Spring Security + OAuth2.0 + JWT 实现单点登录

最新推荐文章于 2024-04-26 17:44:21 发布
最新推荐文章于 2024-04-26 17:44:21 发布
阅读量4k 收藏 31
点赞数 5
分类专栏: Spring Java源码 语言基础 文章标签: spring boot jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hetengjiao523/article/details/107493828
版权

目录

在这里插入图片描述
附:源代码 Github 地址:Spring Security + OAuth2.0 + JWT 实现单点登录

一、认证服务

  • 配置文件

    bootstrap.yml

server:
  port: 8081

spring:
  main:
    allow-bean-definition-overriding: true

​ pom.xml

	<dependencyManagement>
		<dependencies>
			<!-- https://mvnrepository.com/artifact/org.springframework.cloud/spring-cloud-dependencies -->
			<dependency>
				<groupId>org.springframework.cloud</groupId>
				<artifactId>spring-cloud-dependencies</artifactId>
				<version>Greenwich.RELEASE</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>

			<dependency>
				<groupId>com.alibaba.cloud</groupId>
				<artifactId>spring-cloud-alibaba-dependencies</artifactId>
				<version>2.1.0.RELEASE</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>
		</dependencies>
	</dependencyManagement>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-actuator</artifactId>
		</dependency>

		<!--lombok start-->
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
		</dependency>
		<!--lombok end-->
		<!--导⼊spring cloud oauth2依赖-->
		<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-oauth2</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.springframework.security.oauth.boot</groupId>
					<artifactId>spring-security-oauth2-autoconfigure</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
		<dependency>
			<groupId>org.springframework.security.oauth.boot</groupId>
			<artifactId>spring-security-oauth2-autoconfigure</artifactId>
			<version>2.1.11.RELEASE</version>
		</dependency>

	</dependencies>
  • 配置 WebSecurityConfigurer
package com.natsumes.ame.config;

import com.natsumes.ame.service.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * 该配置类,主要处理用户名和密码的校验等事宜
 */
@EnableWebSecurity(debug = true)
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {


    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 配置拦截资源
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.requestMatchers().antMatchers("/**")
                .and().authorizeRequests()
                .antMatchers("/oauth/**").permitAll() // /oauth/**接口对外开放
                .anyRequest().authenticated()   // 在创建过滤器的基础上的一些自定义配置
                .and().formLogin()
                .and().httpBasic(); //Basic认证
    }

    /**
     * 处理用户名和密码验证事宜
     * 1)客户端传递username和password参数到认证服务器
     * 2)一般来说,username和password会存储在数据库中的用户表中
     * 3)根据用户表中数据,验证当前传递过来的用户信息的合法性
     * 可以通过自定义用户校验类MyUserDetailsService来自定义用户信息
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
        auth.userDetailsService(myUserDetailsService).passwordEncoder(passwordEncoder);
    }

    /**
     * 密码解析器,这里使用 BCryptPasswordEncoder 加密
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}
  • 自定义UserDetailsService
package com.natsumes.ame.service;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.ArrayList;


@Slf4j
@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * Locates the user based on the username. In the actual implementation, the search
     * may possibly be case sensitive, or case insensitive depending on how the
     * implementation instance is configured. In this case, the <code>UserDetails</code>
     * object that comes back may have a username that is of a different case than what
     * was actually requested..
     *
     * 可以根据自身业务实现认证
     *
     * @param username the username identifying the user whose data is required.
     * @return a fully populated user record (never <code>null</code>)
     * @throws UsernameNotFoundException if the user could not be found or the user has no
     *                                   GrantedAuthority
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("username={}", username);
        if (!username.equals("admin")) {
            throw new UsernameNotFoundException("the username is not found");
        }
        //用户角色在数据库中获取
        String role = "ROLE_ADMIN";
        ArrayList<SimpleGrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority(role));
        //线上环境应该通过用户名查询数据库获取加密后的密码
        String password = passwordEncoder.encode("123456");
        return new User(username, password, authorities);
    }
}
  • 配置AuthorizationServerConfigurer
package com.natsumes.ame.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.jwt.crypto.sign.MacSigner;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfigurer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     *
     * 认证服务器最终是以api接⼝的⽅式对外提供服务(校验合法性并⽣成令牌、校验令牌等)
     * 那么,以api接⼝⽅式对外的话,就涉及到接⼝的访问权限,我们需要在这⾥进⾏必要的配置
     *
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        super.configure(security);
        security.allowFormAuthenticationForClients()    // 允许客户端表单认证
                .tokenKeyAccess("permitAll()")  // 开启端口/oauth/token_key的访问权限(允许)
                .checkTokenAccess("permitAll()");   // 开启端口/oauth/check_token的访问权限(允许)
    }

    /**
     * 客户端详情配置
     * ⽐如client_id,secret
     * 当前这个服务就如同QQ平台,本网站作为客户端需要qq平台进⾏登录授权认证等,提前需到QQ平台注册,QQ平台会给我们
     * 颁发client_id等必要参数,表明客户端是谁
     * @param clients   client  配置
     * @throws Exception    异常信息
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //可通过数据库配置
        clients.inMemory()
                .withClient("order-client")
                .resourceIds("order-server", "user-server", "oauth-server")
                .secret(passwordEncoder.encode("order-secret-8888"))
                .authorizedGrantTypes("refresh_token", "authorization_code", "password", "implicit", "client_credentials")
                .accessTokenValiditySeconds(3600)
                .scopes("all")
                .autoApprove(true)  //自动确认授权
                //自动认证并跳转获取token
                .redirectUris("http://127.0.0.1:8081/oauth/token?grant_type=authorization_code&client_id=order-client&client_secret=order-secret-8888")
                .and()
                .withClient("user-client")
                .resourceIds("order-server", "user-server", "oauth-server")
                .secret(passwordEncoder.encode("user-secret-8888"))
                .authorizedGrantTypes("refresh_token", "authorization_code", "password", "implicit", "client_credentials")
                .accessTokenValiditySeconds(3600)
                .scopes("all")
                .autoApprove(true)
                .redirectUris("http://www.baidu.com")
                .and().build();
        //clients.withClientDetails();
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // jwt token 方式
        endpoints.authenticationManager(authenticationManager)
                .tokenServices(authorizationServerTokenServices())
                //.userDetailsService(myUserDetailsService)
                .tokenStore(tokenStore())
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("test123");
        converter.setVerifier(new MacSigner("test123"));
        return converter;
    }

    /**
     * 该方法用户获取一个token服务对象(该对象描述了token有效期等信息)
     */
    private AuthorizationServerTokenServices authorizationServerTokenServices() {
        // 使用默认实现
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setSupportRefreshToken(true); // 是否开启令牌刷新
        defaultTokenServices.setTokenStore(tokenStore());

        // 针对jwt令牌的添加
        defaultTokenServices.setTokenEnhancer(jwtAccessTokenConverter());

        // 设置令牌有效时间(一般设置为2个小时)
        defaultTokenServices.setAccessTokenValiditySeconds(2 * 60 * 60); // access_token就是我们请求资源需要携带的令牌
        // 设置刷新令牌的有效时间
        defaultTokenServices.setRefreshTokenValiditySeconds(259200); // 3天

        return defaultTokenServices;
    }
}
二、Spring Security OAuth2.0 的四种授权方式
2.1 授权码模式
2.1.1 将获取code和token合并到一步中

http://localhost:8081/oauth/authorize?response_type=code&client_id=order-client&scope=all

2.1.2 获取code, 换取 token

首先获取授权code,然后通过code获取token

http://localhost:8081/oauth/authorize?response_type=code&client_id=user-client&scope=all&redirect_uri=http://www.baidu.com

浏览器跳转到 https://www.baidu.com/?code=DctdGQ

使用 code 获取 token

http://localhost:8081/oauth/token?grant_type=authorization_code&code=DctdGQ&username=admin&password=123456&client_id=user-client&client_secret=user-secret-8888&redirect_uri=http://www.baidu.com

{
    "access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjEwNDQsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiYjlhZTJjMzMtNjBhOS00ZTAwLThlNjYtNzU2M2RjODg1MmU3IiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.BXoQBuDFbx7x81ShSZaRM5FvaFWAYWEXEUgPlP2-UMk",
    "token_type":"bearer",
    "refresh_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTU1NzMwNDQsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiNmVjZDk5MmEtOGI1Zi00NjA2LTk1NmItMmNhYjk4MzI0Yjg2IiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXSwiYXRpIjoiYjlhZTJjMzMtNjBhOS00ZTAwLThlNjYtNzU2M2RjODg1MmU3In0.U6LNCmjZNqlxLc3MzNanNaJrJo7PbAwMK-as07QPih0",
    "expires_in":7199,
    "scope":"all",
    "jti":"b9ae2c33-60a9-4e00-8e66-7563dc8852e7"
}
2.2 密码模式

http://localhost:8081/oauth/token?grant_type=password&username=admin&password=123456&client_id=order-client&client_secret=order-secret-8888

{
  "access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjEyMjgsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiZjhmNjkwNzItNjk2My00MGE5LWE5YWUtMWE5YzQ1MzI1OTA2IiwiY2xpZW50X2lkIjoib3JkZXItY2xpZW50Iiwic2NvcGUiOlsiYWxsIl19.nMvNO76FZl0y0mCUZNv9TBvw7dxJqTk69xGAQ45ZTZc",
    "token_type":"bearer",
    "refresh_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTU1NzMyMjgsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiNjk1Y2E4M2QtZjVjMS00MjM4LThiMDYtOTkwMDk4MTJkZGU4IiwiY2xpZW50X2lkIjoib3JkZXItY2xpZW50Iiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImY4ZjY5MDcyLTY5NjMtNDBhOS1hOWFlLTFhOWM0NTMyNTkwNiJ9.owg9G_N1CWvToQWcxnY-Aq-pLXtaLNbM6qhrsqpAaiE",
    "expires_in":7199,
    "scope":"all",
    "jti":"f8f69072-6963-40a9-a9ae-1a9c45325906"
}
2.3 简化模式

http://localhost:8081/oauth/authorize?response_type=token&client_id=user-client&client_secret=user-secret-8888&scope=all&redirect_uri=http://www.baidu.com

浏览器返回

https://www.baidu.com/#access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjEzNDgsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiMWZkNDc2MzgtODI2OC00ZWU2LTkxYmItYzdlMDQ3MTQ0MmIwIiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.ujUPZOWgWwhuXYmWtmV0l4d9308S1gzeJodZLQglJBA&token_type=bearer&expires_in=7199&jti=1fd47638-8268-4ee6-91bb-c7e0471442b0

2.4 客户端模式

http://localhost:8081/oauth/token?client_id=user-client&client_secret=user-secret-8888&grant_type=client_credentials

{ 	    "access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzY29wZSI6WyJhbGwiXSwiZXhwIjoxNTk1MzIxNDMyLCJqdGkiOiJjNTljMGM5NS0yNDgwLTQ4NWQtOWZhYS0zMjE5OTllNDJmYTYiLCJjbGllbnRfaWQiOiJ1c2VyLWNsaWVudCJ9.dHMRaw4jXwGGEsQJxokAHd-CLKYjT71ZW-17Baw9THw",
    "token_type":"bearer",
    "expires_in":7199,
    "scope":"all",
    "jti":"c59c0c95-2480-485d-9faa-321999e42fa6"
}
2.5 带 token 访问
package com.natsumes.ame.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;

@RestController
public class Controller {
    @GetMapping("/auto/test")
    public String test1() {
        return "auto test success: " + new Date();
    }

    @GetMapping("/demo/test")
    public String test2() {
        return "demo test success: " + new Date();
    }

    @GetMapping("test3")
    public String test3() {
        return "test3 success: " + new Date();
    }
}

不需要认证:

http://localhost:8081/test3

test3 success: Tue Jul 21 15:44:53 CST 2020

需要认证:

不带 token 访问

http://localhost:8081/auto/test

{
    "timestamp": "2020-07-21T07:32:20.383+0000",
    "status": 401,
    "error": "Unauthorized",
    "message": "Unauthorized",
    "path": "/auto/test"
}

http://localhost:8081/demo/test

{ 
	"timestamp": "2020-07-21T07:34:24.209+0000",
  	"status": 401,
  	"error": "Unauthorized",
  	"message": "Unauthorized",
    "path": "/demo/test"
}

带 token 访问

http://localhost:8081/demo/test?access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjQ4MjQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJjNzM3NmUyMi1lOTRkLTRjZjktYjUyZS03Zjg5YzQ5MmVjYzIiLCJjbGllbnRfaWQiOiJvcmRlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.S_EnUvucm9wy-stS4jcKz8MZUJOOzYv_PGk4iSfDmYU

demo test success: Tue Jul 21 15:47:21 CST 2020
2.6 检验和刷新 token

检验 token

http://localhost:8081/oauth/check_token?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjQ4MjQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJjNzM3NmUyMi1lOTRkLTRjZjktYjUyZS03Zjg5YzQ5MmVjYzIiLCJjbGllbnRfaWQiOiJvcmRlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.S_EnUvucm9wy-stS4jcKz8MZUJOOzYv_PGk4iSfDmYU

{
    "user_name": "admin",
    "scope": [
        "all"
    ],
    "active": true,
    "exp": 1595324824,
    "authorities": [
        "ROLE_ADMIN"
    ],
    "jti": "c7376e22-e94d-4cf9-b52e-7f89c492ecc2",
    "client_id": "order-client"
}

刷新 token

http://localhost:8081/oauth/token?grant_type=refresh_token&client_id=user-client&client_secret=user-secret-8888&refresh_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTU1NzMwNDQsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiNmVjZDk5MmEtOGI1Zi00NjA2LTk1NmItMmNhYjk4MzI0Yjg2IiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXSwiYXRpIjoiYjlhZTJjMzMtNjBhOS00ZTAwLThlNjYtNzU2M2RjODg1MmU3In0.U6LNCmjZNqlxLc3MzNanNaJrJo7PbAwMK-as07QPih0

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjYzNTksInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiNzk2ZWY0M2QtMzUxOS00N2QxLTg0MTYtNzQ3MThhMTJjMjNjIiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.SPR1_o0nVegPgziVrIwLy4NILq-NWHClm97RnBfNUY0",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTU1NzMwNDQsInVzZXJfbmFtZSI6ImFkbWluIiwianRpIjoiNmVjZDk5MmEtOGI1Zi00NjA2LTk1NmItMmNhYjk4MzI0Yjg2IiwiY2xpZW50X2lkIjoidXNlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXSwiYXRpIjoiNzk2ZWY0M2QtMzUxOS00N2QxLTg0MTYtNzQ3MThhMTJjMjNjIn0.mxnB-BUqfdqEfZMaoC75gPKRLNGBUMO1f_E7GelE9rA",
    "expires_in": 7199,
    "scope": "all",
    "jti": "796ef43d-3519-47d1-8416-74718a12c23c"
}
2.7 资源服务器改造

将认证服务改造为资源服务器

package com.natsumes.ame.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.jwt.crypto.sign.MacSigner;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@EnableResourceServer
@Configuration
@EnableWebSecurity
public class ResourceServerConfigurer extends ResourceServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        super.configure(resources);
        resources.resourceId("oauth-server").tokenStore(tokenStore).stateless(true);
    }

    /**
     * 场景:一个服务中可能有很多资源(API接口)
     *    某一些API接口,需要先认证,才能访问
     *    某一些API接口,压根就不需要认证,本来就是对外开放的接口
     *    我们就需要对不同特点的接口区分对待(在当前configure方法中完成),设置是否需要经过认证
     *
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http    // 设置session的创建策略(根据需要创建即可)
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .authorizeRequests()
                .antMatchers("/auto/**").authenticated() // auto为前缀的请求需要认证
                .antMatchers("/demo/**").authenticated() // demo为前缀的请求需要认证
                .anyRequest().permitAll();
    }

}

不需要认证:

http://localhost:8081/test3

test3 success: Tue Jul 21 17:07:15 CST 2020

需要认证:

http://localhost:8081/demo/test

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

带token访问:

http://localhost:8081/demo/test?access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjQ4MjQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJjNzM3NmUyMi1lOTRkLTRjZjktYjUyZS03Zjg5YzQ5MmVjYzIiLCJjbGllbnRfaWQiOiJvcmRlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.S_EnUvucm9wy-stS4jcKz8MZUJOOzYv_PGk4iSfDmYU

demo test success: Tue Jul 21 17:09:35 CST 2020
三、Oauth2.0 + JWT 实现分布式登录
3.1 资源服务器

上面已经搭建好认证服务,接下来再创建两个服务 user-server 和 order-server 作为资源服务器

以 order-server 为例

package com.natsumes.ame.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.jwt.crypto.sign.MacSigner;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@EnableResourceServer
@Configuration
@EnableWebSecurity
public class ResourceServerConfigurer extends ResourceServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        super.configure(resources);
        resources.resourceId("order-server").tokenStore(tokenStore).stateless(true);
    }

    /**
     * 场景:一个服务中可能有很多资源(API接口)
     *    某一些API接口,需要先认证,才能访问
     *    某一些API接口,压根就不需要认证,本来就是对外开放的接口
     *    我们就需要对不同特点的接口区分对待(在当前configure方法中完成),设置是否需要经过认证
     *
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http    // 设置session的创建策略(根据需要创建即可)
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .authorizeRequests()
                .antMatchers("/order/need-oauth/**").authenticated() // auto为前缀的请求需要认证
                .anyRequest().permitAll();
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("test123");
        converter.setVerifier(new MacSigner("test123"));
        return converter;
    }
}


package com.natsumes.ame.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;

@RestController
@RequestMapping("/order")
public class OrderController {

    @GetMapping("/no-oauth/test")
    public String test1() {
        return new Date() + ": order test1 success";
    }

    @GetMapping("/need-oauth/test")
    public String test2() {
        return new Date() + ": order test2 success";
    }
}
3.2 测试

不需要认证:

http://localhost:8083/order/no-oauth/test

Tue Jul 21 17:19:25 CST 2020: order test1 success

需要认证:

http://localhost:8083/order/need-oauth/test

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

带token访问:

http://localhost:8083/order/need-oauth/test?access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1OTUzMjQ4MjQsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9BRE1JTiJdLCJqdGkiOiJjNzM3NmUyMi1lOTRkLTRjZjktYjUyZS03Zjg5YzQ5MmVjYzIiLCJjbGllbnRfaWQiOiJvcmRlci1jbGllbnQiLCJzY29wZSI6WyJhbGwiXX0.S_EnUvucm9wy-stS4jcKz8MZUJOOzYv_PGk4iSfDmYU

Tue Jul 21 17:21:33 CST 2020: order test2 success
资深糖分大叔
关注
  • 5
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2109
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
springsecurity oauth2.0 集成sso单点登录
congge
11-21 8142
前言 在前两篇中,我们基本上了解springsecurity 的授权码模式和密码模式的工作流程,其实来说,掌握了授权码模式,再基于springsecurity单点登录的集成就是一件非常容易的事情 单点登录解释 当我们登录淘宝之后,可以在天猫等其他任意一个应用内进行访问,而不需要二次登录 关于单点登录的业务含义,这里就不再过多做解释了,在之前的博客关于单点登录篇中有较为详细的阐释说明,本篇将直接在springsecurity 认证之授权码模式的基础上进行整合,完整的演示下如何使用springsecuri
SpringCloud+Spring Security+OAuth2 + JWT + Gateway讲解
lbjfish的博客
10-20 9371
项目简介 本登录系统是一个适应前后端分离并支持传统PC登录的全方位微服务登录架构 基于Spring Boot 2.2.8.、 Spring Cloud Hoxton.SR5 和 Spring Cloud Alibaba 2.2.1 深度定制Spring Security,基于RBAC(暂未实现)、jwtoauth2的无状态统一权限认证的 单点登录、单点登出(暂未实现)、续签等功能(暂未实现) 提供C端多租户功能(暂未实现) 提供第三方被授权登录方式(openId方式) 提供供内部服务调用的OAuth2
SpringSecurity + Oauth2 + jwt实现单点登录
最新发布
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 1188
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录
SpringCloud项目,使用JWT+Gateway方案,实现单点登录
Haokunhaokun的博客
08-27 1884
JWT+Gateway实现单点登录
微服务单点登录springsecurity+jwt+oauth2)
没伞的孩子努力奔跑
08-30 273
目录 一 设计流程: 1 创建父工程: 1.1添加依赖: 下面为子工程: 1.UI(客户端设计) 2.网关设计(Gatway) 2.1 创建启动类 2.2.添加依赖 2.3 添加配置文件: 配件文件的名字为bootstrap.yml 2.4 配置类 3认证安全模块(auth) 3.1 添加jar包 3.2 创建配置文件配置文件名为bootstrap.yml 3.3 创建启动类 3.4 创建封装类(对用户信息进行封装) 3.5创建配置类(创建JWT令牌配置类,基于这...
SpringSecurityOauth2+JWT实现单点登录
夙梦-小白的博客
04-17 3127
单点登录的介绍 单点登录(Single Sign On),简称为 SSO,SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 OAuth2 相关解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Clie...
SpringSecurity+OAuth2.0+JWT实现用户认证中心
qq_33302985的博客
06-15 2845
随着公司资源,市场,以及深圳部分业务拓展,公司希望将公司所有的用户信息进行整合,搭建一个统一平台,用来支持各业务线的用户授权认证,方便其他子公司授权后获取资源系统的资源,最后经过讨论,决定采用Springsecurity+Oauth2.0+JWT实现用户认证中心。 Oauth2.0 oauth2.0是一种授权机制,由第三方向资源所有者请求授权,资源所有者同意授权后,第三方去授权服务器获取令牌,资源服务器发放令牌,第三方使用令牌去访问资源服务器的资源。资源服务器校验token无误后开放资源。流程如下图所
SpringSecurity OAuth2.0的学习(JWT令牌)
weixin_44012722的博客
05-16 629
SpringSecurity OAuth2.0的学习 首先我们要知道 OAauth(开放授权)是一个开方标准,允许用户授权第三方应用访问他们的微服务应用. OAauth2 包括以下角色 1. 客户端: 通常指 需要通过资源拥有者的授权请求资源服务器的资源,比如Android客户端,WEB端等 2. 资源拥有者: 通常为用户也可以是应用程序,即该资源的拥有者 3. 授权服务器: 用于服务商提供商对资源拥有的身份进行认证,对访问资源惊醒授权。 但是授权服务器就允许随便一个客户端就介入到它的授权服务器吗,它会给
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
SpringSecurity+OAuth2+JWT权限架构原理和整合(如何实现SSO单点登录
chencan122的博客
10-30 3689
一、常用安全框架 1.1SpringSecuritySpring家族一员,是一个能够为基于spring的企业应用系统提供声明式的安全访问控制解决方方案的安全框架,它提供了一组可以在Spring应用上下问中配置的Bean,充分利用了Spring Ioc,DI和Aop功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(有了Springboot后使用的更广泛一些,可以高度自定义) 1.2Apache Shiro 一个功能强大且易于使用的java安全架构,提供了认证,
Spring Cloud入门-Oauth2授权之基于JWT完成单点登录(Hoxton版本)
热门推荐
ThinkWon的博客
12-30 1万+
文章目录摘要单点登录简介创建oauth2-client模块修改授权服务器配置网页单点登录演示调用接口单点登录演示oauth2-client添加权限校验使用到的模块项目源码地址 项目使用的Spring Cloud为Hoxton版本,Spring Boot为2.2.2.RELEASE版本 摘要 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结...
可能是最详细的Spring Cloud OAuth2实现单点登录(一)
weixin_54542328的博客
10-20 1469
大致的流程是:客户端去认证中心申请访问凭证token,然后认证中心对于客户端请求来的帐号密码进行验证,如果验证通过,则颁发token,返回给客户端,客户端拿着 token 去各个微服务请求数据接口,一般这个 token 是放到 header 中的。我们可以想象一下,自然能够想到,在请求各个服务、各个接口的时候,一定携带着什么凭证,然后各个服务才知道请求接口的用户是哪个,不然肯定有问题,那其实这里面的凭证简单来说就是一个 Token,标识用户身份的 Token。这样一说,发现没,这其实就是个单点登录的功能。
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
springsecurity+oauth2+jwt实现单点登录
12-16
Spring Security 是一个功能强大的身份验证和权限控制框架,OAuth2 是一个授权框架,JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。当它们结合在一起时,可以实现单点登录(SSO)功能。 首先,Spring Security 用于处理用户认证和授权,可以通过用户名密码登录或者其他方式获取访问令牌。然后,OAuth2 提供了标准的授权流程,以确保用户可以安全地获取访问令牌,并且在需要时进行刷新。JWT 则是一种用于在不同系统之间安全传输信息的方式,通常用于在不同系统之间传递身份验证信息。当用户成功登录并获得访问令牌后,可以将访问令牌嵌入在 JWT 中,然后将 JWT 传递给需要进行单点登录的其他系统。 通过这种方式,用户只需要在一个系统中登录成功后,就可以在其他系统中使用同一个访问令牌进行身份验证,从而实现单点登录的功能。同时,由于使用了标准的 OAuth2 和 JWT,可以确保用户的身份验证与授权是安全可靠的。 总之,通过结合使用 Spring SecurityOAuth2 和 JWT,可以实现单点登录功能,提供更加便捷、安全的用户体验。同时,也可以方便地集成其他系统,实现统一的用户身份验证和授权管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值