Spring Authorization Server 多租户实现指南

Spring Authorization Server 多租户实现指南

spring-authorization-server Spring Authorization Server 项目地址: https://gitcode.com/gh_mirrors/sp/spring-authorization-server

多租户架构概述

在现代SaaS应用中，多租户架构是一种常见的设计模式，它允许单个应用实例为多个客户（租户）提供服务，同时保持租户间的数据隔离。Spring Authorization Server作为OAuth 2.1和OpenID Connect 1.0的认证服务器实现，同样支持多租户配置。

核心概念：租户标识符

在Spring Authorization Server中，租户标识符通过颁发者(issuer)URL中的路径组件来体现。例如：

• http://localhost:9000/issuer1
• http://localhost:9000/issuer2

这些路径组件(issuer1和issuer2)实际上就是租户标识符。当客户端请求元数据端点时，服务器会返回包含完整颁发者URL的配置信息。

启用多颁发者支持

默认情况下，Spring Authorization Server不支持单主机多颁发者配置。要启用此功能，需要进行以下配置：

@Bean
public AuthorizationServerSettings authorizationServerSettings() {
    return AuthorizationServerSettings.builder()
            .multipleIssuersAllowed(true)  // 关键配置，允许单主机多颁发者
            .build();
}

组件注册中心设计

为了实现多租户支持，我们需要建立一个组件注册中心来管理每个租户的具体组件实现。这个注册中心的核心职责是根据颁发者标识符获取对应的组件实例。

public class TenantPerIssuerComponentRegistry<T> {
    private final ConcurrentMap<String, T> components = new ConcurrentHashMap<>();
    
    // 注册组件
    public void register(String issuer, T component) {
        this.components.put(issuer, component);
    }
    
    // 获取组件
    public T get(String issuer) {
        T component = this.components.get(issuer);
        if (component == null) {
            throw new IllegalArgumentException("Unknown issuer: " + issuer);
        }
        return component;
    }
}

这种设计既支持启动时静态注册租户，也支持运行时动态添加租户。

关键组件的多租户实现

1. 多租户RegisteredClientRepository

RegisteredClientRepository负责管理OAuth客户端的注册信息。在多租户环境下，我们需要为每个租户提供独立的存储：

@Bean
public RegisteredClientRepository registeredClientRepository(
        DataSource issuer1DataSource, DataSource issuer2DataSource) {
    
    // 为每个租户创建独立的Repository
    TenantPerIssuerComponentRegistry<RegisteredClientRepository> registry = 
        new TenantPerIssuerComponentRegistry<>();
    
    registry.register("http://localhost:9000/issuer1", 
        new JdbcRegisteredClientRepository(new JdbcTemplate(issuer1DataSource)));
    
    registry.register("http://localhost:9000/issuer2",
        new JdbcRegisteredClientRepository(new JdbcTemplate(issuer2DataSource)));
    
    // 创建代理实现
    return new RegisteredClientRepository() {
        @Override
        public RegisteredClient findById(String id) {
            String issuer = AuthorizationServerContextHolder.getContext().getIssuer();
            return registry.get(issuer).findById(id);
        }
        
        @Override
        public RegisteredClient findByClientId(String clientId) {
            String issuer = AuthorizationServerContextHolder.getContext().getIssuer();
            return registry.get(issuer).findByClientId(clientId);
        }
    };
}

2. 多租户OAuth2AuthorizationService

授权服务需要为每个租户提供独立的存储：

@Bean
public OAuth2AuthorizationService authorizationService(
        DataSource issuer1DataSource, DataSource issuer2DataSource) {
    
    TenantPerIssuerComponentRegistry<OAuth2AuthorizationService> registry = 
        new TenantPerIssuerComponentRegistry<>();
    
    registry.register("http://localhost:9000/issuer1",
        new JdbcOAuth2AuthorizationService(new JdbcTemplate(issuer1DataSource)));
    
    registry.register("http://localhost:9000/issuer2",
        new JdbcOAuth2AuthorizationService(new JdbcTemplate(issuer2DataSource)));
    
    return new OAuth2AuthorizationService() {
        // 实现方法并委托给具体租户的实例
    };
}

3. 多租户JWKSource

每个租户应该有自己独立的JWK密钥集：

@Bean
public JWKSource<SecurityContext> jwkSource() {
    TenantPerIssuerComponentRegistry<JWKSet> registry = 
        new TenantPerIssuerComponentRegistry<>();
    
    // 为每个租户生成独立的密钥
    registry.register("http://localhost:9000/issuer1", 
        new JWKSet(KeyGenerator.generateRsaKey()));
    
    registry.register("http://localhost:9000/issuer2",
        new JWKSet(KeyGenerator.generateRsaKey()));
    
    return (jwkSelector, securityContext) -> {
        String issuer = AuthorizationServerContextHolder.getContext().getIssuer();
        return jwkSelector.select(registry.get(issuer));
    };
}

数据隔离策略

在多租户实现中，数据隔离是核心需求。Spring Authorization Server提供了多种隔离策略：

1. 独立数据库：每个租户使用完全独立的数据库实例
2. 共享数据库，独立Schema：同一数据库实例中为每个租户创建独立Schema
3. 共享Schema，租户标识区分：同一Schema中通过租户ID字段区分数据

示例配置（独立数据库）：

@Bean
@ConfigurationProperties("issuer1.datasource")
public DataSource issuer1DataSource() {
    return DataSourceBuilder.create().build();
}

@Bean
@ConfigurationProperties("issuer2.datasource")
public DataSource issuer2DataSource() {
    return DataSourceBuilder.create().build();
}

动态租户管理

对于需要运行时动态添加租户的场景，可以实现一个租户管理服务：

@Service
public class TenantService {
    private final TenantPerIssuerComponentRegistry<RegisteredClientRepository> clientRepositories;
    // 其他组件注册中心
    
    public void addTenant(String issuer, DataSource dataSource) {
        // 为每个组件注册新租户的实例
        clientRepositories.register(issuer, 
            new JdbcRegisteredClientRepository(new JdbcTemplate(dataSource)));
        // 注册其他组件...
    }
}

最佳实践建议

1. 租户隔离：确保每个租户的密钥、客户端信息和授权数据完全隔离
2. 性能考虑：对于大量租户，考虑使用缓存优化组件查找
3. 安全审计：记录租户操作日志，便于安全审计
4. 资源清理：实现租户删除功能时，确保相关资源被正确清理

通过以上实现，Spring Authorization Server可以灵活支持多租户场景，满足SaaS应用的需求。开发者可以根据实际业务需求，选择合适的隔离级别和实现方式。

spring-authorization-server Spring Authorization Server 项目地址: https://gitcode.com/gh_mirrors/sp/spring-authorization-server