spring Security4 和 oauth2整合 注解+xml混合使用(授权码篇)

最新推荐文章于 2024-03-12 16:57:57 发布
最新推荐文章于 2024-03-12 16:57:57 发布
阅读量3.8k 收藏 3
点赞数
分类专栏: spring oauth2 文章标签: spring spring security oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiyangtianyao/article/details/78687569
版权

Spring Security4 和 oauth2整合授权码模式

上两篇介绍了环境配置和用户密码模式,下面介绍授权码模式。

git地址:https://gitee.com/ffch/OauthUmp

spring Security4 和 oauth2整合 注解+xml混合使用(基础运行篇)
spring Security4 和 oauth2整合 注解+xml混合使用(进阶篇)
spring Security4 和 oauth2整合 注解+xml混合使用(授权码篇)
spring Security4 和 oauth2整合 注解+xml混合使用(注意事项篇)
spring Security4 和 oauth2整合 注解+xml混合使用(替换6位的授权码)
spring Security4 和 oauth2整合 注解+xml混合使用(替换用户名密码认证)
spring Security4 和 oauth2整合 注解+xml混合使用(验证码等额外数据验证)

OAuth2SecurityConfiguration

授权码模式需要对OAuth2SecurityConfiguration进行一些配置,对跳转的url做限制。

package com.ump.test.oauth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.approval.ApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler;
import org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint;
import org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	@Qualifier("myClientDetailsService")
	private ClientDetailsService clientDetailsService;
	
//	@Autowired
//	@Qualifier("myUserDetailsService")
//	private UserDetailsService userDetailsService;
	
	@Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
		//auth.userDetailsService(userDetailsService);
		auth.inMemoryAuthentication()
        .withUser("bill").password("abc123").roles("ADMIN").and()
        .withUser("bob").password("abc123").roles("USER");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
		http
		.csrf().disable()
	  	.authorizeRequests()
	  	.antMatchers("/oauth/token")
	  	.permitAll().and()
	  	.formLogin().loginPage("/authlogin.jsp")
	  	.usernameParameter("userName").passwordParameter("userPwd")
	  	.loginProcessingUrl("/login").failureUrl("/index1.jsp")
	  	.and().logout().logoutUrl("/logout");

    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

//
//	@Bean
//	public TokenStore tokenStore() {
//		return new InMemoryTokenStore();
//	}

	@Bean
	@Autowired
	public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore){
		TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
		handler.setTokenStore(tokenStore);
		handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
		handler.setClientDetailsService(clientDetailsService);
		return handler;
	}
	
	@Bean
	@Autowired
	public ApprovalStore approvalStore(TokenStore tokenStore) throws Exception {
		TokenApprovalStore store = new TokenApprovalStore();
		store.setTokenStore(tokenStore);
		return store;
	}
	
}

authlogin.jsp

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<%@ page language="java" pageEncoding="UTF-8"%> 
<head>
<%
	String baseUrl = request.getContextPath();
%>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script type="text/javascript" src="<%=baseUrl%>/js/jquery-3.2.1.min.js"></script>
<title>SkyNet</title>
</head>
<script type="text/javascript">
	function ajaxTest() {
		var type = "1";
		$.ajax({
			type : "post",
			url : "<%=baseUrl%>/test/welCome",
			dataType : "json",
			data : {reqType : type} ,
			success : function(data) {
				$("#div1").html(data.uuid + "<br>" + 
						data.welMsg + "<br>"+
						data.dateTime);
			},
			error : function(XMLHttpRequest, textStatus, errorThrown) {
				alert(errorThrown);
			}
		});
	}
</script>
<body>
	这里是htm1 
	<div id="div1"></div>
	<button type="button" onclick="ajaxTest()">Welcome</button>
	<form action="<%=baseUrl%>/login" method="post">
First name:<br>
<input type="text" name="userName">
<br>
Last name:<br>
<input type="text" name="userPwd">
<input type="submit" value="Submit" />
</form>
	<script type="text/javascript">
		$(document).ready(function() {
			$("#div1").html("呵呵");
		});
	</script>
</body>
</html>

加上前面两篇的测试页面,这样授权码模式就可以了。不过还有个问题,就是授权码的client_id必须用baseauth的方式去写,不能直接写在链接里,这就很烦人。想写在链接里,很简单,AuthorizationServerConfiguration加上一句oauthServer.allowFormAuthenticationForClients();即可。

package com.ump.test.oauth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

	private static String REALM = "MY_OAUTH_REALM";

	@Autowired
	private TokenStore tokenStore;
	
	@Autowired
	@Qualifier("myClientDetailsService") 
	private ClientDetailsService clientDetailsService;

	@Autowired
	private UserApprovalHandler userApprovalHandler;
 
	@Autowired
	@Qualifier("authenticationManagerBean")
	private AuthenticationManager authenticationManager;

	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
		clients.withClientDetails(clientDetailsService);
//		clients.inMemory().withClient("my-trusted-client")
//				.authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
//				.authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT").scopes("read", "write", "trust").secret("secret")
//				.accessTokenValiditySeconds(120)
//				.refreshTokenValiditySeconds(600);
	}

	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
		endpoints.tokenStore(tokenStore).userApprovalHandler(userApprovalHandler)
				.authenticationManager(authenticationManager);
	}

	@Override
	public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
		oauthServer.allowFormAuthenticationForClients();
		oauthServer.realm(REALM + "/client");
	}

}

自定义授权页面

oauth2的授权页面太丑了,可以考虑改一下,找个最简单的方案即可。我这里页面跟它类似,也很丑,就是copy它的,做个示范。

package com.ump.test.oauth;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.SessionAttributes;

@Controller
@SessionAttributes("authorizationRequest")
public class OAuth2ApprovalController {
	@RequestMapping("/oauth/confirm_access")
	public String getAccessConfirmation(Map<String, Object> model, HttpServletRequest request) throws Exception {

		return "/user/oauth_approval.jsp";
	}
}

oauth_approval.jsp

<%@ page language="java" pageEncoding="UTF-8"%> 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>授权</title>
</head>
<body>
	<h1>自定义 Approval</h1>
	<p>这是我自己的,怎么样?</p>
	<form id='confirmationForm' name='confirmationForm'
		action='/oauth/authorize' method='post'>
		<input name='user_oauth_approval' value='true' type='hidden' /><label><input
			name='authorize' value='Authorize' type='submit' /></label>
	</form>
	<form id='denialForm' name='denialForm' action='/oauth/authorize'
		method='post'>
		<input name='user_oauth_approval' value='false' type='hidden' /><label><input
			name='deny' value='Deny' type='submit' /></label>
	</form>
</body>
</html>

可以咯,下一篇写个注意事项。

逍遥天扬
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java开源包2
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java.applet.Applet 简单实现!~ 网页表格组件 GWT Advanced Table GWT Advanced Table 是一个基于 GWT 框架的网页表格组件,可实现分页数据显示、数据排序和过滤等功能! Google Tag Library 该标记库和 Google 有关。使用该标
SpringBoot 整合oauth2实现授权第三方应用
weixin_42293081的博客
03-11 1212
什么是OAuth2 OAuth(open authorization开放授权)是一个开放标准,允许用户授权第三方应用访问他们服务器资源,而不需要将用户名和密提供给第三方应用。OAuth2.0是OAuth协议的延续版本,但是不向后兼容OAuth1.0,即完全废止了OAuth1.0。 1.快递员问题 我住在一个大型的居民小区 小区有门禁系统 小区进入小区的时候需要输入密 我经常网购和点外卖,每天都有快递员来送货,我必须找到一个办法,让快递员通过门禁系统,进入小区 如果我把自己的密告诉快递员,他就拥
springsecurity OAuth2.0(springboot集成springsecurity 以及springcloud集成springsecurity
最新发布
qq_73182976的博客
03-12 974
用户认证通过后,为了避免用户的每次操作都进行认证,将用户的信息保存在会话中。会话就是系统为了保持当前登录的用户的登录状态锁提供的机制。
Error creating bean with name ‘org.springframework.security.oauth2.config.annotation.web.configurati
Kevinnsm的博客
10-31 4163
出现以下错误主要原因是加入了资源服务器的配置却没有标识该服务为资源服务器。 org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfiguration': Post-processing of merged be
OAuth2.0 - 介绍与使用授权模式讲解
小毕超博客
01-16 6022
一、OAuth2.0 前面我们已经学习了SpringSecuritySpringMVC环境下和WebFlux环境下用户认证授权以及整合JWT作为Token无状态认证授权,但是在前面的演示中都会发现全都是基于单体项目而言的,现在分布式微服务的环境下难不成还要每个服务都做一套自己的认证授权吗? 今天我们要讲解的OAuth2.0便可以解决分布式环境下的统一认证授权,我们要学习的是Spring推出的Spring-Oauth2.0框架,可以完美的和SpringBoot 以及 SpringCloud进行整合,而不需要
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 4万+
Oauth2.0详细介绍及其实践
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密),也就是说第三方不需要使用用户的用户名和密就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
spring-oauth2:Spring Security OAuth2 XML放置演示
05-10
spring-oauth2 Spring security oauth2 xml配置Demo 授权服务和资源服务分离 缺失部分:authorization_code模式下,直接访问资源服务受保护资源时,无法自动跳转到授权服务的oauth/authorize
spring Security4 和 oauth2整合 注解+xml混合使用(注意事项篇)
feiyangtianyao的专栏
12-01 1946
Spring Security4 和 oauth2整合注意事项注意事项
spring Security4 和 oauth2整合 注解+xml混合使用(基础运行篇)
feiyangtianyao的专栏
12-01 3651
Spring Security4 和 oauth2整合最近项目中需要用到oauth2,到网上找了好多资料,全是乱七八糟的,东拼西凑,终于跑出来了一版,xml的方式太乱了,跑不了,还是用注解方式,并把一些关键配置提到xml中。git地址:https://gitee.com/xiaoyaofeiyang/OauthUmpspring Security4 和 oauth2整合 注解+xml混合使用
Oauth2.0 用Spring-security-oauth2 非常简单
适应现实
01-27 2367
 上周,我想开发OAuth 2.0的一个实例。我检查了Spring-security-Oauth2.0的样例,OAuth 2提供商sparklr2和OAuth 2客户端TONR 。我探索在互联网上了一下,整理相关文档。编译并运行了OAuth 2提供商sparklr2和OAuth 2客户端TONR,并检查所有的授权上。现在,我在这里从实用的角度讲解的OAuth 2.0的不同方面来理解Spring-...
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代注释。
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
java开源包4
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证...
java开源包1
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证...
java开源包8
06-28
JCaptcha4Struts2 是一个 Struts2的插件,用来增加验证的支持,使用时只需要用一个 JSP 标签 (<jcaptcha:image label="Type the text "/> ) 即可,直接在 struts.xml 中进行配置,使用强大的 JCaptcha来生成验证...
JAVA上百实例以及开源项目
01-03
2个目标文件,FTP的目标是:(1)提高文件的共享性(计算机程序和/或数据),(2)鼓励间接地(通过程序)使用远程计算机,(3)保护用户因主机之间的文件存储系统导致的变化,(4)为了可靠和高效地传输,虽然用户...
spring Security4 和 oauth2整合 注解+xml混合使用(验证等额外数据验证)
feiyangtianyao的专栏
12-06 2672
spring Security4 和 oauth2整合(验证等额外数据验证)上一篇写的自定义用户名密验证,这里写验证的验证,或者其他信息的验证。验证等额外数据获取逻辑新增OauthAddUserDetails继承WebAuthenticationDetails,这里从request里拿到额外的参数。对比验证,我们需要有一个接口去更新验证,更新完放到session里
springsecurity+oauth2+jwt实现单点登录demo
09-04
Spring Security OAuth2是基于Spring Security的一个模块,用于实现OAuth2协议的认证和授权功能。JWT(JSON Web Token)是一种基于JSON的开放标准,用于在各个系统之间传递安全的信息。 要实现Spring Security ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值