Spring Security 与 Oauth2 整合 步骤

最新推荐文章于 2024-08-25 12:00:00 发布
最新推荐文章于 2024-08-25 12:00:00 发布
阅读量2.5k 收藏 2
点赞数

spring-security-oauth2的项目地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2

spring-security-oauth2的demo 地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2


为什么要写

1. spring-security-oauth2的demo 不容易让开发者理解, 配置的内容很多, 没有分解的步骤; 我曾经试着按照文档(https://github.com/spring-projects/spring-security-oauth/blob/master/docs/oauth2.md) 配置了几次, 结果全失败, 无一成功(说实话, 这是第二次在实际项目中使用spring & oauth,但还是花了不少时间才完全弄清楚);甚至有时候找错误的原因都不好找.

2.Oauth应该属于security的一部分, 但demo并没有将二者分开, 混在一起

3.总结现在, 方便未来


相比于demo,作了哪些改进

1. 将Spring MVC配置与Oauth的配置分开, 互不影响

2.将用户信息存放数据库

3.将ClientDetails数据存放于数据库,并能对数据进行管理

4.扩展ClientDetails基本属性, 添加trusted属性,用于判断Client是否是可信任的

5.取消掉demo中一些不必要的配置

6.针对不同的资源配置不同的权限

7.token存入数据库而不是内存


开始

>>前提:  使用Maven来管理项目; spring-security-oauth的版本号为 1.0.5.RELEASE


1. 添加Maven dependencies; 以下只列出了主要的

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <!--spring security-->  
  2. <dependency>  
  3.     <groupId>org.springframework.security</groupId>  
  4.     <artifactId>spring-security-core</artifactId>  
  5.     <version>${spring.security.version}</version>  
  6. </dependency>  
  7. <dependency>  
  8.     <groupId>org.springframework.security</groupId>  
  9.     <artifactId>spring-security-web</artifactId>  
  10.     <version>${spring.security.version}</version>  
  11. </dependency>  
  12. <dependency>  
  13.     <groupId>org.springframework.security</groupId>  
  14.     <artifactId>spring-security-taglibs</artifactId>  
  15.     <version>${spring.security.version}</version>  
  16. </dependency>  
  17. <dependency>  
  18.     <groupId>org.springframework.security</groupId>  
  19.     <artifactId>spring-security-acl</artifactId>  
  20.     <version>${spring.security.version}</version>  
  21. </dependency>  
  22. <dependency>  
  23.     <groupId>org.springframework.security</groupId>  
  24.     <artifactId>spring-security-crypto</artifactId>  
  25.     <version>${spring.security.version}</version>  
  26. </dependency>  
  27. <dependency>  
  28.     <groupId>org.springframework.security</groupId>  
  29.     <artifactId>spring-security-config</artifactId>  
  30.     <version>${spring.security.version}</version>  
  31. </dependency>  
  32.   
  33. <dependency>  
  34.     <groupId>org.springframework.security.oauth</groupId>  
  35.     <artifactId>spring-security-oauth2</artifactId>  
  36.     <version>1.0.5.RELEASE</version>  
  37. </dependency>  


2. web.xml配置; 这一步与只使用Spring Security的配置一样.

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. </pre><pre code_snippet_id="73897" snippet_file_name="blog_20131119_2_2257675" name="code" class="html">    <filter>  
  2.         <filter-name>springSecurityFilterChain</filter-name>  
  3.         <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  4.     </filter>  
  5.   
  6.     <filter-mapping>  
  7.         <filter-name>springSecurityFilterChain</filter-name>  
  8.         <url-pattern>/*</url-pattern>  
  9.     </filter-mapping>  
  10.   
  11.     <!--contextConfigLocation -->  
  12.     <context-param>  
  13.         <param-name>contextConfigLocation</param-name>  
  14.         <param-value>classpath:spring/*.xml</param-value>  
  15.     </context-param>  
  16.   
  17.     <!-- Spring context listener -->  
  18.     <listener>  
  19.         <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
  20.     </listener>  
  21.   
  22.     <!--hy mvc-->  
  23.     <servlet>  
  24.         <servlet-name>hy</servlet-name>  
  25.         <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
  26.         <load-on-startup>2</load-on-startup>  
  27.     </servlet>  
  28.     <servlet-mapping>  
  29.         <servlet-name>hy</servlet-name>  
  30.         <url-pattern>/</url-pattern>  
  31.     </servlet-mapping>  

对于Spring MVC, 需要配置文件hy-servlet.xml, 该文件不是这儿关注的(忽略); 

在classpath创建spring目录, 在该目录里创建 security.xml 文件, 这是所有步骤配置的重点.


3.security.xml的配置; 重点开始.


3.1 起用注解; TokenEndpoint与AuthorizationEndpoint需要

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <mvc:annotation-driven/>  
  2. <mvc:default-servlet-handler/>  

3.2  TokenServices 配置

   1). TokenStore, 使用JdbcTokenStore, 将token信息存放数据库, 需要提供一个dataSource对象; 也可使用InMemoryTokenStore存于内存中

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <!--<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore"/>-->  
  2. <beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">  
  3.     <beans:constructor-arg index="0" ref="dataSource"/>  
  4. </beans:bean>  

: 可以在spring-security-oauth2中找到对应的SQL脚本, 地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2/src/test/resources , 目录中的 schema.sql  即是. (以下不再说明SQL脚本的问题)


  2).TokenServices; 需要注入TokenStore

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">  
  2.     <beans:property name="tokenStore" ref="tokenStore"/>  
  3.     <beans:property name="supportRefreshToken" value="true"/>  
  4. </beans:bean>  

      如果允许刷新token 请将supportRefreshToken 的值设置为true, 默认为不允许


3.3 ClientDetailsService 配置, 使用JdbcClientDetailsService, 也需要提供dataSource, 替换demo中直接配置在配置文件中

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="clientDetailsService" class="org.springframework.security.oauth2.provider.JdbcClientDetailsService">  
  2.     <beans:constructor-arg index="0" ref="dataSource"/>  
  3. </beans:bean>  


3.4 ClientDetailsUserDetailsService配置, 该类实现了Spring security中 UserDetailsService 接口

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="oauth2ClientDetailsUserService"  
  2.             class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">  
  3.     <beans:constructor-arg ref="clientDetailsService"/>  
  4. </beans:bean>  

3.5 OAuth2AuthenticationEntryPoint配置

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="oauth2AuthenticationEntryPoint"  
  2.             class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint"/>  

3.6 oauth2 AuthenticationManager配置; 在整个配置中,有两个AuthenticationManager需要配置

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <authentication-manager id="oauth2AuthenticationManager">  
  2.     <authentication-provider user-service-ref="oauth2ClientDetailsUserService"/>  
  3. </authentication-manager>  


第二个AuthenticationManager用于向获取UserDetails信息, 
[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <authentication-manager alias="authenticationManager">  
  2.     <authentication-provider user-service-ref="userService">  
  3.         <password-encoder hash="md5"/>  
  4.     </authentication-provider>  
  5. </authentication-manager>  

userService是一个实现UserDetailsService的Bean


3.7 OAuth2AccessDeniedHandler配置, 实现AccessDeniedHandler接口

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="oauth2AccessDeniedHandler"  
  2.             class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler"/>  

3.8 UserApprovalHandler配置, 这儿使用DefaultUserApprovalHandler, 这里是实现client是否可信任的关键点,你可以扩展该接口来自定义approval行为

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="oauthUserApprovalHandler" class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler">  
  2. </beans:bean>  

3.9 authorization-server配置, 核心

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"  
  2.                              user-approval-handler-ref="oauthUserApprovalHandler">  
  3.     <oauth2:authorization-code/>  
  4.     <oauth2:implicit/>  
  5.     <oauth2:refresh-token/>  
  6.     <oauth2:client-credentials/>  
  7.     <oauth2:password/>  
  8. </oauth2:authorization-server>  

该元素里面的每个标签可设置每一种authorized-grant-type的行为. 如disable refresh-token的配置为

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <oauth2:refresh-token disabled="true"/>  


3.10 Oauth2 AccessDecisionManager配置, 这儿在默认的Spring Security AccessDecisionManager的基础上添加了ScopeVoter

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">  
  2.     <beans:constructor-arg>  
  3.         <beans:list>  
  4.             <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter"/>  
  5.             <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>  
  6.             <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>  
  7.         </beans:list>  
  8.     </beans:constructor-arg>  
  9. </beans:bean>  

3.11 resource-server配置, 这儿定义两咱不同的resource

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <!--unity resource server filter-->  
  2. <oauth2:resource-server id="unityResourceServer" resource-id="unity-resource" token-services-ref="tokenServices"/>  
  3.   
  4. <!--mobile resource server filter-->  
  5. <oauth2:resource-server id="mobileResourceServer" resource-id="mobile-resource" token-services-ref="tokenServices"/>  

注意: 每个resource-id的值必须在对应的ClientDetails中resourceIds值中存在


3.12 ClientCredentialsTokenEndpointFilter配置, 该Filter将作用于Spring Security的chain 链条中

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <beans:bean id="clientCredentialsTokenEndpointFilter"  
  2.             class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">  
  3.     <beans:property name="authenticationManager" ref="oauth2AuthenticationManager"/>  
  4. </beans:bean>  

3.13 /oauth/token 的http 配置, 用于监听该URL的请求, 核心

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <http pattern="/oauth/token" create-session="stateless" authentication-manager-ref="oauth2AuthenticationManager"  
  2.       entry-point-ref="oauth2AuthenticationEntryPoint">  
  3.     <intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY"/>  
  4.     <anonymous enabled="false"/>  
  5.     <http-basic entry-point-ref="oauth2AuthenticationEntryPoint"/>  
  6.   
  7.     <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER"/>  
  8.     <access-denied-handler ref="oauth2AccessDeniedHandler"/>  
  9. </http>  

3.14 针对不同resource的http配置, 由于上面配置了两个resource, 这儿也配置两个

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <!--unity http configuration-->  
  2. <http pattern="/unity/**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"  
  3.       access-decision-manager-ref="oauth2AccessDecisionManager">  
  4.     <anonymous enabled="false"/>  
  5.   
  6.     <intercept-url pattern="/unity/**" access="ROLE_UNITY,SCOPE_READ"/>  
  7.   
  8.     <custom-filter ref="unityResourceServer" before="PRE_AUTH_FILTER"/>  
  9.     <access-denied-handler ref="oauth2AccessDeniedHandler"/>  
  10. </http>  
  11.   
  12. <!--mobile http configuration-->  
  13. <http pattern="/m/**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"  
  14.       access-decision-manager-ref="oauth2AccessDecisionManager">  
  15.     <anonymous enabled="false"/>  
  16.   
  17.     <intercept-url pattern="/m/**" access="ROLE_MOBILE,SCOPE_READ"/>  
  18.   
  19.     <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER"/>  
  20.     <access-denied-handler ref="oauth2AccessDeniedHandler"/>  
  21. </http>  
注意每一个http对应不同的resourceServer. access-decison-manager-ref对应Oauth的AccessDecisionManager


3.15 默认的http配置,给/oauth/** 设置权限

[html]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. <http access-denied-page="/login.jsp?authorization_error=2" disable-url-rewriting="true"  
  2.       authentication-manager-ref="authenticationManager">  
  3.     <intercept-url pattern="/oauth/**" access="ROLE_USER,ROLE_UNITY,ROLE_MOBILE"/>  
  4.     <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>  
  5.   
  6.     <form-login authentication-failure-url="/login.jsp?authentication_error=1" default-target-url="/index.jsp"  
  7.                 login-page="/login.jsp" login-processing-url="/login.do"/>  
  8.     <logout logout-success-url="/index.jsp" logout-url="/logout.do"/>  
  9.     <anonymous/>  
  10. </http>  



到此, securiy.xml 配置完毕.

当然,还有些额外的工作你需要做, 如配置dataSource, 创建数据库, 添加用户用户信息, 管理ClientDetails等等.

Oauth相关的数据都是存放在数据库, 我们就可以根据表结果创建domain来实现管理.



为了方便大家学习与讨论, 我现在把该项目放在了Git OSC上, 访问地址: http://git.oschina.net/shengzhao/spring-oauth-server, 欢迎大家关注.



与文章相关的配置,扩展请访问: http://andaily.com/blog/?cat=19

与文章相关的讨论请访问: http://andaily.com/blog/?page_id=182

yangcbyang
关注
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
A_991128a的博客
08-25 1237
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
spring security oauth2.0 实现
weixin_33726943的博客
04-05 200
  oauth应该属于security的一部分。关于oauth的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 一、目标   现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ账号等登陆自己的系统,我们现在就是要模拟这种登陆的方式,很多大的公...
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2466
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
Spring Security oAuth2.0
qq_41135883的博客
10-22 184
oAuth2.0是授权协议,他的主要作用是为了提供认证和授权的标准 实现方式: Spring Security shiro 自己去实现 角色: 第三方应用程序(客户端) 资源所有者(用户) HTTP 服务提供者 认证服务器 资源服务器 模式: 客户端授权模式 简单模式 授权码模式 密码模式 客户端模式 - 访问令牌: Refresh Token Access Token https://www.f...
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
Spring Security Oauth2.0
weixin_45893072的博客
03-03 3876
Oauth2的授权模式 1.授权码模式(Authorization Code)(常用) 2.隐式授权模式(Implicit) 3.密码模式(Resource Owner Password Credentials)(常用) 4.客户端模式(Client Credentials) 授权码模式 1、客户端请求第三方授权 2、用户(资源拥有者)同意给客户端授权 3、客户端获取到授权码,请求认证服务器申请 令牌 4、认证服务器向客户端响应令牌 5、客户端请求资源服务器的资源,资源服务校验令牌合法性,完成授权 ..
springsecurity整合oauth2
qq_21277357的博客
01-07 2221
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权中心Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
SpringSecurity实现Oauth2.0
llwhlee的博客
08-08 659
SpringSecurity实现Oauth2.0。
SpringSecurity整合Oauth2
qq_29860591的博客
03-06 249
父模块: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.3.RELEASE...
spring security 整合 oauth2
qq_35140272的博客
09-10 1306
前言 之前一篇博客学过security的核心,这次整合一下oauth2,它也是市场上比较流行的接口验证的一种方式了 引入pom 文中提及的整合oauth2的方式是建立在boot 的基础上的.在引入的boot 和security的start之后,我们还需要引入oauth2,注意,它不是start,另外我们计划将token存储在redis中,所以我们还需要引入redis的start &l...
Spring Security 整合OAuth2
程序员子龙
11-11 1954
OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信息,更安全更灵活; ..
权限管理:SpringSecurityOAuth2的整合
AI天才研究院
01-25 1210
1.背景介绍 1. 背景介绍 权限管理是现代软件系统中不可或缺的一部分,它确保了系统中的用户和应用程序只能访问他们拥有权限的资源。Spring SecurityOAuth2 都是权限管理领域中的重要技术。Spring Security 是一个基于 Spring 平台的安全框架,它提供了一系列的安全功能,如身份验证、授权、密码加密等。OAuth2 是一种授权协议,它允许用户委托第三方应用程...
SpringSecurity+OAuth2整合JWT详细教程
"SpringSecurity整合OAuth2并使用JWT作为令牌存储" 在本文中,我们将探讨如何将Spring SecurityOAuth2框架整合,并使用JWT(JSON Web Token)替代原有的Redis存储方式,以增强系统的安全性。我们将逐步介绍如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值