SpringBoot集成SpringSecurity5和OAuth2 — 5、OAuth2集成JWT

已于 2023-07-29 14:38:58 修改
阅读量2.7k 收藏 4
点赞数 1
分类专栏: java spring 文章标签: java
于 2020-06-08 06:18:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_XiMu/article/details/106611179
版权
java 同时被 2 个专栏收录
26 篇文章 4 订阅
订阅专栏
spring
17 篇文章 0 订阅
订阅专栏

关于JWT是什么等有关内容本文不做介绍,只讲解OAuth2如何集成JWT,JWT的加密解密等。

本次代码是在SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器基础上完成的

一、OAuth2集成JWT

1.1加入 spring-security-jwt依赖

<!-- spring-security-jwt -->
<dependency>
   <groupId>org.springframework.security</groupId>
   <artifactId>spring-security-jwt</artifactId>
   <version>1.1.1.RELEASE</version>
</dependency>

1.2 新建一个JWT的配置类JwtConfig

package cn.iotspider.oauth2jdbc.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenEnhancer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@Configuration
public class JwtConfig {

    /**
     * 生成具有jwt的token
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        //设置JWT使用签名
//        accessTokenConverter.setSigningKey("iot_OAuth2_key");
        accessTokenConverter.setSigningKey("29568a368d5eff3ff");
        return accessTokenConverter;
    }

    /**
     * token存储在jwt中
     */
    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 存储了扩展的JWT信息
     * @return
     */
    @Bean
    public Oauth2JwtTokenEnhancer oauth2JwtTokenEnhancer() {
        return new Oauth2JwtTokenEnhancer();
    }

}

1.3 新建一个Oauth2JwtTokenEnhancer用于扩展JWT中的信息

package cn.iotspider.oauth2jdbc.config;

import org.springframework.security.oauth2.common.DefaultOAuth2AccessToken;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.token.TokenEnhancer;

import java.util.HashMap;
import java.util.Map;

public class Oauth2JwtTokenEnhancer implements TokenEnhancer {

    /**
     * 扩展JWT中的内容,oAuth2Authentication中存储有登陆成功后的用户信息
     * @param oAuth2AccessToken
     * @param oAuth2Authentication
     * @return
     */
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {
        Map<String, Object> info = new HashMap<>();
        //扩展JWT内容
        info.put("Oauth2扩展信息", "Oauth2认证服务器");
        ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(info);
        return oAuth2AccessToken;
    }
}

1.4 在认证服务器中Oauth2AuthenticationServer类加入 TokenStore、JwtAccessTokenConverter、Oauth2JwtTokenEnhancer

@Autowired
private TokenStore tokenStore;

@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;

@Autowired
private Oauth2JwtTokenEnhancer oauth2JwtTokenEnhancer;

1.5 改造configure方法中的内容

    /**
     * 用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
//        endpoints
//                .tokenStore(tokenStore())
//                .tokenStore(tokenStore) //设置将token存储在JWT中
//                .accessTokenConverter(jwtAccessTokenConverter()) //设置access_token转换器
//                .userDetailsService(userDetailsService)
                //reuseRefreshTokens设置为false时,每次通过refresh_token获得access_token时,
                // 也会刷新refresh_token;也就是说,会返回全新的access_token与refresh_token。
                //默认值是true,只返回新的access_token,refresh_token不变。
//                .reuseRefreshTokens(true)
                // 允许 GET、POST 请求获取 token,即访问端点:oauth/token
//                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);

        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> enhancerList = new ArrayList<>();
        enhancerList.add(oauth2JwtTokenEnhancer); //配置JWT的内容增强器
        enhancerList.add(jwtAccessTokenConverter);
        enhancerChain.setTokenEnhancers(enhancerList);

        endpoints.accessTokenConverter(jwtAccessTokenConverter)
                .tokenStore(tokenStore) //设置将token存储在JWT中
                .userDetailsService(userDetailsService)
                .reuseRefreshTokens(true)
                // 允许 GET、POST 请求获取 token,即访问端点:oauth/token
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
                .tokenEnhancer(enhancerChain);

        /*
         * 默认获取token的路径是/oauth/token,通过pathMapping方法,可改变默认路径
         * pathMapping用来配置端点URL链接,有两个参数,都将以 "/" 字符为开始的字符串
         * defaultPath:这个端点URL的默认链接
         * customPath:你要进行替代的URL链接
         */
        endpoints.pathMapping("/oauth/token", "/oauth/token");
    }

1.6 完整的Oauth2AuthenticationServer代码:

package cn.iotspider.oauth2jdbc.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.token.TokenEnhancer;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import javax.sql.DataSource;
import java.util.ArrayList;
import java.util.List;

@Configuration
@EnableAuthorizationServer
public class Oauth2AuthenticationServer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    public DataSource dataSource;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    @Autowired
    private Oauth2JwtTokenEnhancer oauth2JwtTokenEnhancer;

//    @Bean
//    public TokenStore tokenStore() {
//        //token默认保存在内存中(也可以保存在数据库、Redis中)。
//        //如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同一个工程中。
//        //注意:如果不保存access_token,则没法通过access_token取得用户信息
//        return new JdbcTokenStore(dataSource);
//    }

    @Bean
    public ClientDetailsService jdbcClientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }

    /**
     * 配置客户端
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(jdbcClientDetailsService());
    }

    /**
     * 用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
//        endpoints
//                .tokenStore(tokenStore())
//                .tokenStore(tokenStore) //设置将token存储在JWT中
//                .accessTokenConverter(jwtAccessTokenConverter()) //设置access_token转换器
//                .userDetailsService(userDetailsService)
                //reuseRefreshTokens设置为false时,每次通过refresh_token获得access_token时,
                // 也会刷新refresh_token;也就是说,会返回全新的access_token与refresh_token。
                //默认值是true,只返回新的access_token,refresh_token不变。
//                .reuseRefreshTokens(true)
                // 允许 GET、POST 请求获取 token,即访问端点:oauth/token
//                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);

        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> enhancerList = new ArrayList<>();
        enhancerList.add(oauth2JwtTokenEnhancer); //配置JWT的内容增强器
        enhancerList.add(jwtAccessTokenConverter);
        enhancerChain.setTokenEnhancers(enhancerList);

        endpoints.accessTokenConverter(jwtAccessTokenConverter)
                .tokenStore(tokenStore) //设置将token存储在JWT中
                .userDetailsService(userDetailsService)
                .reuseRefreshTokens(true)
                // 允许 GET、POST 请求获取 token,即访问端点:oauth/token
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
                .tokenEnhancer(enhancerChain);

        /*
         * 默认获取token的路径是/oauth/token,通过pathMapping方法,可改变默认路径
         * pathMapping用来配置端点URL链接,有两个参数,都将以 "/" 字符为开始的字符串
         * defaultPath:这个端点URL的默认链接
         * customPath:你要进行替代的URL链接
         */
        endpoints.pathMapping("/oauth/token", "/oauth/token");
    }

    /**
     * 配置资源服务器向认证服务器请求及验证token的规则:默认允许获取token,但是需要授权后才能获取到
     *过来验令牌有效性的请求,不是谁都能验的,必须要是经过身份认证的。
     * 所谓身份认证就是,必须携带clientId,clientSecret,否则随便一请求过来验token是不验的
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
//        security.tokenKeyAccess("permitAll()").checkTokenAccess(
//                "isAuthenticated()");

        //默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()
        security.checkTokenAccess("isAuthenticated()");
        //允许客户端使用表单方式发送请求token的认证(因为表单一般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便一请求过来验token是不验的)
        security.allowFormAuthenticationForClients();
    }

}

二、测试

2.1请求token:

http://localhost:8080/oauth/token?grant_type=authorization_code&code=jG5vBP&client_id=client&client_secret=secret&redirect_uri=http://localhost:8090/callback

可以看到除了基本的信息,还返回了 Oauth2扩展信息:"Oauth2认证服务器",这个就是我在JWT中扩展的信息。

————————————————————————————————————————————————————

解析JWT,代码是在oauth2resource(资源服务器模块)

1、加入 spring-security-jwt依赖和jjwt依赖

<!-- spring-security-jwt -->
<dependency>
   <groupId>org.springframework.security</groupId>
   <artifactId>spring-security-jwt</artifactId>
   <version>1.1.1.RELEASE</version>
</dependency>

<!-- jjwt解析JWT -->
<dependency>
   <groupId>io.jsonwebtoken</groupId>
   <artifactId>jjwt</artifactId>
   <version>0.9.1</version>
</dependency>

2、新建JWT的配置类,主要是设置JWT解析的签名,这个签名必须和签发JWT的签名一致;

package cn.iotspider.oauth2resource.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@Configuration
public class JwtConfig {

    /**
     * 生成具有jwt的token
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        //设置JWT使用签名
//        accessTokenConverter.setSigningKey("iot_OAuth2_key");
        accessTokenConverter.setSigningKey("29568a368d5eff3ff");
        return accessTokenConverter;
    }

    /**
     * token存储在jwt中
     */
    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

}

3、在application.properties中注释掉去认证中心验证token的配置,因为已经将token存储在了JWT中,在配置了JwtConfig后,单独的模块也能自己独立验证token的真实合法性。

4、新建一个请求资源来测试解析并验证JWT信息

@GetMapping("/get")
public Object getCurrentUser(Authentication authentication, HttpServletRequest request) {
    String header = request.getHeader("Authorization");
    String token = header.replace( "Bearer ", "");
    return Jwts.parser()
            .setSigningKey("29568a368d5eff3ff".getBytes(StandardCharsets.UTF_8))
            .parseClaimsJws(token)
            .getBody();
}

注意:setSigningKey()中设置的签名必须和签发JWT使用的一致,否则会解析验证失败。

①:前端的返回信息

②后端控制台报的错误:

io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be trusted.

5、解析测试

​​​​​​​

西木Qi
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
springBoot-springSecurity-OAuth2
01-16
SpringBootSpringSecurityOAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
Spring Security+Oauth2+JWT权限认证
分享java知识,一起开卷
06-29 1376
spring security+Oauth2.0+JWT
java技术:oauth2协议
最新发布
LanJieZhiFu的博客
05-23 1003
fuction:管理访问控制及哪些请求需要认证,以及需要哪些权限。
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6331
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
实战:使用SpringBoot进行OAuth2和JWT认证
禅与计算机程序设计艺术
01-28 1180
1.背景介绍 1. 背景介绍 OAuth2 和 JWT 是现代 Web 应用程序中的两种常见身份验证和授权方法。OAuth2 是一种授权代理模式,允许用户授予第三方应用程序访问他们的资源,而不需要暴露他们的凭据。JWT(JSON Web Token)是一种用于在不安全的网络中传输声明的开放标准(RFC 7519)。 Spring Boot 是一个用于构建新 Spring 应用程序的快速开始桌...
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring Security的OAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
Mr_XiMu的博客
05-31 3226
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
五、SpringSecurity+auth2.0系列(四种模式的接口请求接口)
qq_38132995的博客
09-07 609
本文只介绍通用的授权码和密码模式,其他的自行学习 1、Oauth2.0授权模式 1、步骤:客户端申请认证的URI,获取code ip地址/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read&state=xxx 参数说明: response_type:授权类型,必选项,此处的值固定为"code"   client_id:客户端的ID,必选项  
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
springboot_springsecurity_oauth_jwt.zip
01-14
springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2实现Jwt令牌demo,springboot整合springsecurity以及OAuth2...
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践
Vermont_的博客
05-05 989
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践 理论知识 在此之前需要学习和了解一些前置知识包括: Spring Security:基于 Spring实现的 Web系统的认证和权限模块 OAuth2:一个关于授权(authorization)的开放网络标准 单点登录 (SSO):在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 JWT:在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安
SpringSecurity+Oauth+短信登录+第三方登录认证+Session管理
zouyang920的博客
02-10 1667
添加链接描述
学习SpringSecurity
qq_52430577的博客
12-13 1151
SpringSecurity的基本用法,OAth2的使用,JWT的整合,Redis存储Token
Spring Security OAuth2 JWT认证服务器配置
OceanSky的专栏
07-16 3272
1.四种授权模式 授权码模式 密码模式 客户端模式 简化模式 2.密码模式 http://localhost:9001/oauth/token?username=user&password=user&grant_type=password&client_id=client&client_secret=secret grant_type:授权类型,必选,此处固...
SpringBoot集成SpringSecurity5和OAuth2 总结
Mr_XiMu的博客
10-29 2076
SpringBoot集成SpringSecurity5和OAuth2 总结
spring security 5 oauth2 资源服务器无法正确处理用户授权 报错insufficient_scope
路过君的博客
11-23 2564
现象 客户端通过授权码模式获取不透明令牌(opaque token),使用令牌访问资源服务器 资源服务器安全配置只能处理客户端scope授权,如果添加用户授权的判定规则,则报错 www-authenticate: Bearer error=“insufficient_scope”,error_description=“The request requires higher privileges than provided by the access token.”,error_uri=“https://t
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7277
springsecurity整合oauth2+JWT,数据库配置客户端
Springboot+SpringSecurity+oauth2+Jwt
05-16
Spring Boot是一个开源的Java框架,它可以帮助开发人员快速构建基于Spring的应用程序。Spring Security是一个基于Spring的安全框架,它提供了一组API,用于实现各种安全功能,如身份认证、授权、攻击防护等。 OAuth2是一个授权框架,用于在不暴露用户凭证的情况下授权第三方应用程序访问受保护的资源。JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在不同应用程序之间安全地传输信息。 在Spring Boot应用程序中,可以使用Spring Security和OAuth2来实现基于JWT的身份认证和授权。具体步骤如下: 1. 集成Spring Security和OAuth2依赖。 2. 配置Spring Security和OAuth2。 3. 实现自定义的UserDetailsService,用于从数据库或其他存储中获取用户信息。 4. 实现自定义的TokenStore,用于将OAuth2授权令牌存储在数据库或其他存储中。 5. 实现自定义的JwtAccessTokenConverter,用于将OAuth2授权令牌转换为JWT令牌。 6. 实现自定义的JwtTokenEnhancer,用于对JWT令牌进行增强,例如添加自定义的声明。 7. 在Spring Boot应用程序中使用JWT令牌进行身份认证和授权。 以上是基于Spring Boot、Spring Security、OAuth2和JWT实现身份认证和授权的基本步骤。具体实现过程需要根据具体的需求和场景进行调整和完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值