使用Spring Security和OAuth 2.0保护Spring微服务架构

最新推荐文章于 2024-05-21 20:07:23 发布
最新推荐文章于 2024-05-21 20:07:23 发布
阅读量944 收藏 2
点赞数 1
文章标签: java git 后端

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

每个开发人员都希望能够更快,更有效地进行构建以支持规模。 使用Spring构建微服务架构可以为您的架构增加弹性和弹性,这将使其优雅地失效并无限扩展。

借助Spring Security及其OAuth 2.0支持,您还可以获得锁定API网关以及后端服务器所需的一切。 您可以将其设置为自动将访问令牌从一个应用程序传播到另一个应用程序,以确保在此过程中所有内容保持安全和加密。

本教程向您展示如何将Spring Security与OAuth 2.0和Okta结合使用来锁定您的微服务架构。

带有Spring Boot + Spring Cloud的微服务架构

本教程将向您展示如何为我之前写的教程“ 使用Spring Boot为Microbrews构建微服务体系结构”增加安全性。 带有Spring Boot和Spring Cloud的基本微服务架构如下图所示。

完成本教程后,您将获得Spring Security锁定的一切,Okta将为OAuth提供授权。 您的边缘服务(也称为API网关)将具有一个Feign客户端和一个处理正常故障转移的Hystrix,该客户端将随您的访问令牌传递。

首先,您需要克隆上述文章的已完成项目。 

git clone https://github.com/oktadeveloper/spring-boot-microservices-example.git

在Okta中创建Web应用程序

如果您还没有,请创建一个永久免费的Okta Developer帐户 。 完成设置过程后,登录到您的帐户并导航至Applications > Add Application 。 单击Web然后单击下一步 。 在下一页上,输入以下值,然后单击完成

记下clientId和client机密值,因为它们将用于配置Spring Boot应用程序。

您需要在ID令牌中添加一个roles声明,以便将Okta中的组转换为Spring Security机构。 在Okta开发人员控制台中,导航到API > 授权服务器 ,单击授权服务器选项卡并编辑默认选项卡。 点击索赔标签,然后添加索赔 。 将其命名为“角色”,并将其包含在ID令牌中。 将值类型设置为“ Groups”,并将过滤器设置为.*的正则表达式。

将Spring Security OAuth添加到边缘服务应用程序

边缘服务应用程序处理与beer-catalog-service的通信,因此它是开始集成OAuth的最佳位置。 在edge-service/pom.xml ,添加Spring Security的依赖关系,其OAuth支持和JWT支持。 

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.0.1.RELEASE</version>
</dependency>

将以下Zuul路由添加到edge-service/src/main/resources/application.properties

zuul.routes.beer-catalog-service.path=/beers
zuul.routes.beer-catalog-service.url=http://localhost:8080

zuul.routes.home.path=/home
zuul.routes.home.url=http://localhost:8080

打开edge-service/src/main/java/com/example/edgeservice/EdgeServiceApplication.java并添加@EnableOAuth2Sso以启用OAuth身份验证。 

import org.springframework.boot.autoconfigure.security.oauth2.client.EnableOAuth2Sso;
...
@EnableOAuth2Sso
@SpringBootApplication
public class EdgeServiceApplication {

添加@EnableOAuth2Sso导致Spring Security查找大量属性。 将以下属性添加到edge-service/src/main/resources/application.properties

security.oauth2.client.client-id={yourClientId}
security.oauth2.client.client-secret={yourClientSecret}
security.oauth2.client.access-token-uri=https://{yourOktaDomain}.com/oauth2/default/v1/token
security.oauth2.client.user-authorization-uri=https://{yourOktaDomain}.com/oauth2/default/v1/authorize
security.oauth2.client.scope=openid profile email
security.oauth2.resource.user-info-uri=https://{yourOktaDomain}.com/oauth2/default/v1/userinfo
security.oauth2.resource.token-info-uri=https://{yourOktaDomain}.com/oauth2/default/v1/introspect
security.oauth2.resource.prefer-token-info=false

提示:如果在上面的代码片段中看到{yourOktaDomain} ,请登录到Okta帐户并刷新此页面。 它将用您的域替换该值。

ResourceServerConfig.java类添加到与EdgeServiceApplication相同的包中。 

package com.example.edgeservice;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.web.util.matcher.RequestHeaderRequestMatcher;

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .requestMatcher(new RequestHeaderRequestMatcher("Authorization"))
            .authorizeRequests()
            .antMatchers("/**").authenticated();
    }
}

至此,您已经完成了足以登录到Edge Service应用程序的配置,但是它无法与下游beer-catalog-service进行通信。

将Spring Security OAuth添加到Beer Catalog Service

beer-catalog-service/pom.xml ,添加与添加到Edge Service相同的依赖项,以及Thymeleaf的依赖项。 

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.0.1.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

将相同的属性添加到beer-catalog-service/src/main/resources/application.properties

security.oauth2.client.client-id={yourClientId}
security.oauth2.client.client-secret={yourClientSecret}
security.oauth2.client.access-token-uri=https://{yourOktaDomain}.com/oauth2/default/v1/token
security.oauth2.client.user-authorization-uri=https://{yourOktaDomain}.com/oauth2/default/v1/authorize
security.oauth2.client.scope=openid profile email
security.oauth2.resource.user-info-uri=https://{yourOktaDomain}.com/oauth2/default/v1/userinfo
security.oauth2.resource.token-info-uri=https://{yourOktaDomain}.com/oauth2/default/v1/introspect
security.oauth2.resource.prefer-token-info=false

提示:添加这些属性的替代方法是使用环境变量。 例如, SECURITY_OAUTH2_CLIENT_CLIENT_ID将是用于指定security.oauth2.client.client-id的环境变量。 使用环境变量将允许您从一个位置更改两个应用程序的设置。

beer-catalog-service/src/main/java/com/example/beercatalogservice/HomeController.java创建一个HomeController来呈现用户信息,以便您可以验证身份验证是否正常。 

package com.example.beercatalogservice;

import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

import java.security.Principal;
import java.util.Map;

@Controller
public class HomeController {

    @GetMapping("/home")
    @SuppressWarnings("unchecked")
    public String howdy(Model model, Principal principal) {
        OAuth2Authentication authentication = (OAuth2Authentication) principal;
        Map<String, Object> user = (Map<String, Object>) authentication.getUserAuthentication().getDetails();
        model.addAttribute("user", user);
        return "home";
    }
}

beer-catalog-service/src/main/resources/templates/home.html创建一个home.html模板,并使用以下代码填充它。 

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <style>
        th {
            text-align: left;
        }
        td {
            white-space: nowrap;
        }
        td:first-child {
            font-family: "Courier", monospace;
            font-size: 0.9em;
            color: #343434;
        }
    </style>
</head>
<body>
<h1>Hello<span th:if="${user}" th:text="' ' + ${user.name}"> Joe</span>!</h1>
<div th:unless="${user}">
    <a th:href="@{/login}">Login</a>
</div>
<div th:if="${user}">
    <form id="logoutForm" th:action="@{/logout}" method="post">
        <input type="submit" value="Logout"/>
    </form>
</div>

<h2>User Properties</h2>
<table>
    <thead>
    <tr>
        <th>Name</th>
        <th>Value</th>
    </tr>
    </thead>
    <tbody>
    <tr>
        <td>sub</td>
        <td th:text="${user.sub}"></td>
    </tr>
    <tr>
        <td>name</td>
        <td th:text="${user.name}"></td>
    </tr>
    <tr>
        <td>given_name</td>
        <td th:text="${user.given_name}"></td>
    </tr>
    <tr>
        <td>family_name</td>
        <td th:text="${user.family_name}"></td>
    </tr>
    <tr>
        <td>preferred_username</td>
        <td th:text="${user.preferred_username}"></td>
    </tr>
    <tr>
        <td>email</td>
        <td th:text="${user.email}"></td>
    </tr>
    <tr>
        <td>roles</td>
        <td th:text="${user.roles}"></td>
    </tr>
    </tbody>
</table>
</body>
</html>

在与HomeController相同的包中创建ResourceServerConfig.java类。 此类配置Spring Security,因此可以保护所有端点,但那些通过Authorization标头访问的端点除外。 

package com.example.beercatalogservice;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.web.util.matcher.RequestHeaderRequestMatcher;

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .requestMatcher(new RequestHeaderRequestMatcher("Authorization"))
            .authorizeRequests().anyRequest().fullyAuthenticated();
    }
}

添加伪装的RequestInterceptor

用于与beer-catalog-service对话的@FeignClient Authorization标头。 为了使其UserFeignClientInterceptor ,请在与EdgeServiceApplication相同的目录中创建UserFeignClientInterceptor类。 

package com.example.edgeservice;

import feign.RequestInterceptor;
import feign.RequestTemplate;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails;
import org.springframework.stereotype.Component;

@Component
public class UserFeignClientInterceptor implements RequestInterceptor {
    private static final String AUTHORIZATION_HEADER = "Authorization";
    private static final String BEARER_TOKEN_TYPE = "Bearer";

    @Override
    public void apply(RequestTemplate template) {
        SecurityContext securityContext = SecurityContextHolder.getContext();
        Authentication authentication = securityContext.getAuthentication();

        if (authentication != null && authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
            OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
            template.header(AUTHORIZATION_HEADER, String.format("%s %s", BEARER_TOKEN_TYPE, details.getTokenValue()));
        }
    }
}

注册为@Bean里面EdgeServiceApplication类。 

import feign.RequestInterceptor;
...
public class EdgeServiceApplication {

    public static void main(String[] args) {
        SpringApplication.run(EdgeServiceApplication.class, args);
    }

    @Bean
    public RequestInterceptor getUserFeignClientInterceptor() {
        return new UserFeignClientInterceptor();
    }
}

为了使Hystrix了解安全上下文,您需要在edge-service/src/main/resources/application.properties 添加两个属性

feign.hystrix.enabled=true
hystrix.shareSecurityContext=true

验证安全通信

您可以通过启动所有Spring Boot应用程序来验证edge-servicebeer-catalog-service之间的通信。 首先,启动eureka-service

cd eureka-service
./mvnw spring-boot:run

在新的终端窗口中,启动beer-catalog-service

cd beer-catalog-service
./mvnw spring-boot:run

在另一个终端窗口中,启动edge-service

cd edge-service
./mvnw spring-boot:run

打开浏览器并导航到http://localhost:8081/good-beers 。 您应该被重定向到Okta域,并看到一个登录页面,提示您输入凭据。

输入您用来创建帐户的凭据,结果将看到一列优质啤酒。

如果您尝试导航到http://localhost:8081/home ,它将无法正常工作。 这是因为您需要将Spring Cloud Security添加到edge-service/pom.xml以中继Zuul代理的访问令牌。 

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-security</artifactId>
</dependency>

没有这种依赖性,对/good-beers请求将可以工作(因为已配置Feign),但对/home请求将不会(因为Zuul需要Spring Cloud Security)。

重新启动边缘服务器应用程序,导航到http://localhost:8081/home ,您将在下一页看到您的用户详细信息。

在Spring Boot 2.0中保护下游服务

使用Spring Boot 1.5.x,将Actuator作为依赖项包括在内将触发Actuator Security并使其受到保护,从而保护了http://localhost:8080 。 在Spring Boot 2.x中,拥有WebSecurityConfigurerAdapter会导致执行器安全性降低。 在Beer Catalog Service应用程序中, ResourceServerConfig导致此行为。

要确保执行器端点安全并使其无法直接访问http://localhost:8080 ,请在beer-catalog-service/src/main/resources/application.properties添加要公开的端点: 

management.endpoints.web.exposure.include=beans,mappings

然后创建一个SecurityConfig类(与ResourceServerConfig放在同一包中)。 

package com.example.beercatalogservice;

import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .requestMatchers(EndpointRequest.toAnyEndpoint()).hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .httpBasic();
    }
}

进行这些更改后,重新启动beer-catalog-service并见证其保护。

注意:由于出现403错误,我无法使注销按钮正常工作。 我尝试在边缘服务应用程序csrf().requireCsrfProtectionMatcher(r -> false)ResourceServerConfig ,但这没有帮助。 我给Spring Security团队发送了一封电子邮件,询问他们是否有任何建议。

将Okta的登录小部件添加到Angular客户端

要使用Okta的登录小部件,您需要在Okta中修改您的应用以启用“ 隐式”授予类型。 登录到您的帐户,导航至“ 应用程序” >“ Spring OAuth” >“ 常规”选项卡,然后单击“ 编辑” 。 在“ 允许的授予类型”下启用“ 隐式(混合)” ,并选中其下方的两个复选框。 在登录重定向URI下添加http://localhost:4200 ,然后点击保存

为了使“登录小部件”向该应用程序发出请求,您还需要将客户端URL配置为可信来源。 单击API > 可信 来源 > 添加来源 。 输入http://localhost:4200作为原始URL,并选中其下方的两个复选框。

打开一个终端,导航到spring-boot-microservices-example/client ,然后使用npm安装客户端的依赖项。 

cd client
npm install

安装Okta的登录小部件 ,使其可以与受保护的服务器进行通信。 

npm install @okta/okta-signin-widget --save

将小部件CSS添加到client/src/styles.css

@import '~@okta/okta-signin-widget/dist/css/okta-sign-in.min.css';
@import '~@okta/okta-signin-widget/dist/css/okta-theme.css';

创建client/src/app/shared/okta/okta.service.ts并使用它来配置小部件以与您的Okta租户对话。 请确保在下面的代码中替换{yourOktaDomain}{clientId}

import { Injectable } from '@angular/core';
import * as OktaSignIn from '@okta/okta-signin-widget';

@Injectable()
export class OktaService {
  widget;

  constructor() {
    this.widget = new OktaSignIn({
      baseUrl: 'https://{yourOktaDomain}.com',
      clientId: '{yourClientId}',
      authParams: {
        issuer: 'default',
        responseType: ['id_token', 'token'],
        scopes: ['openid', 'email', 'profile']
      }
    });
  }

  getWidget() {
    return this.widget;
  }

  getIdToken() {
    return this.widget.tokenManager.get('idToken');
  }

  getAccessToken() {
    return this.widget.tokenManager.get('accessToken');
  }
}

OktaService作为提供程序添加到client/src/app/app.module.ts

import { OktaService } from './shared/okta/okta.service';

@NgModule({
  ...
  providers: [OktaService],
  bootstrap: [AppComponent]
})
export class AppModule { }

修改client/src/app/shared/beer/beer.service.ts以读取访问令牌,并将其设置在Authorization标头中(如果存在)。 

import { Injectable } from '@angular/core';
import { HttpClient, HttpHeaders } from '@angular/common/http';
import { Observable } from 'rxjs/Observable';
import { OktaService } from '../okta/okta.service';

@Injectable()
export class BeerService {

  constructor(private http: HttpClient, private oktaService: OktaService) {
  }

  getAll(): Observable {
    let headers: HttpHeaders = new HttpHeaders();
    if (this.oktaService.getAccessToken()) {
      const accessToken = this.oktaService.getAccessToken();
      // headers is immutable, so re-assign
      headers = headers.append('Authorization', accessToken.tokenType + ' ' + accessToken.accessToken);
    }
    return this.http.get('http://localhost:8081/good-beers', {headers: headers});
  }
}

修改app.component.html ,为小部件添加一个占位符,并显示一个部分,以显示用户名和注销按钮。 

<mat-toolbar color="primary">
  <span>Welcome to {{title}}!</span>
</mat-toolbar>

<!-- Container to inject the Sign-In Widget -->
<div id="okta-signin-container"></div>

<div *ngIf="user">
  <h2>
    Welcome {{user?.name}}!
  </h2>

  <button mat-raised-button (click)="logout()">Logout</button>

  <app-beer-list></app-beer-list>
</div>

您会注意到HTML中的user变量。 要解决此问题,您需要更改client/src/app/app.component.ts以使其呈现登录小部件。 Angular的ChangeDetectorRef用于在事物发生更改并且渲染需要处理更新的变量时通知Angular。 

import { ChangeDetectorRef, Component, OnInit } from '@angular/core';
import { OktaService } from './shared/okta/okta.service';

@Component({
  selector: 'app-root',
  templateUrl: './app.component.html',
  styleUrls: ['./app.component.css']
})
export class AppComponent implements OnInit {
  title = 'app';
  user;
  signIn;

  constructor(private oktaService: OktaService, private changeDetectorRef: ChangeDetectorRef) {
    this.signIn = oktaService.getWidget();
  }

  showLogin() {
    this.signIn.renderEl({el: '#okta-signin-container'}, (response) => {
      if (response.status === 'SUCCESS') {
        response.forEach(token => {
          if (token.idToken) {
            this.signIn.tokenManager.add('idToken', token);
            this.user = this.getUser(token);
          }
          if (token.accessToken) {
            this.signIn.tokenManager.add('accessToken', token);
          }
        });
        this.signIn.remove();
        this.changeDetectorRef.detectChanges();
      }
    });
  }

  getUser(token) {
    return {
      name: token.claims.name,
      email: token.claims.email,
      username: token.claims.preferred_username
    };
  }

  ngOnInit() {
    this.signIn.session.get((response) => {
      if (response.status !== 'INACTIVE') {
        const token = this.oktaService.getIdToken();
        this.user = this.getUser(token);
        this.changeDetectorRef.detectChanges();
      } else {
        this.showLogin();
      }
    });
  }

  logout() {
    this.signIn.signOut(() => {
      this.user = undefined;
      this.changeDetectorRef.detectChanges();
      this.showLogin();
    });
  }
}

为了使BeerListComponent (在src/app/beer-list/beer-list.component.ts )来检测你已经登录,您需要使用添加在构造函数依赖ChangeDetectorRef并调用它的detectChanges()方法时您可以在每种beer上设置giphyUrl属性。 

import { ChangeDetectorRef, Component, OnInit } from '@angular/core';
import { BeerService, GiphyService } from '../shared';

@Component({
  selector: 'app-beer-list',
  templateUrl: './beer-list.component.html',
  styleUrls: ['./beer-list.component.css'],
  providers: [BeerService, GiphyService]
})
export class BeerListComponent implements OnInit {
  beers: Array<any>;

  constructor(private beerService: BeerService, private giphyService: GiphyService,
              private changeDetectorRef: ChangeDetectorRef) { }

  ngOnInit() {
    this.beerService.getAll().subscribe(
      data => {
        this.beers = data;
        for (const beer of this.beers) {
          this.giphyService.get(beer.name).subscribe(url => {
            beer.giphyUrl = url;
            this.changeDetectorRef.detectChanges();
          });
        }
      },
      error => console.log(error)
    )
  }
}

验证身份验证作品

通过打开终端,导航到client目录,然后运行npm start client 。 将浏览器打开到http://localhost:4200 ,您应该看到类似以下的登录表单。

如果要调整表单的样式,以免它与顶部工具栏不对,请在styles.css添加以下内容。 

#okta-signin-container {
  margin-top: 25px;

}
您应该能够登录,看到欢迎消息以及注销按钮。 但是,由于控制台中出现以下错误,您不会看到啤酒清单。 

Failed to load http://localhost:8081/good-beers: Response for preflight is invalid (redirect)

发生这种情况是因为Spring Security无法识别/good-beers端点上的@CrossOrigin批注。 要解决此问题,请向EdgeServiceApplication添加一个simpleCorsFilter

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.core.Ordered;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import java.util.Collections;
...
public class EdgeServiceApplication {

    public static void main(String[] args) {
        SpringApplication.run(EdgeServiceApplication.class, args);
    }

    @Bean
    public RequestInterceptor getUserFeignClientInterceptor() {
        return new UserFeignClientInterceptor();
    }

    @Bean
    public FilterRegistrationBean simpleCorsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.setAllowedOrigins(Collections.singletonList("*"));
        config.setAllowedMethods(Collections.singletonList("*"));
        config.setAllowedHeaders(Collections.singletonList("*"));
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return bean;
    }
}

重新启动边缘服务应用程序,然后重试。 这次您应该取得巨大的成功!

注意:如果在生产中使用此配置,则应将允许的来源从*更改为客户的URL。

部署到Cloud Foundry

要使用Pivotal Web Services在Cloud Foundry上部署所有内容,您需要创建一个帐户,下载/安装Cloud Foundry CLI并登录(使用cf login -a api.run.pivotal.io )。

部署所有服务和Angular客户端要进行生产涉及很多步骤。 因此,我编写了一个deploy.sh脚本来自动执行所有操作。

注意:该脚本完成后,您必须将客户端的URL作为登录重定向URI添加到Okta应用中。 您还需要在API > Trusted Origins下将其添加为

提示:如果收到错误消息,说明您使用的内存过多,则可能必须升级Cloud Foundry订阅。

进一步了解Spring Boot,OAuth 2.0和微服务

本文向您展示了如何使用Spring Security,OAuth和Okta保护微服务架构。 借助Zuul,Feign和Spring Cloud Security,您可以确保后端服务安全地通信。

本教程的源代码位于GitHub“ oauth”分支中

git clone https://github.com/oktadeveloper/spring-boot-microservices-example.git
git checkout oauth

本教程向您展示了如何在上一教程“ 使用Spring Boot为Microbrews构建微服务架构 ”中增加安全性。

如果您有兴趣了解Spring Security和OAuth 2.0的未来,请参阅我们的Spring Security团队的好朋友Joe Grandja提供的有关Spring Security的下一代OAuth 2.0支持

此外,JHipster对其OAuth支持使用相同的设置。 如果您对将Okta与JHipster结合使用感兴趣,建议您阅读以下博客文章:

developer.okta.com/product上了解有关Okta及其API的更多信息。 如果您对本教程有疑问,请在下面发表评论或在Twitter @mraible上打我。

变更日志:

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。

使用Spring Security和OAuth 2.0保护Spring微服务体系结构最初于2018年2月13日发布在Okta开发者博客上。

翻译自: https://www.javacodegeeks.com/2018/05/secure-a-spring-microservices-architecture-with-spring-security-and-oauth-2-0.html

dnc8371
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Spring Security,Thymeleaf和Okta保护Java应用程序的安全
最佳 Java 编程
06-07 363
永不再构建身份验证 –喜欢构建用户管理? 使用Okta,您可以在几分钟内为您的应用程序添加社交登录,多因素身份验证和OpenID Connect支持。 立即创建一个免费的开发者帐户。 在构建Java应用程序时,用户管理是至关重要的考虑因素。 应用程序和API通常会根据分配给用户的角色来划分对应用程序不同部分的访问权限-这是基于角色的访问控制(RBAC)。 这就是Okta的用处– Okt...
微服务安全Spring Security OAuth2
weixin_40426261的博客
11-19 190
test01
springboot3微服务下结合springsecurity的认证授权实现
最新发布
PleaseBeStrong的博客
05-21 1332
往往是一些字符串类型的关键字,在这里统一定义外部就可以直接调用,方便微服务之间的管理集中式认证管理:通过统一的认证服务器进行登录认证和token的签发刷新,可以简化认证流程,提高安全性和效率。灵活性和可扩展性:各个微服务自行处理权限认证,可以根据各自的业务需求灵活设计权限控制逻辑,便于扩展和维护。适应多种鉴权场景:这种方式可以适应外部应用接入、用户-服务鉴权、服务-服务鉴权等多种鉴权场景。潜在的安全风险:如果各个微服务的权限认证实现不一致或存在缺陷,可能会引入安全风险。性能考虑。
Spring Security & OAuth2.0 & zuul & gateway 微服务鉴权全部流程笔记
cty的博客
09-22 1090
一、基本概念 1、OAuth 一个认证协议。分布式常用的认证授权方案 2、认证 判断一个用户身份是否合法的过程,类似于我们平常说的登录 3、授权 用户认证通过后根据用户的权限来控制用户资源的过程。比如就算登录了微信,也不一定能进行微信支付,要检查有没有绑定银行卡,否则没有支付权限 1️⃣ 主体 一般指用户,也可以是程序,需要访问系统中的资源 2️⃣ 资源 分为系统功能资源和实体资源。实体资源由资源类型和资源实例组成 3️⃣权限 规定了用户对资源的操作许可 4、会话 为了避免用户每次操作都进行认证,将用户的信
Security——Okta
十年梦归尘的专栏
12-08 481
Okta
Spring Security OAuth2-资源模块配置
u013008898的博客
09-26 1592
配置资源服务器 创建一个类继承 ResourceServerConfigurerAdapter 并添加相关注解: @Configuration @EnableResourceServer:资源服务器 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true):全局方法拦截 package com.kejin.oauth2.resource.config; impor
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security ...该示例展示了如何使用 Spring Security Oauth2.0 实现短信验证码登录功能,提供了灵活的身份验证机制和强大的安全功能。
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring SecurityOAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
springboot+oltu.oauth2搭建oauth2环境
10-08
springboot和apache的开源项目org.apache.oltu.oauth2组合搭建的oauth2环境,一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有清楚的介绍,因为结构简单,只有一个骨架,很适合进行二次开发。解压后会有两个项目,一个server,一个client。
springcloud集成springsecurity oauth2 实现服务统一认证,应该是很简单的教程了~
myth_g的博客
11-07 2万+
#重构项目,整理maven父子结构,改善认证及资源服务器配置,增加注释更清晰好理解~ #2019.11.4 新增自定义返回token数据; #2019.11.5新增自定义登陆及授权页面(没有前后端分离,其实这种小页面也没必要分离出去) 1.项目结构 服务名 端口号 备注 auth 8082 认证服务器 mechant 8081 ...
java spring oauth2.0_Spring Security实现OAuth2.0授权服务 - 进阶版
weixin_39759270的博客
02-16 378
Spring Security实现OAuth2.0授权服务 - 基础版》介绍了如何使用Spring Security实现OAuth2.0授权和资源保护,但是使用的都是Spring Security默认的登录页、授权页,client和token信息也是保存在内存中的。本文将介绍如何在Spring Security OAuth项目中自定义登录页面、自定义授权页面、数据库配置client信息、数据库保...
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
SpringBoot2.1.5 (35)---安全
zhangbijun1230的专栏
06-10 1895
SpringBoot2.1.5 (37)---安全 安全 如果添加了Spring Security的依赖,那么web应用默认对所有的HTTP路径(也称为终点,端点,表示API的具体网址)使用'basic'认证。为了给web应用添加方法级别(method-level)的保护,你可以添加@EnableGlobalMethodSecurity使用想要的设置,其他信息参考Spring Sec...
oauth2 通过SecurityContextHolder获取用户信息(二)
个人工作学习内容总结
04-06 2055
既上一篇获取用户信息,又找到了另一种获取用户信息的方法,在这做下介绍 本方法获取用户信息使用的是 token-info-uri user-info-uri方式移步 资源服务配置文件 当使用token-info-uri时,默认user-info-uri不生效,loadBalanced:集群配置 security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth1/users/cu
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8331
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
修改spring-security-oauth2获取用户资源使用连接池
wangfenglei123456的博客
12-24 718
本文介绍使用spring-security-oauth2进行授权认证后,获取用户资源时,使用oauth2RestTemplate进行访问,没有使用连接池,进行优化。 设置连接池的代码 package org.springframework.security.oauth2.client.test; import org.springframework.beans.factory.ObjectProvider; import org.springframework.boot.autoco...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值