuth2授权服务器/ OpenID提供程序的方法。

2.传统的Spring Boot / Spring 5与OAuth2授权服务器/ OpenID Provider集成的方法。

3.与OAuth2授权服务器/ OpenID Provider集成的更新的Spring Boot 2 / Spring 5方法。

这篇文章将介绍引导在本地计算机上运行的OpenID Connect兼容OAuth2授权服务器的方法。

该帖子本质上是对以前的帖子的重述，该帖子详细介绍了使用出色的Cloud Foundry UAA项目引导OAuth2授权服务器的过程。 自从我上一篇文章以来，已经进行了一些更改，我想重新捕获启动授权服务器的步骤，并稍加强调使其与OpenID Connect兼容。

获得强大的OAuth2授权服务器运行的本地版本的最佳方法是使用出色的Cloud Foundry UAA项目。

步骤1 ：克隆项目：

git clone https://github.com/cloudfoundry/uaa

第2步 ：生成密钥对

UAA可以使用非对称RSA密钥对进行签名，并让客户端验证签名。 我这里有一个方便的脚本，该脚本可生成密钥对并生成可用于引导UAA的配置文件：

运行时，它将执行如下所示的UAA配置：

jwt:token:signing-key: |-----BEGIN RSA PRIVATE KEY-----MIIEpAIBAAKCAQEAuE5Ds...5Nka1vOTnjDgKIfsNNTAI25qNNCZOXXnGp71gMWsXcLFq4JDJTovL4/rzPIip/1xU0LjFSw==-----END RSA PRIVATE KEY-----verification-key: |-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE5DsCmjfvWArlCIOL6nZwIDAQAB-----END PUBLIC KEY-----

步骤3 ：使用配置启动UAA服务器：

UAA_CONFIG_URL=file://$PWD/uaa_config.yml ./gradlew run

步骤4 ：验证

验证UAA是否已启动的一种快速方法是检查JWKS_URI，这是一个端点，它公开了一组客户端可用来验证令牌的验证密钥。 对于UAA，可以在“ / token_keys”端点使用curl或httpie验证此端点：

http GET http://localhost:8080/uaa/token_keys# ORcurl http://localhost:8080/uaa/token_keys

如果一切都配置正确，则此端点期望输出以下形式：

{"keys": [{"alg": "RS256","e": "AQAB","kid": "legacy-token-key","kty": "RSA","n": "APLeBV3dcUrWuVEXRyFzNaOTeKOLwFjscxbWFGofCkxrp3r0nRbBBb4ElG4qYzmbStg5o-zXAPCOu7Pqy2j4PtC3OxLHWnKsflNOEWTeXhLkPE0IptHPbc6zgVPP3EoiG_umpm0BYeJPZZc-7tA11uU_3NqidY9wnpOgKBuwNmdoyUrjb4fBDoMr_Wk2_sn_mtHSG8HaX8eJ9SbC9xRCJySjJDApOYR_dKjuwpbcM2ITfbTzD9M2J7yOtoJRkFhd1Ug2t_6AA_z47BBws-x9BBfSNbYGsVlDAbe6NK_jUE","use": "sig","value": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8t4FXd1xSta5URdHIXM1\no5N4o4vAWOxzFtYUah8KTGunevSdFsEFvgSUbipjOZtK2Dmj7NcA8I67s+rLaPg+\n0Lc7Esdacqx+U04RZN5eEuQ8TQim0c9tzrOBU8/cSiIb+6ambQF62glGQWF3VSDa3/oAD/PjsEHCz7H0EF9I1tgaxWUMBt7o0r+N\nQQIDAQAB\n-----END PUBLIC KEY-----"}]
}

步骤5 ：填充数据

UAA有一个名为uaac的随附CLI应用程序，可从此处获得 。 假设您已经下载了uaac cli，并且UAA在其默认端口8080上启动，那么让我们首先将uaac指向uaa应用程序：

uaac target http://localhost:8080/uaa

并使用罐装客户端凭据之一（admin / adminsecret）登录：

uaac token client get admin -s adminsecret

现在，客户端已登录，可以使用以下方式探索令牌：

uaac token decode

其中应显示已登录客户端的详细信息：

jti: 4457847692b7464ca0320f08271a9e98sub: adminauthorities: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.readscope: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.readclient_id: admincid: adminazp: admingrant_type: client_credentialsrev_sig: 3c12911iat: 1518332992exp: 1518376192iss: http://localhost:8080/uaa/oauth/tokenzid: uaa

可以使用以下命令获取原始jwt令牌：

uaac context

输出看起来像这样：

[3]*[http://localhost:8080/uaa]skip_ssl_validation: true[2]*[admin]client_id: adminaccess_token: eyJhbGciOiJSUzI1NiIsImtpZCI6ImxlZ2FjeS10b2tlbi1rZXkiLCJ0eXAiOiJKV1QifQ.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.ZEcUc4SvuwQYwdE0OeG5-l8Jh1HsP0JFI3aCob8A1zOcGOGjqso4j1-k_Lzm__pGZ702v4_CkoXOBXoqaaRbfVgJybBvOWbWsUZupMVMlEsyaR_j8DWY8utFAIiN2EsQgjG3qLrsf0K8lm0I3_UIEjaNZhSkWSLDLyY9wr_2SRanSf8LkcEJoSTTgDdO0aP8MvwNpDG7iQ2Om1HZEN08Bed1hHj6e1E277d9Kw7gutgCBht5GZDPFnI6Rjn0O5wimgrAa6FEDjdCpR7hy2P5RiOTcTvjj3rXtVJyVcQcxGKymZrY2WOx1mIEzEIAj8NYlw0TLuSVVOiNZ9fKlRiMpwtoken_type: bearerexpires_in: 43199scope: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.readjti: 4457847692b7464ca0320f08271a9e98

最后，添加一个具有client1 / client1信誉的客户端和一个具有user1 / user1信誉的用户：

uaac client add client1 \--name client1 \--scope resource.read,resource.write,openid \-s client1 \--authorized_grant_types authorization_code,refresh_token,client_credentials,password \--authorities uaa.resource \--redirect_uri http://localhost:8888/**# Add a user called user1/user1
uaac user add user1 -p user1 --emails user1@user1.com# Add two scopes resource.read, resource.write
uaac group add resource.read
uaac group add resource.write# Assign user1 both resource.read, resource.write scopes..
uaac member add resource.read user1
uaac member add resource.write user1

至此，我们有了一个工作正常的授权服务器，其中包含一个示例客户端和一个示例用户。 随后的文章将使用这些数据来启用对示例Spring Boot2应用程序的身份验证。 当我完成较新的文章时，我将更新此文章中的链接。

翻译自: https://www.javacodegeeks.com/2018/02/spring-boot-2-applications-oauth-2-setting-authorization-server.html