Spring Security OAuth2授权服务器资源服务器基本配置(二)

已于 2023-07-11 15:29:57 修改
阅读量1.1k 收藏 3
点赞数 1
分类专栏: Spring Cloud下基于OAUTH2认证授权 文章标签: spring
于 2020-08-26 11:44:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H900302/article/details/108235336
版权

写在前面:各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢!   如果我的博客对你有帮助,欢迎进行评论✏️✏️、点赞👍👍、收藏⭐️⭐️,满足一下我的虚荣心💖🙏🙏🙏 。

  上一篇介绍了一些基本的概念及大致的使用流程,本篇我们完成授权服务的搭建并实现基本的认证授权功能。

目录

依赖

配置授权服务器

配置资源服务器

配置WebSecurityConfig

测试

使用postman测试

结合WebSecurityConfig进行资源访问控制

依赖

参考上一篇中依赖。Spring Security OAuth2使用步骤(一)

配置授权服务器

完整代码如下:

@EnableAuthorizationServer
@Configuration
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetails());
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST);
        endpoints.tokenStore(tokenStore());
    }

    @Bean
    public ClientDetailsService clientDetails() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }
    
}

对授权服务的一些说明:

客户端配置:记录到数据库(oauth_client_details)中,从数据库中获取客户端信息。

端点配置:token存储到数据库(oauth_access_token)中,允许使用get、post方式获取      token。

security配置:配置允许表单认证

配置资源服务器

完整代码如下:

@Configuration
@EnableResourceServer
public class CustomResourceServer extends ResourceServerConfigurerAdapter {

    private static final String RESOURCE_ID = "uaa-service";

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId(RESOURCE_ID);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }
    
}

对授权服务的一些说明:

HttpSecurity配置:使用默认配置,不在/oauth/**下的资源都是受保护的资源。

resources配置:配置了resourceId,注意如果配置了resourceId,认证时会校验resourceId,需要oauth_client_details表中的 resource_ids 值与此处设置的值相等。

配置WebSecurityConfig

完整代码如下:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

对WebSecurityConfig的一些说明:

@EnableGlobalMethodSecurity(prePostEnabled = true):开启方法级别的授权认证。

@EnableWebSecurity:开启Web保护功能。

测试

新建测试类

@RestController
public class TestController {

    @RequestMapping(value = "/uaa")
    public String test() {
        return "oauth";
    }

}

使用postman测试

访问 localhost:9004/uaa,结果不允许访问,结果如下:

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

通过之前的介绍知道除 /oauth 下的路径之外都是受保护的,需要授权才可以访问,如上我们访问 /uaa 提示401 未授权。

下面我们使用客户端模式获取token,然后携带token再次访问资源/uaa。

获取下token:

使用get方式获取token,也可以直接从浏览器访问如下路径:

localhost:9004/oauth/token?client_id=dev-client&client_secret=123456&grant_type=client_credentials&scopes=all

复制返回的access_token再次访问资源/uaa,如下:

结合WebSecurityConfig进行资源访问控制

测试类

@RestController
public class TestController {


    @RequestMapping(value = "/uaa")
    public String test() {
        return "oauth";
    }

    @RequestMapping(value = "/ignore")
    public String ignore() {
        return "ignore";
    }

}

HttpSecurity配置改为:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/ignore");
    }
}

WebSecurity可以配置忽略某些资源的访问不用授权,通常用来配置静态资源的访问,如下:

antMatchers("/js/**","/css/**").permitAll() 
// 或
antMatchers("/**/*.js").permitAll()

这里只是添加了一个WebSecurity的配置,用来演示忽略资源/ignore的访问不用授权即可直接访问。

通常WebSecurityConfig配合资源服务器中的configure(HttpSecurity http)方法,相互配合来对不同url进行权限控制,之后用到再贴代码。

卡_卡_西
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的实现主要涉及到授权服务器、资源服务器和客户端三个部分的配置和实现。通过配置 AuthorizationServerConfigurer、ResourceServerConfigurer 和 OAuth2RestTemplate,可以实现 ...
Spring Security OAuth2 入门
2401_84097941的博客
05-04 521
本文从基础到高级再到实战,由浅入深,把MySQL讲的清清楚楚,明明白白,这应该是我目前为止看到过最好的有关MySQL的学习笔记了,我相信如果你把这份笔记认真看完后,无论是工作中碰到的问题还是被面试官问到的问题都能迎刃而解!MySQL50道高频面试题整理:《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!_token" ,用于开启获取刷新令牌的功能。
配置OAuth2认证服务器和资源服务器,实现基于令牌的身份验证和授权
qiuyehuanghun的博客
03-28 712
配置OAuth2认证服务器和资源服务器是实现基于令牌的身份验证和授权的关键步骤。创建一个WebSecurityConfigurerAdapter的子类,并覆盖configure(HttpSecurity http)方法以配置Spring Security,确保Spring Security不会拦截OAuth2的认证请求。通过以上步骤,您就可以在Spring Boot应用程序中配置OAuth2认证服务器和资源服务器,实现基于令牌的身份验证和授权
微服务安全Spring Security Oauth2实战
最新发布
zzz6583zz的博客
05-28 885
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Spring Security 自定义资源服务器实践
Java_ttcd的博客
08-23 1824
在整个流程中,我们使用的是最严密的授权码模式,它将用户引导到授权服务器进行身份验证,授权服务器将发放的访问令牌传递给客户端,目前主流都是使用该模式,该配置用于指定授权服务器地址,资源服务器将从该地址获取JWT令牌,并根据JWT中的属性进一步自我配置,发现授权服务器的公钥、验证JWT令牌。其中与授权服务器依赖不同的是,资源服务器spring boot版本,版本号会有spring boot进行管理,不需要显示声明。到此,我们通过自己搭建的授权服务器和资源服务器,完整体验了OAuth2流程。
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
小水牛的博客
05-07 4717
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
Spring Security Oauth2 ResourceServerConfigurerAdapter (资源服务器配置
热门推荐
wangooo的博客
02-21 1万+
ResourceServerConfigurerAdapter (资源服务器配置) 内部关联了ResourceServerSecurityConfigurer 和 HttpSecurity。前者与资源安全配置相关,后者与http安全配置相关 @Override public void configure(ResourceServerSecurityConfigurer resources) { //resourceId 用于分配给可授予的clientId
oauth2-resource-server授权配置介绍
言午玉口才
08-17 2725
也就是授权(token中存放用户名、授权信息),接着资源服务器的token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
OAuth2:资源服务器
Leon_Jinhai_Sun的博客
07-31 1839
OAuth2:资源服务器
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2中,创建一个授权服务器需要使用`@EnableAuthorizationServer`注解,并且扩展`AuthorizationServerConfigurerAdapter`类。以下是一个配置示例: ```java @Configuration @...
SpringBoot-OAuth2:Spring Boot OAuth授权和资源服务器
02-04
Spring Boot OAuth授权和资源服务器要求Java平台(JDK)8 Eclipse + Buildship Gradle插件(来自Eclipse Marketplace的Insall) MySQL的如何运行克隆存储库Eclipse,将项目导入为gradle项目,同步gradle项目以获取...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
OAuth2 是一种身份验证协议,通过将客户端、资源服务器授权服务器分离,实现了灵活的身份验证机制。Spring Security OAuth2 便是基于 OAuth2 协议的实现,提供了丰富的身份验证机制和授权机制。 在 Spring ...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring SecurityOAuth2(资源服务器
chucan4529的博客
01-26 823
Spring SecurityOAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Spring Security OAuth2配置WebSecurityConfigurerAdapter及与ResourceServerConfigurerAdapter区别(三)
FAIRYTAIL的博客
08-26 5757
上一篇提到通常WebSecurityConfigurerAdapter (spring security配置)和ResourceServerConfigurerAdapter会配合来对url进行访问控制,本篇通过示例细化一下它们两者的使用。
Spring Cloud整合 Spring Security OAuth2.0认证授权
Qdog
05-22 4957
一、分布式系统认证方案 1.1 什么是分布式系统 具有分布式架构的系统叫分布式系统,分布式系统的运行通常依赖网络,它将单体结构的系统分为若干服务,服务之间通过网络交互来完成用户的业务处理,当前流行的微服务架构就是分布式系统架构,如下图: 分布式系统具体如下基本特点: 1、分布性:每个部分都可以独立部署,服务之间交互通过网络进行通信,比如:订单服务、商品服务。 2、伸缩性:每个部分都可以集群方式部署,并可针对部分结点进行硬件及软件扩容,具有一定的伸缩能力。 3、共享性:每个部分都可以作为共享资源对外提供服务
SpringSecurity(十)---OAuth2:实现资源服务器(上)资源服务器搭建以及直接调用授权服务器模式
学习不止境的博客
12-01 3252
本章将讨论如何使用Spring Security实现一个资源服务器,资源服务器是管理用户资源的组件。另外,学习本章有个前提,需要先把前面搭建授权服务器的相关文章先给阅读,否则可能后面出现的授权服务器相关代码不知道个所以然。就OAuth2而言,它代表了我们要保护的后端(端点),就像前几章保护的其他应用程序是一样的。为了允许客户端访问资源,资源服务器需要一个有效的访问令牌。客户端会从授权服务器获得访问令牌,并通过将该令牌添加到HTTP请求头信息来使用该令牌调用资源服务器上的资源。
springsecurity03-springsecurity oauth2实现单点登录之-资源服务器Resource Service)
liaomin416100569的专栏
03-14 1572
文章目录资源文件简介资源文件实战 资源文件简介 文章参考自 https://projects.spring.io/spring-security-oauth/docs/oauth2.html 一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentica...
SpringSecurity】十六、OAuth2.0授权服务器、资源服务器配置(理论部分)
llg___的博客
03-21 1992
授权服务:负责校验接入的客户端、登录的用户账户是否合法,以及颁发token.资源服务:校验token,返回资源信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值