SpringSecurity 使用 jwt 整合 Oauth2 时资源服务器出现的权限问题

最新推荐文章于 2024-04-10 14:38:42 发布
最新推荐文章于 2024-04-10 14:38:42 发布
阅读量1.4k 收藏
点赞数
分类专栏: java 文章标签: java oauth2 spring security jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnkeysky/article/details/122901156
版权
  • 角色由 JwtGrantedAuthoritiesConverter 类中的 convert 方法提供,方法如下
public Collection<GrantedAuthority> convert(Jwt jwt) {
	Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();
	for (String authority : getAuthorities(jwt)) {
		grantedAuthorities.add(new SimpleGrantedAuthority(this.authorityPrefix + authority));
	}
	return grantedAuthorities;
}
  • 由于 convert() 方法提供的角色默认是以 SCOPE_ 开头,但 hasRole() 是以 ROLE_ 开头,因此导致访问时无权限问题
  • 自定义 JwtAuthenticationConverter 解决
@Bean
JwtAuthenticationConverter jwtAuthenticationConverter() {
    JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
    JwtGrantedAuthoritiesConverter authoritiesConverter = new JwtGrantedAuthoritiesConverter();
    // 修改前缀
    authoritiesConverter.setAuthorityPrefix("ROLE_");
    converter.setJwtGrantedAuthoritiesConverter(authoritiesConverter);
    return converter;
}
  • configure 中添加 JwtAuthenticationConverter
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/db/**").hasAnyRole("db")
            .antMatchers("/admin/**").hasAnyRole("admin")
            .antMatchers("/user/**").hasAnyRole("user")
            .anyRequest().authenticated()
            .and()
            .oauth2ResourceServer()
            .jwt()
            .jwtAuthenticationConverter(jwtAuthenticationConverter())
            .jwkSetUri("http://localhost:8080/oauth2/keys");
}
cnkeysky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3768
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
Spring Authorization Server入门 (十六) Spring Cloud Gateway对接认证服务
云逸的博客
08-27 4943
之前虽然单独讲过Security Client和Resource Server的对接,但是都是基于Spring webmvc的,Gateway这种非阻塞式的网关是基于webflux的,对于集成Security相关内容略有不同,且涉及到代理其它微服务,所以会稍微比较麻烦些,今天就带大家来实现Gateway网关对接OAuth2认证服务。
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
小水牛的博客
05-07 4742
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
基于security-oauth2-autoconfigure实现的OAuth2迁移到更现代的解决方案,Spring Security 5中使用OAuth2配合JWT实现安全认证
Ead_Y的博客
03-19 1405
Spring Security 5中使用OAuth2配合JWT实现安全认证,可以通过资源服务器和客户端的方式来配置。这里,我将分别说明如何配置OAuth2资源服务器和客户端,以及如何结合JWT使用
Spring Boot+Spring Security+JWT实现系统认证与授权
Cloud-Future的博客
08-03 2971
Spring Boot+Spring Security+JWT实现系统认证与授权 Spring Boot整合Spring Security实现JWT认证 Spring Boot项目使用JWT认证 JWT认证 OAuth2 JWT认证
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
springsecurity+oauth2+jwt实现单点登录demo
06-06
资源springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring SecurityJWTOAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
七、SpringSecurity OAuth2 + JWT + SpringCloud Gateway实现统一鉴权管理
时间海绵
06-07 3794
SpringSecurity 提供了一整套安全框架,开发者可以很方便的扩展权限控制功能,本文将介绍在微服务架构下,使用SpringSecurity OAuth2 + JWT + SpringCloud Gateway实现统一鉴权功能
Spring Cloud 服务和网关整合OAuth2实现权限控制实战全流程
最新发布
张知文的博客
04-10 2677
记录一次完整可行的Spring Cloud微服务权限控制。从Spring Security OAuth说起,Spring Security OAuth实现了OAuth2协议中的授权服务器(Authorization Server)、资源服务器(Resource Server)和客户端(Clients)。Spring 还是挺好的,但是随着OAuth协议的不断发展而Spring Security OAuth2官方已经开始废弃。
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6245
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
spring-security结合jwt登录鉴权何抛出401异常
qq_40612126的博客
01-08 2486
spring-security结合jwt登录鉴权何抛出401异常项目场景:原因分析: 项目场景: 先看securityConfig配置 ![securityConfig配置](https://img-blog.csdnimg.cn/d7220b1ca3574a3e97e332063ea419c3.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2Fwc2xvY2tjYw==,size_20,col
SpringCloud微服务实战——搭建企业级开发框架(四十四):【微服务监控告警实现方式一】使用Actuator + Spring Boot Admin实现简单的微服务监控告警系统
全栈程序猿的专栏
07-27 1870
业务系统正常运行的稳定性十分重要,作为SpringBoot的四大核心之一,Actuator让你刻探知SpringBoot服务运行状态信息,是保障系统正常运行必不可少的组件。spring-boot-starter-actuator提供的是一系列HTTP或者JMX监控端点,通过监控端点我们可以获取到系统的运行统计信息,同,我们可以自己选择开启需要的监控端点,也可以自定义扩展监控端点。...
jwt实现oauth2.0 java_OAuth2.0系列之使用JWT令牌实践教程(八)
weixin_39749243的博客
02-13 351
@OAuth2.0系列博客:1、文章前言介绍在前面文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,也对OAuth2.0的令牌等进行数据库存储,对应博客:jdbc方式的数据存储,然后如果不想存储令牌可以实现?IDEA中,Ctrl+Alt+B,可以看到TokenStore的实现,有如下几种:ok,其实对于token存储有如上方式,分别进行介绍:InMemoryTokenSto...
springsecurity-oauth2集成,jwt生成token,源码解析
做技术,贵在学习与坚持!
08-14 1319
springsecurity-oauth2集成,jwt生成token 认证 @Configuration @EnableAuthorizationServer public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Autowired private DataSource dataSource; @Autowired private JwtAccessToke
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication权限。 简而言之,我们需要把jwt 的Claim...
SpringCloud+Spring Security+OAuth2 + JWT + Gateway讲解
lbjfish的博客
10-20 9492
项目简介 本登录系统是一个适应前后端分离并支持传统PC登录的全方位微服务登录架构 基于Spring Boot 2.2.8.、 Spring Cloud Hoxton.SR5 和 Spring Cloud Alibaba 2.2.1 深度定制Spring Security,基于RBAC(暂未实现)、jwtoauth2的无状态统一权限认证的 单点登录、单点登出(暂未实现)、续签等功能(暂未实现) 提供C端多租户功能(暂未实现) 提供第三方被授权登录方式(openId方式) 提供供内部服务调用的OAuth2
微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
热门推荐
macrozheng的专栏
07-09 4万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cl...
springsecurity整合jwtOauth2具体怎么做
06-09
整合Spring SecurityJWTOAuth2可以用来实现安全的身份验证和授权。以下是整合的步骤: 1. 添加依赖项:在Maven或Gradle中添加Spring SecurityJWTOAuth2的依赖项。 2. 配置Spring Security:在Spring Security配置文件中添加JWTOAuth2的支持,例如,提供JWT的过滤器和OAuth2的配置。 3. 配置JWT:在Spring Security配置文件中定义JWT的配置,例如,JWT的签名密钥、过期间和其它设置。 4. 配置OAuth2:在Spring Security配置文件中定义OAuth2的配置,例如,OAuth2的授权服务器资源服务器设置。 5. 集成JWTOAuth2:使用JWT作为OAuth2的访问令牌,例如,在OAuth2的授权服务器使用JWT颁发访问令牌,并在资源服务器中验证JWT。 总体来说,整合Spring SecurityJWTOAuth2需要对Spring SecurityJWTOAuth2的配置进行深入的理解和实践。建议您查阅官方文档和相关教程以获得更好的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值