从 Spring security oauth2 client 自动配置中获取 AccessToken

最新推荐文章于 2024-08-22 15:45:45 发布
最新推荐文章于 2024-08-22 15:45:45 发布
阅读量5.5k 收藏 2
点赞数
分类专栏: # SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lee_01/article/details/103091069
版权

问题

使用 Spring security oauth2 client 实现授权码模式,可以不用手动拼接url请求code和token等信息,用户登录成功之后可以在SuccessHandler中获取当前用户的信息。如果还想获取用户信息以外的授权资源,必须要有AccessToken,要怎么获取呢?先看下如何获取用户信息

依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

配置文件

spring:
  security:
    oauth2:
      client:
        provider:
          github:
            authorization-uri: https://github.com/login/oauth/authorize
            token-uri: https://github.com/login/oauth/access_token
            user-info-uri: https://api.github.com/user
            user-name-attribute: id
        registration:
          demo:
            client-id: xxxxx
            client-secret: xxxxx
            client-name: oauth2-demo
            provider: github
            scope: profile
            redirect-uri: http://localhost:8080/oauth2/callback
            client-authentication-method: basic
            authorization-grant-type: authorization_code
  http:
    log-request-details: true

logging:
  level:
    root: info
    web: debug

配置类

package com.example.demo.configurations;

import com.example.demo.handler.Oauth2AuthenticationSuccessHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private Oauth2AuthenticationSuccessHandler oauth2AuthenticationSuccessHandler;

	@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .oauth2Login()
                .redirectionEndpoint()
                .baseUri("/oauth2/callback")
                .and()
				.successHandler(oauth2AuthenticationSuccessHandler)
        ;
    }
}

SuccessHandler

package com.example.demo.handler;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@Component
public class Oauth2AuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    public Oauth2AuthenticationSuccessHandler() {
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException {
        OAuth2User oAuth2User = (OAuth2User) authentication.getPrincipal();
        if (oAuth2User != null) {
            log.info(oAuth2User.toString());
        }
        response.sendRedirect("/index.html");
    }
}

index.html

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>OAuth2 Demo</title>
    </head>
    <body>
        <p>已登录</p>
    </body>
</html>

分析

关键代码 OAuth2User oAuth2User = (OAuth2User) authentication.getPrincipal(); ,在 IDEA 中查找跟Authentication相关的类:OAuth2AuthenticationTokenOAuth2AuthorizedClient,然后百度,找到一个非常有用的spring security 官方文档:链接,得到解决方案:使用 @RegisteredOAuth2AuthorizedClien 注解,登录成功后访问 http://localhost:8080/token 即可看到 AccessToken

HelloController

package com.example.demo.controller;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.oauth2.client.OAuth2AuthorizedClient;
import org.springframework.security.oauth2.client.annotation.RegisteredOAuth2AuthorizedClient;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
@Slf4j
public class HelloController {
    @GetMapping("/token")
    @ResponseBody
    public String token(@RegisteredOAuth2AuthorizedClient OAuth2AuthorizedClient authorizedClient) {
        return authorizedClient.getAccessToken().getTokenValue();
    }
}
Lee_01
关注
专栏目录
Spring Security OAuth2入门Demo
诺浅的专栏
11-17 1627
写在前面 项目基于Spring Cloud,需要你对Spring Cloud有所了解,篇幅所限,本文只会列出关键代码,文末会给出完整的项目GIT地址,建议下载下来导入到idea再进行查看。 项目的目录结构 其auth-server为认证模块,client-user为资源模块。 auth-server模块配置 首先需要导入oauth2的包 <dependency> <groupId>org.springframework.cloud</groupId>
通过HTTP接口验证Spring Security OAuth2的token有效性
甘蓝的专栏
12-25 2347
通过HTTP接口验证Spring Security OAuth2的token有效性
Spring Security OAuth2的client模式获取token源码分析
实践求真知
12-01 3550
一代码位置 https://github.com/cakin24/oauth2-demo/tree/master/client-credentials 二参考文章 http://www.spring4all.com/article/451 三获取token方式 http://localhost:8080/oauth/token?client_id=client_1&cli...
spring security oauth2 获取请求token方式
chongdu8794的博客
05-28 2378
spring security oauth2 授权访问两种方式: 1、url:http://../a?access_token={access_token} 2、request请求header加入key为Authorization,值为{tokenType}+空格+{access_token...
Spring OAuth2.0客户端源码解析
最新发布
onePlus5T的博客
08-22 1162
介绍OAuth2.0授权码模式下Spring Boot OAuth2客户端的源码运行流程
spring security5.x Oauth2 client_credentials模式客户端获取token源码
路过君的博客
11-08 1326
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> 配置 spring: security: oauth2: client: registration:
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4256
springsecurity oauth2 令牌access_token验证源码分析
一文带你了解 OAuth2 协议与 Spring Security OAuth2 集成!
架构文摘
01-01 930
OAuth 2.0 允许第三方应用程序访问受限的HTTP资源的授权协议,像平常大家使用Github、Google账号来登陆其他系统时使用的就是 OAuth 2.0 授权框架,下图就是使用Github账号登陆Coding系统的授权页面图: 类似使用 OAuth 2.0 授权的还有很多,本文将介绍 OAuth 2.0 相关的概念如:角色、授权类型等知识,以下是我整理一张 OAuth 2.0 授权的脑...
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 2312
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3216
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件
Spring Security添加token授权登陆
student100000的博客
08-03 8073
需求:其他项目要跳转我们的springboot+springsecurity项目,需要授权特定token登陆。 实现思路:添加过滤器,拦截请求token,传递给Authentication鉴权,如果这个请求不带有授权信息,被拦截后,会跳转登录页面。一.先来了解下springsecurity,熟悉的跳过该部分 1)Spring Security介绍: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的
SpringSecurity整合OAuth2
残影的博客
12-23 2259
SpringSecurity整合OAuth2一、概述1.1 OAuth2.0 是什么?1.2 OAuth2.0 角色解释1.3 OAuth 2.0 运行流程1.4 OAuth 2.0 授权模式二、密码模式 一、概述 1.1 OAuth2.0 是什么? OAuth(Open Authorization)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放
spring security5 OAuth授权模式的客户端
qq_43633220的博客
09-10 868
解决我在之前遇见的问题:https://blog.csdn.net/qq_43633220/article/details/108477023 文章目录前言客户端在项目的定位客户端与授权服务器交互的实现关于单点登录有一些问题没了 前言 因为找到的资料有限,这些内容都是自己的理解,并不能保证完全正确,发现错误随时改。 客户端在项目的定位 我之前一直无法理解客户端的定位主要原因其实是我理解错了资源服务器的定位,我一直以为那些自己写的restful的接口全部都是资源服务器的资源,但其实不对。 资源服
Spring Boot 使用Oauth2 密码模式 自定义接口获取token
李思净的博客
10-08 4078
import java.security.Principal; import java.util.HashMap; import java.util.Map; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.http.ResponseEntity; import o...
基于springSecurity的双token机制(accesToken,refreshToken)以及如何刷新token
AllenLuoYi的博客
06-14 1120
核心功能概要: 通过加密算法创建一个用户:1.代码整体结构: 2.所需依赖: 3.UserDetailServiceImpl拦截用户登陆:4.所需工具类4.1ApplicationContextUtils: 4.2JwtUtils:4.3ResponseResult4.4ResponseStatus4.5RsaUtils:4.6.SecurityContextUtil5.SecurityConfig:6.LoginSuccessHandler登陆成功处理器:7.RequestAuthenticationFi
例子7--spring-boot-starter-oauth2最新版--普通token的测试--(1)
chencaw的专栏
04-25 1634
1、spring2.4.5版本后,怪怪的,测试记录下 (1) (2) (3) (4) (5) 2、pom.xml文件如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaL...
SpringSecurity+Oauth2获取AccessToken跨域CORS问题解决
Eiverl的博客
09-23 1493
问题: 在springboot+SpringSecurity+oauth2项目,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行跨域处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
Mr_XiMu的博客
05-31 3328
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
java 通过Spring Security OAuth2 实现多人登录互踢下线 的功能代码、
06-06
以下是一个基于 Spring Security OAuth2 实现多人登录互踢下线的示例代码: 1. 配置 Spring Security OAuth2 在 Spring Boot 项目,可以通过在 application.properties 或 application.yml 配置以下内容来启用 Spring Security OAuth2: ``` spring.security.oauth2.client.registration.my-client-id.client-id=your-client-id spring.security.oauth2.client.registration.my-client-id.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client-id.provider=my-provider spring.security.oauth2.client.registration.my-client-id.redirect-uri=http://localhost:8080/login/oauth2/code/my-client-id spring.security.oauth2.client.registration.my-client-id.scope=read,write ``` 2. 配置 Token 存储方式为 Redis 可以通过在 application.properties 或 application.yml 配置以下内容来启用 Redis 存储 Token: ``` spring.redis.host=your-redis-host spring.redis.port=your-redis-port spring.redis.password=your-redis-password spring.redis.database=0 spring.security.oauth2.provider.token.store-type=redis ``` 3. 在用户登录时生成唯一 Token 标识并存储到 Redis 可以通过编写一个自定义的 TokenStore 来实现在用户登录时生成唯一 Token 标识并存储到 Redis ,以下是一个示例代码: ``` @Component public class RedisTokenStore implements TokenStore { @Autowired private RedisTemplate<String, Object> redisTemplate; private static final String ACCESS_TOKEN_PREFIX = "access:"; private static final String AUTH_TO_ACCESS_PREFIX = "auth_to_access:"; private static final String AUTH_TO_REFRESH_PREFIX = "auth_to_refresh:"; private static final String CLIENT_ID_TO_ACCESS_PREFIX = "client_id_to_access:"; private static final String REFRESH_TOKEN_PREFIX = "refresh:"; @Override public OAuth2AccessToken getAccessToken(OAuth2Authentication authentication) { // Implement this method } @Override public void storeAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) { // Generate a unique token id String tokenId = UUID.randomUUID().toString(); // Store the token in Redis redisTemplate.opsForValue().set(ACCESS_TOKEN_PREFIX + tokenId, token); redisTemplate.opsForValue().set(AUTH_TO_ACCESS_PREFIX + authenticationKeyGenerator.extractKey(authentication), tokenId); redisTemplate.opsForValue().set(CLIENT_ID_TO_ACCESS_PREFIX + token.getClientId(), tokenId); if (token.getRefreshToken() != null && token.getRefreshToken().getValue() != null) { redisTemplate.opsForValue().set(AUTH_TO_REFRESH_PREFIX + authenticationKeyGenerator.extractKey(authentication), token.getRefreshToken().getValue()); redisTemplate.opsForValue().set(REFRESH_TOKEN_PREFIX + token.getRefreshToken().getValue(), tokenId); } } // Implement other methods } ``` 4. 在用户退出登录时删除 Redis Token 标识 可以通过编写一个 LogoutHandler 来实现在用户退出登录时删除 Redis Token 标识,以下是一个示例代码: ``` @Component public class RedisLogoutHandler implements LogoutHandler { @Autowired private RedisTemplate<String, Object> redisTemplate; private static final String ACCESS_TOKEN_PREFIX = "access:"; @Override public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) { // Get the token from the request String token = extractToken(request); // Delete the token from Redis if (StringUtils.isNotBlank(token)) { redisTemplate.delete(ACCESS_TOKEN_PREFIX + token); } } private String extractToken(HttpServletRequest request) { // Implement this method } } ``` 5. 在用户登录时检查 Redis 是否存在相同用户的 Token 标识 可以通过编写一个自定义的 ConcurrentSessionControlStrategy 来实现在用户登录时检查 Redis 是否存在相同用户的 Token 标识,以下是一个示例代码: ``` @Component public class RedisConcurrentSessionControlStrategy extends ConcurrentSessionControlStrategy { @Autowired private RedisTemplate<String, Object> redisTemplate; private static final String ACCESS_TOKEN_PREFIX = "access:"; @Override public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) throws SessionAuthenticationException { // Get the user id from the authentication String userId = getUserId(authentication); // Get the token from the request String token = extractToken(request); // Check if there is another active session for this user if (StringUtils.isNotBlank(userId)) { String existingToken = (String) redisTemplate.opsForValue().get(userId); if (StringUtils.isNotBlank(existingToken) && !existingToken.equals(token)) { // Delete the existing token from Redis redisTemplate.delete(ACCESS_TOKEN_PREFIX + existingToken); // Throw an exception to indicate that the user has been logged out throw new ConcurrentSessionControlStrategy.SessionAuthenticationException("User " + userId + " has been logged out by another session."); } // Store the token in Redis if (StringUtils.isNotBlank(token)) { redisTemplate.opsForValue().set(userId, token); } } // Call the superclass method to continue the authentication process super.onAuthentication(authentication, request, response); } private String getUserId(Authentication authentication) { // Implement this method } private String extractToken(HttpServletRequest request) { // Implement this method } } ``` 通过以上代码,可以实现基于 Spring Security OAuth2 的多人登录互踢下线功能。需要注意的是,以上代码仅作为示例,实际应用可能需要根据具体的业务需求进行修改和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值