OAuth2记录(密码模式)

最新推荐文章于 2024-09-13 21:13:41 发布
最新推荐文章于 2024-09-13 21:13:41 发布
阅读量4.3k 收藏 13
点赞数 4
分类专栏: JAVA  SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adonis_d_gogh/article/details/89446423
版权

解决问题:

  1. 自定义错误返回信息;(见第2节)
  2. 扩展token返回信息,利用AdditionalInformation增加附加信息;(见3.1)
  3. http basic验证方式;(见1.2及4.2)
  4. 当配置.permitAll()时,即使携带Token,也可以直接访问。(见第5节)

1.配置

1.1.pom依赖

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.5.16.RELEASE</version>
    <relativePath /> <!-- lookup parent from repository -->
</parent>

<dependencies>
    <!-- for Spring MVC -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!-- for Spring Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- for OAuth 2.0 -->
    <dependency>
        <groupId>org.springframework.security.oauth</groupId>
        <artifactId>spring-security-oauth2</artifactId>
    </dependency>

</dependencies>

1.2.配置资源服务

    /**
     * 配置资源服务器
     */
    @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

        @Autowired
        private CustomAuthenticationEntryPoint customAuthenticationEntryPoint;
        @Autowired
        private CustomLogoutSuccessHandler customLogoutSuccessHandler;
        @Autowired
        private CustomAccessDeniedHandler customAccessDeniedHandler;
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                    .logout()
                    .logoutUrl("/oauth/logout")
                    .logoutSuccessHandler(customLogoutSuccessHandler) //配置登出自定义接口
                    .and()
                    .authorizeRequests()
                    .antMatchers("/api/login").permitAll()
                    .antMatchers("/api/**").authenticated()
                    .antMatchers("/backstage/**").authenticated()
                    // .and().httpBasic() //添加该配置即可使用http basic验证方式(见4.2)
            ;
        }
        //配置自定义错误返回
        @Override
        public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
            resources.authenticationEntryPoint(customAuthenticationEntryPoint)
                    .accessDeniedHandler(customAccessDeniedHandler)
            ;
        }

    }

1.3.配置授权服务

    /**
     * 配置授权服务
     */
    @Configuration
    @EnableAuthorizationServer //实现EnvironmentAware接口可以重写其setEnvironment方法,用来读取配置文件的属性
    protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter implements EnvironmentAware {

         private static final String ENV_OAUTH = "authentication.oauth.";
         private static final String PROP_CLIENTID = "clientid";
        private static final String PROP_SECRET = "secret";
        private static final String PROP_TOKEN_VALIDITY_SECONDS = "tokenValidityInSeconds";

        private RelaxedPropertyResolver propertyResolver;//该类包含读取配置文件的方法

        @Autowired
        private DataSource dataSource;
        @Autowired
        private MyWebResponseExceptionTranslator myWebResponseExceptionTranslator;
        @Autowired
        private MyUserDetailsService myUserDetailsService;
        @Autowired
        @Qualifier("authenticationManagerBean")
        private AuthenticationManager authenticationManager;
        
        //使用 JdbcTokenStore(或使用自定义TokenStore)
        @Bean
        public TokenStore tokenStore() {
            return new JdbcTokenStore(dataSource);
        }
        //token扩展
        @Bean
        @ConditionalOnMissingBean(name = "tokenEnhancer")
        public TokenEnhancer tokenEnhancer() {
            return new MyTokenEnhancer();
        }      

        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints)
                throws Exception {
            endpoints
                    .tokenEnhancer(tokenEnhancer()) //token扩展
                    .tokenStore(tokenStore()) //tokenStore
                    .authenticationManager(authenticationManager) //开启密码授权模式
                    .userDetailsService(myUserDetailsService) //对用户详细信息的检查,比如查看是否存在
                    .exceptionTranslator(myWebResponseExceptionTranslator)
                    ;
        }

        // 可以用来定义一个基于内存的或者JDBC的客户端信息服务。
        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            clients
                    .inMemory() //此处基于内存
                    .withClient(propertyResolver.getProperty(PROP_CLIENTID))
                    .scopes("read", "write")
                    .authorizedGrantTypes("password") //密码模式
                    .secret(propertyResolver.getProperty(PROP_SECRET))
                    .accessTokenValiditySeconds(propertyResolver.getProperty(PROP_TOKEN_VALIDITY_SECONDS, Integer.class, 1800)); //优先读配置文件,没有则用默认值
        }

        //实现EnvironmentAware接口可以重写其setEnvironment方法,用来读取配置文件的属性;
        @Override
        public void setEnvironment(Environment environment) {
            this.propertyResolver = new RelaxedPropertyResolver(environment, ENV_OAUTH);
        }

    }

 

  • 实现EnvironmentAware接口可以重写其setEnvironment方法,用来读取配置文件的属性;
  • @Configuration 注解,保证 OAuth2AuthorizationServer 能够被 SpringBoot 扫描到配置。

1.4.application.properties

############# oauth2 ######################
authentication.oauth.clientid=abc
authentication.oauth.secret=123456
authentication.oauth.tokenValidityInSeconds=18000
#将资源拦截的过滤器运行顺序放到第3个执行,也就是在oauth2的认证服务器后面执行
security.oauth2.resource.filter-order = 3

1.5.SpringSecurity相关配置

/**
 * Description:开启SpringSecurity配置
 * User: adg
 * Date: 2019/2/25
 */
@Configuration
@EnableWebSecurity
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    //自定义UserDetailsService注入
    @Autowired
    private MyUserDetailsService userDetailsService;

    //配置匹配用户时密码规则
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //配置全局设置
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        //设置UserDetailsService以及密码规则
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    //排除路径拦截
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/logout");
    }

    //跨域
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers(HttpMethod.OPTIONS, "/oauth/**","/logout")
                //支持跨域
                .and()
                .cors()
                .and()
                .csrf().disable();

    }

    //全局 CORS Filter
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

 

2.自定义错误返回

以下类都需在【1.2.配置资源服务】中配置

2.1.MyAuthenticationEntryPoint

//Description:自定义401错误码,请求未带token或token失效
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {……}

2.2.MyAccessDeniedHandler

//Description:自定义400禁止访问
@Slf4j
@Component("myAccessDeniedHandler")
public class MyAccessDeniedHandler implements AccessDeniedHandler {……}

以下类都需在【1.3.配置权限服务】中配置

2.3.MyWebResponseExceptionTranslator

//自定义异常解释器,可根据异常自定义返回信息,如账号密码错误
@Component
public class MyWebResponseExceptionTranslator implements WebResponseExceptionTranslator {
    @Override
    public ResponseEntity translate(Exception e) throws Exception {……}
}

2.4.MyUserDetailsService

//自定义UserDetailsService
@Component("myDetailsService")
public class MyUserDetailsService implements UserDetailsService {……}

 

3.自定义token返回

3.1.MyTokenEnhancer

public class MyTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken,
                                     OAuth2Authentication authentication) {
        if (accessToken instanceof DefaultOAuth2AccessToken) {
            DefaultOAuth2AccessToken token = ((DefaultOAuth2AccessToken) accessToken);
//            token.setValue(getNewToken());
//            OAuth2RefreshToken refreshToken = token.getRefreshToken();
//            if (refreshToken instanceof DefaultOAuth2RefreshToken) {
//                token.setRefreshToken(new DefaultOAuth2RefreshToken(getNewToken()));
//            }
            Map<String,String> mtoken = new HashMap<>();
            mtoken.put("token",accessToken.getValue());
            Map<String, Object> map = new HashMap<String, Object>();
            map.put("code", 0);
            map.put("resultMsg", "操作成功");
            map.put("data", mtoken);
            token.setAdditionalInformation(map);//附加信息
        }
        return accessToken;
    }
    private String getNewToken() {
        return "123" + UUID.randomUUID().toString().replace("-", "");
    }
}

 

4.前端获取token&请求接口

4.1.请求接口

获取token

  • /oauth/token

登出

  • 默认 /oauth/logout 自定义为 /logout

 

4.2.请求头

获取token时前端请求头加如下(标红为base64的 (格式—> clientId:password ,是clientId和其密码,不是用户名和密码)

Authorization: 'Basic 此处为base64的clientId:password'

访问接口时前端请求头加如下

Authorization: 'Bearer 5f476c06-bfee-4121-b8b4-47aa598bde5a'

Http基本认证【http baisc】

Authorization: 'Basic 此处为base64的用户名密码'

5.其他问题

5.1需求是当配置.permitAll()时,即使携带Token,也可以直接访问。

spring-security的认证为一系列过滤器链。我们只需定义一个比OAuth2AuthenticationProcessingFilter更早的过滤器拦截指定请求,去除header中的Authorization Bearer xxxx即可。

 

1、PermitAuthenticationFilter类

@Component("permitAuthenticationFilter")
@Slf4j
public class PermitAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

         log.info("当前访问的地址:{}", request.getRequestURI());
         String requestURI = request.getRequestURI();
        List<String> list = new ArrayList<>();
        list.add("/backstage/picture/search/list");
        list.add("/backstage/picture/searchBase64/list");
        list.add("/backstage/event/realTime/list");
        list.add("/api/event/realTime/list");

        if (list.contains(requestURI)) {

            request = new HttpServletRequestWrapper(request) {
                private Set<String> headerNameSet;

                @Override
                public Enumeration<String> getHeaderNames() {
                    if (headerNameSet == null) {
                        // first time this method is called, cache the wrapped request's header names:
                        headerNameSet = new HashSet<>();
                        Enumeration<String> wrappedHeaderNames = super.getHeaderNames();
                        while (wrappedHeaderNames.hasMoreElements()) {
                            String headerName = wrappedHeaderNames.nextElement();
                            if (!"Authorization".equalsIgnoreCase(headerName)) {
                                headerNameSet.add(headerName);
                            }
                        }
                    }
                    return Collections.enumeration(headerNameSet);
                }

                @Override
                public Enumeration<String> getHeaders(String name) {
                    if ("Authorization".equalsIgnoreCase(name)) {
                        return Collections.<String>emptyEnumeration();
                    }
                    return super.getHeaders(name);
                }

                @Override
                public String getHeader(String name) {
                    if ("Authorization".equalsIgnoreCase(name)) {
                        return null;
                    }
                    return super.getHeader(name);
                }
            };

        }
        filterChain.doFilter(request, response);

    }
}

2、配置PermitAllSecurityConfig

/**
 * 配置过滤器
 */
@Component("permitAllSecurityConfig")
public class PermitAllSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain,HttpSecurity> {

    @Autowired
    private Filter permitAuthenticationFilter;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(permitAuthenticationFilter, OAuth2AuthenticationProcessingFilter.class);
    }
}

3、在资源服务器配置中 对 PermitAllSecurityConfig 授权

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        ……
        .and()
        .apply(permitAllSecurityConfig)
        ……
        .authorizeRequests()
        .antMatchers("permit/login").permitAll()
        ……

 

oauth的设计是用户不向第三方暴露自己的登陆信息的情况下,授权第三方以自己的身份访问一些资源。

oauth2的设计初衷是源于oauth1计算签名的复杂度,希望进一步降低第三方开发者的开发门槛。

 

Adonis_D_Gogh
关注
专栏目录
深入理解Spring Boot中的OAuth2使用
fudaihb的博客
08-26 1113
OAuth2(Open Authorization 2.0)是目前应用广泛的授权框架,允许第三方应用在资源所有者许可的情况下获取受保护资源。随着微服务架构的普及,OAuth2 已成为保护API和管理用户访问的首选解决方案。在Spring Boot中,OAuth2得到了广泛支持,并可以通过Spring Security进行无缝集成。 本文将详细介绍如何在Spring Boot应用中使用OAuth2,涵盖OAuth2的基本概念、主要流程以及实战中的具体实现和常见问题解决方案。
一。security-authorization-server 0.3.1的使用
你的世界我做主
09-03 1321
AuthorizationBasic Base64.encoder("clientId:clientSecret") // 方式。第二步:然后浏览器会重定向到:我们输入配置的用户名:user,密码:password然后点击sigin in。点击send获取token。然后我们就得到code了。第一步:用浏览器访问。
OAuth2 实现password与secret加密传输,解决明文传输问题
uchiha1st的博客
06-05 964
解决oauth2获取Token过程中password与client_secret明文传输的问题
SpringSecurity(15)——OAuth2密码模式
peng_gx的博客
01-26 974
SpringSecurity Oauth2密码模式
spring-security-oauth2(五) 记住我
codeing-tiger
12-13 1768
添加记住我功能 记住我功能基本原理 实现记住我功能 记住我SpringSecurity源码分析 1.记住我功能基本原理 过滤器链    2.实现记住我功能  给登录界面添加记住我选项 &lt;html&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;登录&lt;/title&gt; &lt;..
oauth2密码模式mysql模式
08-13
oauth2密码模式mysql模式,有走redis存储token的,改一下配置即可
Oauth2.0 密码模式客户端及模拟服务端手动实现
07-18
Oauth2.0 密码模式单点登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web是客户端项目,sessmgr是服务端,运行这3个项目 ,可测试单点登录功能
Spring Boot项目中实现OAuth2客户端模式(Client Credentials Grant Type)
最新发布
lucky_love816的博客
09-13 1282
创建一个实现了ClientDetailsService接口的服务类,用于加载客户端详情。
oauth password模式_OAuth2.0系列之密码模式实践教程(四)
weixin_39597868的博客
12-22 527
@OAuth2.0系列博客:1、密码模式简介1.1 前言简介在上一篇文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,接着学习OAuth2.0授权模式中的密码模式ps:OAuth2.0的授权模式可以分为:授权码模式(authorization code)简化模式(implicit)密码模式(resource owner password credentials)客户端模式(...
OAuth2.0授权码模式实战教程
kkchenjj的博客
07-17 1118
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
Spring Security OAuth2 四种认证模式(含流程图)
诺浅的专栏
11-16 8103
什么是OAuth2 OAuth2 其实是一个关于授权的网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 PS:如果不能理解就想想你用微信/QQ登录CSDN的时候,你并不需要告诉CSDN你的QQ密码就能登录,是怎么实现的?其实采用OAuth2就可以实现 什么是Spring Security OAuth2 上面说了OAuth2是一个标准,而Spring Security基于这个标准进行了实现,这个实现就是Spring
OAuth 2.0 授权认证详解
emprere的博客
07-15 7413
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式authorization c...
Spring-Security+OAuth2+redis实现密码登录
梅子黄时雨
07-14 2591
Spring-Security+OAuth2+redis实现密码登录
OAuth2 logout
Jarvis丶Z的博客
07-24 8567
OAuth安全环境中注销用户的访问令牌 在AuthorizationServerConfig中创建tokenServices实例 @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { //
oauth2开放认证协议原理及案例分析
volcan1987的专栏
02-23 5832
之前翻译过一篇  OAuth认证协议原理分析及使用方法 ,虽然 OAuth2还没有正式发布,但是国内外的OAuth2的采用情况几乎要完全替代掉OAuth1.1了。像淘宝、腾讯、人人网、百度开放平台就已经采用Oauth2,新浪微博也发来邮件说是要很快上马OAuth2,彻底替换掉OAuth1.1。目前OAuth2到了 v20草稿阶段 ,最新的版本是 2011年7月25号发布的,协议变化还是很快
OAuth2.0协议及五种授权模式
热门推荐
晋文子上的博客
09-11 2万+
  OAuth:一个关于授权(authorization)的开放网络标准,目前版本是2.0版。   为何要使用OAuth协议呢?OAuth协议的应用场景。 第三方服务方提供服务,某些服务需要用户的同意才能够做到,好比客厅要装修,需要得到主人的同意,拿到钥匙,才能装修,提供服务。 传统做法: 把所有钥匙(账号密码)给工人。但这样,工人可能用这个钥匙开卧室的门。甚至打一个新的钥匙。 缺点...
Spring Security OAuth2 token存储Redis用户登出logOut
OceanSky的专栏
07-25 8278
Redis用户登出有两种方案,一种是通过资源服务器配置logoutSuccessHandler处理函数,并实现LogoutSuccessHandler接口来处理退出用户; 另外一种是自定义封装接口,通过RedisTokenStore来删除用户信息的形式; 1.通过资源服务器配置的方式 ResourceServerConfigurerAdapter配置 @Override pub...
spring security oauth2 sso logout 单点登录退出
liu_xue_xue的专栏
10-28 7365
需要客户端先退出,然后再退出认证服务中心
oauth2.0鉴权,登录访问 “/oauth/token”,请求头AuthorizationbasicToken)如何取值???
君临天下tjm的博客
06-30 4896
springcloud项目通常使用oauth2.0做鉴权管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值