Spring Security从单体应用到分布式(三)-引入Spring Security Oauth2

最新推荐文章于 2024-04-21 17:55:36 发布
最新推荐文章于 2024-04-21 17:55:36 发布
阅读量2k 收藏 3
点赞数
分类专栏: 权限相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kiranet/article/details/82954689
版权

1.为什么微服务要引入Oauth2.0

     关于了解Oauth2.0是什么,阮一峰老师的http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html已经详细地分析了Oauth2.0。在Spring Boot+Spring Cloud的微服务架构中,如果每个服务都维护一套自己的鉴权逻辑,这样不同的服务之间可能无法协同运作,因此出现了Spring Security Oauth2.0:通过鉴权服务提供acess_token,其它微服务作为资源服务通过acess_token调用受保护的接口。本文中鉴权服务器和资源服务器是在一起的,首先通过自制的登录页面进行登录,登录成功后再通过Spring Security的组件预留的api进行令牌模式或密码模式获取acess_token,通过携带acess_token调用受保护的接口。

2.流程图

常用的2种授权模式

       授权码模式,首先要经过授权获取对应的授权code,然后再通过token接口获取access_token,用于第三方去请求某个接口的时候多用这种模式,如微信的API调用。

        密码模式,直接通过密码和用户名token接口获取access_token,在我负责过的功能当中,一般该模式适用于内部服务之间的调用。

3.引入依赖及配置

Pom.xml依赖

        <!--Oauth2依赖-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        <!--使服务能访问静态资源-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

添加application.yml设置登录静态页面的位置

spring:
  thymeleaf:
    prefix: classpath:/templates/
 

   该配置类添加@EnableAuthorizationServer注解使该模块服务成为一个鉴权服务,他提供了/oauth/authorize,/oauth/token,/oauth/check_token,/oauth/confirm_access,/oauth/error,token相关的预设API接口,其中在configure方法中.inMemory()设置该了该服务的相关信息保存在浏览器内存中,.withClient("demoApp")设置了该鉴权服务的id,.secret("demoAppSecret")设置了鉴权密码,.authorizedGrantTypes("authorization_code", "password","refresh_token") 设置了服务支持的授权方法 

package com.security.oauth2test.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

@Configuration
@EnableAuthorizationServer //提供/oauth/authorize,/oauth/token,/oauth/check_token,/oauth/confirm_access,/oauth/error
public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer
                .tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .allowFormAuthenticationForClients();
    }
    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()//数据存在内存中
                .withClient("demoApp")//授权服务器id
                .secret("demoAppSecret")//授权密码
                .authorizedGrantTypes("authorization_code", "password", "refresh_token")//获取模式
                .scopes("all")
                .resourceIds("oauth2-resource")//资源服务器id
                .accessTokenValiditySeconds(1200)//token的存在时间
                .refreshTokenValiditySeconds(50000);//刷新token的token的存在时间
    }
}

 

4.效果

       无论是授权码模式还是密码模式,首先要登录系统,形成登录成功的浏览器SESSION,下面源码分析会解析为什么需要登录才能继续进行token的获取。

授权码模式

client_id:这是客户端id,在本文中在配置类中设置了该值为demoApp

response_type: 表示授权模式,在授权码模式中,该值为code

redirect_uri:需要跳转的url

        在授权码模式中,首先要向客户端进行请求授权,当我们带上参数访问/oauth/authorize并且点击授权后就能获取授权的code值,本文中该值为olfUVS

client_id:在本文中在配置类中设置了该值为demoApp

client_secret:在本文中在配置类中定义为demoAppSecret

code:上个url反馈的值

grant_type:使用授权码模式,故这个值为authorization_code

redirect_uri:需要跳转的url

       获得授权之后,可以通过code值,和预先约定的信息,通过访问/oauth/token获取访问资源的access_token,要注意的是使用授权码模式进行token获取的时候跳转的url必须两次请求的时候都是一样的。

 

密码模式

client_id:在本文中在配置类中设置了该值为demoApp

client_secret:在本文中在配置类中定义为demoAppSecret

grant_type:使用密码模式,故这个值为password

username:获取token的用户名

password:获取token的用户对应的密码

无论是授权码模式还是密码模式,当他们访问端口生成token,使用返回的token:e701a724-a55a-4c6c-8cd2-0498c98d409e 成功调用的接口

无效的token调用失败

5.源码分析

       在令牌模式和密码模式的源码中,!(principal instanceof Authentication)要求了用户必须进行登录才能进行操作,反过来看因为如果没有通过身份认证,就不能通过该身份生成对应的access_token

	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}
    部分省略........
}
	@RequestMapping(value = "/oauth/authorize")
	public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters,
			SessionStatus sessionStatus, Principal principal) {

		try {

			if (!(principal instanceof Authentication) || !((Authentication) principal).isAuthenticated()) {
				throw new InsufficientAuthenticationException(
						"User must be authenticated with Spring Security before authorization can be completed.");
			}
     部分省略........

}

       在TokenEndpoint中,token获取接口/oauth/token是写有GET和POST方法的,但是在默认的配置下只允许使用POST做请求方式。

	@RequestMapping(value = "/oauth/token", method=RequestMethod.GET)
	public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
		if (!allowedRequestMethods.contains(HttpMethod.GET)) {
			throw new HttpRequestMethodNotSupportedException("GET");
		}
		return postAccessToken(principal, parameters);
	}
	
	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {}

     如果需要让/oauth/token支持GET方法就必须在初始化的时候给它多添加请求的方法方式,只需要在allowedTokenEndpointRequestMethods方法中多添加请求类型就可以了

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(customAuthenticationManager());
        endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET,HttpMethod.POST);
    }

github:https://github.com/tale2009/spring-security-learning/tree/master/oauth2

总结

        到这里,关于在分布式系统上使用Spring Security的前期知识已经通过三篇博文讲完,基于Spring家族的关系,Spring Security变得非常契合用在Spring Boot+Spring Cloud架构下,后面我会发布关于Spring Boot+Spring Cloud架构下如何使用Spring Security的文章。

kiranet
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBlade微服务开发平台-其他
06-12
SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot 2 、Spring ...
User must be authenticated with Spring Security before authorization can be completed
honor_zhang的博客
08-10 8711
问题描述 利用Spring cloud oauth2实现Oauth 2权限控制时,调用/oauth/authorize获取授权码,抛出了User must be authenticated with Spring Security before authorization can be completed异常? 请求接口: 控制台异常信息为: 接口部分源码为: @RequestMapping(value = "/oauth/authorize") public ModelAndV...
User must be authenticated with Spring Security before authorization can be completed.解决方法
一火的专栏
11-26 3349
org.springframework.security.authentication.InsufficientAuthenticationException: User must be authenticated with Spring Security before authorization can be completed.
SpringSecurity入门
最新发布
Bunny的博客
04-21 1132
官方文档: https://docs.spring.io/spring-security/reference/index.html功能:身份认证:授权:官方代码示例:GitHub - spring-projects/spring-security-samples项目搭建完成后,默认端口是8080,直接访问即可。**浏览器自动跳转到登录页面:**http://localhost:8080/login项目结构这里用到了数据库但是在项目刚开始启动时,是没有配置数据库的,这时候启动肯定会报错,所以我们现在启动类上排
Oauth2 爬坑
qq_34631813的博客
11-05 528
一 配置授权服务器 整理自https://www.jianshu.com/p/227f7e7503cb 一 配置内存 问题一: User must be authenticated with Spring Security before authorization can be completed. 则需要实现 WebSecurityConfigurerAdapter 问题二: error=“i...
使用springcloud2021版本修改黑马的教程
大胆刁民的博客
10-13 1182
Gateway服务网关 Spring Cloud Gateway 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactor 等响应式编程和事件流技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。 Spring Cloud Gateway 作为 Spring Cloud 生态系统中的网关,目标是替代 Netflix Zuul,其不仅提供统一的路由方式,并且基于 Filter 链的方式提供
单体springcloud工程示例,带完善的权限系统
07-21
在本项目中,"单体springcloud工程示例,带完善的权限系统" 是一个基于Spring Cloud框架构建的全面集成的微服务应用Spring Cloud作为Java生态中的微服务工具集,提供了一系列的解决方案,如服务发现、配置中心、...
SpringCloud面试题(2024最新版).docx
01-26
5. Spring Cloud Security:提供了安全控制,如 OAuth2 认证和授权。 6. Spring Cloud Sleuth:实现了微服务链路追踪,有助于理解服务间的调用关系。 7. Spring Cloud Stream:提供消息驱动的应用编程模型,支持 ...
基于SpringCloud-微服务系统设计方案.rar
12-24
- Spring Security或Apache Shiro增强应用安全。 7. **部署与运维** - Docker化服务,利用Docker Compose或Kubernetes进行容器编排和管理。 - 使用JMX、Spring Boot Admin等工具进行服务管理和监控。 综上所述...
oauth2实现免登录(springSecurity
qq_38526245的博客
07-21 1万+
代码怎么写,原理等请参考阮一峰博客 四种模式都讲的非常清楚,这里我就我遇到的问题做个记录 什么用户存入数据库,客户端信息持久化,access_token存入redis等问题网上都可以搜到 我所遇到的问题 在获取code的时候,也就是 /oauth/authorize 接口(在AuthorizationEndpoint类中) User must be authenticated with Spring Security before authorization can be completed. 这是没有登
User must be authenticated with Spring Security before authorization can be completed.
程序员劝退师的博客
11-07 1万+
在整合SpringOAuth2.0时,启动后访问/oauth/authorize接口获取code时 显示User must be authenticated with Spring Security before authorization can be completed.异常,这个异常我在网上看了一些解决方案,都不符合我的问题。有一个是这样的 没用! 还一种就是 还一种 也解决不了,启动调试模式,看了一下 问题锁定principal这个值为空,然后就搜索了一下,找到这篇文章, OAuth2.0
千云物流-基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。
热门推荐
Hello Word
05-30 3万+
基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。 在接到需求要做SPA方式的单点登录的需求,发现好多的坑,之前我们接触的只是浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结...
Spring Cloud整合Oauth2之授权码模式
杨杨的博客
12-28 1710
先解释一下Oauth2 是什么? OAuth2 是一个授权代理服务,是一种开放授权协议、其核心就是第应用颁发令牌 OAuth2有4种角色 分别为资源拥有者、资源服务、授权服务、客户端第应用 OAuth2有4种授权方式,分别为 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 下面...
OAuth2.0实战(二)四种认证方式的基本使用
弹指天下
10-06 1万+
认证方式: authorizedGrantTypes指的是认证类型,在OAuth2.0里面有以下这几种认证方式。 authorization_code 授权码认证 client_credentials 客户端认证 password 密码认证 implicit 隐式授权类型 refresh_token 刷新密钥 ...
Spring Security OAuth 2.0学习总结
Ybt_c_index的博客
08-01 7099
继上一篇Spring Security的文章,这次聊聊Spring Security OAuth 2.0,当然还是只能简单聊聊,比较基础和片面。 首先说一下主要参考的文章: 阮一峰的《理解OAuth 2.0》 徐靖峰的《Re:从零开始的Spring Security Oauth2系列》 Spring的《OAuth 2 Developers Guide》 也就是说,还是拾人牙慧。 OAu...
oauth/authorize 返回403
qq_28015441的博客
02-27 2986
学习Oauth2授权码授权时遇到访问 oauth/authorize 返回403。 查源码发现是在AuthorizationEndpoint类中的authorize的方法里抛出了异常: User must be authenticated with Spring Security before authorization can be completed. 抛出异常的原因是principal == null,是没有配置登录方式导致的。 解决方法:修改继承了WebSecurityConfigurerAdap
Spring Security OAuth2笔记系列】- App认证框架- 实现标准的OAuth服务提供商
代码有毒的博客
08-24 3602
实现标准的OAuth服务提供商 写在app中,所以demo项目的依赖需要修改下 dependencies { // compile project(':security-browser') // 开发app,先暂时注释掉 compile project(':security-app') 本次依赖更改出错的地方有: cn.mrcode.imooc.springsecurit...
认证和授权(Oauth2、RBAC、Casbin、Spring Security Oauth2)
05-08
此外,Spring Security OAuth2是Spring生态系统中的认证和授权解决方案,适用于单体分布式系统。" 1. OAuth2.0协议 OAuth2.0是互联网上广泛使用的开放标准,用于授权。它允许用户授权第应用访问其私有资源,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值