Springboot整合Oauth2.0+jwt

已于 2024-08-29 16:04:52 修改
阅读量403 收藏
点赞数 2
分类专栏: Java工程师后端框架技术 文章标签: spring boot java spring
于 2024-08-29 15:59:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RossiLover/article/details/141680178
版权

说明:使用password认证模式

jwt提供算法,JwtTokenStore不存储token值,若要存储(Redis)token需要自己额外写token存储及过期和刷新逻辑

1.Oauth配置 

声明类

//Oauth2.0配置类
public class OAuth2AuthorizationServeConfig  extends AuthorizationServerConfigurerAdapter
//SpringSecurity配置类
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter
//ResourceServer资源配置类
public class ResourceServerConfig extends ResourceServerConfigurerAdapter
//用户信息查询类
public class RenUserDetailsServiceImpl implements UserDetailsService{
    @Override
    public User loadUserByUsername(String username) throws UsernameNotFoundException{
        //查询用户逻辑
        return new User();
    }
}

1.客户端配置

    
    @Autowired
    private PasswordEncoder passwordEncoder;
    /**
     * 默认的 oauth client_id
     */
    public static final String defaultClientId = "coreclientcomponent";
    /**
     * 默认的 oauth client_secret
     */
    public static final String defaultClientSecret = "@CoreRoot305140704202.";
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        InMemoryClientDetailsServiceBuilder builder = clients.inMemory();
        builder
            .withClient(defaultClientId)
            .secret(passwordEncoder.encode(defaultClientSecret))
            .scopes("all")
            .authorizedGrantTypes("password", "refresh_token","smsCode_type")
            .accessTokenValiditySeconds(21600)
            .refreshTokenValiditySeconds(86400);
    }

2.认证服务配置

    
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    /**
     * token增加额外信息
     * @return
     */
    @Bean
    public TokenEnhancer tokenEnhancer() {
        return new RenTokenEnhancer();
    }

    /**
     * Token存储使用Redis:位置:token.TokenStoreConfig
     */
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private UserDetailsService userDetailsService;
    /**
     * AuthenticationManager
     * 是一个用来处理认证(Authentication)请求的接口。在其中只定义了一个方法authenticate(),该方法只接收一个代表认证请求的Authentication对象作为参数,
     * 如果认证成功,则会返回一个封装了当前用户权限等信息的Authentication对象进行返回。
     */
    @Autowired
    private AuthenticationManager authenticationManager; 
    /**
     * AuthorizationServerEndpointsConfigurer其实是一个装载类,装载Endpoints所有相关的类配置
     * (AuthorizationServer、TokenServices、TokenStore、ClientDetailsService、UserDetailsService)。
     * @param endpoints
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST, HttpMethod.DELETE);
        //密码模式
        endpoints.authenticationManager(authenticationManager);

        //支持刷新令牌
        endpoints.userDetailsService(userDetailsService);
        //令牌管理
        endpoints.tokenStore(tokenStore);
        //令牌增强
        endpoints.tokenEnhancer(tokenEnhancer());
        //token管理
        endpoints.tokenServices(getTokenStore(endpoints));
        //token解析
        endpoints.accessTokenConverter(jwtAccessTokenConverter);
    }
      /**
     * 配置TokenService参数
     * @param endpoints
     * @return
     */
    private DefaultTokenServices getTokenStore(AuthorizationServerEndpointsConfigurer endpoints) {
        //整合jwt令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> tokenEnhancers = new ArrayList<>();
        tokenEnhancers.add(jwtAccessTokenConverter);
        tokenEnhancers.add(tokenEnhancer());
        tokenEnhancerChain.setTokenEnhancers(tokenEnhancers);

        DefaultTokenServices tokenService = new DefaultTokenServices();
        tokenService.setTokenStore(endpoints.getTokenStore());
        tokenService.setSupportRefreshToken(true);
        //使用jwttoken
        tokenService.setTokenEnhancer(tokenEnhancerChain);
        //token有效期 1小时
        tokenService.setAccessTokenValiditySeconds(21600);
        //token刷新有效期 15天
        tokenService.setRefreshTokenValiditySeconds(3600 * 12 * 15);
        tokenService.setReuseRefreshToken(false);
        return tokenService;
    }
    /**
     * AuthorizationServerSecurityConfigurer
     * 继承自SecurityConfigurerAdapter,
     * 也就是一个 Spring Security安全配置提供给AuthorizationServer去配置AuthorizationServer的端点(/oauth/****)的安全访问规则、过滤器Filter。
     * /oauth/authorize:授权端点
     * /oauth/token:令牌端点
     * /oauth/confirm_access:用户确认授权提交端点
     * /oauth/error:授权服务错误信息端点
     * /oauth/check_token:用于资源服务访问的令牌解析端点
     * /oauth/token_key:提供公有密匙的端点,如果使用JWT令牌的话
     * @param security
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security
                //允许用户表单认证
                .allowFormAuthenticationForClients()
                //匿名可访问/oauth/token_key
                .tokenKeyAccess("permitAll()")
                //认证后可访问/oauth/check_token
                .checkTokenAccess("isAuthenticated()")
        ;
    }
/**
 * 令牌
 *  TokenEnhancer 是 Spring Security OAuth2 中的一个接口,用于在 OAuth2 的令牌(Token)生成或解析过程中进行增强操作。
 * @author Rossi
 */
public class RenTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        //在token中存储额外信息

        return accessToken;
    }
}
@Configuration
public class JwtTokenStoreConfig {

    /**
     * 自己的算法key值
     */
    private String secretKey = "******";

    @Bean
    public TokenStore tokenStore() {
        //将用户信息存储在token中,性能更快
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(secretKey);
        return converter;
    }
}

2.SpringSecurity配置

    @Autowired
    private SysUserService sysUserService;
    /**
     * 登录验证码登录
     */
    @Resource
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    /**
     * 密码模式需要
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception{
        return super.authenticationManager();
    }

    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers(HttpMethod.OPTIONS);
    }

3.ResourceServer配置

    @Override
    public void configure(HttpSecurity http) throws Exception {
       http
                    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                    .and()
                    .authorizeRequests()
                    .antMatchers("/oauth/token").permitAll()
                    .anyRequest().authenticated().and().csrf().disable();

        http.headers().frameOptions().sameOrigin().and().httpBasic();
    }

RossiLover
关注
专栏目录
Spring Boot安全:OAuth2和JWT集成的魔法护盾
java专栏
07-23 1254
在数字化的今天,数据安全是每个应用的基石。Spring Boot安全可以帮助我们验证用户身份、授权访问,并保护敏感数据不被未授权访问。OAuth2是一个行业标准的协议,用于授权。它允许用户让第三方应用访问他们存储在另外服务上的数据,而无需将用户名和密码提供给第三方。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在网络应用环境间传递声明(claim)。它使用JSON对象进行编码,并通过数字签名确保数据不被篡改。
springboot OAuth2.0-demo
12-17
1、基于springboot oauth2.0 实现资源访问认证; 2、访问前需要获取token; 3、携带token访问资源接口。
SpringBoot整合OAuth 2.0
xjj1040249553的专栏
08-20 3421
OAuth 2.0为OAuth的协议的延续版本,是一个关于授权的开放网络标准,在全世界得到广泛应用。基于OAuth 2.0授权有一下几个特点:1、安全:平台商无需使用用户的用户名与密码就可以申请获得该用户资源的授权;2、开放:任何消费方都可以使用 OAuth 认证服务,任何服务提供方 ( Service Provider) 都可以实现自身的 OAuth 认证服务。3、简单:不管是消费方还是服务提供...
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 5667
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring Security的OAuth2.0模块来实现授权验证。
SpringBoot集成Oauth2.0(密码模式)
m0_71817461的博客
07-03 4442
SpringBoot集成Oauth2.0(密码模式)
Spring Boot 最新版3.x 集成 OAuth 2.0实现认证授权服务、第三方应用客户端以及资源服务
热门推荐
Java技术栈,分享不断学习、不断超越、不断积累的历程!
02-05 1万+
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务Spring发布了spring-security-oauth2-authorization-se
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springboot集成oauth2.0
07-27
SpringBoot集成OAuth2.0是将流行的OAuth2.0安全框架与SpringBoot应用程序相结合的过程,以便为API和Web应用提供安全的访问控制。OAuth2.0是一个授权框架,允许第三方应用在用户授权的情况下访问其受保护的资源,而...
springcloud-gateway-oauth2:这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权
05-11
1.springcloud-gateway-oauth2 这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权 (记得修改 redis连接 和jdbc连接) 2.安装naocs 3.测试 1.访问认证服务: 2. 访问资源服务: 3. 用户的信息
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
基于springboot2.x的Oauth2.0一键授权登录和微信网页扫码支付测试开发案例(含源码)
08-25
使用idea开发工具,基于springboot2.x、jwt鉴权、nginx集群,前后端分离的微信Oauth2.0一键登录和微信网页扫码支付测试开发demo
10 令牌颁发 OAuth2TokenEndpointFilter
Markix的博客
10-09 1915
授权服务器提供令牌颁发接口(/oauth2/token),由客户端发起请求,授权服务器生成访问令牌(access_token)返回,客户端使用此令牌才能去调用资源服务器的接口。 Spring Authorization Server 目前支持如下三种令牌颁发策略:Authorization Code、Client Credentials、Refresh Token,分别对应 授权码模式、客户端凭证模式、刷新令牌模式。核心拦截器为 OAuth2TokenEndpointFilter
SpringBoot整合OAuth2
xwnxwn的专栏
10-03 2105
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到黑马程序员的网站。完全是A服务与B服务内部的交互,与用户无关了。第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
SpringSecurity系列 - 08 oauth2认证:ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 1947
Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
教程:在Spring Boot应用中集成OAuth 2.0认证
最新发布
省赚客开发者博客
06-27 2232
通过本教程,我们学习了如何在Spring Boot应用中集成和使用OAuth 2.0认证。从添加依赖、配置OAuth 2.0客户端信息,到配置Spring Security和创建控制器处理认证后的回调,这些步骤帮助开发者快速实现安全的认证机制,并保护应用程序的资源。
Spring Boot 实现OAuth2 + JWT认证
zhaoyang10的专栏
12-07 6952
8.整个方案中,access token是一种by reference token,不包含用户信息可以直接暴露在公网上;3.客户在访问微服务之前,先通过授权服务器登录获取access token,然后将access token和请求一起发送到网关;4.网关获取access token,通过授权服务器校验token,同时做token转换获取JWT token。6.JWT中可以存储用户会话信息,该信息可以传递给后台的微服务,也可以在微服务之间传递,用作认证授权等用途;......
基于springboot +oauth2+securityJwt实现token校验,接口访问权限控制
u010290208的博客
05-19 1396
在管理后台的开发中经常需要对用户授权及权限控制,用户登录后,需要对用户拥有的角色来判断能够访问的资源。首选简单创建5张表来存储用户、角色、资源表及用户-角色、角色-资源的关联表。最后就是在登录方法中通过令牌来生成JWT的token放回给前端。统一对登录后的token校验以及注解式的角色权限控制。创建一个适配器,来配置哪些接口需要鉴权,鉴权的方式。来表示只有角色是admin的才能访问该接口。登录后访问其他接口时的token校验。自定义用户登录时查询用户角色的方法。自定义身份验证,并生成令牌。
SpringBoot 整合 Oauth2.0
weixin_43727535的博客
12-14 1668
SpringBoot 整合 Oauth2.0 Oauth2.0 简介 OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流...
springboot整合oauth2.0
04-04
Spring Boot可以与OAuth 2.0协议进行整合,实现授权和认证功能。下面是一些步骤: 1. 配置pom.xml文件,添加Spring Security OAuth2依赖。 ``` <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> ``` 2. 配置application.properties文件,添加OAuth2配置。 ``` # OAuth2 configuration security.oauth2.client.client-id=client-id security.oauth2.client.client-secret=client-secret security.oauth2.client.access-token-uri=https://example.com/oauth/token security.oauth2.client.user-authorization-uri=https://example.com/oauth/authorize security.oauth2.client.scope=read,write security.oauth2.client.grant-type=authorization_code security.oauth2.resource.token-info-uri=https://example.com/oauth/check_token security.oauth2.resource.user-info-uri=https://example.com/userinfo ``` 3. 创建一个OAuth2客户端,用于向授权服务器发送请求并获取访问令牌。 ``` @Configuration @EnableOAuth2Sso public class OAuth2ClientConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/login**", "/error**") .permitAll() .anyRequest() .authenticated() .and() .logout() .logoutSuccessUrl("/") .permitAll() .and() .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } @Bean public OAuth2RestTemplate oauth2RestTemplate(OAuth2ProtectedResourceDetails resource, OAuth2ClientContext context) { return new OAuth2RestTemplate(resource, context); } @Bean @ConfigurationProperties("security.oauth2.client") public OAuth2ProtectedResourceDetails oauth2RemoteResource() { return new AuthorizationCodeResourceDetails(); } @Bean public FilterRegistrationBean oauth2ClientFilterRegistration( OAuth2ClientContextFilter filter) { FilterRegistrationBean registration = new FilterRegistrationBean(); registration.setFilter(filter); registration.setOrder(-100); return registration; } } ``` 4. 创建一个OAuth2资源服务器,用于保护受保护的资源。 ``` @Configuration @EnableResourceServer public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**") .authenticated(); } @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.resourceId("my-resource-id"); } } ``` 5. 创建一个授权服务器,用于颁发访问令牌。 ``` @Configuration @EnableAuthorizationServer public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private BCryptPasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client-id") .secret(passwordEncoder.encode("client-secret")) .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(7200) .redirectUris("http://localhost:8080/login/oauth2/code/my-client"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } } ``` 以上是整合OAuth2.0的一些步骤和代码示例。需要注意的是,OAuth2.0是一个复杂的协议,需要深入理解和熟练掌握。同时,需要根据实际业务需求进行相应的配置和开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值