SpringBoot - 使用Spring Security实现OAuth2授权认证教程

最新推荐文章于 2024-08-16 08:05:35 发布

Andy2019

最新推荐文章于 2024-08-16 08:05:35 发布

阅读量1.9k

点赞数

分类专栏： Spring Security

原文链接：https://www.hangge.com/blog/cache/detail_2683.html

版权

Spring Security 专栏收录该内容

12 篇文章 2 订阅

订阅专栏

一、OAuth 2 介绍

1，什么是 OAuth 2?

OAuth 是一个开放标准，该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源（如头像、照片、视频等），而在这个过程中无须将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌（token），而不是用户名和密码来访问他们存放在特定服务提供者的数据。
每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样，OAuth 让用户可以授权第三方网站灵活地访问存储在另外一些资源服务器的特定信息，而非所有内容。目前主流的 qq，微信等第三方授权登录方式都是基于 OAuth2 实现的。
OAuth 2 是 OAuth 协议的下一版本，但不向下兼容 OAuth 1.0。OAuth 2 关注客户端开发者的简易性，同时为 Web 应用、桌面应用、移动设备、起居室设备提供专门的认证流程。
传统的 Web 开发登录认证一般都是基于 Session 的，但是在前后端分离的架构中继续使用 Session 会有许多不便，因为移动端（Android、iOS、微信小程序等）要么不支持Cookie（微信小程序），要么使用非常不便，对于这些问题，使用 OAuth 2 认证都能解决。

2，OAuth 2 角色

OAuth 2 标准中定义了以下几种角色：

资源所有者（Resource Owner）：即代表授权客户端访问本身资源信息的用户，客户端访问用户帐户的权限仅限于用户授权的“范围”。
客户端（Client）：即代表意图访问受限资源的第三方应用。在访问实现之前，它必须先经过用户者授权，并且获得的授权凭证将进一步由授权服务器进行验证。
授权服务器（Authorization Server）：授权服务器用来验证用户提供的信息是否正确，并返回一个令牌给第三方应用。
资源服务器（Resource Server）：资源服务器是提供给用户资源的服务器，例如头像、照片、视频等。

注意：一般来说，授权服务器和资源服务器可以是同一台服务器。

3，OAuth 2 授权流程

下面是 OAuth 2 一个大致的授权流程图：

步骤1：客户端（第三方应用）向用户请求授权。
步骤2：用户单击客户端所呈现的服务授权页面上的同意授权按钮后，服务端返回一个授权许可凭证给客户端。
步骤3：客户端拿着授权许可凭证去授权服务器申请令牌。
步骤4：授权服务器验证信息无误后，发放令牌给客户端。
步骤5：客户端拿着令牌去资源服务器访问资源。
步骤6：资源服务器验证令牌无误后开放资源。

4，OAuth 2 授权模式

OAuth 协议的授权模式共分为 4 种，分别说明如下：

授权码模式：授权码模式（authorization code）是功能最完整、流程最严谨的授权模式。它的特点就是通过客户端的服务器与授权服务器进行交互，国内常见的第三方平台登录功能基本都是使用这种模式。
简化模式：简化模式不需要客户端服务器参与，直接在浏览器中向授权服务器中请令牌，一般若网站是纯静态页面，则可以采用这种方式。
密码模式：密码模式是用户把用户名密码直接告诉客户端，客户端使用这些信息向授权服务器中请令牌。这需要用户对客户端高度信任，例如客户端应用和服务提供商是同一家公司。
客户端模式：客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权。严格来说，客户端模式并不能算作 OAuth 协议要解决的问题的一种解决方案，但是，对于开发者而言，在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。

二、使用样例

由于本样例演示的是如何在前后端分离应用（或者为移动端、微信小程序等）提供的认证服务器中如何搭建 OAuth 服务，因此主要介绍密码模式。

1，添加依赖

由于 Spring Boot 中的 OAuth 协议是在 Spring Security 基础上完成的。因此首先编辑 pom.xml，添加 Spring Security 以及 OAuth 依赖。

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-security</artifactId>

</dependency>

<dependency>

<groupId>org.springframework.security.oauth</groupId>

<artifactId>spring-security-oauth2</artifactId>

<version>2.3.3.RELEASE</version>

</dependency>

2，配置授权服务器

授权服务器和资源服务器可以是同一台服务器，也可以是不同服务器，本案例中假设是同一台服务器，通过不同的配置开启授权服务器和资源服务器。

下面是授权服务器配置代码。创建一个自定义类继承自 AuthorizationServerConfigurerAdapter，完成对授权服务器的配置，然后通过 @EnableAuthorizationServer 注解开启授权服务器：

注意：authorizedGrantTypes("password", "refresh_token") 表示 OAuth 2 中的授权模式为“password”和“refresh_token”两种。在标准的 OAuth 2 协议中，授权模式并不包括“refresh_token”，但是在 Spring Security 的实现中将其归为一种，因此如果需要实现 access_token 的刷新，就需要这样一种授权模式。

@Configuration

@EnableAuthorizationServer

public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

// 该对象用来支持 password 模式

@Autowired

AuthenticationManager authenticationManager;

// 该对象用来将令牌信息存储到内存中

@Autowired(required = false)

TokenStore inMemoryTokenStore;

// 该对象将为刷新token提供支持

@Autowired

UserDetailsService userDetailsService;

// 指定密码的加密方式

@Bean

PasswordEncoder passwordEncoder() {

// 使用BCrypt强哈希函数加密方案（密钥迭代次数默认为10）

return new BCryptPasswordEncoder();

}

// 配置 password 授权模式

@Override

public void configure(ClientDetailsServiceConfigurer clients)

throws Exception {

clients.inMemory()

.withClient("password")

.authorizedGrantTypes("password", "refresh_token") //授权模式为password和refresh_token两种

.accessTokenValiditySeconds(1800) // 配置access_token的过期时间

.resourceIds("rid") //配置资源id

.scopes("all")

.secret("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq"); //123加密后的密码

}

@Override

public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

endpoints.tokenStore(inMemoryTokenStore) //配置令牌的存储（这里存放在内存中）

.authenticationManager(authenticationManager)

.userDetailsService(userDetailsService);

}

@Override

public void configure(AuthorizationServerSecurityConfigurer security) {

// 表示支持 client_id 和 client_secret 做登录认证

security.allowFormAuthenticationForClients();

}

3，配置资源服务器

接下来配置资源服务器。自定义类继承自 ResourceServerConfigurerAdapter，并添加 @EnableResourceServer 注解开启资源服务器配置。

@Configuration

@EnableResourceServer

public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

resources.resourceId("rid") // 配置资源id，这里的资源id和授权服务器中的资源id一致

.stateless(true); // 设置这些资源仅基于令牌认证

}

// 配置 URL 访问权限

@Override

public void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers("/admin/**").hasRole("admin")

.antMatchers("/user/**").hasRole("user")

.anyRequest().authenticated();

}

4，配置 Security

这里 Spring Security 的配置与传统的 Security 大体相同，不同在于：

这里多了两个 Bean，这两个 Bean 将注入授权服务器配置类中使用。
另外，这里的 HttpSecurity 配置主要是配置“oauth/**”模式的 URL，这一类的请求直接放行。

注意：在这个 Spring Security 配置和上面的资源服务器配置中，都涉及到了 HttpSecurity。其中 Spring Security 中的配置优先级高于资源服务器中的配置，即请求地址先经过 Spring Security 的 HttpSecurity，再经过资源服务器的 HttpSecurity。

@Configuration

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Bean

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Bean

@Override

protected UserDetailsService userDetailsService() {

return super.userDetailsService();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.inMemoryAuthentication()

.withUser("admin")

.password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq") //123

.roles("admin")

.and()

.withUser("sang")

.password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq") //123

.roles("user");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.antMatcher("/oauth/**").authorizeRequests()

.antMatchers("/oauth/**").permitAll()

.and().csrf().disable();

}

5，添加测试接口

接着在 Conctoller 中添加如下三个接口用于测试，它们分别需要 admin 角色、use 角色以及登录后访问。

@RestController

public class HelloController {

@GetMapping("/admin/hello")

public String admin() {

return "hello admin";

}

@GetMapping("/user/hello")

public String user() {

return "hello user";

}

@GetMapping("/hello")

public String hello() {

return "hello";

}

6，开始测试

（1）启动项目，首先通过 POST 请求获取 token：

请求地址：oauth/token
请求参数：用户名、密码、授权模式、客户端 id、scope、以及客户端密码
返回结果：access_token 表示获取其它资源是要用的令牌，refresh_token 用来刷新令牌，expires_in 表示 access_token 过期时间。

（2）当 access_token 过期后，可以使用 refresh_token 重新获取新的 access_token（前提是 access_token 未过期），这里也是 POST 请求：

请求地址：oauth/token（不变）
请求参数：授权模式（变成了 refresh_token）、refresh_token、客户端 id、以及客户端密码
返回结果：与获取前面登录获取 token 返回的内容项一样。不过每次请求，access_token 和 access_token有效期都会变化。

（3）访问资源时，我们只需要携带上 access_token 参数即可：

（4）如果非法访问一个资源，比如 admin 用户访问“user/hello”接口，结果如下：

附：将令牌保存到 Redis 缓存服务器上

在上面的样例中，令牌（Access Token）是存储在内存中，这种方式在单服务上可以体现出很好特效（即并发量不大，并且它在失败的时候不会进行备份）
我们也可以将令牌保存到数据库或者 Redis 缓存服务器上。使用这中方式，可以在多个服务之间实现令牌共享。下面我通过样例演示如何将令牌存储在 Redis 缓存服务器上，同时 Redis 具有过期等功能，很适合令牌的存储。

1，增加依赖

（1）首先编辑 pom.xml 文件，在前面的基础上增加 Redis 相关依赖：

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-security</artifactId>

</dependency>

<dependency>

<groupId>org.springframework.security.oauth</groupId>

<artifactId>spring-security-oauth2</artifactId>

<version>2.3.3.RELEASE</version>

</dependency>

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-data-redis</artifactId>

<exclusions>

<exclusion>

<groupId>io.lettuce</groupId>

<artifactId>lettuce-core</artifactId>

</exclusion>

</exclusions>

</dependency>

<dependency>

<groupId>redis.clients</groupId>

<artifactId>jedis</artifactId>

</dependency>

（2）接着在 application.properties 中配置 Redis 连接信息：

# 基本连接信息配置
spring.redis.database=0
spring.redis.host=192.168.60.133
spring.redis.port=6379
spring.redis.password=123
# 连接池信息配置
spring.redis.jedis.pool.max-active=8
spring.redis.jedis.pool.max-idle=8
spring.redis.jedis.pool.max-wait=-1ms
spring.redis.jedis.pool.min-idle=0