springsecurity-oauth2集成,jwt生成token,源码解析

最新推荐文章于 2024-03-02 16:44:24 发布
最新推荐文章于 2024-03-02 16:44:24 发布
阅读量1.3k 收藏
点赞数
分类专栏: Java技术深度剖析 springboot 框架 文章标签: jwt springsecurity oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XinTeng2012/article/details/108011468
版权

springsecurity-oauth2集成,jwt生成token

1. SpringSecurity

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实标准。

提供认证、授权和常见的攻击防护的功能。是Spring提供的安全框架。

Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.

2. OAuth2

OAuth(Open Authorization)开放授权是为用户资源的授权定义一个安全、开放的标准。而OAuth2是OAuth协议的第二个版本。OAuth常用于第三方应用授权登录。在第三方无需知道用户账号密码的情况下,获取用户的授权信息。常见的授权模式有:授权码模式、简化模式、密码模式和客户端模式。

认证配置:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

	@Autowired
	private DataSource dataSource;

	@Autowired
	private JwtAccessTokenConverter jwtAccessTokenConverter;
	@Autowired
	private AuthenticationManager authenticationManager;

	@Autowired
	private ClientDetailsService clientDetails;
	
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
		//配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)
		endpoints.authenticationManager(this.authenticationManager);
		
		endpoints.setClientDetailsService(clientDetails);
		endpoints.userDetailsService(userDetailsService);
//		endpoints.tokenServices(tokenServices());
		endpoints.tokenStore(tokenStore());
		endpoints.accessTokenConverter(jwtAccessTokenConverter);
//		endpoints.exceptionTranslator(new MyWebResponseExceptionTranslator());
//		endpoints.authenticationManager(authenticationManager)

	}
	
	@Override
	public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {//配置令牌端点(Token Endpoint)的安全约束
		oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
		  oauthServer.allowFormAuthenticationForClients();
	}

	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
		//配置客户端详情,与持久化信息联用
		clients.jdbc(dataSource);
	}

	/**
	 * redis token 配置
	 */
	//@Bean
//	public TokenStore redisTokenStore() {
//		return new RedisTokenStore(redisConnectionFactory);
//	}

	@Bean // 声明 ClientDetails实现
	public ClientDetailsService clientDetails() {
		return new JdbcClientDetailsService(dataSource);
	}

	@Bean
	public TokenStore tokenStore() {
//	    return new InMemoryTokenStore();
		return new JdbcTokenStore(dataSource);
	}

	@Bean
    public TokenEnhancer jwtTokenEnhancer(){
        return new JwtTokenEnhancer();
    }
}
@Slf4j
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private Logger logger = LoggerFactory.getLogger(SecurityConfiguration.class);

    private static final String NAME_AND_SALT ="123";

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setHideUserNotFoundExceptions(false);
        provider.setUserDetailsService(userDetailsService());
        provider.setPasswordEncoder(passwordEncoder());
        return provider;
    }

    @Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
        //配置用户来源于数据库
        auth.userDetailsService(userDetailsService()).passwordEncoder(new org.springframework.security.crypto.password.PasswordEncoder() {
            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                // 无需验证密码
                if ("no_pass".equals(rawPassword)) {
                    return true;
                }
                if (encodedPassword != null) {
                    String passwordEn = encodedPassword.substring(0, 32);
//                    String nameAndsalt = encodedPassword.substring(32);
                    return MD5Encrypt.encrypt(rawPassword + NAME_AND_SALT).equals(passwordEn);
                }
                return false;
            }

            @Override
            public String encode(CharSequence rawPassword) {
                return rawPassword.toString();
            }
        });
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 忽略所有管理监控地址
        web.ignoring().antMatchers("/actuator/**");
        web.ignoring().antMatchers("/logout");
        web.ignoring().antMatchers("/verify");
        web.ignoring().antMatchers("/jwt/check");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //basic 登录方式
        http.authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll().anyRequest().authenticated()
                .and()
                .httpBasic().disable().csrf().disable();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetailsService userDetailsService = new UserDetailsService(){
            @Override
            public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
                // 固定密码,后续这块可以改为自有项目的user信息模块
                String password = "123456";
                password = MD5Encrypt.encrypt(password + NAME_AND_SALT);
//                password = password + userName + NAME_AND_SALT;
                UserDetails userDetails = new User(userName, password, AuthorityUtils.createAuthorityList(new String[]{"ROLE_ANONYMOUS"}));

                return userDetails;
            }
        };

        return userDetailsService;
    }
}

 

 

本地部署调试

环境准备:mysql5+,jdk8+

源码路径:https://github.com/MrZhengliang/springsecurity-oauth2

本地可直接运行测试。

_夜半钟声到客船
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
JWT介绍以及SpringSecurity基于JWT实现Token的处理-51
suiyishiguang的博客
08-24 559
【大型电商项目开发】JWT介绍以及SpringSecurity基于JWT实现Token的处理-51
Spring Security Oauth2使用JWT生成Token
LiaoHongHB的博客
11-13 7671
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我们平时使用oauth2的协议中,生成token是基于oauth2协议本身的生成策略,如下面的代码(一般在登陆成功的handler中生成token).: package com.car.springsecurity.handle; import com....
oauth2.0的 /oauth/token是配制就有的吗?它会自动返回token吗?在哪里使用呢
最新发布
mywaya2333的博客
03-02 620
拿到 OAuth 2.0 的访问令牌(access token)后,客户端可以使用该令牌来访问受保护的资源服务器(Resource Server)。如果 OAuth 2.0 授权服务器支持多个资源服务器或者不同类型的资源,客户端可以使用同一个访问令牌来访问不同的资源,只要这些资源服务器都信任该授权服务器颁发的访问令牌。总之,访问令牌是客户端与资源服务器之间进行安全通信的重要凭证,用于证明客户端的身份并获取访问受保护资源的权限。资源服务器会验证访问令牌的有效性,并根据令牌中的权限信息来授权用户对资源的访问。
【第十一篇】SpringSecurity基于JWT实现Token的处理
波波烤鸭的博客
05-26 3195
SpringSecurity基于JWT实现Token的处理   前面介绍了手写单点登录和JWT的应用,本文结合SpringSecurity来介绍下在SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理。 一、认证思路分析   SpringSecurity主要是通过过滤器来实现功能的!我们要找到SpringSecurity实现认证和校验身份的过滤器! 1.回顾集中式认证流程 用户认证:   使用 UsernamePasswordAuthent
springcloud oauth2 授权码模式.密码模式之redis存储token
csdnmuyi的博客
07-14 3353
授权码模式 需要创建 的三个模块,分别是认证服务器,资源服务器,还有就是网关,这里就简单做这几个模块分别为uaa,order,gateway 1.创建一个父工程 其pom.xml: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instanc.
springboot2.0整合OAuth2并使用JWT作为token
光滑的秃头
12-02 4160
之前实现了Springboot之Security前后端分离登录 刚好这段时间有空,乘机整合下OAuth2。记录下当中遇到的问题和处理方式。 什么是OAuth2? OAuth 2.0 的一个简单解释 具体代码实现 POM文件 <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spr
FastAPI 基于OAuth2和JWTToken认证机制(一)生成token
高压锅博客
06-18 1012
1. OAuth2PasswordBearer OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送username和password参数,然后得到一个token值。 OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户端用来获取token的目标URL。 当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返
SpringSecurity OAuth2 整合JWT获取token解析token(密码模式为例子)
longqiyuye925的博客
06-26 4244
我前面的文章曾自己引入JWT,并且定义规则,并用于权限判断(想了解的可以看看源码),这篇将重点记录下,当我发现SpringSecurity可以使用业界公认的OAuth2规范来自动生成token,并且可以整合JWT,我是如何把它用于项目里的。 源码地址: https://github.com/longqiyuye925/blogServer 直接从依赖开始: 这些都是我所用到的相关包,注意下我这篇文章的时间,如果和你当前时间很接近而且你是新建的SpringBoot项目,不要使用最新版本,应该使用2.5.X,否
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4503
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
SpringSecurity-oauth2-jwt整合1
08-08
接下来,我们可以复制一下token,然后去官网或者咱们前面写的那个解析token的方法,去看一下jwttoken的组成;接下来,我们去扩展一下jwt的存储内容
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
spring-boot-security-oauth2-jwt-example:在本文中,我们将讨论有关使用Spring Boot安全性和JWT令牌以及如何保护REST API的OAUTH2实现。在我的Spring Boot Security OAUTH2示例的上一篇文章中,我们创建了一个示例应用程序,用于使用具有默认令牌存储的OAUTH2进行身份验证和授权,但是Spring Security OAUTH2实现还提供了定义自定义令牌存储的功能。在这里,我们将使用JwtTokenStore创建一个示例性Sp
04-29
Spring启动安全oauth2 本文旨在提供一个Spring Boot安全性oauth2的工作示例。 要开始使用该项目,只需签出该项目并按照application.properties设置数据库配置,然后将Application.java作为Java应用程序运行即可。 ...
Spring Security系列(五)——Oauth2使用JWT生成Token无法指定授权范围的解决方法
玖涯博客
02-10 1249
写在前面 Spring Oauth 提供了对 jwt 的支持,要实现 jwt 功能很简单,但是在指定授权范围时将会遇到无法指定授权范围的问题,本文主体描述的是如何解决这个问题。 本文依赖环境: <!-- spring-security-oauth2 2.3.4.RELEASE --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>sprin
11.SpringSecurity基于JWT实现Token的处理
飘然渡沧海的博客
03-06 871
SpringSecurity基于JWT实现Token的处理
spring-security 以及 spring security oauth2 结合jwttoken验证 新手入门到深入
aaqq123456654321的博客
06-03 398
** 推荐入门系列之spring-security ** 要了解 spring security oauth2 必须先弄懂 spring securityspring security oauth2 是基于spring security做的更上一层的封装,而spring security oauth2 ,更像是一种第三方授权的协议规范,学习spring security可以阅读源码,这里推荐一个源码系列 https://blog.csdn.net/fengyilin_henu/article/de
Spring Cloud Oauth2实现分布式权限认证(JWT版)
叶落自飘零的博客
11-20 2822
目录 环境: 摘要说明: 步骤: 一、什么是JWT 二、实现JWT版授权服务 1、公共模块(oauth2-common) 2、授权服务(oauth2-server) 3、应用服务(oauth2-client) 三、测试 四、jwt的优缺点 jwt的优点: jwt的缺点: 五、源码地址 环境: JDK1.8,spring-boot(2.0.3.RELEASE),spri...
前后端分离JWT token解析失败 BUG The Token‘s Signature resulte和 .IllegalArgumentException: Illegal base64
weixin_51488200的博客
06-29 1739
bug改进
springsecurity+oauth2+jwt demo
10-26
Spring Security OAuth2 JWT Demo是一个示例应用程序,演示了如何使用Spring SecurityOAuth2和JWT进行身份验证和授权。这个示例应用程序包括以下功能: 1. 用户注册和登录:用户可以通过注册页面创建新的账户,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_夜半钟声到客船

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值