初识Spring Security OAuth2(一)

最新推荐文章于 2024-08-27 11:17:35 发布
最新推荐文章于 2024-08-27 11:17:35 发布
阅读量421 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangwei18351/article/details/94460377
版权

1. 工程结构

1.1项目代码

pom文件设置

<project xmlns="http://maven.apache.org/POM/4.0.0"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <groupId>cn.huangwei</groupId>

    <artifactId>oauth-demo</artifactId>

    <version>0.0.1-SNAPSHOT</version>

 

    <parent>

       <groupId>org.springframework.boot</groupId>

       <artifactId>spring-boot-starter-parent</artifactId>

       <version>2.0.7.RELEASE</version>

       <relativePath /> <!-- lookup parent from repository -->

    </parent>

 

    <dependencies>

       <!-- 注意是starter,自动配置 -->

       <dependency>

           <groupId>org.springframework.boot</groupId>

           <artifactId>spring-boot-starter-security</artifactId>

       </dependency>

       <!-- 不是starter,手动配置 -->

       <dependency>

           <groupId>org.springframework.security.oauth</groupId>

           <artifactId>spring-security-oauth2</artifactId>

           <version>2.3.5.RELEASE</version>

       </dependency>

       <dependency>

           <groupId>org.springframework.boot</groupId>

           <artifactId>spring-boot-starter-web</artifactId>

       </dependency>

 

    </dependencies>

 

</project>

application.yml文件设置

server:

  port: 10011

OauthApp.java文件设置

package cn.huangwei.app;

 

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

 

@SpringBootApplication

public class OauthApp {

         public static void main(String[] args) {

                   SpringApplication.run(OauthApp.class, args);

         }

}

Test EndPoint.java 文件配置

package cn.huangwei.app;

 

import org.springframework.security.core.Authentication;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.PathVariable;

import org.springframework.web.bind.annotation.RestController;

 

@RestController

public class TestEndpoints {

 

    @GetMapping("/product/{id}")

    public String getProduct(@PathVariable String id) {

        //for debug

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        return "product id : " + id;

    }

 

    @GetMapping("/order/{id}")

    public String getOrder(@PathVariable String id) {

        //for debug

        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        return "order id : " + id;

    }

 

}

 

 

SecurityConfiguration.java文件设置

package cn.huangwei.app;

 

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.factory.PasswordEncoderFactories;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.provisioning.InMemoryUserDetailsManager;

 

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

 

    @Bean

    @Override

    protected UserDetailsService userDetailsService() {

       BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

       // password 方案三:支持多种编码,通过密码的前缀区分编码方式

       String finalPassword = "{bcrypt}" + bCryptPasswordEncoder.encode("123456");

       InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

        manager.createUser(User.withUsername("user_1").password(finalPassword).authorities("USER").build());

        manager.createUser(User.withUsername("user_2").password(finalPassword).authorities("USER").build());

       return manager;

    }

 

    // password 方案三:支持多种编码,通过密码的前缀区分编码方式,推荐

    @Bean

    PasswordEncoder passwordEncoder() {

       return PasswordEncoderFactories.createDelegatingPasswordEncoder();

    }

 

    /**

     * 这一步的配置是必不可少的,否则SpringBoot会自动配置一个AuthenticationManager,覆盖掉内存中的用户

     */

    @Bean

    @Override

    public AuthenticationManager authenticationManagerBean() throws Exception {

       AuthenticationManager manager = super.authenticationManagerBean();

       return manager;

    }

 

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.requestMatchers().anyRequest().and().authorizeRequests().antMatchers("/oauth/*").permitAll();

    }

}

 

Oauth2ServerConfig.java文件设置

package cn.huangwei.app;

 

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.http.SessionCreationPolicy;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;

import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;

import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;

import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;

import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;

import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;

import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;

import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

 

@Configuration

public class OAuth2ServerConfig {

 

    private static final String DEMO_RESOURCE_ID = "order";

 

    @Configuration

    @EnableResourceServer

    protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

 

        @Override

        public void configure(ResourceServerSecurityConfigurer resources) {

            resources.resourceId(DEMO_RESOURCE_ID).stateless(true);

        }

 

        @Override

        public void configure(HttpSecurity http) throws Exception {

            http

                    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)

                    .and()

                    .requestMatchers().anyRequest()

                    .and()

                    .anonymous()

                    .and()

                    .authorizeRequests()

                    .antMatchers("/order/**").authenticated();//配置order访问控制,必须认证过后才可以访问

        }

    }

 

 

    @Configuration

    @EnableAuthorizationServer

    protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

 

        @Autowired

        AuthenticationManager authenticationManager;

       

 

        @Override

        public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

            //配置两个客户端,一个用于password认证一个用于client认证

             String finalSecret = "{bcrypt}"+new BCryptPasswordEncoder().encode("123456");

             //配置两个客户端,一个用于password认证一个用于client认证

             clients.inMemory().withClient("client_1")

                     .resourceIds(DEMO_RESOURCE_ID)

                     .authorizedGrantTypes("client_credentials", "refresh_token")

                     .scopes("select")

                     .authorities("oauth2")

                     .secret(finalSecret)

                     .and().withClient("client_2")

                     .resourceIds(DEMO_RESOURCE_ID)

                     .authorizedGrantTypes("password", "refresh_token")

                     .scopes("select")

                     .authorities("oauth2")

                     .secret(finalSecret);

        }

 

        @Override

        public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

            endpoints

                    .tokenStore(new InMemoryTokenStore())

                    .authenticationManager(authenticationManager)

                    .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);

        }

 

        @Override

        public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

            //允许表单认证

            oauthServer.allowFormAuthenticationForClients();

        }

 

    }

 

}

 

运行OauthApp工程文件,然后浏览器中输入client模式:

http://localhost:8080/oauth/token?grant_type=client_credentials&scope=select&client_id=client_1&client_secret=123456

响应如下:

{"access_token":"fbd5a92b-39b0-4330-b195-bd5518539f41","token_type":"bearer","expires_in":42102,"scope":"select"}

 

1.2各个java 文件的作用

资源服务器OAuth2ServerConfig-ResourceServerConfiguration

使用@EnableResourceServer修饰的Configurer接口。实现此接口以调整受OAuth2安全性保护的访问规则和路径。应用程序可以提供此接口的多个实例,如果多个实例配置相同的属性,则使用最后一个配置的属性值。在应用之前,配置程序按{@link Order}排序。

该接口有两个方法

① 添加资源的相关属性

② 配置资源的安全访问规则,默认是所有在/oauth/**的资源都应该被保护

一般去继承ResourceServerConfigurerAdapter这个接口类。然后实现相关方法。

@EnableResourceServer注解自动增加了一个类型为OAuth2AuthenticationProcessin-gFilter的过滤器链

认证服务器OAuth2ServerConfig-AuthorizationServerConfiguration

使用@EnableAuthorizationServer来修饰一个类,表明认证服务器配置类。

有三个方法:

①配置客户端的相关信息,id,secret,scope等信息

②配置认证endPoint的相关信息,tokenstore类型,authenticationManager,允许生成token的request method,例如get,most等。

③配置授权服务器/oauth/token endPoint的安全性,一般采用默认规则,即使不配置也能使用,创建ClientCredentialsTokenEndpointFilter核心过滤器

TestEndpointscontroller用于验证安全访问的请求,不再赘述

SecurityConfiguration文件

配置用户的信息,以及一些需要在认证服务器中使用的bean实例,config(HttpSecurity http)用户设置哪些方法能够通行,不需要经过安全认证

黑人小笼包
关注
专栏目录
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9469
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
初识Spring Security OAuth2
weixin_38927257的博客
11-21 1246
文章目录SpringSecurityOAuth来开发认证服务器和资源服务器SpringSecurityOAuth其实已经帮我们默认实现了以下一些东西:项目准备1. 添加依赖2. 配置认证服务器登录并授权获取token3. 配置资源服务器带着token去访问资源spring security oauth2 登录核心源码TokenEndpointClientDetailsTokenRequestCom...
Spring Security中的OAuth2。
最新发布
qq_33240556的博客
08-27 1073
Spring Security 中的OAuth2支持使得集成OAuth2变得更加简单和直观。无论是作为OAuth2客户端还是授权服务器,Spring Security都提供了丰富的API和配置选项来满足您的需求。希望这些信息对您有所帮助!如果您有任何具体的问题或需要进一步的帮助,请随时告诉我。
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
OAuth2.0
Jesse_cool的博客
10-26 322
前言 看到spring security OAuth 不太理解,所以查了很多资料 例子: 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。 一般来说,总不可能让云冲印拿到自己的密码吧,由此,OAuth诞生了(密码模式的话也是要提供账号密码 的) OAuth运行流程 客户端的授权模式 客户...
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 5724
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
初识Spring Security OAuth2(三)
huangwei18351的博客
07-03 929
3.携带token访问受限资源 携带token访问资源,这涉及到@EnableResourceServer相关的资源服务的配置。 @Configuration @EnableResourceServer protected static class ResourceServerConfiguration extends ResourceServerCon...
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 2333
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
微服务[学成在线] day16:基于Spring Security Oauth2开发认证服务
通往体面生活的路上
07-24 581
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day16 的内容 学习 Spring Security + Oauth2 基本概念以及实现过程。 学习 Oauth2 的基本应用场景,这里主要是通过 Oauth2 的密码模式来实战。 初识 JWT 令牌。 本章节的最后通过 Spring Security Oauth2 完成了认证
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2470
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Spring Security Oauth2
m0_74907678的博客
03-07 394
Oauth2
SpringSecurity OAuth2
weixin_41695661的博客
07-01 196
1.OAuth2分四种模式目前只了解常用的授权码模式和密码模式 1.授权码模式:授权码模式一般用于第三方登录,主要解决了用户登录时密码不会被客户端获取 比较安全. 执行流程: 1;用户打开客户端后,客户端要求用户授权, 具体到实际流程就是登录gitee,点击微信第三方授权登录获取用户授权二维码. 2.用户同意给客户端授权, 具体流程是用户拿微信扫描二维码点击确认授权并用配置好的回调url携带code码跳转到客户端 3.客户端用上一步获取的code去授权服务申请Access_token 4.申请完token就
Spring Security OAuth2 (二)之浅谈Spring Security
一个不断前行的程序者
09-17 165
继上一篇的OAuth2之后,这篇我们吧Spring Security整理一下。 一、官网说明: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。 二、个人理解: 怎么说呢,spring Security并不是我用的一个安全框架。.
认证授权Spring Security OAuth教程(第二版)
m0_48922996的博客
07-20 406
先是给大家基本概念,然后是基于Session的认证方式,紧接着会带着大家去快速的上手SpringSecurity,然后回去给大家详解解释SpringSecurity应用、然后就是分布式系统认证方案以及OAuth2.0,最后是SpringSecurity实现分布式系统授权!下面会带着大家详细地去学习!...
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
Spring Security OAuth2 2.3.5 中文API文档包
资源摘要信息:"本资源为Spring Security OAuth2 2.3.5.RELEASE版本的API文档中文版,提供了完整、详细的API接口说明,方便开发者理解和使用Spring Security OAuth2框架。资源内容包括: 1. Spring Security OAuth2 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值