统一身份认证在工程学院系统中的实现与应用

小李：最近我们工程学院的系统需要整合多个子系统，比如教务系统、图书馆系统和实验室管理系统。现在每个系统都需要单独登录，用户体验不好，而且维护成本也很高。

小张：是啊，我也有这个感觉。之前我们用的是不同的认证方式，有的用数据库验证，有的用LDAP，甚至还有用本地文件存储的。这样不仅管理复杂，还容易出错。

小李：所以我想引入统一身份认证（SSO）来解决这个问题。你对这个了解吗？

小张：当然，SSO 是一种让用户只需一次登录就能访问多个系统的机制。我们可以采用 OAuth2 或者 SAML 协议来实现。

小李：那具体要怎么操作呢？有没有现成的框架或者工具推荐？

小张：目前比较流行的有 Spring Security 和 OAuth2 的集成方案。另外，还可以使用像 Keycloak 这样的开源身份认证服务器。

小李：听起来不错。那我们可以先从一个简单的例子开始，比如用 Spring Boot 实现一个基本的 SSO 系统，然后逐步扩展到其他子系统。

小张：没错，我可以写一个简单的 Spring Boot 示例，展示如何实现统一身份认证。

小李：太好了，那我们就开始吧！

小张：首先，我们需要创建一个 Spring Boot 项目，并添加相关的依赖，比如 Spring Security 和 OAuth2 的支持。

小李：好的，我来配置一下 pom.xml 文件。

小张：这是我的 pom.xml 配置：

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security.oauth.boot</groupId>
        <artifactId>spring-security-oauth2-autoconfigure</artifactId>
        <version>2.1.0.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>
    

小李：看起来没问题。接下来我们要配置 OAuth2 的客户端信息。

小张：是的，我们需要在 application.yml 中设置一些参数，比如 client-id、client-secret 和授权服务器地址。

小李：那我来写一下配置文件的内容。

小张：这是 application.yml 的内容：

spring:
  security:
    oauth2:
      client:
        client-id: my-client
        client-secret: secret
        access-token-uri: http://localhost:8080/auth/oauth/token
        user-info-uri: http://localhost:8080/auth/userinfo
        scope: read
        authorization-server-uri: http://localhost:8080/auth
      resource:
        token-info-uri: http://localhost:8080/auth/oauth/token
    

小李：好，现在我们需要创建一个控制器来处理登录请求。

小张：我们可以使用 @RestController 来定义一个简单的接口，返回当前用户的详细信息。

小李：那我来写一个 UserController。

小张：这是 UserController.java 的代码：

@RestController
public class UserController {

    @GetMapping("/user")
    public Principal user(Principal principal) {
        return principal;
    }
}
    

小李：看起来简单明了。接下来我们要测试一下这个功能。

小张：我们可以启动一个授权服务器，比如 Keycloak，然后在我们的 Spring Boot 应用中进行测试。

小李：那我们先搭建一个 Keycloak 服务吧。

小张：Keycloak 是一个开源的身份和访问管理解决方案，可以快速部署。我们可以使用 Docker 来运行它。

小李：好的，我来写一个 docker-compose.yml 文件。

小张：这是 docker-compose.yml 的内容：

version: '3'
services:
  keycloak:
    image: jboss/keycloak:latest
    ports:
      - "8080:8080"
    environment:
      KEYCLOAK_USER: admin
      KEYCLOAK_PASSWORD: admin
    volumes:
      - ./keycloak-data:/opt/jboss/keycloak/standalone/data
    command: ["-b", "0.0.0.0"]
    depends_on:
      - db
  db:
    image: postgres:latest
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: keycloak
    volumes:
      - ./postgres-data:/var/lib/postgresql/data
    ports:
      - "5432:5432"
    restart: always
    healthcheck:
      test: ["CMD", "pg_isready", "-U", "keycloak"]
      interval: 5s
      timeout: 10s
      retries: 5
    volumes:
      - ./postgres-data:/var/lib/postgresql/data
    restart: unless-stopped

小李：这应该能启动 Keycloak 和 PostgreSQL 数据库。

小张：接下来，我们需要在 Keycloak 中创建一个 Realm 和 Client。

小李：好的，我来操作一下。

小张：进入 Keycloak 的管理界面，创建一个名为 “engineering” 的 Realm，然后添加一个 Client，名称为 “my-client”，类型为 “confidential”，并设置 Redirect URI 为 http://localhost:8080/login.

小李：然后我们还需要添加一个用户，并分配角色权限。

小张：是的，确保用户有权限访问我们的系统。

小李：现在我们回到 Spring Boot 应用，测试一下是否可以成功登录。

小张：我们可以使用 curl 命令测试 /user 接口，看看是否能获取到用户信息。

小李：试试看。

小张：执行以下命令：

curl -X GET http://localhost:8080/user -H "Authorization: Bearer YOUR_ACCESS_TOKEN"
    

小李：如果返回了用户信息，说明认证成功了。

小张：是的，这表示我们的 SSO 已经成功实现了。

小李：看来这个方案可行。接下来我们可以将其他系统也接入这个统一身份认证平台。

小张：没错，这样不仅提高了用户体验，也降低了系统的维护成本。

小李：感谢你的帮助，这次的项目应该能顺利推进了。

小张：不客气，我们一起努力，把工程学院的系统做得更好。