Spring Security 与 Oauth2 整合

最新推荐文章于 2023-04-13 10:49:46 发布
最新推荐文章于 2023-04-13 10:49:46 发布
阅读量340 收藏
点赞数
分类专栏: java web 文章标签: java
原文链接:https://blog.csdn.net/monkeyking1987/article/details/16828059
版权

spring-security-oauth2的项目地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2

spring-security-oauth2的demo 地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/samples/oauth2

为什么要写

1. spring-security-oauth2的demo 不容易让开发者理解, 配置的内容很多, 没有分解的步骤; 我曾经试着按照文档(https://github.com/spring-projects/spring-security-oauth/blob/master/docs/oauth2.md) 配置了几次, 结果全失败, 无一成功(说实话, 这是第二次在实际项目中使用spring & oauth,但还是花了不少时间才完全弄清楚);甚至有时候找错误的原因都不好找.

2.Oauth应该属于security的一部分, 但demo并没有将二者分开, 混在一起

3.总结现在, 方便未来

相比于demo,作了哪些改进

  1. 将Spring MVC配置与Oauth的配置分开, 互不影响

2.将用户信息存放数据库

3.将ClientDetails数据存放于数据库,并能对数据进行管理

4.扩展ClientDetails基本属性, 添加trusted属性,用于判断Client是否是可信任的

5.取消掉demo中一些不必要的配置

6.针对不同的资源配置不同的权限

7.token存入数据库而不是内存

开始

前提:  使用Maven来管理项目; spring-security-oauth的版本号为 1.0.5.RELEASE

  1. 添加Maven dependencies; 以下只列出了主要的

     <!--spring security-->
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-core</artifactId>
     <version>${spring.security.version}</version>
 </dependency>
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-web</artifactId>
     <version>${spring.security.version}</version>
 </dependency>
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-taglibs</artifactId>
     <version>${spring.security.version}</version>
 </dependency>
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-acl</artifactId>
     <version>${spring.security.version}</version>
 </dependency>
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-crypto</artifactId>
     <version>${spring.security.version}</version>
 </dependency>
 <dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-config</artifactId>
     <version>${spring.security.version}</version>
 </dependency>

 <dependency>
     <groupId>org.springframework.security.oauth</groupId>
     <artifactId>spring-security-oauth2</artifactId>
     <version>1.0.5.RELEASE</version>
 </dependency>

  2. web.xml配置; 这一步与只使用Spring Security的配置一样.

    

springSecurityFilterChain

org.springframework.web.filter.DelegatingFilterProxy



<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<!--contextConfigLocation -->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring/*.xml</param-value>
</context-param>

<!-- Spring context listener -->
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!--hy mvc-->
<servlet>
    <servlet-name>hy</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <load-on-startup>2</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>hy</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

对于Spring MVC, 需要配置文件hy-servlet.xml, 该文件不是这儿关注的(忽略); 
在classpath创建spring目录, 在该目录里创建 security.xml 文件, 这是所有步骤配置的重点.

3.security.xml的配置; 重点开始.

3.1 起用注解; TokenEndpoint与AuthorizationEndpoint需要

<mvc:annotation-driven/>
<mvc:default-servlet-handler/>

3.2  TokenServices 配置
   1). TokenStore, 使用JdbcTokenStore, 将token信息存放数据库, 需要提供一个dataSource对象; 也可使用InMemoryTokenStore存于内存中

<!--<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.InMemoryTokenStore"/>-->
<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
    <beans:constructor-arg index="0" ref="dataSource"/>
</beans:bean>

注: 可以在spring-security-oauth2中找到对应的SQL脚本, 地址为https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2/src/test/resources, 目录中的schema.sql 即是. (以下不再说明SQL脚本的问题)

2).TokenServices; 需要注入TokenStore

<beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
    <beans:property name="tokenStore" ref="tokenStore"/>
    <beans:property name="supportRefreshToken" value="true"/>
</beans:bean>

如果允许刷新token 请将supportRefreshToken 的值设置为true, 默认为不允许

3.3 ClientDetailsService 配置, 使用JdbcClientDetailsService, 也需要提供dataSource, 替换demo中直接配置在配置文件中

<beans:bean id="clientDetailsService" class="org.springframework.security.oauth2.provider.JdbcClientDetailsService">
    <beans:constructor-arg index="0" ref="dataSource"/>
</beans:bean>

3.4 ClientDetailsUserDetailsService配置, 该类实现了Spring security中 UserDetailsService 接口

<beans:bean id="oauth2ClientDetailsUserService"
            class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
    <beans:constructor-arg ref="clientDetailsService"/>
</beans:bean>

3.5 OAuth2AuthenticationEntryPoint配置
<beans:bean id=“oauth2AuthenticationEntryPoint”
class=“org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint”/>

3.6 oauth2 AuthenticationManager配置; 在整个配置中,有两个AuthenticationManager需要配置


第二个AuthenticationManager用于向获取UserDetails信息, 




userService是一个实现UserDetailsService的Bean

3.7 OAuth2AccessDeniedHandler配置, 实现AccessDeniedHandler接口

<beans:bean id="oauth2AccessDeniedHandler"
            class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler"/>

3.8 UserApprovalHandler配置, 这儿使用DefaultUserApprovalHandler, 这里是实现client是否可信任的关键点,你可以扩展该接口来自定义approval行为
<beans:bean id=“oauthUserApprovalHandler” class=“org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler”>
</beans:bean>

3.9 authorization-server配置, 核心
<oauth2:authorization-server client-details-service-ref=“clientDetailsService” token-services-ref=“tokenServices”
user-approval-handler-ref=“oauthUserApprovalHandler”>
oauth2:authorization-code/
oauth2:implicit/
oauth2:refresh-token/
oauth2:client-credentials/
oauth2:password/
</oauth2:authorization-server>

该元素里面的每个标签可设置每一种authorized-grant-type的行为. 如disable refresh-token的配置为
<oauth2:refresh-token disabled=“true”/>

3.10 Oauth2 AccessDecisionManager配置, 这儿在默认的Spring Security AccessDecisionManager的基础上添加了ScopeVoter
<beans:bean id=“oauth2AccessDecisionManager” class=“org.springframework.security.access.vote.UnanimousBased”>
beans:constructor-arg
beans:list
<beans:bean class=“org.springframework.security.oauth2.provider.vote.ScopeVoter”/>
<beans:bean class=“org.springframework.security.access.vote.RoleVoter”/>
<beans:bean class=“org.springframework.security.access.vote.AuthenticatedVoter”/>
</beans:list>
</beans:constructor-arg>
</beans:bean>

3.11 resource-server配置, 这儿定义两咱不同的resource

<oauth2:resource-server id=“unityResourceServer” resource-id=“unity-resource” token-services-ref=“tokenServices”/>

<!--mobile resource server filter-->
<oauth2:resource-server id="mobileResourceServer" resource-id="mobile-resource" token-services-ref="tokenServices"/>

注意: 每个resource-id的值必须在对应的ClientDetails中resourceIds值中存在

3.12 ClientCredentialsTokenEndpointFilter配置, 该Filter将作用于Spring Security的chain 链条中
<beans:bean id=“clientCredentialsTokenEndpointFilter”
class=“org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter”>
<beans:property name=“authenticationManager” ref=“oauth2AuthenticationManager”/>
</beans:bean>

3.13 /oauth/token 的http 配置, 用于监听该URL的请求, 核心



    <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER"/>
    <access-denied-handler ref="oauth2AccessDeniedHandler"/>
</http>

3.14 针对不同resource的http配置, 由于上面配置了两个resource, 这儿也配置两个


    <intercept-url pattern="/unity/**" access="ROLE_UNITY,SCOPE_READ"/>

    <custom-filter ref="unityResourceServer" before="PRE_AUTH_FILTER"/>
    <access-denied-handler ref="oauth2AccessDeniedHandler"/>
</http>

<!--mobile http configuration-->
<http pattern="/m/**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
      access-decision-manager-ref="oauth2AccessDecisionManager">
    <anonymous enabled="false"/>

    <intercept-url pattern="/m/**" access="ROLE_MOBILE,SCOPE_READ"/>

    <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER"/>
    <access-denied-handler ref="oauth2AccessDeniedHandler"/>
</http>

注意每一个http对应不同的resourceServer. access-decison-manager-ref对应Oauth的AccessDecisionManager

3.15 默认的http配置,给/oauth/** 设置权限

<http access-denied-page="/login.jsp?authorization_error=2" disable-url-rewriting="true"
      authentication-manager-ref="authenticationManager">
    <intercept-url pattern="/oauth/**" access="ROLE_USER,ROLE_UNITY,ROLE_MOBILE"/>
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>

    <form-login authentication-failure-url="/login.jsp?authentication_error=1" default-target-url="/index.jsp"
                login-page="/login.jsp" login-processing-url="/login.do"/>
    <logout logout-success-url="/index.jsp" logout-url="/logout.do"/>
    <anonymous/>
</http>

到此, securiy.xml 配置完毕.
当然,还有些额外的工作你需要做, 如配置dataSource, 创建数据库, 添加用户用户信息, 管理ClientDetails等等.

Oauth相关的数据都是存放在数据库, 我们就可以根据表结果创建domain来实现管理.

为了方便大家学习与讨论, 我现在把该项目放在了GIT OSC上, 访问地址: http://git.oschina.net/shengzhao/spring-oauth-server, 欢迎大家关注.

与文章相关的配置,扩展请访问: http://andaily.com/blog/?cat=19

与文章相关的讨论请访问: http://andaily.com/blog/?page_id=182

版权声明:本文为CSDN博主「monkeyking1987」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/monkeyking1987/article/details/16828059

郭华勇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9140
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring securityoauth2整合开发资料汇总
01-26
spring securityoauth2整合开发资料汇总,自己总结收集的。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
springsecurity04-springsecurity oauth2实现单点登录之-github客户端模拟
liaomin416100569的专栏
03-20 646
文章目录申请github oauth应用 申请github oauth应用 地址springsecurity04-springsecurity oauth2实现单点登录之-github客户端模拟 点击注册成功后,可以获取到对应客户端id和客户端密钥 ...
java github 授权登录_spring-boot集成spring-securityoauth2实现github登录网站的示例
weixin_36127579的博客
03-04 261
spring-security 里自带了oauth2,正好YIIU里也用到了spring-security做权限部分,那为何不直接集成上第三方登录呢?然后我开始了折腾注意:本篇只折腾了spring-security oauth2的客户端部分,spring-security还可以搭建标准的oauth2服务端引入依赖org.springframework.security.oauthspring-se...
Spring SecurityOAuth2的完美结合
最新发布
m0_49151953的博客
04-13 1680
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权的服务器,资源服务器是指存储资源的服务器。Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
springsecurity整合oauth2
qq_21277357的博客
01-07 1975
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权中心Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
SpringSecurity整合Oauth2
daiyuenlong110的博客
05-27 658
一、创建项目并导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId&g..
Spring Security OAuth2 开发指南
东子的博客 细节决定成败,点滴铸就辉煌。
03-08 1537
1.官网文档:http://projects.spring.io/spring-security-oauth/docs/oauth2.html2. Spring OAuth2.0 提供者实现原理Spring OAuth2.0提供者实际上分为: 授权服务 Authorization Service. 资源服务 Resource Service. 注意:虽然这两个提供者有时候可能存在同一个应用程序中,但
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
SpringSecurity整合OAuth2
残影的博客
12-23 1758
SpringSecurity整合OAuth2一、概述1.1 OAuth2.0 是什么?1.2 OAuth2.0 角色解释1.3 OAuth 2.0 运行流程1.4 OAuth 2.0 授权模式二、密码模式 一、概述 1.1 OAuth2.0 是什么? OAuth(Open Authorization)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放
Spring Cloud Security Oauth2.0 授权码模式
Tellsea
06-16 2634
Spring Cloud Security Oauth2.0 Spring 提供的 Spring Security oAuth2 能搭建一套验证授权及资源访问服务,帮助大家在实现企业微服务架构时能够有效的控制多个服务的统一登录、授权及资源保护工作。 这里只是一个简单的案例基础,我自己是参照 千峰李哥的博客 上面的笔记来学习的,通过自己的整理与案例学习,综合出了一个自己风格的项目 李哥视频教程 Sp...
Spring Security(5) 整合OAuth2
郑清
04-02 3892
文章目录一、前言二、什么是OAuth2?三、应用场景四、三部分五、四种授权模式1. 授权码模式(authorization code)2. 简化模式(implicit)3. 密码模式(resource owner password credentials)4. 客户端模式(client credentials)六、编程1、授权服务a、引入依赖b、`application.yml`配置c、Security 核心配置类d、配置生成token存储e、自定义JWT返回信息f、配置添加JWT额外信息j、授权服务器配置
手把手教你用SpringBoot将Spring SecurityOAuth 2.0进行整合
淮南King的博客
08-09 2397
@TOC 写在前面 Spring Security 作为一款Spring 家族中的一款安全框架,在Spring Boot 环境下可以很容易的将其嵌入其中。 本项目建议有一些Spring Security基础的人学习。纯小白用户建议先学习 [Spring Security 入门](https://blog.csdn.net/qq_26020387/article/details/107495056) 本文涉及知识点 Spring Boot Spring Security OAuth 2.0 MySQL
自实现oauth2验证与spring-security的结合
凉水的博客
09-07 2601
自实现oauth2验证与spring-security的结合 前言 前面写了一篇关于spring-security-oauth2适配的文章,但是种种原因,项目中正在使用的spring-security版本暂时不能更换,没法直接使用spring-security-oauth2,无奈只能自己实现验证过程。 本文主要总结一下自实现oauth2验证遇到的一些问题及解决办法。 一、自实现...
SpringCloud第三篇--集成SpringSecurity+Oauth2
lvxiucai的博客
04-27 3515
一.背景 现在网上充斥着各种SpringSecurity+Oauth2的教程和源码分析,但是并未找到合适我的项目的。项目中需求是这样的,首先需要对接App,提供手机号验证码登录,密码登录,一键登录,微信登录等等,还需要自动登录和可供前端调用的第三方验证码登录。真的是难煞我也!经过一个月的努力终于实现了初版,并且结合SpringCloud进行独立授权服务开发,将其他所有的服务保护起来。 二...
OAuth 2 开发人员指南(Spring security oauth2)
u014624659的博客
05-10 199
  这是支持OAuth2.0的用户指南。对于OAuth1.0,一切都是不同的,所以看它的用户指南。 本用户指南分为两个部分,第一部分是OAuth2.0提供端(OAuth 2.0 Provider),第二部分是OAuth2.0的客户端(OAuth 2.0 Client) OAuth2.0提供端 OAuth2.0的提供端的用途是负责将受保护的资源暴露出去。配置包括建立一个可以访问受保护的资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值