基于oAuth2.0开发属于自己的SSO授权服务 - 授权码(Authourization Code)模式 (持续更新中。。。)

已于 2022-03-26 00:57:38 修改
阅读量936 收藏
点赞数 1
分类专栏: oauth2.0 spring boot spring security 文章标签: spring boot java
于 2022-03-19 10:10:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hivesplace/article/details/123589225
版权

此文章篇幅较长,平日上班较少时间写作,请见谅。持续更新中。。。

oAuth2.0系列文章目录
oAuth2.0系列文章目录
一. 基于oAuth2.0开发属于自己的单点登录SSO授权服务 - 授权码Authourization Code模式
基于oAuth2.0开发属于自己的单点登录SSO授权服务 - 授权码Authourization Code模式 .
应用场景
开发环境
客户端应用和授权服务器端属于同一个集团, 处于不同微服务Micro Service内
后端: Java8, Spring Boot, Spring Security, Spring AOP, BouncyCastle, MySQL ..
前端: Vue 3, Element, Axios, Router
其他: Nginx反向代理, 国密SM2, SM4加密算法 ..

文章目录

前言

本文用最基本的Spring Security,Spring Boot,不采用Spring Boot oAuth相关插件,重写oAuth2.0 SSO授权服务器。应用场景:客户端应用和授权服务器端属于同一个集团,处于不同微服务内;授权服务器和资源服务器处于相同服务器内。

一、具体实现及流程

用户在授权服务器注册用户(Happy Flow)

客户 客户端 授权服务器 数据库 访问客户端页面,发起SSO注册请求 1 获取 csrfToken, jSessionId,sm4salt 2 返回 csrfToken, jSessionId,sm4salt 3 利用sms短信验证码 / 电邮验证码,验证用户手机号码 / 电邮地址 4 利用bcrypt加密用户密码 5 利用SM4加密算法和自定义方式组合csrfToken, sm4salt生成密码 6 发起用户注册请求 7 loop [pre-registration] 验证客户端安全信息(appId,appSecret,callback url,scope等等) 8 验证成功,写入用户 9 返回注册结果 10 注册成功 11 客户 客户端 授权服务器 数据库

用户登录SSO(Happy Flow)

客户 客户端 授权服务器 资源服务器 数据库 访问客户端页面,发起SSO登录请求 1 获取 csrfToken, jSessionId,sm4salt 2 返回 csrfToken, jSessionId,sm4salt 3 发起登录请求 4 验证客户端用户安全信息(appId,appSecret,callback url,scope等等) 5 loop 验证用户 6 查询及验证用户 7 用户验证成功 8 根据callback url值,发起请求并返回用户信息、角色及相关权限 9 写入用户登录状态及用户权限到sessionStorage 10 loop 客户 客户端 授权服务器 资源服务器 数据库

二、具体实现步骤

1. 项目设置

1.1 引入Maven依赖库

<!-- Core Functions Dependencies -->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>servlet-api</artifactId>
    <version>2.5</version>
    <scope>provided</scope>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

<!-- Web Modules Dependencies -->
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-juli</artifactId>
    <version>${tomcat.version}</version>
</dependency>
<dependency>
	<groupId>org.webjars</groupId>
	<artifactId>bootstrap</artifactId>
	<version>5.1.3</version>
</dependency>
<dependency>
	<groupId>org.webjars</groupId>
	<artifactId>jquery</artifactId>
	<version>3.6.0</version>
</dependency>
<dependency>
	<groupId>org.webjars</groupId>
	<artifactId>jquery-ui</artifactId>
	<version>1.13.0</version>
</dependency>
<dependency>
	<groupId>org.webjars</groupId>
	<artifactId>font-awesome</artifactId>
	<version>5.15.4</version>
</dependency>
<dependency>
	<groupId>org.webjars</groupId>
	<artifactId>webjars-locator-core</artifactId>
</dependency>

<!-- DB and Data Dependencies -->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>	
<dependency>
	<groupId>mysql</groupId>
	<artifactId>mysql-connector-java</artifactId>
	<scope>runtime</scope>
</dependency>
<!-- END Spring Boot default jdbc connector -->

<!-- Other Functions Dependencies -->
<dependency>
	<groupId>org.projectlombok</groupId>
	<artifactId>lombok</artifactId>
	<optional>true</optional>
</dependency>

1.2 设置application.yml 和 application.properties

- application.yml
server:
  port: 12911
  servlet:
    context-path: /oauth2
spring:
  profiles:
    active:
    - default
  application:
    name: hp-auth-oauth2-sso-api-12911
- application.properties
#spring.datasource.url=jdbc:mysql://192.168.31.54:3306/PRIVILEGE?useSSL=false&useUnicode=true&characterEncoding=utf8
spring.datasource.url=jdbc:mysql://[your domain name]:3306/[your db name]?useSSL=false&useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8
spring.datasource.username=[your db username]
spring.datasource.password=[your db password]
# Hikari will use the above plus the following to setup connection pooling
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.hikari.minimum-idle=5
spring.datasource.hikari.maximum-pool-size=15
spring.datasource.hikari.auto-commit=true
spring.datasource.hikari.idle-timeout=30000
spring.datasource.hikari.pool-name=DatebookHikariCP
spring.datasource.hikari.max-lifetime=1800000
spring.datasource.hikari.connection-timeout=30000
spring.datasource.hikari.connection-test-query=SELECT 1
#"none", This is the default for MySQL, no change to the database structure.
#update Hibernate changes the database according to the given Entity structures.
#create Creates the database every time, but don't drop it when close.
#create-drop Creates the database then drops it when the SessionFactory closes.
#It is good security practice that after your database is in production state, 
#  you make this none and revoke all privileges from the MySQL user connected to the Spring application, 
#  then give him only SELECT, UPDATE, INSERT, DELETE.
spring.jpa.hibernate.ddl-auto=none
spring.jpa.database-platform=org.hibernate.dialect.MySQL5Dialect
spring.jpa.hibernate.naming.physical-strategy=org.hibernate.boot.model.naming.PhysicalNamingStrategyStandardImpl
spring.jpa.show-sql=true
#Unfortunately, Open Session in View (OSIV) is enabled by default in Spring Boot.
#So, make sure that setting: "spring.jpa.open-in-view=false"
#so that you can handle the LazyInitializationException the right way.
spring.jpa.open-in-view=false

# Hibernate properties
spring.jpa.properties.hibernate.id.new_generator_mappings=false

#thymelead properties
spring.mvc.static-path-pattern=/static/**
spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.suffix=.html
spring.thymeleaf.mode=HTML
spring.thymeleaf.encoding=UTF-8
spring.thymeleaf.servlet.content-type=text/html
spring.thymeleaf.cache=false
spring.thymeleaf.enabled=true

2. 后端开发

2.1 创建Login Controller

package com.hivesplace.templates.controllers;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

import com.hivesplace.templates.VOs.CsrfTokenJSessionIdVO;
import com.hivesplace.templates.beans.CsrfTokenJSessionId;

@Controller
public class LoginController {
	@Autowired
	CsrfTokenJSessionIdVO csrfTokenJSessionIdVO;
		
	@GetMapping(path="/login")
	public String login(HttpServletRequest request) {
		csrfTokenJSessionIdVO.setCsrfToken(new CsrfTokenJSessionId().getCsrfToken());
		csrfTokenJSessionIdVO.setJSessionId(request.getSession().getId());
		
		System.out.println(">>>>>>>>>>> csrfTokenJSessionVO: "+csrfTokenJSessionIdVO.toString());
		
		return "login";
	}
}

2.2 创建POJO - CsrfTokenJSessionId

package com.hivesplace.templates.beans;

import java.util.Random;

import org.apache.commons.lang3.RandomStringUtils;
import org.springframework.stereotype.Component;

import lombok.Data;

@Data
@Component
public class CsrfTokenJSessionId {
	
	public CsrfTokenJSessionId() {
		this.setCsrfToken();
		this.jSessionId = "[please provide jSessionId by calling setter function - setJSessionId(String)]";
	}
	
	public CsrfTokenJSessionId(String csrfToken, String jSessionId) {
		this.csrfToken = csrfToken;
		this.jSessionId = jSessionId;
	}
	
	private String csrfToken;
	private String jSessionId;
	
	public void setCsrfToken() {
		final boolean USELETTERS = true;
		final boolean USENUMBERS = true;
		final int BEGININDEX = new Random().nextInt(32);
		final int ENDINDEX = BEGININDEX+32;
		
		this.csrfToken = RandomStringUtils.random(64, USELETTERS, USENUMBERS).substring(BEGININDEX, ENDINDEX);
	}
}

2.3 创建index.html (基于Webjars Bootstrap and jQuery)

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <meta name="description" content="">
    <meta name="author" content="">
    <link rel="icon" href="/oauth2/static/img/favicon.ico">

    <title>HIVESPLACE | Login</title>

    <!-- Bootstrap core CSS -->
    <link href="/oauth2/webjars/bootstrap/css/bootstrap.min.css" rel="stylesheet">

    <!-- Custom styles for this template -->
    <link href="/oauth2/static/css/signin.css" rel="stylesheet">
    <link href="/oauth2/static/css/corporate.css" rel="stylesheet">

</head>

<body class="text-center">

    <header class="display-none" id="loginWrap_header">
        <div class="corporate__header">
          <div class="header__wrapper">
            <div class="header__item">
              <nav class="top-bar">
                <span>
                    <div class="top-bar__holder">
                    <a href="#" target="_blank"><span class="top-bar__txt">HIVESPLACE</span></a>
                    </div>
                    <div class="top-bar__holder">
                    <a href="#" target="_blank"><span class="top-bar__txt">About HIVESPLACE</span></a>
                    </div>
                    <div class="top-bar__holder">
                    </div>
                </span>
              </nav>
            </div>
          </div>
        </div>
    </header>

    <div class="form-container row display-none" id="loginWrap_form">
        <div class="form-head-container my-auto">
            <div class="form-head">
                <img id="login-logo" class="mb-4" src="/oauth2/static/img/logoBee320x346.png" alt="">
                <h1 class="h3 mb-3 font-weight-normal">SSO Login</h1>
            </div>
            <div class="all-forms row">
                <form class="form-signin needs-validation" method="post" action="oauth-login" novalidate>
                    <div class="uname-pword">
                        <p>请输入用户名及密码</p>
                        <input type="text" id="inputUsername" name="username" class="form-control login-uname" placeholder="Username" autocomplete="username" required>
                        <div class="form-group pass_show"> 
                            <input type="password" id="inputPassword" name="password" class="form-control" placeholder="Password" autocomplete="current-password" required>
                            <span class="ptxt" id="showPassword">Show</span>
                        </div> 
                        <button class="btn btn-lg btn-primary btn-block mt-5 btn-submit" id="autoSignIn" type="submit">登入</button>
                    </div>
                </form>
                <div style="clear:both;"></div>
            </div>
        </div>
    </div>

    <!-- Footer -->
    <footer class="sticky-footer bg-white display-none" id="loginWrap_footer">
      <div class="container my-auto">
        <div class="copyright text-center my-auto">
           <span>版权 &copy; 2021 HIVESPLACE.com</span>
        </div>
      </div>
    </footer>
    <!-- End of Footer -->

    <!-- Bootstrap core JavaScript
    ================================================== -->
    <!-- Placed at the end of the document so the pages load faster -->
    <script src="/oauth2/webjars/jquery/jquery.min.js"></script>
    <script src="/oauth2/webjars/bootstrap/js/bootstrap.min.js"></script>
    <script src="/oauth2/static/js/signin.js"></script>
</body>
</html>
signin.js
// Example starter JavaScript for disabling form submissions if there are invalid fields
  (function() {
    'use strict';
    window.addEventListener('load', function() {
      // Fetch all the forms we want to apply custom Bootstrap validation styles to
      var forms = document.getElementsByClassName('needs-validation');
      // Loop over them and prevent submission
      var validation = Array.prototype.filter.call(forms, function(form) {
        form.addEventListener('submit', function(event) {
          if (form.checkValidity() === false) {
            event.preventDefault();
            event.stopPropagation();
          }
          form.classList.add('was-validated');
        }, false);
      });
    }, false);
    
    //if(sessionStorage.autoLogin!=1){
		//console.log("session storage - username: "+sessionStorage.autoUsername);
    	$("#loginWrap_header").removeClass("display-none");
    	$("#loginWrap_form").removeClass("display-none");
    	$("#loginWrap_footer").removeClass("display-none");
    /*}else{
    	console.log("session storage - username: "+sessionStorage.autoUsername);
    	$("#inputUsername").val(sessionStorage.autoUsername);
    	$("#inputPassword").val(sessionStorage.autoPassword);
    	$("#autoSignIn").click();
    }*/
    
  })();

// jQuery for show password function
$('#showPassword').click(function(e){ 
    /*
    jQuery 使用函数来设置内容
	语法:		$(selector).attr(attribute,function(index,oldvalue))
    */
    $(this).text($(this).text() == "Show" ? "Hide" : "Show");
    /*
    jQuery 使用函数来设置属性/值
	语法:		$(selector).attr(attribute,function(index,oldvalue))
    */
    $(this).prev().attr('type', function(index, attr){return attr == 'password' ? 'text' : 'password'; }); 
});

// Stop redirect after validation pass & switch to SMS validation
var wrapWidth = $(".form-container").outerWidth();

总结

以上就是今天所讲的全部内容。

源代码

关注我并发表不少于10字评论可以获取本文源代码。

码农经典语录

Linus Torvalds
Talk is cheap, show me the code.

蜂窝码农

  • DRY Principle (Don’t Repeat Yourself) 是做技术的最大笑话, DRY Principle应该改成 DORY Principle (Do Repeat Yourself)才对
  • 没有中国参与的标准,不能称为世界标准

俗语
好读书、好记性不如烂笔头

参考链接

hivesplace
关注
专栏目录
【项目实战】基于OAuth2.0认证的Code模式接口集成身份平台IAM,实现单点登录SSO功能
本本本添哥
12-01 653
【项目实战】基于OAuth2.0认证的Code模式接口集成身份平台IAM,实现单点登录SSO功能。
构建OAuth2.0SSO单点登录服务(基于go-oauth2)(学习笔记)
自学笔记罢了
03-04 2417
bsy学习OAuth2.0的笔记,第一部分是阅读相关文献,抄了一遍。第二部分实现了代部分。
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
基于Oauth2.0实现SSO单点认证
zh5220909的博客
12-24 2411
什么是单点? 借用百度百科的话: 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。 单点登录图解: 什么是Oauth2.0? OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密,供第三方应用使用。 引用阮一峰老师的文章:OAuth 2.0 的四种方式 - 阮一
SSO授权模式访问过程
07-10 337
SSO授权模式访问过程,特此记录 转载于:https://www.cnblogs.com/lishiqi-blog/p/11165524.html
单点登录SSO-OAuth2授权模式
村口王大爷的博客
01-01 880
单点登录SSO详解
OAuth2.0 SSO授权
bao_bei_li_yue的博客
07-30 480
一、OAuth2.0授权协议   一种安全的登陆协议,用户提交的账户密不提交到本APP,而是提交到授权服务器,待服务器确认后,返回本APP一个访问令牌,本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密并不与本APP直接交互,而是与官方服务器交互,因而它是安全的。 图示: 流程:   1、获取未授权的Request Token。     url
如何在分布式环境搭建单点登录系统| 第二篇:基于Oauth2.0开发SSO核心代
weixin_42708842的博客
09-24 339
较大型的企业,往往存在多套应用系统。各个应用系统都是在企业发展的某个阶段,因业务发展的需求,开发研制而成。每套系统都会有一套自己的用户体系,需要终端用户注册、登录后才能使用。 随着企业的发展,用到的系统随之增多,用户在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于用户来说很不方便。 于是,设计一套统一的登录认证系统,避免不必要的反复登录。减轻用户操作负担,提高效率,在企业的发展进程,显得越来越重要。上文提到,为了实现SSO,各个应用系统需要配合对接单点登录系统。
php oauth2.0认证登陆,理解OAuth2.0认证与客户端授权模式详解
weixin_42393829的博客
03-10 832
一、什么是OAuth协议OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和...
oauth2.0授权机制,授权
最新发布
05-28
1. **授权模式**:这是OAuth2.0最常见的授权类型,适用于有服务器端的应用。当用户同意授权后,授权服务器会返回一个授权给客户端。客户端随后使用这个授权授权服务器验证并换取访问令牌(Access Token)...
基于Spring Cloud、OAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录
10-23
全网最新的Cloud 权限系统 基于Spring Boot 2.0.4.RELEASE 基于Spring Cloud Finchley.SR1 网关基于 Spring Cloud Gateway 提供Consul 服务注册发现版本pigxc 最终一致性的分布式事务解决方案 图形化代生成,不会vue也能做到敏捷开发 基于 Spring Security oAuth 深度定制,支持社交登录等 完整的OAuth 2.0 流程,资源服务器控制权限 去除了部分对于开发不友好的间件,快速上手
Oauth2-SSO:使用Oauth2实现的SSO单点登录登出,模拟微信QQ授权模式授权资源访问
03-23
cjs-oauth2-sso-demo OAuth2 SSO 译文: 原作者没有实现单点退出功能,再次基础上实现了单点退出: 原理就是每一个sso客户端退出时候,添加Redis保存当前退出的用户名。每个系统实现切面aspect注解添加到控制器上面,每个请求根据当前系统的用户名去纠正Redis里面有没有存入相同的用户名,存入的话说明当前用户在别的系统退出了,那么清除当前访问项目的局部会话cookie。 将JWT方式的令牌改成Oauth2系统自己实现的令牌方式,同时将令牌存入Redis,同时将oauth_client_details数据库存储加入Redis缓存。 demo使用时,添加DNS域名解析(Windows):C:\ Windows \ System32 \ drivers \ etc \ hosts 127.0.0.1 myorder.com 127.0.0.1 mymember.c
Spring Security Oauth2实践(1) - 授权模式
奔跑的蜗牛
09-21 3927
笔者最近花了点时间研究Oauth2原理,基于spring写了一些demo用于实践探索,深深体会到Spring Security Oauth2框架的便利,框架帮我们封装太多了底层实现,所以使用起来非常方便,除了可以为第三方应用提供授权,也可以作为应用的登录框架。 文章基于Spring Security Oauth2.0授权模式实践,采用SpringBoot搭建Demo讲述基本使用过程。 概述 ...
sso 四种授权模式
wql56789的博客
11-22 1030
OAuth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据。允许用户授权B应用不提供帐号密的方式去访问该用户在A应用服务器上的某些特定资源。
Spring Security Oauth2 授权服务开发
weixin_33968104的博客
11-14 120
2019独角兽企业重金招聘Python工程师标准>>> ...
(三)spring security:OAuth2 SSO授权“获得 JWT令牌,访问受保护的资源,源分析流程
yanfei_1986的博客
11-02 742
一、 二、 三、
OAuth 2.0——授权服务开发笔记(一)
九日王朝
03-07 782
一、概念 OAuth是一个关于授权authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。因为1.0版设计的很繁琐,所以被抛弃了。 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 ...
SSO单点登录实例详解(前端传Code授权登录)
ELSA001的博客
01-08 3018
SSO单点登录以及单点登录流程详解
Oauth2==SSO三种协议。Oauth2四种模式
hebian1994的博客
07-23 912
模式扫描二维那个界面不是认证服务器提供的,是由前端页面自己提供的一个输入账号密的界面,用户输入账号密之后,前端去拿着账号密去访问认证服务器,认证服务器验证账号密后返回token给前端,前端访问后端带上token,后端去认证服务器校验token。这种模式有可能账号密是盗来的。公司内部的网站可以使用。微信QQ都不支持这种模式授权模式(最严格的,功能最完善,大多数认证都是使用这种模式)token发放到后端。客户端证书模式前端自己要自动去后端获取资源的时候用,很少使用。......
JWT与社交登录:OAuth2.0授权与Gulimall集成
本文主要介绍了单点登录(Single Sign-On, SSO)的一个重要实现方式——JSON Web Token (JWT)以及社交登录功能,特别是以微博登录为例的OAuth2.0流程。JWT是一种轻量级的身份验证和授权协议,它基于JSON格式,能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值