Spring Boot OAuth2 整合(授权码和password的数据库配置方式)

最新推荐文章于 2024-06-27 15:26:06 发布
最新推荐文章于 2024-06-27 15:26:06 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/djrm11/article/details/104754006
版权

https://blog.csdn.net/qq_34997906/article/details/89600076

教程由来:项目需要为第三方客户端提供授权和资源访问,无疑OAuth2现在是最好的方式,如果OAuth2相关知识大家还不够了解,请移步到阮一峰的理解OAuth2.0,本文实战为主,理论方面请自行查阅相关资料。
1. OAuth2的四种模式
授权码模式(authorization code)(最正统的方式,也是目前绝大多数系统所采用的)(支持refresh token) (用在服务端应用之间)
密码模式(resource owner password credentials)(为遗留系统设计) (支持refresh token)
简化模式(implicit)(为web浏览器应用设计)(不支持refresh token) (用在移动app或者web app,这些app是在用户的设备上的,如在手机上调起微信来进行认证授权)
客户端模式(client credentials)(为后台api服务消费者设计) (不支持refresh token) (为后台api服务消费者设计)
本文采用数据库的方式对上述四种模式进行配置,网上绝大多数都是配置在内存中的demo,学习尚可,真实的开发环境却是还远远不够。

废话也就不多说了,咱进入正题吧。

2. 所需依赖

        //Springboot版本为2.0.2.RELEASE
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- spring-security-->
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
         <!-- OAuth2-->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.0.RELEASE</version>
        </dependency>


3. 授权服务器
授权服务器是OAuth2的两大核心之一,它将根据不同的授权类型为客户端提供不同的获取令牌的方式。   

@Configuration
    @EnableAuthorizationServer  // 授权服务器核心注解
    protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

        @Autowired
        AuthenticationManager authenticationManager; // 注入manager
        @Autowired
        private DataSource dataSource;  // 注入数据源
        @Autowired
        SecurityUserService userDetailsService;  //
        @Autowired
        ClientDetailsService clientDetailsService; 
        @Autowired
        private AuthorizationCodeServices authorizationCodeServices;
        // redis 的相关配置已注释,若需启用,在tokenStore中注入即可。
        // @Autowired
        // private RedisConnectionFactory redisConnectionFactory;
        // @Bean
        // public TokenStore redisTokenStore() {
        //     return new RedisTokenStore(redisConnectionFactory);
        // }
        /**
         * 密码加密
         */
        @Bean
        public PasswordEncoder passwordEncoder() {
            return new BCryptPasswordEncoder();
        }
        /**
         * ClientDetails实现
         * @return
         */
        @Bean
        public ClientDetailsService clientDetails() {
            return new JdbcClientDetailsService(dataSource);
        }

        @Bean
        public TokenStore tokenStore() {
            return new JdbcTokenStore(dataSource);
        }
        /**
         * 加入对授权码模式的支持
         * @param dataSource
         * @return
         */
        @Bean
        public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
            return new JdbcAuthorizationCodeServices(dataSource);
        }
        @Override
        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
            // 1. 数据库的方式
            clients.withClientDetails(clientDetails());
            // 2. 在内存中配置,这种方式不够灵活,学习倒是没有问题
            // //配置两个客户端,一个用于password认证一个用于client认证
            // clients.inMemory().withClient("client_1")
            //         .resourceIds(DEMO_RESOURCE_ID)
            //         .authorizedGrantTypes("client_credentials", "refresh_token")
            //         .scopes("select")
            //         .authorities("client")
            //         .secret("123456")
            //         .and().withClient("client_2")
            //         .resourceIds(DEMO_RESOURCE_ID)
            //         .authorizedGrantTypes("password", "refresh_token")
            //         .scopes("select")
            //         .authorities("client")
            //         .secret("123456");
        }

        /**
         * 声明授权和token的端点以及token的服务的一些配置信息,
         * 比如采用什么存储方式、token的有效期等
         * @param endpoints
         */
        @Override
        public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

            endpoints
                       // 使用redis的配置
                    // .tokenStore(new RedisTokenStore(redisConnectionFactory))
                    .tokenStore(tokenStore())
                    .authenticationManager(authenticationManager)
                    .userDetailsService(userDetailsService)
                    .authorizationCodeServices(authorizationCodeServices)
                    .setClientDetailsService(clientDetailsService);
        }
        
        /**
         * 声明安全约束,哪些允许访问,哪些不允许访问
         * @param oauthServer
         */
        @Override
        public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
            // 允许表单认证
            oauthServer.allowFormAuthenticationForClients();
            // 配置BCrypt加密
            oauthServer.passwordEncoder(passwordEncoder());
            // 对于CheckEndpoint控制器[框架自带的校验]的/oauth/check端点允许所有客户端发送器请求而不会被Spring-security拦截
            oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
            // 此处可添加自定义过滤器,对oauth相关的请求做进一步处理
            // oauthServer.addTokenEndpointAuthenticationFilter(new Oauth2Filter());
        }
    }


4. 资源服务器
1. 资源服务器主要配置拦截的路径,以及访问拦截的URL所需要的权限。
2. 本文,主系统、资源服务器和授权服务器放在一起的,很多人说这样配置security的主过滤器和资源服务器的过滤器会冲突,其实是不会的,资源服务器会优先于security主过滤器拦截你访问的URL,当然你也没必要在类上配置Order去改变他们的优先级,你只需要注意不要让你的资源服务器把security主过滤器放行的资源给拦截了就行。

下面直接上代码

     @Configuration
    @EnableResourceServer
    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
        private static final String RESOURCE_ID = "oauth2";
        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            // 如果关闭 stateless,则 accessToken 使用时的 session id 会被记录,后续请求不携带 accessToken 也可以正常响应
            resources.resourceId(RESOURCE_ID).stateless(false);
        }

        /**
         * 为oauth2单独创建角色,这些角色只具有访问受限资源的权限,可解决token失效的问题
         * @param http
         * @throws Exception
         */
        @Override
        public void configure(HttpSecurity http) throws Exception {
            http
                // 获取登录用户的 session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                    // 资源服务器拦截的路径 注意此路径不要拦截主过滤器放行的URL
                    .requestMatchers().antMatchers("/authmenu/**");
            http
                .authorizeRequests()
                     // 配置资源服务器已拦截的路径才有效
                    .antMatchers("/authmenu/**").authenticated();
                    // .access(" #oauth2.hasScope('select') or hasAnyRole('ROLE_超级管理员', 'ROLE_设备管理员')");
                    
            http
                .exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler())
                .and()
                .authorizeRequests()
                    .anyRequest()
                    .authenticated();
        }
    }


关于资源拦截做几点说明:
1. 通过系统A用户申请的token除了能够访问到A用户被拦截的资源,还能够访问到A用户未被系统拦截的资源,所以最好为申请token的用户创建特定的角色(此类角色只能访问被资源服务器拦截的路径)。
2. 上述代码中.antMatchers("/authmenu/**").authenticated();这段配置可以保证资源服务器不对本系统登录的用户做访问限制。

5. 主过滤器的配置
关于主过滤器,每个人的配置可能不太一样,都是有一点是必须的,就是必须把authenticationManagerBean方法注册为bean,本文是基于前后端分离而开发,下文只出示了与OAuth2相关的配置,详细信息请参考文末的GitHub地址。

     @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    
     @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest()
                .authenticated()
                .withObjectPostProcessor(urlObjectPostProcessor())
                .and()
            .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/login")
                .usernameParameter("username")
                .passwordParameter("password")
                .permitAll()
                .failureHandler(securityAuthenticationFailureHandler)
                .successHandler(userLoginSuccessHandler)
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(securityAuthenticationEntryPoint)
                .and()
            .logout()
                .deleteCookies("remove")
                .invalidateHttpSession(false)
                .logoutUrl("/logout")
                .logoutSuccessHandler(securityLogoutSuccessHandler)
                .permitAll()
                .and()
            .csrf().requireCsrfProtectionMatcher(new AntPathRequestMatcher("/oauth/authorize"))
                .disable();

        http
            .sessionManagement()
                 // 无效session跳转
                 .invalidSessionUrl("/login")
                 .maximumSessions(1)
                 // session过期跳转
                 .expiredUrl("/login")
                 .sessionRegistry(sessionRegistry());
    }


6. OAuth2所需数据表

--
--  Oauth2 sql  -- MYSQL
--

Drop table  if exists oauth_client_details;
create table oauth_client_details (
  client_id VARCHAR(255) PRIMARY KEY,
  resource_ids VARCHAR(255),
  client_secret VARCHAR(255),
  scope VARCHAR(255),
  authorized_grant_types VARCHAR(255),
  web_server_redirect_uri VARCHAR(255),
  authorities VARCHAR(255),
  access_token_validity INTEGER,
  refresh_token_validity INTEGER,
  additional_information TEXT,
  create_time timestamp default now(),
  archived tinyint(1) default '0',
  trusted tinyint(1) default '0',
  autoapprove VARCHAR (255) default 'false'
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Drop table  if exists oauth_access_token;
create table oauth_access_token (
  create_time timestamp default now(),
  token_id VARCHAR(255),
  token BLOB,
  authentication_id VARCHAR(255),
  user_name VARCHAR(255),
  client_id VARCHAR(255),
  authentication BLOB,
  refresh_token VARCHAR(255)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Drop table  if exists oauth_refresh_token;
create table oauth_refresh_token (
  create_time timestamp default now(),
  token_id VARCHAR(255),
  token BLOB,
  authentication BLOB
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Drop table  if exists oauth_code;
create table oauth_code (
  create_time timestamp default now(),
  code VARCHAR(255),
  authentication BLOB
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- Add indexes
create index token_id_index on oauth_access_token (token_id);
create index authentication_id_index on oauth_access_token (authentication_id);
create index user_name_index on oauth_access_token (user_name);
create index client_id_index on oauth_access_token (client_id);
create index refresh_token_index on oauth_access_token (refresh_token);

create index token_id_index on oauth_refresh_token (token_id);

create index code_index on oauth_code (code);


点击此处,获取OAuth2表中所涉及字段的详细说明 看起来不方便的话,可以直接到源码中通过HTML的方式查看。

最后附上我数据库的配置截图,嗯,差不多了。
截图:

测试就不用写了吧,实践是最好的老师,欢迎各位前来讨论交流。
项目Github地址:https://github.com/Janche/springboot-security-project.git (你的star是对我最大的支持)

oauth2相关资料参考
程序猿DD-从零开始的Spring Security Oauth2(一)\
Spring Security & OAuth2
 

hello_world!
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 5509
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring Security的OAuth2.0模块来实现授权验证。
Spring Boot整合oauth2.0搭建统一授权服务(密模式)
热门推荐
LightOfMiracle的博客
01-24 3万+
前言 写这个博客得原因是最近想要将自己得api单独发布给第三方使用,但是又不想被别人滥用,所以想弄一个授权服务,但是网上关于oauth2.0的资料层出不穷,看了之后完全不明白应该如果实际的去整合,现在基本成功后记录下来。 关于oauth2.0的概念以及相关的知识等可以建议参阅理解OAuth 2.0。 准备 新建一个Spring Boot的web项目并导入一下依赖: &lt;depend...
单点登录实现之基于OAuth2.0协议
CharlesYan的博客
03-07 2526
基于OAuth2.0协议实现单点登录
springboot集成oauth2.0
07-27
springboot 集成oauth2.0服务器,基于oauth2.0授权形式集成
教程:在Spring Boot应用中集成OAuth 2.0认证
最新发布
省赚客开发者博客
06-27 1632
通过本教程,我们学习了如何在Spring Boot应用中集成和使用OAuth 2.0认证。从添加依赖、配置OAuth 2.0客户端信息,到配置Spring Security和创建控制器处理认证后的回调,这些步骤帮助开发者快速实现安全的认证机制,并保护应用程序的资源。
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 6065
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
(五)OAuth 2.0 密模式(Password
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 4779
前言 我们了解到授权模式是OAuth2.0四种模式流程最复杂模式,复杂程度由大至小:授权模式 > 隐式授权模式 > 密模式 > 客户端模式 其中密模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户的用户名、密、(client_Id + client_secret)的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全通过返回access_token,否则默认都是401 状态,提示未授权无法访问 Demo基本结构 这里主要关注security-authori
SpringBoot集成Oauth2.0(密模式)
m0_71817461的博客
07-03 4236
SpringBoot集成Oauth2.0(密模式)
springboot2整合oauth2实现密授权模式
u014077048的博客
11-05 1万+
spring cloud集成oauth2实现微服务认证,调用oauth服务获取token,通过这个access_token去访问其它微服务,从而实现统一认证授权oauth作为认证服务器之外也作为资源服务器,而其它每个服务器都自身也是一个资源服务器。 oauth2有四种授权模式 授权模式(Authorization Code)  授权简化模式(Implicit) 密模式(Resour...
Spring cloud Oauth2的密模式数据库方式实现登录授权验证
12-09
综上所述,实现“Spring Cloud Oauth2的密模式数据库方式实现登录授权验证”涉及多个步骤,包括设置Authorization Server和Resource Server,配置数据库,实现用户认证逻辑,以及处理令牌的生成与管理。...
spring boot 基于数据库整合OAuth2
08-25
6. **授权流程**:OAuth2提供了多种授权类型,如授权(Authorization Code)、隐式(Implicit)、密(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。根据实际应用场景选择合适的...
3行代快速实现Spring Boot Oauth2服务功能
08-27
- **集成Spring Boot OAuth2**:利用Spring Security OAuth2模块,提供了OAuth2的授权和令牌管理。 - **令牌存储**:将OAuth2的令牌存储在关系型数据库中,如PostgreSQL或MySQL。 - **日志记录**:日志信息被记录到...
spring boot oauth2 jwt 中文文档.docx
03-03
首先,我们需要引入相关的 Maven 依赖项,包括 spring-security-oauth2、spring-boot-starter-oauth2-client、spring-boot-starter-oauth2-resource-server 和 spring-security-oauth2-autoconfigure 等。...
Spring cloud Oauth2的密模式使用JWT方式实现登录验证授权
12-10
这包括创建一个OAuth2配置类,定义授权流程,并设置JWT令牌的生成和解析。JWT的生成通常使用如`jjwt`库,它可以自动生成包含用户信息的JWT令牌。 在用户登录时,客户端收集用户输入的凭证,然后向授权服务器发起...
springboot整合springsecurity+oauth2.0密授权模式
qq_45072555的博客
01-15 7084
本文采用的springboot整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
SpringBoot整合OAuth2
xwnxwn的专栏
10-03 2091
资源拥有者扫描二维表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权,并重定向到黑马程序员的网站。完全是A服务与B服务内部的交互,与用户无关了。第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
SpringBoot整合OAuth 2.0
xjj1040249553的专栏
08-20 3253
OAuth 2.0为OAuth的协议的延续版本,是一个关于授权的开放网络标准,在全世界得到广泛应用。基于OAuth 2.0授权有一下几个特点:1、安全:平台商无需使用用户的用户名与密就可以申请获得该用户资源的授权;2、开放:任何消费方都可以使用 OAuth 认证服务,任何服务提供方 ( Service Provider) 都可以实现自身的 OAuth 认证服务。3、简单:不管是消费方还是服务提供...
SpringBoot整合Spring Security OAuth2.0认证授权
Qdog
05-04 2818
一、集成SpringBoot 1.1 集成SpringBoot 1.1.1 创建SpringBoot工程和引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apa
SpringBoot集成oauth2(授权模式)
qq1016499728博客
12-04 2862
基于密模式的代 先看完我的客户端模式和密模式,服务跑起来了再看这个 验证服务器的配置类中, 改一点点 security配置类改一点点 http.authorizeRequests() .anyRequest() .authenticated() //所有请求都需要通过认证 .and() .httpBasic() //Basic提交
Spring Boot Security OAuth2 JWT代
05-25
以下是一个基于Spring Boot Security、OAuth2和JWT实现的示例代: 1. 添加Maven依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置Spring Security 在Spring Boot应用程序中,您可以通过@Configuration配置类来配置Spring Security。以下是一个示例配置类: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private PasswordEncoder passwordEncoder; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/oauth/**").permitAll() .antMatchers("/api/**").authenticated() .and() .formLogin().permitAll() .and() .logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder); } } ``` 在上面的配置类中,我们禁用了CSRF保护,并配置了访问权限。具体来说: - /oauth/** URL模式应该允许所有人访问,因为我们将使用OAuth2协议进行身份验证和授权。 - /api/** URL模式应该需要身份验证。 - 我们还配置了表单登录和注销。 3. 配置OAuth2 在Spring Boot应用程序中,您可以使用@Configuration配置类来配置OAuth2。以下是一个示例配置类: ``` @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private PasswordEncoder passwordEncoder; @Bean public JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("my-signing-key"); // 设置JWT签名密钥 return converter; } @Bean public JwtTokenStore jwtTokenStore() { return new JwtTokenStore(jwtAccessTokenConverter()); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("my-client-id") .secret(passwordEncoder.encode("my-client-secret")) .authorizedGrantTypes("password", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(86400); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService) .accessTokenConverter(jwtAccessTokenConverter()) .tokenStore(jwtTokenStore()); } } ``` 在上面的配置类中,我们使用@EnableAuthorizationServer注释启用OAuth2,并实现了AuthorizationServerConfigurer接口以配置客户端和端点。具体来说: - 我们配置了一个内存中的客户端,使用密和刷新令牌授权类型,以及读写作用域。 - 我们还配置了JWT令牌转换器和令牌存储。 - 我们将身份验证管理器、用户详细信息服务、JWT令牌转换器和令牌存储配置为端点。 4. 实现用户详细信息服务 我们需要实现UserDetailsService接口来加载用户详细信息。以下是一个示例实现: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), Collections.emptyList()); } } ``` 在上面的实现中,我们使用Spring Data JPA从数据库中加载用户,并创建一个SimpleGrantedAuthority对象列表作为用户的权限。 5. 实现密器 我们需要实现PasswordEncoder接口,以便在创建用户时对密进行编。以下是一个示例实现: ``` @Service public class PasswordEncoderImpl implements PasswordEncoder { @Override public String encode(CharSequence rawPassword) { return BCrypt.hashpw(rawPassword.toString(), BCrypt.gensalt()); } @Override public boolean matches(CharSequence rawPassword, String encodedPassword) { return BCrypt.checkpw(rawPassword.toString(), encodedPassword); } } ``` 在上面的实现中,我们使用BCrypt编算法对密进行编和验证。 6. 实现控制器 最后,我们需要实现一个控制器来测试OAuth2和JWT。以下是一个示例实现: ``` @RestController @RequestMapping("/api") public class ApiController { @GetMapping("/hello") public String hello() { return "Hello, World!"; } @GetMapping("/user") public Principal user(Principal principal) { return principal; } } ``` 在上面的实现中,我们有两个端点:/api/hello和/api/user。前者返回一个简单的字符串,后者返回当前用户的Principal对象。 7. 测试应用程序 现在,您可以启动应用程序并使用以下步骤测试OAuth2和JWT: - 获取访问令牌。使用以下curl命令以密授权方式获取访问令牌: ``` curl -X POST \ -d 'grant_type=password&username=my-username&password=my-password' \ -H 'Authorization: Basic bXktY2xpZW50LWlkOm15LWNsaWVudC1zZWNyZXQ=' \ http://localhost:8080/oauth/token ``` 在上面的命令中,my-username和my-password应该是您的用户名和密,bXktY2xpZW50LWlkOm15LWNsaWVudC1zZWNyZXQ=应该是Base64编的客户端ID和客户端密钥。 - 使用访问令牌访问API。使用以下curl命令使用JWT访问/api/hello端点: ``` curl -H 'Authorization: Bearer <access-token>' \ http://localhost:8080/api/hello ``` 在上面的命令中,<access-token>应该是您在第一步中获取的访问令牌。 - 获取用户信息。使用以下curl命令使用JWT访问/api/user端点: ``` curl -H 'Authorization: Bearer <access-token>' \ http://localhost:8080/api/user ``` 在上面的命令中,<access-token>应该是您在第一步中获取的访问令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello_world!

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值