SpringSecurity OAuth2 Server认证方式之client_secret_jwt采用jwt签名加密的方式,更加安全!

已于 2024-07-10 15:47:26 修改
阅读量661 收藏 10
点赞数 7
分类专栏: Spring Security OAuth2 (中级) 文章标签: 安全
于 2024-07-10 15:42:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gandilong/article/details/140315123
版权

系统要求

JDK17

spring-security-oauth2-authorization-server 1.3.0 以上

spring-boot-starter-oauth2-client 3.3.0 以上

Spring Boot 3.3.0 以上

该文章中的项目代码是基于demo_05的代码进行改进的。如果不了解,可以直接下载demo_05,或看之前的文章。

修改授权服务

开启jwt认证设置

/**
	 * 应用注册仓库
	 * @return
	 */
	@Bean
	public RegisteredClientRepository registeredClientRepository(PasswordEncoder passwdEncoder) {
		// 客户端相关配置
        ClientSettings clientSettings = ClientSettings.builder()
                // 是否需要用户授权确认
                .requireAuthorizationConsent(false)
                //如果是客户端认证(client_credentials)且client-authentication-method=client_secret_jwt 会用这个对称算法,当然也可以设置一个非对称算法
                .tokenEndpointAuthenticationSigningAlgorithm(MacAlgorithm.HS256)
                .requireProofKey(false)//如果authorization_code,且client-authentication-method=none,会自动开启
                
                //如果用非对称算法,就需要客户端也提供一个公钥,客户端对自己的私钥加密自己的认证信息,提交给服务端,
                //并提供一个链接让服务端获取客户端公钥。服务端验证通过后会用自己的私钥签名并加密token颁发给客户端
                //.jwkSetUrl("http://localhost:8080/jwks")
                .build();
		TokenSettings tokenSetting=TokenSettings.builder()
				                               .authorizationCodeTimeToLive(Duration.ofSeconds(60))
				                               .accessTokenTimeToLive(Duration.ofHours(2))
				                               .refreshTokenTimeToLive(Duration.ofHours(5))
				                               .reuseRefreshTokens(false)//如果为true表示refreshToken可以重复使用,false则每次返回新的
				                               .accessTokenFormat(OAuth2TokenFormat.SELF_CONTAINED)
				                               .build();
		RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
				.clientId("clientid")
				.clientSecret(passwdEncoder.encode("client_secret"))如果是CLIENT_SECRET_POST才会用到
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC) //不建议使用,安全性低
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_POST)  //不建议使用,安全性低
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_JWT)
				.clientAuthenticationMethod(ClientAuthenticationMethod.NONE)
				.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
				.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
				.authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
				.redirectUri("http://localhost:8010/login/oauth2/code/authcode")
				.postLogoutRedirectUri("http://localhost:8010/index")
				.scope(OidcScopes.OPENID)
				.scope(OidcScopes.PROFILE)
				.clientSettings(clientSettings)
				.tokenSettings(tokenSetting)
				.build();
		JdbcRegisteredClientRepository jdbcRegister=new JdbcRegisteredClientRepository(jdbcTemplate);
		if(null==jdbcRegister.findByClientId(oidcClient.getClientId())) {
			jdbcRegister.save(oidcClient);
		}
		return jdbcRegister;
	}

 可以看到对于客户端的认证有很多方式,本次主要介绍CLIENT_SECRET_JWT方式,所以只要加一行:

clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_JWT)

就可以,其它的方式可以不加,都加上也不影响。

还有就是ClientSettings对象,得设置到客户端用的那种加密算法。这里用的是对称加密算法MacAlgorithm.HS256,秘钥是client_secret

修改客户端服务

YML配置

server: 
  port: 8010
logging:
  level:
    root: info
spring: 
  freemarker:
    template-loader-path: classpath:/templates/
    suffix: .html
    charset: UTF-8
    cache: false
    content-type: text/html
  application: 
    name: oauth_client
  security:
    oauth2:
      client:
        provider:
            oauth:
              issuer-uri: http://www.oauth2server.com:8080
              authorization-uri: http://www.oauth2server.com:8080/oauth2/authorize
              token-uri: http://www.oauth2server.com:8080/oauth2/token
        registration:
          clientSecretBasic:
            provider: oauth
            client-id: clientid
            client-secret: client_secret
            client-authentication-method: client_secret_basic
            authorization-grant-type: client_credentials
            scope: openid,profile
          clientSecretPost:
            provider: oauth
            client-id: clientid
            client-secret: client_secret
            client-authentication-method: client_secret_post
            authorization-grant-type: client_credentials
            scope: openid,profile
          clientSecretJwt:
            provider: oauth
            client-id: clientid
            client-secret: client_secret
            client-authentication-method: client_secret_jwt
            authorization-grant-type: client_credentials
            scope: openid,profile
          authcode:
            provider: oauth
            client-id: clientid
            client-authentication-method: none
            authorization-grant-type: authorization_code
            scope: openid,profile
            redirect-uri: '{baseUrl}/login/oauth2/code/authcode'

这个是在demo_05客户端代码的基础上,加了一段:clientSecretJwt的配置

添加Controller接口

	/**
	 * client-authentication-method=client_secret_jwt
	 * 授权码模式认证示例4
	 * @param model
	 * @param authorizedClient
	 * @param oauth2User
	 * @return
	 */
	@GetMapping("clientSecretJwt")
	public Object authCodeClientSecretJwt(Model model, @RegisteredOAuth2AuthorizedClient("clientSecretJwt") OAuth2AuthorizedClient authorizedClient) {
		System.out.println(authorizedClient.getAccessToken().getTokenValue());
	    model.addAttribute("token", authorizedClient.getAccessToken().getTokenValue());
		return authorizedClient;
	}

配置DefaultClientCredentialsTokenResponseClient

/**
	 * 自定义实现DefaultClientCredentialsTokenResponseClient
	 * 用于处理CLIENT_SECRET_JWT客户端的认证方式
	 * @return
	 */
	@Bean
	public DefaultClientCredentialsTokenResponseClient CLIENT_SECRET_JWT_TokenResponseClient() {
		System.out.println("=============DefaultClientCredentialsTokenResponseClient======================");
		Function<ClientRegistration, JWK> jwkResolver = (clientRegistration) -> {
			//因为服务端配置的客户端加密方式是:MacAlgorithm.HS256,所以这里用HmacSHA256
			if (clientRegistration.getClientAuthenticationMethod().equals(ClientAuthenticationMethod.CLIENT_SECRET_JWT)) {
				SecretKeySpec secretKey = new SecretKeySpec(clientRegistration.getClientSecret().getBytes(StandardCharsets.UTF_8),"HmacSHA256");
				return new OctetSequenceKey.Builder(secretKey)
						.keyID(UUID.randomUUID().toString())
						.build();
			}
			return null;
		};

		
		NimbusJwtClientAuthenticationParametersConverter<OAuth2ClientCredentialsGrantRequest> paramConverter=new NimbusJwtClientAuthenticationParametersConverter<>(jwkResolver);
		paramConverter.setJwtClientAssertionCustomizer(clientAssert->{//这里可以自定义一些claim
			//clientAssert.getClaims().claim("iss", "http://localhost:8080/clientid");
		});
		
		
		OAuth2ClientCredentialsGrantRequestEntityConverter requestEntityConverter = 
				new OAuth2ClientCredentialsGrantRequestEntityConverter(){
					@Override
					protected MultiValueMap<String, String> createParameters(
						OAuth2ClientCredentialsGrantRequest clientCredentialsGrantRequest) {
							ClientRegistration clientRegistration = clientCredentialsGrantRequest.getClientRegistration();
							MultiValueMap<String, String> parameters = new LinkedMultiValueMap<>();
							parameters.add(OAuth2ParameterNames.GRANT_TYPE, clientCredentialsGrantRequest.getGrantType().getValue());
							if (!CollectionUtils.isEmpty(clientRegistration.getScopes())) {
								parameters.add(OAuth2ParameterNames.SCOPE,
										StringUtils.collectionToDelimitedString(clientRegistration.getScopes(), " "));
							}
							if (ClientAuthenticationMethod.CLIENT_SECRET_POST.equals(clientRegistration.getClientAuthenticationMethod())) {
								parameters.add(OAuth2ParameterNames.CLIENT_ID, clientRegistration.getClientId());
								parameters.add(OAuth2ParameterNames.CLIENT_SECRET, clientRegistration.getClientSecret());
							}
							if (ClientAuthenticationMethod.CLIENT_SECRET_JWT.equals(clientRegistration.getClientAuthenticationMethod())||ClientAuthenticationMethod.PRIVATE_KEY_JWT.equals(clientRegistration.getClientAuthenticationMethod())) {
								parameters.add(OAuth2ParameterNames.CLIENT_ID, clientRegistration.getClientId());
							}
							return parameters;
						}
				};
		requestEntityConverter.addParametersConverter(paramConverter);
		
		
		DefaultClientCredentialsTokenResponseClient tokenResponseClient =
				new DefaultClientCredentialsTokenResponseClient();
		tokenResponseClient.setRequestEntityConverter(requestEntityConverter);
		return tokenResponseClient;
	}

/**
	 * 构建认证客户端对象管理器
	 * @param clientRegistrationRepository
	 * @param authorizedClientRepository
	 * @param client  重新定义的支持CLIENT_SECRET_JWT,或private_key_jwt
	 * @return
	 */
	@Bean
	public OAuth2AuthorizedClientManager authorizedClientManager(
			ClientRegistrationRepository clientRegistrationRepository,
			OAuth2AuthorizedClientRepository authorizedClientRepository,
			DefaultClientCredentialsTokenResponseClient client) {
		
		
		OAuth2AuthorizedClientProvider authorizedClientProvider =
			OAuth2AuthorizedClientProviderBuilder.builder()
				.authorizationCode()//授权码provider,实现正常授权码模式,
				.clientCredentials(clientCre->{//客户端provider+CLIENT_SECRET_JWT实现,因为客户端认证默认只支持:none,client_secret_basic,client_secret_post
					clientCre.accessTokenResponseClient(client);//所以要自定义一下,让它支持CLIENT_SECRET_JWT
				})
				.build();

		DefaultOAuth2AuthorizedClientManager authorizedClientManager =
			new DefaultOAuth2AuthorizedClientManager(clientRegistrationRepository, authorizedClientRepository);
		authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
		
		return authorizedClientManager;
	}

因为Spring Security OAuth2 Server 自带的客户端provider对客户端认证默认只支持:none,client_secret_basic,client_secret_post所以重写一下DefaultClientCredentialsTokenResponseClient

可以看到一行代码:SecretKeySpec secretKey = new SecretKeySpec(clientRegistration.getClientSecret().getBytes(StandardCharsets.UTF_8),"HmacSHA256"); 中把客户端的secret当做了密钥。

常见错误


com.nimbusds.jose.KeyLengthException: The secret length must be at least 256 bits
	at com.nimbusds.jose.crypto.impl.MACProvider.<init>(MACProvider.java:125) ~[nimbus-jose-jwt-9.37.3.jar:9.37.3]
	at com.nimbusds.jose.crypto.MACSigner.<init>(MACSigner.java:133) ~[nimbus-jose-jwt-9.37.3.jar:9.37.3]
	at com.nimbusds.jose.crypto.MACSigner.<init>(MACSigner.java:189) ~[nimbus-jose-jwt-9.37.3.jar:9.37.3]
	at com.nimbusds.jose.crypto.factories.DefaultJWSSignerFactory.createJWSSigner(DefaultJWSSignerFactory.java:90) ~[nimbus-jose-jwt-9.37.3.jar:9.37.3]
	at org.springframework.security.oauth2.jwt.NimbusJwtEncoder.createSigner(NimbusJwtEncoder.java:208) ~[spring-security-oauth2-jose-6.3.1.jar:6.3.1]
	at java.base/java.util.concurrent.ConcurrentHashMap.computeIfAbsent(ConcurrentHashMap.java:1708) ~[na:na]

如果出现以上错误,表示client_secret的长度太短了,因为对称加密算法会把client_secret当做密钥来使用,所以长度有一定要求。

具体代码请参看:demo_06

下期再讲private_key_jwt的认证方式。

觉自性本然
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
Spring Security OAuth2实现使用JWT的示例代码
08-27
主要介绍了Spring Security OAuth2实现使用JWT的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2022
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
使用spring-security-oauth2作为client实现
weixin_34389926的博客
12-06 1321
序 本文主要讲一下如何使用spring security oauth2作为一个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit)(client为浏览器/前端应用) 密码模式(resource owner password credentials)(用户密码暴露给client端不安全) 客户端模...
加密与授权 Oauth2.0
ys.hubery
01-05 5213
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7127
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
Spring Oauth2-Authorization-Server client_secret_jwt
面朝大海,春暖花开
05-04 2076
Spring Oauth2-Authorization-Server client_secret_jwt过程 基于 spring-security-oauth2-authorization-server 0.2.3 客户端使用 client_id和client_secret 进行认证,且使用Jwt加密请求时,加密方式 JwsAlgorithm有: MacAlgorithm SignatureAlgorithm JWT 签名算法 MacAlgorithm: MAC(Message Authentica
7. Spring Security 5.1之OAuth 2.0 Client
热门推荐
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
从头搭架构SpringCloud(六):权限认证spring security + oauth2 +jwtjwtjwt加密
摩尔__摩尔的博客
07-02 348
JWT,全称是Json Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; JWT的token包含三部分数据: Header:头部,JWT 头描述了 JWT 元数据,是一个 JSON 对象通常头部有两部分信息,它的格式如下: 声明类型,这里是JWT 加密算法,自定义 json{“alg”:“HS256”,“typ”:“JWT”} alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256
SpringSecurity + oauth2 + jwt
最新发布
记录自己的学习,有不对的地方欢迎指正!
02-09 326
SpringSecurity + oauth2 + jwt的基本搭建 包括环境搭建,认、证模块、资源模块
oauth2-server, 一个 PHP OAuth 2.0服务器实现.zip
09-18
oauth2-server, 一个 PHP OAuth 2.0服务器实现 PHP OAuth服务器一个 PHP OAuth 2.0服务器实现。 安装包可以以用 Composer 安装,也可以以通过直接修改 composer.json 或者使用 composer require 命令来安装。co
oauth2-client-springsecurity5.zip
08-24
授权码模式,用户登录后可以通过一个简单的方法自动获取CODE,CODE自动去取TOKEN,有详细的 README文档介绍,基本上做到下载后就可以使用。
spring security oauth2的client演示包tonr2
10-09
spring security oauth2的client演示包tonr2,所有的jar都齐全了
39-Spring Authorization Server实现client_secret_jwt客户端认证
码农小胖哥
04-10 2345
上一篇对Spring Authorization Server利用JWT认证OAuth2客户端的逻辑进行了分析,本篇我们将对private_key_jwt类型的认证方式进行实战练习。 private_key_jwt客户端认证 关于private_key_jwt客户端认证,在我相关的文章中已经多次提及和讲述,基于篇幅的原因这里不再赘述。 不过还要提一下,这种认证方式的作用就是让OAuth2客户端认证更加安全,它摒弃了传统的密码认证机制,充分利用了JWT可以携带元信息的能力。接下来我们来看看Spring Aut
Oauth2.0基于Spring Authorization Server模块private_key_jwt模式
Lance
03-18 1140
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 private_key_jwt JwtClientAssertionAuthenticationConverter 基于项目:Sp
7 客户端认证方式client_secret_jwt
Markix的博客
09-28 2833
`client_secret_jwt`方式就是利用 `JWT` 进行认证。请求方和授权服务器,两者都知道客户端的 `client_secret`,通过相同的 `HMAC` 算法(对称签名算法)去加签和验签 `JWT` ,可以达到客户端认证的目的。
spring security OAuth2.0之客户端Client的实现
05-17 2498
项目代码:https://github.com/hankuikuide/microservice-spring-security-oauth2 网上多数的项目客户端都是采用纯js写,或用postman发请求,和实际项目的应用还是有差距的,这里也是采用spring boot的实现。 主要功能在于: 使用授权码模式进行认证。 使用OAuth2RestTemplate发送请求给认证服...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

觉自性本然

您的鼓励与支持是我最大的动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值