spring-security-oauth2.0的使用入门

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量2.5k 收藏 6
点赞数 1
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/walkcode/article/details/109848390
版权

oauth2.0也是开发中用的比较多的一种授权机制,它主要用来颁发令牌;OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。

通过上面对oauth的介绍,我们已经大概知道它的用途了,现在由于各种原因oauth1几乎已经没人再用了,目前用的较多的是oauth2.0; oauth2.0规定了四种获得令牌的流程,如下所示:

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

对于后端开发来说授权码的模式是使用较多的也相对安全一些,本次 分享的也就是该模式了

1 开发前的准备

由于我们使用的是spring security oauth2.0,鉴于此官方也为我们提供了oauth2.0开发相关参考如用到的表结构、整合代码等,下面是官方提供的表结构

https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql

数据表的字段释义我也找了相关的资料可以参考下面这篇文章:

https://blog.csdn.net/wangxuelei036/article/details/109491215

但是这些sql直接在mysql里执行是要报错的,也是一个小小的坑,报错的地方就是“token LONGVARBINARY“里定义的这个longvarbinary了,原因是mysql并不支持这种数据类型,解决的方式很简单就是把它全部改成blob数据类型就可以了

稍作修改之后,执行这些sql生成表到自己的数据库里就ok了,此外我们只需要在项目引入maven的依赖准备工作就完成了

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
   <groupId>org.springframework.cloud</groupId>
   <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

如果项目已经有security的依赖那么只需要引入oauth2的就可以了

2  oauth服务端的开发

(1) 服务端也需要使用spring security,毫无疑问我们需要先配置spring security

package com.debug.security;

import com.debug.service.SecurityUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private SecurityUserService securityUserService;

    @Bean
    public BCryptPasswordEncoder myPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .permitAll()//指定认证页面可以匿名访问 //关闭跨站请求防护
                .and().csrf().disable();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception { //UserDetailsService类
        auth.userDetailsService(securityUserService)
                .passwordEncoder(myPasswordEncoder());
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

这里的spring security配置就比较简单了,只是指定了密码加密、认证url等,认证登录也可以定义成自己的,这里方便起见就直接用spring security默认的

(2) 认证授权的代码逻辑,客观来说此处只用到认证,代码如下:

package com.debug.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.debug.entity.TSystemPermission;
import com.debug.entity.TSystemRole;
import com.debug.entity.TSystemUser;
import com.debug.security.MyAuthenticationProvider;
import com.debug.service.SecurityUserService;
import com.debug.service.TSystemPermissionService;
import com.debug.service.TSystemRoleService;
import com.debug.service.TSystemUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class SecurityUserServiceImpl implements SecurityUserService {

    @Autowired
    private TSystemUserService tSystemUserService;


    @Autowired
    private TSystemRoleService tSystemRoleService;

    @Autowired
    private TSystemPermissionService tSystemPermissionService;


    @Autowired
    private MyAuthenticationProvider myAuthenticationProvider;

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<TSystemUser> qw = new QueryWrapper<TSystemUser>();
        qw.eq("login_name", username);
        TSystemUser user = tSystemUserService.getOne(qw);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        List<TSystemPermission> permissionList = tSystemPermissionService.getRolePermission(user.getId(), "1");
        List<TSystemRole> roleList = tSystemRoleService.getUserRole(user.getId());

        String roleName = roleList.get(0).getName();

        StringBuffer buf = new StringBuffer();
        for (TSystemPermission permission : permissionList) {
            String per = permission.getPermission();
            buf.append(per + ",");

        }

        String sp = buf.toString().substring(0, buf.toString().lastIndexOf(","));
        List<GrantedAuthority> authList = AuthorityUtils.commaSeparatedStringToAuthorityList(roleName + "," + sp);

        UserDetails u = new User(user.getLoginName(), user.getPassword(), authList);

        return u;
    }

    public String login(String username, String password) {

        QueryWrapper<TSystemUser> qw = new QueryWrapper<TSystemUser>();
        qw.eq("login_name", username);
        TSystemUser user = tSystemUserService.getOne(qw);

        // 这里我们还要判断密码是否正确,这里我们的密码使用BCryptPasswordEncoder进行加密的
        if (!new BCryptPasswordEncoder().matches(password, user.getPassword())) {
            throw new BadCredentialsException("密码不正确");
        }

        //return jwtTokenUtil.generateToken(username);
        return null;
    }

    public String refreshToken(String oldToken) {
        String token = oldToken;
        return "error";
    }
}

认证的代码和昨天写的是一样的,几乎没有任何修改

(3) oauth服务端的配置

这一步的配置相对麻烦一点,我们需要配置Oauth的数据源(和之前新建的oauth开头的那几张表有关)、token保存策略、授权信息保存策略、客户端登录信息来源等

package com.debug.config;

import com.debug.service.SecurityUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.approval.ApprovalStore;
import org.springframework.security.oauth2.provider.approval.JdbcApprovalStore;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.code.AuthorizationCodeServices;
import org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;

import javax.sql.DataSource;

@Configuration
@EnableAuthorizationServer
public class OauthServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private SecurityUserService securityUserService;

    //从数据库中查询出客户端信息
    @Bean
    public JdbcClientDetailsService clientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }

    //token保存策略
    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    //授权信息保存策略
    @Bean
    public ApprovalStore approvalStore() {
        return new JdbcApprovalStore(dataSource);
    }

    //授权码模式专用对象
    @Bean
    public AuthorizationCodeServices authorizationCodeServices() {
        return new JdbcAuthorizationCodeServices(dataSource);
    }

    //指定客户端登录信息来源
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetailsService());
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.allowFormAuthenticationForClients();
        oauthServer.checkTokenAccess("isAuthenticated()");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .userDetailsService(securityUserService)
                .approvalStore(approvalStore())
                .authenticationManager(authenticationManager)
                .authorizationCodeServices(authorizationCodeServices())
                .tokenStore(tokenStore());
    }


}

3 oauth资源端的开发

资源端的开发除了加入资源端相关配置外,其他地方和普通的spring boot项目无异,先来看一下资源端的配置

package com.debug.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;

import javax.sql.DataSource;

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(securedEnabled = true)
public class OauthSourceConfig extends ResourceServerConfigurerAdapter {
    @Autowired
    private DataSource dataSource;

    /*** TokenStore是OAuth2保存token的接口 * 其下有RedisTokenStore保存到redis中, * JdbcTokenStore保存到数据库中, * InMemoryTokenStore保存到内存中等实现类, * 这里我们选择保存在数据库中 * @return */
    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        TokenStore tokenStore = new JdbcTokenStore(dataSource);
        resources.resourceId("product_api") //指定当前资源的id,非常重要!必须写!
                .tokenStore(tokenStore); //指定保存token的方式
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests() //指定不同请求方式访问资源所需要的权限,一般查询是read,其余是write。
                .antMatchers(HttpMethod.GET, "/**").access("#oauth2.hasScope('read')")
                .antMatchers(HttpMethod.POST, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PATCH, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.PUT, "/**").access("#oauth2.hasScope('write')")
                .antMatchers(HttpMethod.DELETE, "/**").access("#oauth2.hasScope('write')")
                .and().headers().addHeaderWriter((request, response) -> {
            response.addHeader("Access-Control-Allow-Origin", "*");//允许跨域
            if (request.getMethod().equals("OPTIONS")) {//如果是跨域的预检请求,则原封不动向下传达请 求头信息
                response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access- Control-Request-Method"));
                response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access- Control-Request-Headers"));
            }
        });
    }
}

最需要注意的就是这个 资源端ID了 ,这个ID除了在代码中配置也需要添加到数据库中,如下所示,在oauth_client_details表里加入一条记录,sql如下:

INSERT INTO `oauth_client_details` VALUES ('debugxwz', 'product_api', '$2a$10$WZQaLHfS6amrJzN50wE3e.upn8KIi1wmCH9FSdZE6OBt8OKSyGLm.', 'read, write', 'client_credentials,implicit,authorization_code,refresh_token,password', 'http://www.baidu.com', NULL, NULL, NULL, NULL, 'false');

client_id和client_secret在后面的获取token接口中需要使用到所以不能写错,密码的生成也是使用springsecurity的那一套,这里不做过多解释

接下来编写一个测试用的controller,代码如下:

package com.debug.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/product")
public class ProductController {
    @GetMapping
    public String findAll() {
        return "查询产品列表成功!";
    }
}

4 测试

先在浏览器敲 http://localhost:8082/oauth/authorize?response_type=code&client_id=debugxwz

这一步的作用是获取code,在获取code之前需要经过spring security,根据配置会使用spring security提供的登录页面,输入我们的账号和密码(不是oauth_client_details的)

登录后浏览器跳转到一个询问页面,就类似微信授权那个

点击下面的授权按钮则跳转到我们制定的url并携带code , 此处为了方便数据库跳转链接直接写的百度,日常开发就换成自己的并保证外网可以访问到就行

到此为止我们就取得code了

接下来我们使用postman来获取token,url地址为 http://localhost:8082/oauth/token

需要post提交的参数有四个分别是grant_type(此处填写authorization_code)、client_id、client_secret、code 如下所示:

到此为止我们就获取到access_token了,接下来就可以拿这个access_token去访问资源了(刚才的ProductController),地址如下:

http://localhost:8081/product?access_token=e0ac892e-bbee-4ba6-b348-88d43e66de8a

到此为止一个简单oauth2.0服务端和资源端的代码就开发完成了

其他参考资料:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

青蛙小王子
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring-security-oauth2实现OAuth2.0服务
学习
08-09 713
关于OAuth的介绍查看我的另一篇文章OAuth的4种授权方式,spring-security-oauth2是实现OAuth2.0的框架,配置稍微有些繁琐,因此本文记录下大概的思路,加深印象。 OAuth 2.0中主要有Authorization Service授权服务和Resource Service资源服务,他们可以在同一个应用程序中,也可以在两个应用程序中,甚至多个资源服务共享一个授权服务。 spring-security提供了相应的endpoints来管理token的请求,/oauth/author
springsecurity+jwt+oauth2.0入门到精通
qq_42097051的博客
11-20 468
springsecurity+jwt+oauth2.0入门到精通 security课程内容安排介绍 02spring security整合jwt 03security整合Basic认证模式 04security整合表单模式 05security实现不同账户权限认证 06security自定义登陆页面 07securityRBAC权限模型 08自定义UserDetailsService 09动态查询数据库权限绑定 10动态绑定数据库所有权限 11jwt安排的课程介绍 12传统的t...
oauth_client_details.sql
02-11
oauth_client_details.sql
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5966
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1562
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
Spring Boot 中的OAuth 2
探索er的博客
05-12 7996
Spring Boot 中的OAuth 2
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9213
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4957
在本文中,我们介绍了如何在 SpringBoot使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot使用 OAuth2 进行认证和授权的。
okta-spring-boot-authz-server-example:Spring Security OAuth 2.0指南
01-31
Spring Security OAuth 2.0指南本示例显示了如何使用Spring Security和OAuth 2.0创建授权服务器。 请阅读获取指导教程,向您展示如何在此存储库中构建应用程序。 先决条件: 。 具有身份验证和用户管理API,可通过...
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用程序和API。...同时,Spring Security OAuth2.0 的广泛使用也促进了不同服务之间的互操作性和安全性,是现代Web开发中的重要工具。
java-facebook-api-oauth2.0:此存储库包含使用Java中的oath2.0入门所需的所有必需项目文件。
03-09
Java中,我们可以利用各种库,如Spring Security或Apache HttpClient,来处理OAuth2.0的细节。 1. **获取Facebook App ID和App Secret**: 在开始之前,你需要在Facebook开发者平台上创建一个应用,并获取App ID...
spring-security-oauth:支持为Spring Web应用程序添加OAuth1(a)和OAuth2功能(消费者和提供者)
02-12
Spring Security提供了最新的OAuth 2.0支持。 有关更多详细信息,请参见《 。 关于 该项目提供了将Spring Security与OAuth(1a)和OAuth2结合使用的支持。 它提供了使用标准SpringSpring Security编程模型以及...
spring-security入门
12-19
它最初被称为Acegi Security,后来在Spring 2.0版本后被重命名为Spring Security。本教程将引导你入门Spring Security 3.x,帮助你理解如何设置和配置这个安全框架。 首先,我们需要创建一个Web项目并导入必要的库...
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 2829
springbootspringsecurity整合OAuth2
springboot2整合oauth2
热门推荐
qq_37170583的博客
06-15 6万+
1.背景 项目由springboot1.5.X升级到springboot2.0.0后,导致各组件API以及依赖包发生了变化。 完整项目demo:https://gitee.com/zkane/springboot2-oauth2.git 2.spring security Spring Security入门到进阶系列教程网址:http://www.spring4all.com/ar...
SpringBoot 如何配置 OAuth2 认证
徐师兄的博客
10-08 2176
OAuth2是一种用于授权的开放标准,用于控制第三方应用程序访问用户数据的权限。OAuth2定义了不同的授权流程,包括授权码流、密码流、客户端凭据流等,以满足不同的应用程序需求。资源所有者(Resource Owner):拥有资源的用户或实体。客户端(Client):访问资源的应用程序。资源服务器(Resource Server):存储和提供资源的服务器。授权服务器(Authorization Server):颁发访问令牌的服务器。
SpringBoot集成oauth2(授权码模式)
qq1016499728博客
12-04 2777
基于密码模式的代码 先看完我的客户端模式和密码模式,服务跑起来了再看这个 验证服务器的配置类中, 改一点点 security配置类改一点点 http.authorizeRequests() .anyRequest() .authenticated() //所有请求都需要通过认证 .and() .httpBasic() //Basic提交
Spring Boot OAuth2 整合详解
深圳市多克创新科技有限公司
10-19 1588
Spring Boot OAuth 2.0整合详解
Springboot整合OAuth2
qq_41566980的博客
08-28 6696
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
spring-security-oauth2与spring-cloud-starter-oauth2
06-10
spring-security-oauth2和spring-cloud-starter-oauth2都是OAuth 2.0协议的Spring框架的库但它们的使用场景有所不同。 spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值