Spring Security OAuth2 与Spring Boot的结合的第三方登录认证授权机制

最新推荐文章于 2023-06-23 17:49:53 发布
最新推荐文章于 2023-06-23 17:49:53 发布
阅读量326 收藏 1
点赞数
原文链接:https://my.oschina.net/u/3375419/blog/895728
版权

 

大家做第三方登录的客户端开发大多都是按照官网的文档来开发,没有走OAuth2 client的机制,其实这样的弊端很明显,官网提供的第三方登录的文档都是js调用,那就会过分暴露用户的资料,如果是一个前台项目(商城前台,游戏前台等等)还可以原谅,但是如果是一个后台管理的项目,那就很危险了。

我司是对技术要求极其严格的公司,肯定不允许这样不安全的开发存在。故我是用的Spirng Security OAuth2来实现了第三方的接入,我实现了facebook,google,github的第三方登录。而且还进行了授权。

 我简单描述一下OAuth2的机制:OAuth协议被广泛应用于第三方授权登录中,用户可以通过第三方登录来使用该网站,能免去用户注册的麻烦,用户体验更佳。OAuth2定义了五种角色。客户端(Client)用户代理(User Agent)资源所有者(Resource Owner)授权服务器(Authorization Server)资源服务器(Resource Server)。OAuth协议已定义了4种授权模式,其中最具代表性的就是授权码模式,Spring Security OAuth2就是参用的这种模式。

整个授权流程说明如下(具体参数释义见下文):

  1. 客户端携带client_id, scope, redirect_uri, state等信息引导用户请求授权服务器的授权端点下发code

  2. 授权服务器验证客户端身份,验证通过则询问用户是否同意授权(此时会跳转到用户能够直观看到的授权页面,等待用户点击确认授权)

  3. 假设用户同意授权,此时授权服务器会将code和state(如果客户端传递了该参数)拼接在redirect_uri后面,以302形式下发code

  4. 客户端携带code, redirect_uri, 以及client_secret请求授权服务器的令牌端点下发access_token(这一步实际上中间经过了客户端的服务器,除了code,其它参数都是在应用服务器端添加,下文会细讲)

  5. 授权服务器验证客户端身份,同时验证code,以及redirect_uri是否与请求code时相同,验证通过后下发access_token,并选择性下发refresh_token

 

请求参数说明:

名称是否必须描述信息
response_type必须对于授权码模式response_type=code
client_id必须客户端ID,用于标识一个客户端,等同于appId,在注册应用时生成
redirect_uri可选授权回调地址,具体参见2.2.3小节
scope可选权限范围,用于对客户端的权限进行控制,如果客户端没有传递该参数,那么服务器则以该应用的所有权限代替
state推荐用于维持请求和回调过程中的状态,防止CSRF攻击,服务器不对该参数做任何处理,如果客户端携带了该参数,则服务器在响应时原封不动的返回

 

对于OAuth协议不太熟悉的朋友,可以查看该位仁兄的文章:http://www.zhenchao.org/2017/03/04/oauth-v2-principle/

OAuth2.0协议的书籍:https://tools.ietf.org/html/rfc6749

大家搞明白了原理,接下来就是使用Spring Security OAuth2(后面会发现,Spring Security OAuth2是通过filer机制来解决OAuth协议认证授权的)来解决企业问题:

我的项目是maven项目使用的Spring Boot项目,首先是jar包依赖:    

        <dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
        <dependency>
			<groupId>org.springframework.security.oauth</groupId>
			<artifactId>spring-security-oauth2</artifactId>
		</dependency>

然后是官网资源的配置这一步比较简单:在官网进行项目的配置 下面是官网的链接(请先注册登录https://github.com/

https://github.com/settings/applications/new

注:github支持http://localhost:8080的站点

然后是java config配置:

HttpSecurity类:进行权限的配置,具体哪里路径可以直接放行.antMatchers(…).permitAll()
哪些路径需要权限认证 .antMatchers(…).hasAutority(…) 仅测试需要
.anyRequest().authenticated()
配置登录页面,登录错误页面 以及安全退出,安全退出页面,记住我等等。

ClientResources:资源所有者

          包括:AuthorizationCodeResourceDetails有GrantType(授权机制"authorization_code"),preEstablishedRedirectUri,userAuthorizationUri,clientd,clientSecret,scope,authorizationScheme,tokenName等属性。

                                            ResourceServerProperties:Configuration properties for OAuth2 Resources.及:从配置文件获取信息的bean对象 资源 。包含:clientId clientSecret userInfoUri tokenInfoUri属性。

OAuth2ClientContextFilter:OAuth2客户端的安全认证过滤器 所有请求的路径uri校验

UserInfoTokenServices:需要自定义实现,提供用户信息REST服务,默认的实现不能进行授权处理,

需要重写loadAuthentication方法,从数据库加载用户权限信息,如果不重写该方法,所有的通过第三方登录的用户都将只有ROLE_USER的权限,显然不能满足企业需要。

下面是所有的java config的配置信息。

ps:这可是我一点点总结的配置,望大家珍惜。

@EnableOAuth2Client
@EnableAuthorizationServer
@Order(6)
public class SocialApplication extends WebSecurityConfigurerAdapter {

@Override
	protected void configure(HttpSecurity http) throws Exception {
		// @formatter:off
		http.antMatcher("/**").authorizeRequests().antMatchers("/", "/login**", "/webjars/**","/js/**","/css/**","/hello").permitAll()
				.antMatchers("/hello").hasAuthority("ROLE_USER")
				.anyRequest().authenticated().and().exceptionHandling()
				.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/")).and().logout()
				.logoutSuccessUrl("/").permitAll().and()
				.addFilterBefore(ssoFilter(), BasicAuthenticationFilter.class);
		// @formatter:on
	}

	@Bean
	@ConfigurationProperties("github")
	public ClientResources github() {
		return new ClientResources();
	}
private Filter ssoFilter() {
		CompositeFilter filter = new CompositeFilter();
		List<Filter> filters = new ArrayList<>();
		filters.add(ssoFilter(github(), "/login/github"));
		filter.setFilters(filters);
		return filter;
	}

	private Filter ssoFilter(ClientResources client, String path) {
		OAuth2ClientAuthenticationProcessingFilter oAuth2ClientAuthenticationFilter = new OAuth2ClientAuthenticationProcessingFilter(path);
		OAuth2RestTemplate oAuth2RestTemplate = new OAuth2RestTemplate(client.getClient(), oauth2ClientContext);
		oAuth2ClientAuthenticationFilter.setRestTemplate(oAuth2RestTemplate);
		UserInfoTokenServices tokenServices = new UserInfoTokenServices(client.getResource().getUserInfoUri(),
				client.getClient().getClientId());
		tokenServices.setRestTemplate(oAuth2RestTemplate);
		oAuth2ClientAuthenticationFilter.setTokenServices(tokenServices);
		return oAuth2ClientAuthenticationFilter;
	}

}

class ClientResources {

	@NestedConfigurationProperty
	private AuthorizationCodeResourceDetails client = new AuthorizationCodeResourceDetails();

	@NestedConfigurationProperty
	private ResourceServerProperties resource = new ResourceServerProperties();

	public AuthorizationCodeResourceDetails getClient() {
		return client;
	}

	public ResourceServerProperties getResource() {
		return resource;
	}
}

 

做完了java config的配置,还需要配置application.yml文件,

github:
  client:
    clientId: bd1c0a783ccdd1c9b9e4
    clientSecret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1
    accessTokenUri: https://github.com/login/oauth/access_token
    userAuthorizationUri: https://github.com/login/oauth/authorize
    clientAuthenticationScheme: form
  resource:
    userInfoUri: https://api.github.com/user

 

接下来就是官网图标的渲染,我是从官网扒下来的html

<!--  Github按钮 -->
		<div>
		<a href="/login/github">
		<svg aria-hidden="true" class="octicon octicon-mark-github"
			height="32" version="1.1" viewBox="0 0 16 16" width="32">
			<path fill-rule="evenodd"
				d="M8 0C3.58 0 0 3.58 0 8c0 3.54 2.29 6.53 5.47 7.59.4.07.55-.17.55-.38 0-.19-.01-.82-.01-1.49-2.01.37-2.53-.49-2.69-.94-.09-.23-.48-.94-.82-1.13-.28-.15-.68-.52-.01-.53.63-.01 1.08.58 1.23.82.72 1.21 1.87.87 2.33.66.07-.52.28-.87.51-1.07-1.78-.2-3.64-.89-3.64-3.95 0-.87.31-1.59.82-2.15-.08-.2-.36-1.02.08-2.12 0 0 .67-.21 2.2.82.64-.18 1.32-.27 2-.27.68 0 1.36.09 2 .27 1.53-1.04 2.2-.82 2.2-.82.44 1.1.16 1.92.08 2.12.51.56.82 1.27.82 2.15 0 3.07-1.87 3.75-3.65 3.95.29.25.54.73.54 1.48 0 1.07-.01 1.93-.01 2.2 0 .21.15.46.55.38A8.013 8.013 0 0 0 16 8c0-4.42-3.58-8-8-8z">
				</path></svg>
		</a>
		</div>

 

到这里就大功告成了,大家可以启动自己的项目爽一把了。哈哈,我第一次看到github的第三方登录页面的时候超级开心,哈哈,大家也会和我一样很开心的。相同的机制,我也做了facebook,google的第三方登录很容易的。有哪里不太明白的地方可以留言,随时可以回答各位。

如果大家对Spring Security感兴趣,可以查看我的博客:

http://blog.csdn.net/weixin_38024391/article/details/71404582

 

 

 

 

 

 

转载于:https://my.oschina.net/u/3375419/blog/895728

chuanjiongying8866
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成Spring Security实现登录流程
wwyywwsaber的博客
05-05 873
前篇:https://blog.csdn.net/wwyywwsaber/article/details/123979279 登录验证码 使用kaptcha实现验证码 <dependency> <groupId>com.github.axet</groupId> <artifactId>kaptcha</artifactId> <version&g
15 Spring Security OAuth2登录(三方登录)
Markix的博客
10-28 2729
OAuth2可以用来实现 OAuth2登录(三方登录)。在OAuth2登录的场景中,用户信息则是"资源"! Spring Security 实现了 OAuth2登录功能。实现原理是:Client获取用户授权,得到令牌,通过令牌,获取用户信息(资源)。再在本地构建用户登录认证信息,维持用户会话状态,以此达到登录的目的。
SpringBoot+Spring Security和JWT的集成实现登陆授权认证
qq_41932589的博客
01-09 454
这两天做 SpringBoot+Spring Security和JWT的集成实现登陆授权认证 ,找了很多文章,看了很多的博客都不敬人意,终于功夫不负有心人,总算是把这个授权认证做好了,特此记录一下 。具体的原理我这就不做过多阐述,感兴趣的人可以自己去看相关的文章。下面直接上代码: 导入对应依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <arti
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
Ricardo.M.Yu的博客
06-14 1万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2集成短信验证码登录以及第三方登录 Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中...
6spring boot+security+oauth2 第三方登录1
08-08
本篇文章将探讨如何利用Spring BootSpring Security以及OAuth2来实现第三方登录功能,特别是在集成GitHub登录时的实现细节。 OAuth 2.0是一种授权框架,它允许第三方应用在用户授权的情况下访问其存储在另一服务...
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
首先,Spring Security 里自带了 OAuth2,正好 YIIU 里也用到了 Spring Security 做权限部分,那为何不直接集成第三方登录呢?然后,我开始了折腾注意:本篇只折腾了 Spring Security OAuth2 的客户端部分,Spring...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring BootSpring SecurityOAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
springboot集成springsecurity 使用OAUTH2做权限管理
老专家的博客
04-25 1万+
Spring Security OAuth2 主要配置,注意application.yml最后的配置resource filter顺序配置,不然会能获取token但是访问一直 没有权限 WebSecurityConfigurerAdapter 所在服务器的web配置 AuthorizationServerConfigurerAdapter 认证服务器配置 ...
基于SpringSecurity OAuth2实现单点登录——集成Github实现第三方账户登录
向心行者
09-25 2422
1、前言   在《SpringSecurity系列 之 集成第三方登录》中,我们基于SpringSecurity实现了集成的用户名密码、短信验证码和Github三种登录方式,其中,基于Github实现的登录,其实已经在SpringSecurity Oauth2中提供了一套实现流程,而且可以通过简单的配置就完成,我们下面尝试使用基于Oauth2的方式来实现Github的登录。 2、Github账户配置   在使用Github实现登录的时候,首先需要在Github账户进行OAuth配置,和《SpringSecu
【深入浅出 Spring Security(十二)】使用第三方(Github)授权登录
最新发布
qq_63691275的博客
06-23 3214
这里的Github授权登录,就是使用的OAuth2权限模式中的授权码模式。过程即通过向Github进行授权授权成功的话会返回一个授权码,后端通过授权码可以去向Github申请Access-Token,通过这个Token,即可读取一些Github的用户资源,观察到获取的用户信息里只有ROLE_USER,即user角色,所以说是获取Github上的用户的一些信息资源。
SpringBoot集成Spring Security(7)——认证流程
热门推荐
Jitwxs
12-02 6万+
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。 一、认证流程 上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。 (1) 用户发起表单登...
Spring Security OAuth2 第三方登录(一)之流程说明
weixin_42074868的博客
01-03 3920
SpringBoot第三方登录流程 public class OAuth2AuthenticationService&amp;amp;amp;lt;S&amp;amp;amp;gt; extends AbstractSocialAuthenticationService&amp;amp;amp;lt;S&amp;amp;amp;gt; { public SocialAuthenticationToken getAuthToken(HttpServletReques
SpringSecurity+Oauth+短信登录+第三方登录认证+Session管理
zouyang920的博客
02-10 1668
添加链接描述
Spring Security OAuth2——自定义OAuth2第三方登录(Gitee)
无限迭代中......
03-16 2309
官方文档 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2login-custom-provider-properties GiteeOAuth2 文档 https://gitee.com/api/v5/oauth_doc#/ 解决方案 application.yml spring: # Security Config security: oauth2: .
Spring Security OAuth2——自定义OAuth2第三方登录(Gitee)并与UsernamePassword登录关联解决方案
无限迭代中......
03-16 1557
前文:Spring Security OAuth2——自定义OAuth2第三方登录(Gitee) Maven 主要 <!--Spring Security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security&lt.
SpringSecurity实战(八)-通用第三方登陆-自定义认证配置实现
qq1164014750
12-08 3144
文章目录目标通用第三方登陆设计思路自定义登陆流程代码实现核心依赖创建第三方授权应用调用第三方平台部分login.htmlcontroller 层service 层核心配置通用第三方登陆配置本系统的授权认证部分认证流程一:已经绑定现有用户流程OtherSysOauth2LoginFilterOtherSysOauth2LoginAuthenticationTokenOtherSysOauth2LoginProviderOtherSysOauth2LoginUserDetailsServiceImpl认证成功事
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器和资源服务器的过程。Spring Security OAuth2 Boot提供了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值