SpringBoot 如何配置 OAuth2 认证

最新推荐文章于 2024-03-29 15:29:42 发布
最新推荐文章于 2024-03-29 15:29:42 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: Java 教程 文章标签: spring boot java github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77835649/article/details/133670048
版权

在Spring Boot中配置OAuth2认证

OAuth2是一种用于授权的开放标准,允许应用程序安全地访问用户的资源。Spring Boot提供了强大的支持,使得在应用程序中配置OAuth2认证变得非常容易。本文将介绍如何在Spring Boot中配置OAuth2认证,以便您可以在您的应用程序中实现安全的授权流程。

在这里插入图片描述

什么是OAuth2?

OAuth2是一种用于授权的开放标准,用于控制第三方应用程序访问用户数据的权限。OAuth2定义了不同的授权流程,包括授权码流、密码流、客户端凭据流等,以满足不同的应用程序需求。

OAuth2的核心概念包括以下角色:

  • 资源所有者(Resource Owner):拥有资源的用户或实体。

  • 客户端(Client):访问资源的应用程序。

  • 资源服务器(Resource Server):存储和提供资源的服务器。

  • 授权服务器(Authorization Server):颁发访问令牌的服务器。

OAuth2通过令牌(Token)来实现授权,授权服务器颁发访问令牌,客户端使用访问令牌来访问资源服务器上的受保护资源。

Spring Boot中的OAuth2支持

Spring Boot提供了OAuth2的实现,可以帮助您轻松地配置OAuth2认证。Spring Security OAuth2是Spring Boot的一部分,它提供了用于构建OAuth2认证服务器和客户端的组件。

在Spring Boot中,您可以配置OAuth2认证服务器,也可以配置OAuth2客户端,甚至可以同时配置两者。以下是配置OAuth2的一般步骤:

  1. 引入Spring Security OAuth2依赖。

  2. 配置OAuth2认证服务器或客户端。

  3. 自定义OAuth2的行为(可选)。

本文将重点介绍如何配置一个简单的OAuth2认证服务器。

配置OAuth2认证服务器

首先,您需要在Spring Boot项目中引入Spring Security OAuth2的依赖。在Maven项目中,可以通过以下方式添加依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

接下来,您需要配置OAuth2认证服务器。在Spring Boot中,可以使用@EnableAuthorizationServer注解来启用OAuth2认证服务器。以下是一个简单的OAuth2认证服务器配置示例:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;

@Configuration
@EnableAuthorizationServer
@EnableResourceServer
public class OAuth2Config {
}

在上述配置中,我们使用@EnableAuthorizationServer注解来启用OAuth2认证服务器,同时使用@EnableResourceServer注解来启用OAuth2资源服务器。

配置认证服务器的属性

接下来,您可以配置OAuth2认证服务器的属性,包括令牌存储方式、客户端信息、用户信息和授权方式等。以下是一个示例配置:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;

@Configuration
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    private final AuthenticationManager authenticationManager;
    private final UserDetailsService userDetailsService;

    public OAuth2Config(AuthenticationManager authenticationManager, UserDetailsService userDetailsService) {
        this.authenticationManager = authenticationManager;
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients
            .inMemory()
            .withClient("client")
            .secret(passwordEncoder().encode("secret"))
            .authorizedGrantTypes("password", "refresh_token")
            .scopes("read", "write")
            .accessTokenValiditySeconds(3600)
            .refreshTokenValiditySeconds(86400);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .authenticationManager(authenticationManager)
            .userDetailsService(userDetailsService);
    }
}

在上述配置中,我们配置了客户端信息,指定了客户端ID和密钥,并定义了允许的授权方式和访问令牌的有效期。此外,我们配置了认证管理器和用户详细信息服务。

配置安全性

最后,为了确保OAuth2认证服务器的安全性,您需要配置Spring Security规则。以下是一个示例配置:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;

@Configuration
@EnableWebSecurity
@EnableAuthorizationServer
public class SecurityConfig {

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/oauth/token").permitAll()
            .anyRequest().authenticated()
            .and()
            .httpBasic();
    }
}

在上述配置中,我们启用了Spring Security,并配置了允许所有请求访问/oauth/token,同时要求其他请求进行身份验证。

运行OAuth2认证服务器

现在,您已经配置了OAuth2认证服务器,可以运行您的Spring Boot应用程序并测试OAuth2认证流程。使用以下命令启动Spring Boot应用程序:

./mvnw spring-boot:run

或者使用Maven Wrapper:

mvn spring-boot:run
``

`

您的OAuth2认证服务器将在默认端口(通常是8080)上启动。

## 测试OAuth2认证

为了测试OAuth2认证,您可以使用OAuth2客户端(例如Postman)来请求访问令牌,然后使用该令牌访问受保护的资源。以下是一个简单的测试示例:

1. 发送POST请求以获取访问令牌:

```http
POST http://localhost:8080/oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=password
username=user
password=password
client_id=client
client_secret=secret
  1. 如果授权成功,将收到包含访问令牌的响应:
{
    "access_token": "YOUR_ACCESS_TOKEN",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "read write"
}
  1. 使用访问令牌访问受保护的资源:
GET http://localhost:8080/api/resource
Authorization: Bearer YOUR_ACCESS_TOKEN

确保在请求头中包含正确的访问令牌。

自定义OAuth2的行为

除了上述基本配置之外,您可以根据您的需求自定义OAuth2的行为。例如,您可以定义自己的用户详细信息服务、自定义令牌存储、实现OAuth2扩展等等。

总结

在Spring Boot中配置OAuth2认证是一个非常强大的功能,可以帮助您实现安全的授权流程。本文介绍了如何配置OAuth2认证服务器,包括引入依赖、配置认证服务器属性、配置安全性和测试OAuth2认证流程。希望本文对您有所帮助,让您更好地理解如何在Spring Boot中配置OAuth2认证。 Happy coding!

Java老徐
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
一步步入门搭建SpringSecurity OAuth2(密码模式)
我神级欧文的博客
02-05 4299
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
Spring OAuth2 Resource Server 配置
最新发布
semicolon_hello的专栏
03-29 947
Spring OAuth2 Resource Server 是 Spring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。
spring boot security oauth2 认证服务器搭建
Riteny的博客
03-17 644
最近在搞关于oauth2的系统,在网上的资料比较杂乱,也痛苦了不少了时间,最后终于开发好了符合自己实际应用的系统 在这里顺便把整理后的例子发上来,希望能够帮到别人,同时也给自己留个记录 首先,先添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
主要介绍了Springboot Oauth2 Server 搭建Oauth2认证服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5611
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Boot 中的OAuth 2
探索er的博客
05-12 7935
Spring Boot 中的OAuth 2
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 2787
springbootspringsecurity整合OAuth2
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4491
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
oauth2-resource-server授权配置介绍
言午玉口才
08-17 2228
也就是授权(token中存放用户名、授权信息),接着资源服务器的token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
SpringBoot实现OAuth2认证服务器.docx
06-27
pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.0.RELEASE</version> </dependency>
基于SpringBoot整合oauth2实现token认证
08-25
主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
oauth2.0--基础--03--简单搭建认证服务器,资源服务器
zhou920786312的博客
10-30 2579
1、整体代码 框架:spring sercurity+oauth2.0 1.1、代码结构 3、认证服务器代码:oauth-authorizationServer UserBean AuthorizationServer WebSecurityConfig UserDao SpringDataUserDetailsService application.properties pom.xml mysql.sql 数据库脚本 3.2、解读代码 3.2.1、OAuth2.0授权服务器的开启
Springboot整合OAuth2
qq_41566980的博客
08-28 6183
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
Spring Boot OAuth2 整合详解
深圳市多克创新科技有限公司
10-19 1512
Spring Boot OAuth 2.0整合详解
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 8958
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 4626
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring Security的OAuth2.0模块来实现授权验证。
SpringBoot实现OAuth2认证服务器
05-17
OAuth2是一种授权协议,用于授权第三方应用程序访问用户资源。Spring Security是一个强大的安全框架,可以与OAuth2协议一起使用来构建安全的应用程序。Spring Boot框架可以轻松地构建基于Spring Security和OAuth2的认证服务器。 下面是实现Spring Boot OAuth2认证服务器的步骤: 1. 添加Spring Security和OAuth2依赖项。在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.4.0.RELEASE</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security。创建一个SecurityConfig类,继承WebSecurityConfigurerAdapter,并覆盖configure方法: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/oauth/token").permitAll() .anyRequest().authenticated() .and() .httpBasic(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这里定义了一个UserDetailsService来获取用户信息,并使用BCryptPasswordEncoder来加密密码。configure方法定义了认证和授权的规则,这里允许访问/oauth/token路径。 3. 配置OAuth2。创建一个AuthorizationServerConfig类,继承AuthorizationServerConfigurerAdapter,并覆盖configure方法: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource).passwordEncoder(passwordEncoder); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } } ``` 这里使用了JDBC存储客户端信息和令牌,使用PasswordEncoder来加密客户端密码。configure方法定义了授权服务器的配置,包括客户端信息、令牌存储方式、身份验证管理器和用户详细信息服务。 4. 配置数据源。在application.properties文件中配置数据源,例如使用MySQL数据库: ``` spring.datasource.url=jdbc:mysql://localhost:3306/oauth2?useSSL=false spring.datasource.username=root spring.datasource.password=123456 spring.datasource.driver-class-name=com.mysql.jdbc.Driver ``` 5. 测试OAuth2认证服务器。启动应用程序并访问/oauth/token路径,可以获取访问令牌。例如: ``` curl -X POST \ http://localhost:8080/oauth/token \ -H 'Authorization: Basic Y2xpZW50OnNlY3JldA==' \ -H 'Content-Type: application/x-www-form-urlencoded' \ -d 'grant_type=password&username=user&password=password' ``` 这里使用了基本身份验证来验证客户端,用户名为client,密码为secret。授权类型为密码,用户名为user,密码为password。成功获取访问令牌后,可以使用该令牌来访问需要授权的资源。 以上就是使用Spring Boot实现OAuth2认证服务器的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java老徐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值