Security整合OAuth2

最新推荐文章于 2024-05-29 00:46:29 发布
最新推荐文章于 2024-05-29 00:46:29 发布
阅读量691 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Curtisjia/article/details/104332681
版权

先提一句

最新发现用idea创建springboot工程,他给的版本是2.2.4,如果你的maven用的是阿里云镜像的话,会报找不到!阿里云应该还没有同步这个版本,请降到2.2.2

添加工程依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.2.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>oauth</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>oauth</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.6.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

连接redis

Linux或者Windows要有redis,我这里装在了Windows环境下

spring.redis.host=localhost
spring.redis.port=6379

配置授权服务

package com.example.oauth.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;

/**
 * @description:
 * 授权服务器
 * @author: Leo
 * @createDate: 2020/2/15
 * @version: 1.0
 */
@Configuration
@EnableAuthorizationServer
public class AuthorServerConfig extends AuthorizationServerConfigurerAdapter
{
    //一开始会有AuthenticationManager 无法注入,解决办法就是继承WebSecurityConfigurerAdapter
    //重写authenticationManager
    @Autowired
    AuthenticationManager authenticationManager;

    @Autowired
    RedisConnectionFactory redisConnectionFactory;

    @Autowired
    UserDetailsService userDetailsService;

    @Bean
    PasswordEncoder passwordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception
    {
        clients.inMemory()
                .withClient("password") //认证模式是password
                .authorizedGrantTypes("password", "refresh_token") //授权模式
                .accessTokenValiditySeconds(1800)//保留时间
                .resourceIds("rid")//资源id
                .scopes("all")
                .secret("$2a$10$3gmKuxpj.noBDIGq31Joa..mmQA/gM9ZztEdk8T9YzUrK9ojqKx1i");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception
    {
        endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory)) //把token传到redis里
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception
    {
        security.allowFormAuthenticationForClients();
    }
}

配置资源服务

package com.example.oauth.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

/**
 * @description:
 * 资源服务器
 * @author: Leo
 * @createDate: 2020/2/15
 * @version: 1.0
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter
{
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception
    {
        resources.resourceId("rid").stateless(true);//指定资源id,要和授权里面资源id保持一致
        //stateless 资源是基于令牌认证
    }

    @Override
    public void configure(HttpSecurity http) throws Exception
    {
        http.authorizeRequests().antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/user/**").hasAnyRole("user","admin")
                .anyRequest().authenticated();
    }
}

安全配置

package com.example.oauth.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * @description:
 * @author: Leo
 * @createDate: 2020/2/15
 * @version: 1.0
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception
    {
        return super.authenticationManager();
    }

    @Bean
    @Override
    protected UserDetailsService userDetailsService()
    {
        return super.userDetailsService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.inMemoryAuthentication()
                .withUser("leo").password("$2a$10$3gmKuxpj.noBDIGq31Joa..mmQA/gM9ZztEdk8T9YzUrK9ojqKx1i")
                .roles("admin")
                .and()
                .withUser("jcl").password("$2a$10$3gmKuxpj.noBDIGq31Joa..mmQA/gM9ZztEdk8T9YzUrK9ojqKx1i")
                .roles("user");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception
    {
        http.antMatcher("/oauth/**").authorizeRequests()
                .antMatchers("/oauth/**").permitAll()
                .and().csrf().disable();
    }
}

控制层测试

package com.example.oauth.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @description:
 * @author: Leo
 * @createDate: 2020/2/15
 * @version: 1.0
 */
@RestController
public class HelloController
{
    @GetMapping("/admin/hello")
    public String admin(){
        return "admin";
    }
    @GetMapping("/user/hello")
    public String user(){
        return "user";
    }
    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }
}

发送post请求
在这里插入图片描述
返回:
在这里插入图片描述
access_token:用来请求接口的token
refresh_token:用来获取新的token

token过期

在这里插入图片描述
当token时间超过了自己设定的存活时间,就会过期,我这边设置了30分钟
所以需要重新获取token
在这里插入图片描述
可以看到,token时间被重新刷新了,访问,正常!
在这里插入图片描述

Author By 朝花不迟暮

朝花不迟暮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7041
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring SecurityOAuth2,以实现基于password模式的认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件,引入Spring Security、Spring Web、OAuth2的...
《设计模式》建造者模式 (spring-security-oauth2源码之ClientDetailsServiceConfigurer)
热门推荐
kaige8312的博客
02-12 1万+
建造者模式(Builder Pattern)使用多个简单的对象一步一步构建成一个复杂的对象。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 简单版参照 https://blog.csdn.net/u010102390/article/details/80179754 看下spring-security-oauth2是怎么玩的 1.首先定义总的Configurer类--C...
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
搭建新版security-oauth2协议,流程代码详解,源码分析
zzztimes的博客
07-05 981
最近在学习搭建oauth2协议的开放平台,把搭建框架时的思路以及遇到的问题记录下来。
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9283
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springboot与security oauth2整合例子
08-01
当我们谈论"springboot与security oauth2整合例子",实际上是在讨论如何将OAuth2协议集成到Spring Boot和Spring Security,以实现基于令牌(Token)的身份验证和授权机制。OAuth2是一种开放标准,用于授权第三方...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
在课程,新增的第10+11章可能涵盖了Spring SecurityOAuth2的深度整合,这包括: 1. 如何使用Spring Security作为OAuth2的授权服务器,实现用户登录验证和令牌发放。 2. 客户端注册和认证:如何在Spring ...
Spring security知识整理
qq_25705173的博客
07-07 782
1) Spring Security进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。 验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationPro
OAuth2 & Spring Security OAuth2 总结
来啊 快活啊
09-09 1013
OAuth2认证机制提供了四种方式,但是这四种方式的输入和输出都是一样的,输入都是clientid和clientsecret,输出都是token; 如果是自己的应用要使用这些资源,用client_credentials的方式, authorization code:clientid+clientsecret->code->token implicit:clientid+clientsecret
spring security OAuth2 实战
swadian2008的博客
09-18 2501
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。OAuth协议:https://tools.ietf.org/html/rfc6749OAuth 基本概念Third-party application:第三方应用程序,又称"客户端"(client),比如京东商城。
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3870
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
spring security oauth2学习 -- 快速入门
本郡主是喵
06-19 780
1.我们不是自定义实现UserDetailService 去自定义 loadUserByUsername()方法, 2.自定义SercutiyConfigextends WebSecurityConfigurerAdapter 继承这个逻辑。 3.自定义 AuthenticationServer extends AuthorizationServerConfigurerAdapter (在实际开发,授权服务器逻辑是框架帮我们定义的) 4. 自定义ResourcesServerConfig ext
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 5039
在本文,我们介绍了如何在 SpringBoot 使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 使用 OAuth2 进行认证和授权的。
开发笔记 | 认证授权+Spring Security+OAuth2快速学习笔记
qq_37630282的博客
07-18 2232
认证授权+Spring Security+OAuth2学习笔记
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2321
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Springboot整合OAuth2
qq_41566980的博客
08-28 6750
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
springsecurity整合oauth2 jwt
07-28
Spring Security整合OAuth2 JWT是一种常见的身份验证和授权机制。在整合过程,需要导入Spring SecurityOAuth2的相关依赖\[1\]。同时,需要创建一个JwtTokenEnhancer类,用于向JWT添加自定义信息\[2\]。在存储...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值