Spring Boot + OAuth2 统一认证SSO单点登录

最新推荐文章于 2024-09-12 23:23:29 发布
最新推荐文章于 2024-09-12 23:23:29 发布
阅读量6.5k 收藏 35
点赞数 2
分类专栏: JAVA开发 文章标签: sso java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aqing2020/article/details/121978959
版权

需求:将项目从springSecurity验证登录改为统一认证sso登录,将原数据库中用户账号、密码、邮箱信息迁移至统一认证端数据中,保留原客户端项目的使用SpringSecurity进行权限角色管理部分

最终选择spring boot +oauth2 ,用到 @EnableOAuth2Sso注解实现单点登录,主要参考:

  Spring Boot+OAuth2,一个注解搞定单点登录! - 江南一点雨 (javaboy.org)

本文记录踩坑与学习与实战记录(未更完)

目录

基础知识学习

cas和sso(了解):

cas

通过cas实现单点登录 

Spring Security

身份认证流程解析

自定义用户密码验证

Sprint Security 用户权限管理

做到一个用户只能登录一次

彻底理解 Cookie、Session、Token

Spring Security基于oauth2的sso单点登录(最后使用的方式)

 开源框架XXL-SSO

实战江南一点雨:

遇到的问题:

用户权限管理时

auth端无法跳转index

一.基础知识学习

1.1 cas和sso(了解):

【单点登录】什么是 SSO 与 CAS?_happydecai的博客-CSDN博客_cas和sso

sso是一种框架,cas是实现sso的一种方法,当然,还有其他的方法,例如cookie

1.1.1 cas

从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。下图是 CAS 最

链接:单点登录之CAS原理和实现_金玉良缘-CSDN博客_cas单点登录实现原理

1.1.2 cas和oauth2 的区别

CAS的单点登录和oauth2的最大区别 - 剑握在手 - 博客园

1.1.3. 通过cas实现单点登录 

Spring Security 集成CAS实现单点登录 - 阿狸哥哥 - 博客园

1.2 Spring Security

security 有认证和授权两个功能 以session作为交互

1.2.1 身份认证流程解析

最简单易懂的Spring Security 身份认证流程讲解 - 曾俊杰的专栏 - 博客园 (cnblogs.com)

1.2.2 自定义用户密码验证

关于密码验证源码解读写于0706 · 语雀 (yuque.com)

重写密码验证filter:

SpringSecurity的自定义用户密码验证 - 洋洋哥 - 博客园 (cnblogs.com)

1.2.3 Sprint Security 用户权限管理

1. 在config配置文件中配置:分为hasAuthority(String)、hasRole(String)、hasIpAddress(String)

(2条消息) Spring Security--角色权限判断_我和井盖都笑了博客-CSDN博客_springsecurity 判断权限

protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/api/**").hasAnyRole("ROLE_USER", "ROLE_ADMIN")
                .antMatchers("/admin/**").hasRole("ROLE_ADMIN")
                // 如果发来的请求是指定的 IP 就允许访问
                // 可以通过 request.getRemoteAddr()获取 ip 地址。
                .antMatchers("/api/**").hasIpAddress("localhost")
                .antMatchers("/api/**").hasAuthority("admin")
                  

                .and().logout().deleteCookies("JSESSIONID", oauthCookieName).invalidateHttpSession(true)
                // 这样保证在客户端logout的时候就在服务端logout
                .logoutSuccessUrl("http://{server.ip}/logout")

                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();
        // 保证只有单方登录,同时需要在auth端也配置这条,客户端/logout了同时就会在统一认证端也执行logout
        http.sessionManagement().maximumSessions(1).expiredUrl("/logout");

    }

2. 使用注解@PreAuthorize 进行管理权限

@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"),

@PreAuthorize 权限控制的原理 - 简书 (jianshu.com)

3. 自定义注解进行权限管理

(2条消息) Java自定义注解实现权限管理_小识的博客-CSDN博客_注解实现权限管理

1.2.4 做到一个用户只能登录一次

1. 最大同时登录为1,且配置session过期重定位地址,直接将原来登录处踢出
当spring security检查到session过期后,若未做任何配置,spring security会返回一个用户不友好的页面,因此我们通常需要设置一个地址,当spring security检查到session过期后,将请求重定位到我们的地址上,设置代码如下所示:

 http
                .sessionManagement().maximumSessions(1).expiredUrl("/logout");

参考链接:

spring scurity session管理 - SegmentFault 思否

2. 当再次登录时阻止其认证而不是强制踢出上一次登录:

当一个用户已经认证过了,在另外一个地方重新进行登录认证,spring security可以阻止其再次登录认证,从而保持原来的会话可用性;具体的代码设置如下所示

http.sessionManager().maximumSession(1).maxSessionsPreventsLogin(true);

参考链接: 

spring security 关于 http.sessionManagement().maximumSessions(1);的探究 - 岑惜 - 博客园 (cnblogs.com)

1.2.5  Cookie、Session、Token

1. 三者的关系

springbsecurity 登录token验证过滤器_彻底理解 Cookie、Session、Token_weixin_39693662的博客-CSDN博客

2. springsecurity session详解:

参考:

Spring Security 控制Session详解 - 简书 (jianshu.com)

3. springSecurity 修改session中的信息

遇到场景 : 前端通过session获取当前用户信息,当前用户信息在前端页面发生了改变时(比如用户update了自己的email属性);可能数据库里面已经update了,而程序没有重启或者用户没有重新登陆,则session中的值是不会发生改变的,即验证的用户信息也是不变的,前端显示也并不会更新

SpringSecurity-日常踩坑,修改session中的用户信息。 - EalenXie - 博客园 (cnblogs.com)

4. 根据session获取用户名

SpringSecurity-日常踩坑,修改session中的用户信息。 - EalenXie - 博客园 (cnblogs.com)

1.3 Spring Security基于oauth2的sso单点登录(最后使用的方式)

1. oauth2 主要目的是为了第三方登录(例如微信授权), 提供以token作为访问权限

参考:Spring Security基于Oauth2的SSO单点登录怎样做? - 程序员大本营

2. 当客户端用security时:(2条消息) 基于Spring Security + OAuth2 的SSO单点登录(客户端)_Janche的博客-CSDN博客_oauth2 客户端登录

3.  @EnableOAuth2Sso注解实现单点登录(在客户端使用,客户端用的是security验证登录)

(最终参考的方案) 

 Spring Boot+OAuth2,一个注解搞定单点登录! - 江南一点雨 (javaboy.org)

auth端连接数据库验证用户账号和密码需要配置datasource config需要配置

客户端有单独的权限管理,在security中配置,详见"Sprint Security 用户权限管理"

4. 注册

spring-security-oauth2(二十二) 重构注册逻辑_codeing-tiger-CSDN博客_oauth2 注册

1.4 开源框架XXL-SSO

分布式单点登录框架XXL-SSO - 许雪里 - 博客园

实现时遇到的问题:

做了很多尝试把xxl-sso框架和springSecurity框架集成,但客户端无法获取用户信息,无法实现原因:统一验证那边验证登录成功了,两边的session统一,但是客户端项目的security验证没有通过,而我们需要它的username password拦截器验证通过,才能获得我们所需要的principal

二. 实战:

参考项目地址:

https://github.com/lenve/oauth2-samples

clone项目后分别打开oauth2-sso/auth-server(认证端)、oauth2-sso/client1(客户端1)、oauth2-sso/client2(客户端2),开启后可以实现统一认证登录

接下来进行一些拓展:

2.1 客户端登录成功后跳转index页面

传送门:

SpringBoot 登陆后跳转到index页面_aqing617的博客-CSDN博客

2.2 客户端登出

客户端的登出添加配置

          http
            .logout()
//                .logoutUrl("/logout")
//                .deleteCookies("s1","JSESSIONID")
                 // 在登出后,是否要清空当前session
//                .invalidateHttpSession(true)
            //   服务端登出
            .logoutSuccessUrl("http://localhost:1111/logout");

认证端添加的配置:

http
      .logout();

2.3 一个用户只允许登录一次 

需求:每个用户在浏览器a登录后,在浏览器b再次登录,此时要求浏览器a 该用户被踢出

在认证端和客户端都添加配置

 http
                .sessionManagement().maximumSessions(1).expiredUrl("/logout");

2.4 认证端连接数据库验证用户信息

原项目中,用户信息是存在与程序内存中的,现添加配置,使得用户信息存储于数据库中

1. securityConfig中替换

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(userAuthenticationProvider).userDetailsService(userService).passwordEncoder(passwordEncoder);
    }

2. 添加datasourceConfig,连接数据库        

通过添加import com.mysql.jdbc.Driver;自动在pom文件中添加依赖

搭建单点登录服务器,新建数据库用户表用于用户验证

3. 注入bean

4. 定义user类,实现UserDetails接口

5.定义UseDAO

6. 定义UserService实现UserDetailService接口

7.添加认证处理类,即1.中所用的

8. application.properties添加配置,连接数据库

2.5 新增user-center客户端,用于展示引导链接到各个客户端

首先在认证端新增接口,登录成功后跳转用户中心客户端

@GetMapping("/")
    public void redirect2UserCenter(HttpServletRequest req, HttpServletResponse resp) throws IOException {
        resp.sendRedirect("http://localhost:1112");
    }

(未完待续) 

2.6 添加统一认证端的注册逻辑 

在认证端新增注册接口,调用后转发调用客户端接口,在认证端数据库和客户端数据库都添加用户信息

(未完待续)

2.7 客户端权限管理

(未完待续) 

遇到的问题:

(未完待续)

用户权限管理时

尝试了多种方法解决用户权限管理,用security自己的配置(获取不到aizoo数据库中的权限信息,只能获取统一身份认证的),@PreAuthorize(同样的问题),自己写了拦截器和自定义注解拦截无果(拦截顺序的问题,无法跳转到统一身份认证)

auth端无法跳转index,无法直接访问任何接口

试图解决统一认证服务器登录之后无法跳转index的bug,尝试了后台控制跳转,报401错误(没有权限

aqing617
关注
专栏目录
SpringBoot集成OAuth2实现单点登录
AI天才研究院
02-19 289
1. 背景介绍 随着互联网应用的快速发展,用户需要在多个系统中进行登录和认证。为了简化用户的登录过程,提高用户体验,单点登录(Single Sign-On,简称SSO)技术应运而生。OAuth2是一个开放标准,用于实现安全的API授权。本文将介绍如何使用SpringBoot集成OAuth2实现单点登录
SpringSecurity+OAuth2实现单点登录SSO(详细教程+源码)
空夜's Blog
10-24 1万+
文章目录一、父级项目sso-oauth2-demo二、授权服务器auth-server三、客户端应用client-a与client-b四、启动与测试 本节源码在https://github.com/laolunsi/spring-boot-examples/tree/master/04-sso-oauth2-demo上,请放心食用 本节利用Spring Security Oauth2实现Spri...
springboot+oauth2单点登录.rar
04-13
springboot2.0+oauth搭建的SSO单点登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
Spring】搭建SpringBoot + OAuth2认证授权服务
最新发布
一个不断前行的程序者
09-12 1463
在这篇博客中,我们成功搭建了一个基于Spring BootOAuth2的认证授权服务。我们配置了用户存储、安全配置、OAuth2授权服务器和资源服务器,并创建了一些基本的控制器和前端页面来演示登录和访问受保护资源的过程。请注意,这只是一个简单的示例,用于演示基本的OAuth2流程。在生产环境中,你需要考虑更多的安全性和配置选项,例如使用JWT令牌、配置数据库、添加错误处理、日志记录等。
实现基于Spring BootOAuth2的单点登录SSO)系统
技术研究中心
07-17 524
单点登录SSO)系统是现代应用程序中常见的身份认证解决方案,它允许用户使用一组凭据(用户名和密码)登录到多个关联的应用程序而无需重复认证。本文将详细介绍如何利用Spring BootOAuth2框架来实现一个基本的单点登录系统,并演示其在实际应用中的应用。从搭建Spring Boot应用到配置OAuth2认证服务器和客户端,再到实现用户认证和授权,这些步骤为实现安全且高效的身份验证提供了基础。首先,我们创建一个基本的Spring Boot应用作为SSO系统的基础。
SpringBoot Security OAuth2实现单点登录SSO(附源码)
A的博客
07-17 1780
OAuth2 允许用户使用第三方认证提供者(如Google、GitHub等)的凭据进行认证,而不需要在你的应用中存储用户的密码。如果在你的应用程序中配置了多个 OAuth2 客户端(例如同时配置了 Google 和 GitHub),用户在其中一个认证成功后,在访问其他配置的客户端时不需要重新认证。登陆界面,进行上述整篇都在说的认证服务器,但如果先登录认证服务器,在进行登陆8082端口这个服务,会直接进入8082页面,这就是所谓的已经授权过的无需在重复登陆的实现。登陆页面–点击登陆进行授权。
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
spring-boot-oauth2-mybatis:Spring Boot 1.5 + OAuth2 + MyBatis 3
05-09
Spring Boot的启动类上通常会添加@EnableOAuth2Sso注解,启用OAuth2单点登录功能。同时,需要配置OAuth2的客户端信息,如client_id、client_secret等。MyBatis的配置则涉及到数据源、SqlSessionFactory和Mapper扫描...
springboot-oauth:Spring boot 2 + Spring security 5 实现 SSO + OAuth认证
05-01
Spring Boot集成Spring security OAuth2事例 oauth认证服务器、资源服务器 client-1:资源服务器,与oauth实现SSO client-2:资源服务器,使用RemoteTokenServices进行token验证(无法同时使用SSOOAuth来保护...
Spring Boot+OAuth2单点登录
zxc_123_789的博客
08-28 878
一. 搭建统一认证中心 (port:1111) 1.1 引入依赖 1.2 资源服务器 项目创建成功之后,这个模块由于要扮演授权服务器+资源服务器的角色,所以我们先在这个项目的启动类上添加 @EnableResourceServer 注解,表示这是一个资源服务器: @SpringBootApplication @EnableResourceServer public class AuthServerApplication { public static void main(String[] arg
SpringBoot+SpringSecurityOAuth2.0 实现SSO单点登录(一)--服务端
热门推荐
编程是个什么事
07-18 4万+
SSO Server 前期准备: 使用maven构建项目,导入1.5.4SpringBoot父jar包 parent> groupId>org.springframework.bootgroupId> artifactId>spring-boot-starter-parentartifactId> version>1.5.4.RELEASEversion> relativePath/
OAuth2实现单点登录SSO完整教程,其实不难!
weixin_44421461的博客
03-16 1203
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网...
Spring Boot 集成OAuth2:实现安全的单点登录
阿里渣渣java研发组-群主
05-31 626
OAuth2是一个开放标准,用于访问被保护资源的授权。它提供了一种在不同应用之间安全地共享资源的机制,而无需暴露用户的凭据。OAuth2的主要角色包括资源所有者、客户端、授权服务器和资源服务器。
Spring Boot+OAuth2,一个注解搞定单点登录
2401_84092483的博客
05-03 926
笔者已经把面试题和答案整理成了面试专题文档《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!以再次重定向到 auth-server 的登录页面,也就是大家看到的统一认证中心。笔者已经把面试题和答案整理成了面试专题文档[外链图片转存中…(img-gczAlCsY-1714747939850)][外链图片转存中…(img-CggXm4PU-1714747939851)][外链图片转存中…(img-HzTxUpnF-1714747939851)]
Springboot + oauth2 单点登录 - 原理篇
qq_39749620的博客
05-25 5646
一、前言 1.什么是OAuth2? OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 二、Oauh2详细介绍 1.OAuth2四种授权模式 授权码模式(authorization code) 密码模式(resource owner pass
Springboot + Oauth2 单点登录-配置篇
qq_39749620的博客
05-25 2235
1. 授权中心配置 所需依赖 <!-- spring security oauth2 开放授权 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.5.RELEASE</version>
SpringBoot整合OAuth2 实现单点登录 SSO
usa_washington的博客
02-29 1766
SSO
SpringCloud OAuth2 SSO 深度解析:@EnableOAuth2Sso注解与单点登录实现
"这篇文档详细分析了`@EnableOAuth2SSO`注解在实现Spring Cloud环境下OAuth2单点登录SSO)中的作用。通过深入源码,讲解了相关配置和组件,如`OAuth2Client`、`OAuth2SsoProperties`、`OAuth2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值