使用spring-security-oauth2和spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案

已于 2024-03-19 14:32:56 修改
阅读量726 收藏 9
点赞数 20
分类专栏: OAuth2 + jwt 文章标签: 后端 spring boot java
于 2024-03-18 17:59:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ead_Y/article/details/136816273
版权

摘要

        关于早些时候的Spring Security版本中,可以使用spring-security-oauth2spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代spring-security-oauth2作为授权服务器。

        本文为复现通过spring-boot-starter-oauth2-resource-serverspring-security-oauth2-autoconfigure实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。

        以下是如何实现的示例:

资源服务器配置

首先,确保添加了资源服务器的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

然后,在application.ymlapplication.properties中配置JWT令牌支持:

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://your-auth-server.com # 授权服务器的issuer URI

资源服务器的安全配置类可能如下所示:

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class ResourceServerConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests(authz -> authz
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated())
            .oauth2ResourceServer(oauth2 -> oauth2.jwt());
    }
}

授权服务器配置

对于授权服务器,添加以下依赖以使用spring-security-oauth2-autoconfigure

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>

application.yml中添加授权服务器配置:

security:
  oauth2:
    client:
      client-id: your-client-id
      client-secret: your-client-secret
      authorized-grant-types: authorization_code,refresh_token,password,client_credentials
      scope: read,write
    authorization:
      check-token-access: isAuthenticated()

然后,配置授权服务器和安全配置:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    // 在这里配置授权服务器的端点、客户端详情、令牌存储等
}

总结

由于spring-security-oauth2-autoconfigure已经过时,并且它的功能在Spring Security 5中已经由原生支持取代,因此强烈建议迁移到Spring Security 5的OAuth2功能,或考虑使用Spring Authorization Server。

如果仍需要继续使用spring-security-oauth2-autoconfigure(可能是因为遗留系统兼容性等原因),那么可能需要查看更详细的文档和案例,因为这涉及到较旧版本的配置方法,包括在AuthorizationServerConfigurerAdapter实现中定义授权端点、令牌服务和安全约束。

请注意,Spring Boot 2.3.x版本的维护截至2021年已经结束,Spring Security 5不再包含OAuth 2.0 Authorization Server的支持,使用上述旧版本的方法应当谨慎,并计划迁移到更现代的解决方案。

基于security-oauth2-autoconfigure实现的OAuth2迁移到更现代的解决方案,Spring Security 5中使用OAuth2配合JWT实现安全认证-CSDN博客

Ead_Y
关注
  • 20
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot】自从集成spring-security-oauth2后,实现统一认证授权so easy!
墩墩分墩
04-24 1099
1.将`OAuth2和Spring Security集成`,就可以得到一套完整的安全解决方案。然后通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。 2.搭建授权服务器最重要的是:继承` AuthorizationServerConfigurerAdapter接口 `并在实现类上加注解`@EnableAuthorizationServer`标识这是一个授权服务器
springboot整合springsecurity+oauth2.0授权认证+jwt增强
qq_40741120的博客
01-06 3708
springboot整合springsecurity+oauth2.0授权认证+jwt增强 本文将采用springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-oauth2-2.3.5.RELEASE.pom; 包含翻译后的API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:spring、security、springframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代
Spring Boot 2.x实战83 - Spring Security 7 -OAuth 2.0之Authorization Server(基于JWT
汪云飞记录本
06-28 4529
3 OAuth 2.0 OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever
芋道 Spring Security OAuth2 入门
竹林幽深
03-24 3066
芋道 Spring Security OAuth2 入门 总阅读量:28123次 《Dubbo 实现原理与源码解析 —— 精品合集》 《Netty 实现原理与源码解析 —— 精品合集》 《Spring 实现原理与源码解析 —— 精品合集》 《MyBatis 实现原理与源码解析 —— 精品合集》 《Spring MVC 实现原理与源码解析 —— 精品合集》 《数据库实体设计合集》 《Spring Boot 实现原理与源码解析 —— 精品合集》 《Java 面试题 .
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1724
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
Spring Security OAuth2
qq_60257417的博客
04-01 323
CustomUserAuthenticationConverter类。AuthorizationServerConfig类。UserDetailsServiceImpl类。configure()方法给登录退出接口放行。WebSecurityConfig类。AutoServiceImpl类。service.impl包。AuthToken类。
spring-security-oauth2-autoconfigure引入不生效报红的问题
京北游戏官方
01-08 9511
我的父pml文件中单独引入了springcloud的格林尼治版本 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-dependencies</artifactId> <version>Greenwich.RELEASE<
Spring Cloud整合SpringSecurity OAuth2(全网最强)
热门推荐
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
spring-security-oauth2文档
最新发布
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
spring-security-mongo:Spring OAuth2安全扩展,以使用Mongo作为存储库
01-29
将其添加为项目的依赖项,然后在Spring Oauth2配置中使用Bean 注意: Spring Boot 2.x和Oath2库以及Mongo Driver 3.6带来了很多不向后兼容的改,除非您处理依赖关系。 因此,我已经新了所有依赖项,以使用...
SpringCloud OAuth2搭建(学习记录)
FYHannnnnn的博客
01-14 987
一,认证服务器端: Maven依赖 <!--导入spring cloud oauth2依赖--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> <e
Spring Security 0auth2 认证服务器和资源服务器实现
MrLee的博客
02-07 1836
【代码】Spring Security 0auth2 认证服务器和资源服务器实现
Spring Security Oauth2实践(2) - 客户端对接
奔跑的蜗牛
03-08 3278
本文基于Spring Security OAuth2提供一个Oauth2客户端对接demo,采用SpringBoot 注解@EnableOAuth2Client配置客户端,成功实现登录、授权、获取资源信息等过程,提供一种Oauth2客户端的实践
IDEA 新建springboot项目
Dalon_G的博客
12-18 570
1.new project 然后一直 Next,自行命名配置。。。。 创建之后的文件目录 写一个简单的接口 浏览器访问成功!       另附pom.xml配置 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&...
(二)spring security:使用 OAuth2 SSO 实现单点登录
yanfei_1986的博客
10-30 1811
一、前言 在阅读这篇文章时,原理和配置细节,我就不再写了(不一定有别人写的好o(* ̄︶ ̄*)o)。最好先阅读以下参考文献,详细阅读 OAuth 2.0相关文章;这样,你去看别人的博客时,才不会手忙脚乱、不知所措。而且,你会领悟 spring OAuth 2是如何配置、如何实现、原理是什么,才能已"架构师"的思想,在企业的应用环境中熟练应用与掌握它。 下一篇文章,我将已截图和UML图的形式,展示 spring OAuth 2设计的精华所在,堪称艺术品! 本文所采用的模式是最复杂的...
spring-security和spring-security-oauth2-autoconfigure的区别
06-13
`Spring Security`是一个用于保护Java应用程序的框架,它提供了一组API和工具来实现身份验证、授权、攻击防御等安全功能。它可以与多个身份验证和授权机制集成,例如基于表单的身份验证、基于HTTP Basic认证、OAuth2等。 `Spring Security OAuth2`是一个基于Spring Security的OAuth2框架,它提供了一组API和工具来实现OAuth2身份验证和授权。它支持多种OAuth2授权流程,包括授权码流程、隐式流程、客户端凭证流程等。 `Spring Security OAuth2 Autoconfigure`是Spring Security OAuth2的自动配置模块,它提供了一组自动配置选项,帮助我们在Spring Boot应用程序中使用OAuth2保护我们的资源。它简化了OAuth2的配置过程,提供了一些默认配置,使我们可以加容易地使用OAuth2。 总的来说,`Spring Security`是一个通用的Java应用程序安全框架,而`Spring Security OAuth2`是基于`Spring Security`的OAuth2实现,`Spring Security OAuth2 Autoconfigure`是`Spring Security OAuth2`的自动配置模块,可以方便地使用OAuth2来保护Spring Boot应用程序中的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ead_Y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值