使用Spring Cloud OAuth2 搭建授权服务

最新推荐文章于 2023-04-24 14:51:10 发布
最新推荐文章于 2023-04-24 14:51:10 发布
阅读量742 收藏
点赞数 1
分类专栏: java

转载:https://www.cnblogs.com/fp2952/p/8973613.html
本文主要为spring cloud 授权服务的搭建,采用jwt认证.

1.引入依赖
Spring Security
Security OAuth2
2.启动类注解开启 @EnableAuthorizationServer
3.Oauth2配置类

AuthorizationServerConfigurerAdapter

  • ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailService),客户端详情在这里进行初始化,可以把客户端信息写死或者通过数据库来存储调取详情信息.

  • AuthorizationServerSecurityConfigurer:用来配置令牌端点(TokenEndpoint)的安全约束

  • AuthorizationServerEndpointsConfigurer:用来配置授权(aythorization)以及令牌(token)服务(token services)

  • 主要配置如下:
    ClientDetailsServiceConfigurer(AuthorizationServerConfigurer的一个回调配置)能够使用内存或者JDBC来实现客户端的详情服务(ClientDetailsService),Spring Security OAuth2的配置方法是编写@Configuration类继承AuthorizationServerConfigureAdater,然后重写void configure(ClentDetailsServiceConfigurer clients)方法,如:

     @Override
 public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
 // 使用JdbcClientDetailsService客户端详情服务
 clients.withClientDetails(new JdbcClientDetailsService(dataSource));
   }

配置令牌管理(JWTAccessTokenConverter)

JWTAccessTokenConverter是用来生成token的转换器,而token令牌默认是有签名的,且资源服务器需要验证这个签名.此处的加密及验签包括两种方式:
对称加密,非对称加密(公钥加密)
对称加密需要授权服务器和资源服务器存储同一个key值,而非对称加密可使用秘钥加密,暴露公钥给资源服务器验签,本文使用非对称加密方式,配置于AuthOrizationServiceConfigurerAdapter如下:

  @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                // 配置JwtAccessToken转换器
                .accessTokenConverter(jwtAccessTokenConverter())
                // refresh_token需要userDetailsService
                .reuseRefreshTokens(false).userDetailsService(userDetailsService);
                //.tokenStore(getJdbcTokenStore());
    }

    /**
     * 使用非对称加密算法来对Token进行签名
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {

        final JwtAccessTokenConverter converter = new JwtAccessToken();
        // 导入证书
        KeyStoreKeyFactory keyStoreKeyFactory =
                new KeyStoreKeyFactory(new ClassPathResource("keystore.jks"), "mypass".toCharArray());
        converter.setKeyPair(keyStoreKeyFactory.getKeyPair("mytest"));

        return converter;
    }

通过 JDK 工具生成 JKS 证书文件,并将 keystore.jks 放入resource目录下
keytool -genkeypair -alias mytest -keyalg RSA -keypass mypass -keystore keystore.jks -storepass mypass
此处我们自定义JwtAccessToken用于添加额外用户信息

/**
 * Created by fp295 on 2018/4/16.
 * 自定义JwtAccessToken转换器
 */

    public class JwtAccessToken extends JwtAccessTokenConverter {

    /**
     * 生成token
     * @param accessToken
     * @param authentication
     * @return
     */
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        DefaultOAuth2AccessToken defaultOAuth2AccessToken = new DefaultOAuth2AccessToken(accessToken);

        // 设置额外用户信息
        BaseUser baseUser = ((BaseUserDetail) authentication.getPrincipal()).getBaseUser();
        baseUser.setPassword(null);
        // 将用户信息添加到token额外信息中
        defaultOAuth2AccessToken.getAdditionalInformation().put(Constant.USER_INFO, baseUser);

        return super.enhance(defaultOAuth2AccessToken, authentication);
    }

    /**
     * 解析token
     * @param value
     * @param map
     * @return
     */
    @Override
    public OAuth2AccessToken extractAccessToken(String value, Map<String, ?> map){
        OAuth2AccessToken oauth2AccessToken = super.extractAccessToken(value, map);
        convertData(oauth2AccessToken, oauth2AccessToken.getAdditionalInformation());
        return oauth2AccessToken;
    }

    private void convertData(OAuth2AccessToken accessToken,  Map<String, ?> map) {
        accessToken.getAdditionalInformation().put(Constant.USER_INFO,convertUserData(map.get(Constant.USER_INFO)));

    }

    private BaseUser convertUserData(Object map) {
        String json = JsonUtils.deserializer(map);
        BaseUser user = JsonUtils.serializable(json, BaseUser.class);
        return user;
    }
}

JwtAccessToken 类中从authentication里的getPrincipal(实际为UserDetails接口)获取用户信息,所以我们需要实现自己的UserDetails

/**
 * Created by fp295 on 2018/4/29.
 * 包装org.springframework.security.core.userdetails.User类
 */
public class BaseUserDetail implements UserDetails, CredentialsContainer {

    private final BaseUser baseUser;
    private final org.springframework.security.core.userdetails.User user;

    public BaseUserDetail(BaseUser baseUser, User user) {
        this.baseUser = baseUser;
        this.user = user;
    }


    @Override
    public void eraseCredentials() {
        user.eraseCredentials();
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return user.getAuthorities();
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return user.isAccountNonExpired();
    }

    @Override
    public boolean isAccountNonLocked() {
        return user.isAccountNonLocked();
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return user.isCredentialsNonExpired();
    }

    @Override
    public boolean isEnabled() {
        return user.isEnabled();
    }

    public BaseUser getBaseUser() {
        return baseUser;
    }
}

授权端点开放

 @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
        oauthServer
                // 开启/oauth/token_key验证端口无权限访问
                .tokenKeyAccess("permitAll()")
                // 开启/oauth/check_token验证端口认证权限访问
                .checkTokenAccess("isAuthenticated()");
    }

Security 配置

需要配置 DaoAuthenticationProvider、UserDetailService 等

@Configuration
@Order(ManagementServerProperties.ACCESS_OVERRIDE_ORDER)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    // 自动注入UserDetailsService
    @Autowired
    private BaseUserDetailService baseUserDetailService;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http    // 配置登陆页/login并允许访问
                .formLogin().permitAll()
                // 登出页
                .and().logout().logoutUrl("/logout").logoutSuccessUrl("/")
                // 其余所有请求全部需要鉴权认证
                .and().authorizeRequests().anyRequest().authenticated()
                // 由于使用的是JWT,我们这里不需要csrf
                .and().csrf().disable();
    }

    /**
     * 用户验证
     * @param auth
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(daoAuthenticationProvider());
    }


    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider(){
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        // 设置userDetailsService
        provider.setUserDetailsService(baseUserDetailService);
        // 禁止隐藏用户未找到异常
        provider.setHideUserNotFoundExceptions(false);
        // 使用BCrypt进行密码的hash
        provider.setPasswordEncoder(new BCryptPasswordEncoder(6));
        return provider;
    }
}

UserDetailsService 实现

@Service
public class BaseUserDetailService implements UserDetailsService {

    private Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    private BaseUserService baseUserService;
    @Autowired
    private BaseRoleService baseRoleService;
 
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 调用FeignClient查询用户
        ResponseData<BaseUser> baseUserResponseData = baseUserService.getUserByUserName(username);
        if(baseUserResponseData.getData() == null || !ResponseCode.SUCCESS.getCode().equals(baseUserResponseData.getCode())){
            logger.error("找不到该用户,用户名:" + username);
            throw new UsernameNotFoundException("找不到该用户,用户名:" + username);
        }
        BaseUser baseUser = baseUserResponseData.getData();

        // 调用FeignClient查询角色
        ResponseData<List<BaseRole>> baseRoleListResponseData = baseRoleService.getRoleByUserId(baseUser.getId());
        List<BaseRole> roles;
        if(baseRoleListResponseData.getData() == null ||  !ResponseCode.SUCCESS.getCode().equals(baseRoleListResponseData.getCode())){
            logger.error("查询角色失败!");
            roles = new ArrayList<>();
        }else {
            roles = baseRoleListResponseData.getData();
        }

        // 获取用户权限列表
        List<GrantedAuthority> authorities = new ArrayList();
        roles.forEach(e -> {
            // 存储用户、角色信息到GrantedAuthority,并放到GrantedAuthority列表
            GrantedAuthority authority = new SimpleGrantedAuthority(e.getRoleCode());
            authorities.add(authority);
        
        });

        // 返回带有用户权限信息的User
        org.springframework.security.core.userdetails.User user =  new org.springframework.security.core.userdetails.User(baseUser.getUserName(),
                baseUser.getPassword(), isActive(baseUser.getActive()), true, true, true, authorities);
        return new BaseUserDetail(baseUser, user);
    }

    private boolean isActive(int active){
        return active == 1 ? true : false;
    }
}

授权服务器验证
http://127.0.0.1:8080/oauth/authorize?client_id=clientId&response_type=code&redirect_uri=www.baidu.com

注意:client_id:为存储在数据库里的client_id, response_type:写死code

链接回车后进入spring security 的简单登陆页面,

输入账号密码,为实现的 UserDetailsService 要里获取的用户,点击 login,
进入简单授权页面,点击 Authorize,
重定向到 redirect_uri,并带有 code 参数:
http://www.baidu.com?code=rTKETX
post请求获取 token:

注意,此处需加 Authorization 请求头,值为 Basic xxx xxx 为 client_id:client_secret 的 base64编码。

人不彪悍枉少年
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud集成Oauth2.0看完这个基本就理解原理了
qq_36973384的博客
07-05 873
5.1 ResourceServerConfig配置类,通过继承 ResourceServerConfigurerAdapter 实现token令牌的拦截,此外,还需要配置token的生成方法,即TokenConfig配置类。因为我把所有的配置都丢到了nacos,nacos管理了所有服务的配置,主要是nacos的自动更新配置的功能比较方便,即修改配置之后,可以实现自动刷新,无需重启服务,但需要使用配置类中添加@RefreshScope注解才生效。通过扫描注入的方式,注入MybatisPlus。
SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2
最新发布
2401_83915900的博客
04-17 795
在webFlux环境下通过实现接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫@Slf4j@Override//根据access_token从数据库获取不到OAuth2AccessTokenreturn Mono.error(new InvalidTokenException(“Access Token 无效!”));}else {
springcloud-gateway-oauth2:这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权
05-11
1.springcloud-gateway-oauth2 这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务的认证和授权 (记得修改 redis连接 和jdbc连接) 2.安装naocs 3.测试 1.访问认证服务: 2. 访问资源服务: 3. 用户的信息
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权
码猿技术专栏
12-21 6136
大家好,我是不才陈某~这是《Spring Cloud 进阶》第15篇文章,往期文章如下:五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强?openFeign夺命连环9问,这谁受得了?...
Spring Cloud Gateway 与OAuth2模式一起使用
new_ord的博客
08-14 3316
Spring Cloud Gateway是一个构建在 Spring 生态之上的 API Gateway。本文我们将使用OpenID Connect 身份验证,Spring Cloud Gateway 将用户身份验证令牌中继到下游服务
spring boot 项目分层骨架
a781136776的博客
08-11 568
spring boot项目分层骨架
springCloud+Oauth2
02-17
`SpringCloud` 和 `OAuth2` 的结合提供了一种高效且灵活的方式来实现微服务架构中的服务发现、负载均衡和安全控制。本文将深入探讨如何利用这两个强大的框架来构建一个实现单点登录(Single Sign-On,SSO)及安全...
springcloud-ouath2-zhangwei.zip
06-21
本指南将深入探讨如何使用Spring Cloud Oauth2 搭建授权服务器和资源服务器,并涵盖相关的数据库结构、接口调用案例以及不同验证方式的实现。 首先,让我们了解Oauth2的核心概念。OAuth2 是一个授权框架,它允许第...
第七章 SpringCloud OAuth2认证中心-搭建认证中心.pdf
09-13
Spring Cloud OAuth2提供了一种强大的身份验证和授权框架,使得微服务架构中的各个服务能够安全地进行通信。本章节将深入探讨如何利用Spring Cloud OAuth2来搭建一个认证中心,为你的互联网应用程序提供安全保障。 ...
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
通过以上步骤,你可以构建出一个完整的 Springboot Oauth2 Server,为多个微服务应用提供统一的认证和授权服务。这个服务不仅可以保护你的资源免受未授权访问,还可以为用户提供统一的登录体验,提高系统的安全性。
Spring Cloud服务权限系统搭建教程 脚手架
07-21
系统的 License 是 Apache 2.0,使用的技术栈包括 Spring Cloud Hoxton.RELEASE、Spring Cloud OAuth2、Spring Cloud Alibaba、Vue.js 2.6.10、Spring Boot 2.2.0.RELEASE 等。 本系统是一个完整的微服务权限管理...
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
基于security_oauth2 构建spring cloud网关的安全认证服务
01-16
基于security_oauth2 构建spring cloud网关的安全认证服务,使用数据库存储和动态请求连接过滤的方式,实现细粒度的url权限控制
Spring Cloud Gateway 整合OAuth2.0 实现统一认证授权
Lyndon的专栏
04-24 3346
gateway 认证服务
SpringCloud Gateway 集成 oauth2 实现统一认证授权_03
Gblfy_Blog
08-18 5394
文章目录一、网关搭建1. 引入依赖2. 配置文件3. 增加权限管理器4. 自定义认证接口管理类5. 增加网关层的安全配置6. 搭建授权认证中心二、搭建产品服务2.1. 创建boot项目2.2. 引入依赖2.3. controller2.4. 启动类2.5. 配置四、测试验证4.1. 启动nacos4.2. 启动认证中心4.3. 启动产品服务4.3. 请求认证授权中心4.4. 网关请求产品模块4.5. 获取token4.6. 携带token请求产品服务4.7. 直接请求产品服务4.8. 请求结果比对五、总结
服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
乌龟的专栏
08-10 5984
这篇文章主要向大家介绍微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。 标签:gitgithubwebredisspringapi缓存安全服务器restful 最近发现了一个很好的微服务权限解决方案,能够经过认证服务进行统一认证,而后经过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本
Spring Cloud Gateway+Oauth2 实现统一认证和鉴权
const_
03-25 8542
前言 应用架构: 认证服务负责认证,网关负责校验认证和鉴权,其他API服务负责处理自己的业务逻辑。 安全相关的逻辑只存在于认证服务和网关服务中,其他服务只是单纯地提供服务而没有任何安全相关逻辑。 JWT认证流程: 1、用户使用账号和密码发出post请求; 2、服务使用私钥创建一个jwt; 3、服务器返回这个jwt给浏览器; 4、浏览器将该jwt串在请求头中像服务器发送请求; 5、服务器验证该jwt; 6、返回响应的资源给浏览器。 JWT解析 JWT使用场景: 授权:这是JWT使用最多的场景,一旦用户登
springcloudgateway+oauth2实现权限控制
热门推荐
qq_40369829的博客
10-20 1万+
文章目录鉴权服务基础配置鉴权配置网关服务基础配置网关过滤器配置权限校验过滤器配置接口调试前端适配 鉴权服务 OAuth 2.0 的四种方式 OAuth2实现分析 基础配置 新建house-oauth模块,依赖oauth2。 <dependencies> <dependency> <groupId>com.babyjuan</groupId> <artifactId>house-common</art
springcloud oauth2 gateway
09-23
Spring Cloud OAuth2 Gateway 中,OAuth2 认证和授权是通过与认证授权服务(通常是 Spring Security OAuth2)进行协作来实现的。当客户端发起请求时,请求会先到达 Gateway,然后 Gateway 会将请求代理到认证授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值