芋道开源项目开放平台接入指南(实现客户端 client_credentials 模式)

最新推荐文章于 2025-07-24 20:45:44 发布
原创 最新推荐文章于 2025-07-24 20:45:44 发布 · 670 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #windows

芋道开源项目开放平台接入指南

🔧 核心实现说明

修改的关键文件

1. OAuth2GrantServiceImpl.java

文件路径: yudao-module-system/src/main/java/cn/iocoder/yudao/module/system/service/oauth2/OAuth2GrantServiceImpl.java

实现的核心方法: grantClientCredentials

@Override
public OAuth2AccessTokenDO grantClientCredentials(String clientId, List<String> scopes) {
    // 1. 获取客户端信息
    OAuth2ClientDO client = oauth2ClientService.validOAuthClientFromCache(clientId);

    // 2. 处理scope逻辑
    List<String> finalScopes = determineFinalScopes(client, scopes);

    // 3. 创建令牌(使用虚拟用户ID,仅用于标识客户端令牌)
    Long virtualUserId = -1L; // 使用负数表示这是客户端令牌,不是真实用户
    return oauth2TokenService.createAccessToken(virtualUserId, UserTypeEnum.ADMIN.getValue(),
            clientId, finalScopes);
}

private List<String> determineFinalScopes(OAuth2ClientDO client, List<String> requestedScopes) {
    List<String> clientScopes = client.getScopes();

    // 如果没有请求特定scope,使用客户端配置的所有scope
    if (CollUtil.isEmpty(requestedScopes)) {
        log.info("[grantClientCredentials] 未指定scope,使用客户端配置的所有权限: {}", clientScopes);
        return clientScopes;
    }

    // 如果请求了特定scope,验证是否在允许范围内
    for (String requestedScope : requestedScopes) {
        if (!clientScopes.contains(requestedScope)) {
            throw exception(OAUTH2_CLIENT_SCOPE_OVER);
        }
    }

    log.info("[grantClientCredentials] 使用请求的scope: {}", requestedScopes);
    return requestedScopes;
}

实现特点:

  • ✅ 支持OAuth2 client_credentials模式
  • ✅ 支持可选scope参数(不传时使用客户端配置的所有权限)
  • ✅ 传scope时验证是否在客户端允许范围内
  • ✅ 使用虚拟用户ID(-1)避免用户绑定复杂性
  • ✅ 完整的日志记录和错误处理
2. OAuth2TokenServiceImpl.java

修改内容:buildUserInfo方法中添加对虚拟用户ID的处理

private Map<String, String> buildUserInfo(Long userId, Integer userType) {
    // 处理客户端模式(client_credentials)的情况
    if (userId == -1L) {
        return MapUtil.builder(LoginUser.INFO_KEY_NICKNAME, "开放API客户端")
                .put(LoginUser.INFO_KEY_DEPT_ID, null).build();
    }

    // 其他用户类型的处理逻辑...
}

📖 项目简介

本文档基于芋道开源项目(yudao-cloud),为第三方开发者提供完整的开放平台API接入指南。芋道开源项目是一套全部开源的企业级快速开发平台,采用现代化的架构设计,支持多租户、微服务等特性。

🚀 开放平台特性

核心特性

  • 标准OAuth2认证:基于OAuth2 client_credentials模式
  • 灵活权限控制:通过scope配置精确控制API访问权限
  • 简化接入流程:支持可选scope参数,降低接入门槛
  • 安全可靠:访问令牌短期有效,支持自动刷新机制
  • 完整监控:提供访问日志、错误统计等监控能力

技术架构

  • 认证方式:OAuth2 client_credentials
  • 权限模型:基于scope的资源访问控制
  • 令牌格式:JWT或UUID格式访问令牌
  • 传输协议:HTTPS加密传输
  • 数据格式:JSON格式请求和响应

🔧 快速开始

1. 获取客户端凭证

联系管理员获取以下信息:

  • client_id:客户端标识符
  • client_secret:客户端密钥
  • scopes:授权范围(如:device:read, device:write, data:read, data:write)

2. 获取访问令牌

方式一:使用所有配置权限(推荐新手)
curl -X POST "https://your-domain.com/admin-api/system/oauth2/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic $(echo -n 'client_id:client_secret' | base64)" \
  -d "grant_type=client_credentials"
方式二:指定特定权限范围(推荐生产环境)
curl -X POST "https://your-domain.com/admin-api/system/oauth2/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic $(echo -n 'client_id:client_secret' | base64)" \
  -d "grant_type=client_credentials&scope=device:read,data:read"
响应示例
{
  "code": 0,
  "data": {
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "token_type": "Bearer",
    "expires_in": 7200,
    "scope": "device:read device:write"
  },
  "msg": "操作成功"
}

3. 调用开放API

使用获取到的访问令牌调用API:

curl -X GET "https://your-domain.com/admin-api/open-api/device/info?deviceId=123" \
  -H "Authorization: Bearer {access_token}"

📋 API接口文档

设备管理API

获取设备信息
  • 接口地址GET /admin-api/open-api/device/info
  • 所需权限device:read
  • 请求参数
    • deviceId(必填):设备ID

请求示例:

curl -X GET "https://api.example.com/admin-api/open-api/device/info?deviceId=123" \
  -H "Authorization: Bearer {access_token}"

响应示例:

{
  "code": 0,
  "data": {
    "deviceId": "123",
    "deviceName": "温度传感器-001",
    "deviceType": "温度传感器",
    "status": "在线",
    "lastUpdateTime": "2024-01-15T10:30:00"
  },
  "msg": "操作成功"
}
获取设备列表
  • 接口地址GET /admin-api/open-api/device/list
  • 所需权限device:read
  • 请求参数
    • pageNo(可选):页码,默认1
    • pageSize(可选):每页大小,默认10
上报设备数据
  • 接口地址POST /admin-api/open-api/device/data
  • 所需权限device:write
  • 请求体:JSON格式设备数据

请求示例:

curl -X POST "https://api.example.com/admin-api/open-api/device/data" \
  -H "Authorization: Bearer {access_token}" \
  -H "Content-Type: application/json" \
  -d '{
    "deviceId": "123",
    "temperature": 25.5,
    "humidity": 60.2,
    "timestamp": "2024-01-15T10:30:00"
  }'
更新设备状态
  • 接口地址PUT /admin-api/open-api/device/status
  • 所需权限device:write
  • 请求体:包含deviceId和status的JSON对象

🔐 权限范围说明

可用的Scope权限

Scope说明适用接口
device:read设备读取权限设备信息查询、设备列表获取
device:write设备写入权限设备数据上报、设备状态更新
data:read数据读取权限历史数据查询、统计数据获取
data:write数据写入权限数据上报、数据导入

权限组合建议

只读监控应用:

scopes: ["device:read", "data:read"]

设备管理应用:

scopes: ["device:read", "device:write"]

数据采集应用:

scopes: ["device:write", "data:write"]

全功能应用:

scopes: ["device:read", "device:write", "data:read", "data:write"]

⚠️ 错误码说明

认证相关错误

错误码说明解决方案
40001无效的客户端检查client_id和client_secret
40002无效的访问令牌重新获取访问令牌
40003访问令牌已过期使用刷新令牌或重新获取

权限相关错误

错误码说明解决方案
40301授权范围不足联系管理员扩大scope权限
1002020001scope超出范围检查请求的scope是否在配置范围内

业务相关错误

错误码说明解决方案
400请求参数错误检查请求参数格式和必填项
404资源不存在检查请求的资源ID是否正确
500服务器内部错误联系技术支持

🛡️ 安全最佳实践

1. 令牌管理

  • 访问令牌有效期为2小时,建议在过期前30分钟刷新
  • 不要在客户端代码中硬编码client_secret
  • 定期轮换客户端密钥

2. 网络安全

  • 必须使用HTTPS传输
  • 实施IP白名单限制(如需要)
  • 监控异常访问模式

3. 错误处理

  • 实现指数退避重试机制
  • 正确处理令牌过期情况
  • 记录详细的错误日志

📊 监控和限流

调用限制

  • 每个客户端每分钟最多1000次API调用
  • 单个IP每分钟最多500次认证请求
  • 超出限制将返回429错误码

监控指标

  • API调用成功率
  • 平均响应时间
  • 错误率统计
  • 令牌使用情况

📝 更新日志

v1.0.0 (2024-01-15)

  • 初始版本发布
  • 支持OAuth2 client_credentials模式
  • 提供设备管理相关API
  • 实现基于scope的权限控制

芋道开源项目 - 让每个人都能快速搭建企业级应用!

项目地址:https://gitee.com/zhijiantianya/ruoyi-vue-pro

开放平台架构设计原理与实战:构建持续开放的开放平台开发流程
AI天才研究院
11-05 694
近年来,互联网经济蓬勃发展,人们越来越重视对自己信息的掌控权,希望在不受限制地分享自己的知识、经验和创造力。而早已开始普及的微信、微博、知乎等社交媒体则成为人们获取信息、沟通感情、表达观点的主要渠。如此开放的网络空间也给平台创作者提供了巨大的想象空间。然而,当平台创作者构建自己的平台时,也面临着更复杂的技术难题——如何构建可持续、可扩展、安全的开放平台?如何让平台上的用户持续地提供新的价值?更重要的是,如何将平台上生成的数据产生价值,并且持续地推动平台运营?
开源项目葫芦藤:IdentityServer4的实现及其运用
福禄网络研发团队的博客
12-23 2340
文章目录前言签名证书(Signing Credential)客户端存储(Client Store)资源存储(Resource Store)持久化授权存储(Persisted Grant Store)资源拥有者验证器(Resource Owner Validator)重定向地址验证器(Redirect Uri Validator)扩展授权验证器(Extension Grant Validator)OAuth2.0的实践运用场景基于角色的授权(role-based authorization)客户端授权模式(c
源码 yudao-cloud 、Boot 文档,开发指南 看全部,去除弹窗[快速开发平台 Boot + Cloud] 拒绝割韭菜
qq_39083561的博客
07-24 7474
yudao-free-version/在线文档怎么看.md at main · OSSHiMan/yudao-free-version (github.com)
基于 开发平台 构建,以开发者为中心,打造中国第一流的 Java 开源商城系统,全部开源,个人与企业可 100% 免费使用
05-18
基于 开发平台 构建,以开发者为中心,打造中国第一流的 Java 开源商城系统,全部开源,个人与企业可 100% 免费使用。
快速开发平台学习笔记
如是所来的专栏
10-13 2039
登录是将用户对象转换成string,使用key-value方式保存到redis中。有个不算bug的buffer,浏览器不会默认勾选http请求头参数tenant-id,需要手动勾选,如果项目不需要,可以在配置中设置忽略该请求,application.yaml。其次检查最外层的pom文件modules的引用是否正确,少引用了mavne会首先从本地服务器查找,本地缺失就会从服务器下载,下载不到就编译报错。城市地区信息保存在area.csv文件,启动时加载到内存,使用AreaUtils.java获取城市信息。
API快速开发平台设计思考
承接各种网站建设开发定制
01-08 517
一、类的设计 1.对象是通过类创建出来的,类的作用是用来描述一群具有相同的特征和行为的事物。 2.设计类三要素 类的名字:你要描述的这类事物叫什么名字; 这类事物具有的相同的特征:这类事物拥有什么; 这类事物具有的共同的行为:这类事物会做什么; 3.定义类的语法 [修饰符] class 类名{ 0或多个构造方法 //类创建对象的根本途径 0或多个变量 //类的属性 0或多个方法 //类的行为} 4.修饰符:对于类和类定义中的成员(如构造方法、变量、方法
快速开发平台的使用心得
悦涵仙子的技术笔记本
09-10 1395
项目的管理后台有 4 个版本:yudao-ui-admin-vue3 (opens new window):基于 Vue3 + element-plusyudao-ui-admin-vben (opens new window):基于 Vue3 + vben(ant-design-vue)yudao-ui-admin-vue2 (opens new window):基于 Vue2 + element-ui。
源码 / yudao-cloud:前端技术架构探索与实践
chenchuang0128的博客
05-28 8807
,以开发者为中心,打造中国第一流的快速开发平台,全部开源,个人与企业可 100% 免费使用。master分支为 JDK 8 + Spring Boot 2.7,分支为 JDK 17/21 + Spring Boot 3.2管理后台的电脑端:Vue3 提供 element-plus、vben(ant-design-vue) 两个版本,Vue2 提供 element-ui 版本管理后台的移动端:采用 uni-app 方案,一份代码多终端适配,同时支持 APP、小程序、H5!
Kerberos认证的KAFKA客户端开发配,开源方案能否接入MRS集群服务器?
07-22
我们正在讨论的问题是:使用开源方案配置Kerberos认证的Kafka客户端能否接入MRS集群服务器? 根据引用[1]和[2]可知,MRS集群在安全模式下使用Kerberos认证,而普通模式使用Simple认证。因此,如果MRS集群启用了...
Kerberos认证的KAFKA客户端开源方案开发,如何配置接入MRS集群服务器?
07-22
</think>### 支持Kerberos认证的开源Kafka客户端配置指南(MRS集群接入) #### 核心配置步骤 1. **Kerberos域名强制配置** MRS集群**仅支持**`HADOOP.HUAWEI`域名,需在JAAS配置中强制指定: ```properties ...
MinIO Go 客户端使用详解:对象存储开发实战指南
最新发布
zhangshenglu1的博客
07-24 414
MinIO Go SDK 提供了简洁高效的 API,适合各类后台服务接入对象存储系统。MinIO 客户端初始化;Bucket 创建与检查;对象上传、下载、列出、删除;常见问题排查。如果你在开发日志存储、图片归档、数据备份等系统中需要接入 S3 存储接口,MinIO 是非常优秀且易用的选择。
源码 yudao-cloud:构建全功能后台管理系统的技术探索
chenchuang0128的博客
08-31 1万+
,以开发者为中心,打造中国第一流的快速开发平台,全部开源,个人与企业可 100% 免费使用。master分支为 JDK 8 + Spring Boot 2.7,分支为 JDK 17/21 + Spring Boot 3.2管理后台的电脑端:Vue3 提供 element-plus、vben(ant-design-vue) 两个版本,Vue2 提供 element-ui 版本管理后台的移动端:采用 uni-app 方案,一份代码多终端适配,同时支持 APP、小程序、H5!
框架万字详解(前后端分离)、若依框架、yudao-cloud保姆级攻略
热门推荐
莫道桑榆晚,为霞尚满天
07-19 1万+
开发框架,低代码平台
Spring Boot 快速入门
芋艿V
02-29 1204
点击上方“源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2019 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
看看人家的快速开发平台,确实清新优雅!
芋艿V
03-12 2715
点击上方“源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
--如何自定义业务表单,配置对应的工作流程(详细步骤)
阿土不土的博客
01-23 5237
需求描述:的动态表单就不再介绍了,相对来讲比较简单,跟着官网文档就可以实现,本文将详细的介绍如何新建独立的业务表记录申请的信息,如果在不同的审批节点,看到业务表单中的不同模块,甚至想要补充业务表单等并为其设计对应的工作流。
项目笔记(自用
hazelzhiye的博客
08-15 5294
摘了几个自己认为的重点.jpg
springsecurity client_credentials
01-19
### Spring Security 中使用 `client_credentials` 授权类型的概述 为了在应用程序中启用并使用 OAuth2 的 `client_credentials` 流程,开发者需确保应用服务器已正确配置为OAuth2授权服务器,并设置好相应的客户端详情。此流程允许客户端通过提供自身的凭证来获取访问令牌。 #### 配置 Authorization Server 支持 Client Credentials Grant Type 要使Authorization Server支持Client Credentials授权类型,在Spring Security OAuth项目里应扩展`AuthorizationServerConfigurerAdapter`类,并重写其方法以完成必要的安全性和授权端点配置[^1]: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { private final AuthenticationManager authenticationManager; @Autowired public AuthorizationServerConfig(AuthenticationManager authenticationManager) { this.authenticationManager = authenticationManager; } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("my-trusted-client") .authorizedGrantTypes("client_credentials") .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT") .scopes("read", "write") .resourceIds("oauth2-resource") .accessTokenValiditySeconds(3600 * 8) .secret("{noop}secret"); } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { oauthServer.tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()"); } } ``` 上述代码片段展示了如何定义内存中的客户端以及指定该客户端可以使用的授权方式为客户凭据(`client_credentials`)模式。同时设置了读取和写入作用域、资源ID、过期时间及密钥等参数[^4]。 #### 获取 Access Token 使用 REST API 请求 一旦完成了以上配置工作,则可以通过发送HTTP POST请求至/token路径下获得access_token: ```bash curl -X POST \ -H 'Content-Type: application/x-www-form-urlencoded' \ -u my-trusted-client:secret \ -d grant_type=client_credentials \ http://localhost:8080/oauth/token ``` 成功响应将会返回JSON对象形式的数据包,其中包含了用于后续API调用的身份验证信息——即`access_token`字段的内容。 #### 客户端配置与保护资源接口 对于想要消费受保护的服务的应用程序来说,除了作为OAuth2客户端外还需要适当地保护自己的RESTful APIs。这通常涉及到声明哪些URL需要身份验证才能被访问,以及具体采用何种策略来进行权限控制等问题。下面是一个简单的例子说明怎样利用Spring Security来做这些事情[^3]: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.antMatcher("/api/**").authorizeRequests().anyRequest().authenticated(); } @Bean @Primary public ResourceServerTokenServices tokenService() { RemoteTokenServices service = new RemoteTokenServices(); service.setCheckTokenEndpointUrl("http://localhost:9999/uaa/oauth/check_token"); service.setClientId("my-trusted-client"); service.setClientSecret("secret"); return service; } ``` 这段Java配置指定了只有经过认证后的用户才能够访问位于/api下的所有子路径;另外还创建了一个名为`tokenService()`的方法用来实例化远程令牌服务组件,它负责向授权服务器查询传入的Bearer Tokens的有效性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值