Spring Security OAuth2.0认证授权

最新推荐文章于 2024-05-08 20:09:54 发布
最新推荐文章于 2024-05-08 20:09:54 发布
阅读量128 收藏
点赞数 1
分类专栏: oauth认证 文章标签: oauth jwt java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kong7828675/article/details/109091370
版权
  • 摘要:本文中已OAuth2.0授权码模式为案例,将认证授权流程分化并一一解析,最终已代码的形式展现讲解。

一 数据库

##======================= Spring Security OAuth协议/官网给出的表结构=======================##
## 用来存储用户认证信息
DROP TABLE IF EXISTS `oauth_client_details`;
CREATE TABLE `oauth_client_details`  (
  `client_id` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '客户端标 识',
  `resource_ids` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '接入资源列表',
  `client_secret` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '客户端秘钥',
  `scope` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色权限范围',
  `authorized_grant_types` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '可用的授权的类型',
  `web_server_redirect_uri` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT 'web端服务地址',
  `authorities` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `access_token_validity` int(11) NULL DEFAULT NULL COMMENT 'token有效时长',
  `refresh_token_validity` int(11) NULL DEFAULT NULL COMMENT 'token刷新后的有效时长',
  `additional_information` longtext CHARACTER SET utf8 COLLATE utf8_general_ci NULL,
  `create_time` timestamp(0) NOT NULL DEFAULT CURRENT_TIMESTAMP(0) ON UPDATE CURRENT_TIMESTAMP(0) COMMENT '创建时间',
  `archived` tinyint(4) NULL DEFAULT NULL,
  `trusted` tinyint(4) NULL DEFAULT NULL,
  `autoapprove` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`client_id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '接入客户端信息' ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of oauth_client_details
-- ----------------------------
INSERT INTO `oauth_client_details` VALUES ('c1', 'res1', '$2a$10$yOELhJjTEmOrEAkgDHJTCO25FJXTnA3/GcjZAkPMbq.0bBK74RgL.', 'ROLE_ADMIN,ROLE_USER,ROLE_API', 'client_credentials,password,authorization_code,implicit,refresh_token', 'http://www.baidu.com', NULL, 7200, 259200, NULL, '2020-10-14 17:27:07', 0, 0, 'false');
INSERT INTO `oauth_client_details` VALUES ('c2', 'res2', '$2a$10$yOELhJjTEmOrEAkgDHJTCO25FJXTnA3/GcjZAkPMbq.0bBK74RgL.', 'ROLE_API', 'client_credentials,password,authorization_code,implicit,refresh_token', 'http://www.baidu.com', NULL, 31536000, 2592000, NULL, '2020-10-14 17:27:09', 0, 0, 'false');

## 用于保存生成的code信息
DROP TABLE IF EXISTS `oauth_code`;
CREATE TABLE `oauth_code`  (
  `create_time` timestamp(0) NOT NULL DEFAULT CURRENT_TIMESTAMP(0) COMMENT '创建时间',
  `code` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '生成code',
  `authentication` blob NULL COMMENT '用户信息',
  INDEX `code_index`(`code`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

##======================= 用户/角色/权限(可自定义)=======================##
## 许可/权限信息
DROP TABLE IF EXISTS `t_permission`;
CREATE TABLE `t_permission`  (
  `id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `code` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '权限标识符',
  `description` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '描述',
  `url` varchar(128) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '请求地址',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

INSERT INTO `t_permission` VALUES ('1', 'p1', '测试资源 1', '/r/r1');
INSERT INTO `t_permission` VALUES ('2', 'p3', '测试资源2', '/r/r2');

## 角色信息
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role`  (
  `id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `role_name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `description` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `create_time` datetime(0) NULL DEFAULT NULL,
  `update_time` datetime(0) NULL DEFAULT NULL,
  `status` char(1) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  PRIMARY KEY (`id`) USING BTREE,
  UNIQUE INDEX `unique_role_name`(`role_name`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

INSERT INTO `t_role` VALUES ('1', '管理员', NULL, NULL, NULL, '');

## 角色/许可 关联信息
DROP TABLE IF EXISTS `t_role_permission`;
CREATE TABLE `t_role_permission`  (
  `role_id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `permission_id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  PRIMARY KEY (`role_id`, `permission_id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

INSERT INTO `t_role_permission` VALUES ('1', '1');
INSERT INTO `t_role_permission` VALUES ('1', '2');

## 用户信息
DROP TABLE IF EXISTS `t_user`;
CREATE TABLE `t_user`  (
  `id` bigint(20) NOT NULL COMMENT '用户id',
  `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `fullname` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '用户姓名',
  `mobile` varchar(11) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '手机号',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

INSERT INTO `t_user` VALUES (10000, '孔超', '$2a$10$aFsOFzujtPCnUCUKcozsHux0rQ/3faAHGFSVb9Y.B1ntpmEhjRtru', '孔超', '15062100336');

## 用户/角色关联信息
DROP TABLE IF EXISTS `t_user_role`;
CREATE TABLE `t_user_role`  (
  `user_id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `role_id` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
  `create_time` datetime(0) NULL DEFAULT NULL,
  `creator` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`user_id`, `role_id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

INSERT INTO `t_user_role` VALUES ('1', '1', NULL, NULL);

一 认证服务器

认证服务器端授权服务管理类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.code.AuthorizationCodeServices;
import org.springframework.security.oauth2.provider.code.InMemoryAuthorizationCodeServices;
import org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import javax.sql.DataSource;
import java.util.Arrays;

/**
 * 授权服务管理
 * 1 通过链接获取的认证信息与库中的许可信息进行比对验证
 * 2 设置令牌的使用配置
 * 3 设置认证模式
 * @author kongc
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private ClientDetailsService clientDetailsService;
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;
    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;
    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 将客户端信息存储到数据库
     */
    @Bean
    public ClientDetailsService clientDetailsService(DataSource dataSource) {
        ClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
        ((JdbcClientDetailsService) clientDetailsService).setPasswordEncoder(passwordEncoder);
        return clientDetailsService;
    }

    /**
     * 配置客户端详情
     * 指定授权服务支持哪些客户端
     * 可以通过写死客户端令牌或调用数据库中的信息来进行判断
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        //第二种:从数据库中获取授权配置
        clients.withClientDetails(clientDetailsService);

        /**
        //第一种:使用in-memory存储
        clients.inMemory()
                //client_id
                .withClient("c1")
                //客户端密钥
                .secret(new BCryptPasswordEncoder().encode("secret"))
                //资源列表,资源id
                .resourceIds("res1")
                //该client允许的授权类型authorization_code,password,refresh_token,implicit,client_credentials
                .authorizedGrantTypes("password", "authorization_code", "client_credentials", "implicit", "refresh_token")
                //允许的授权范围(all/read/服务name)
                .scopes("all")
                //false跳转到授权页面
                .autoApprove(false)
                //加上验证回调地址
                .redirectUris("http://www.baidu.com");
         */
    }

    /**
     * 管理令牌
     * 配置令牌访问端点(配置申请令牌的url)
     * 配置令牌服务(配置令牌生成、发放)
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                //认证管理器(密码模式需要)
                .authenticationManager(authenticationManager)
                //授权码服务(授权模式需要)
                .authorizationCodeServices(authorizationCodeServices)
                //令牌管理服务
                .tokenServices(tokenService())
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);
    }

    /**
     * 配置令牌访问端点的安全约束
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
                //oauth/token_key是公开
                .tokenKeyAccess("permitAll()")
                //oauth/check_token公开
                .checkTokenAccess("permitAll()")
                //表单认证(申请令牌)
                .allowFormAuthenticationForClients();
    }

    /**======================================== 本地方法 ============================================**/

    /**
     * 令牌管理服务
     * @return
     */
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service=new DefaultTokenServices();
        //客户端详情服务
        service.setClientDetailsService(clientDetailsService);
        //支持刷新令牌
        service.setSupportRefreshToken(true);
        //令牌存储策略
        service.setTokenStore(tokenStore);
        //令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        service.setTokenEnhancer(tokenEnhancerChain);
        // 令牌默认有效期2小时
        service.setAccessTokenValiditySeconds(7200);
        // 刷新令牌默认有效期3天
        service.setRefreshTokenValiditySeconds(259200);
        return service;
    }

    /**
     * 从数据库中获取授权码
     */
    @Bean
    public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
        //设置授权码模式的授权码如何存取
        return new JdbcAuthorizationCodeServices(dataSource);
    }

    /**
     * 设置授权码模式的授权码如何存取,暂时采用内存方式
     * @return
     */
    /**
    @Bean
    public AuthorizationCodeServices authorizationCodeServices() {
        return new InMemoryAuthorizationCodeServices();
    }
    */
}

令牌配置类

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

/**
 * 令牌配置
 * 根据私钥生成JWT令牌(token)
 * 配置JWT令牌的存储方式
 * @author kongc
 */
@Configuration
public class TokenConfig {

    private String SIGNING_KEY = "KONG3672CHAO757";

    /**
     * 将令牌已JWT的形式存储,并通过对称密钥来保证令牌的有效性
     * JWT令牌存储方案
     * @return
     */
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        //对称秘钥,资源服务器使用该秘钥来验证
        converter.setSigningKey(SIGNING_KEY);
        return converter;
    }

    /**
     * 将普通令牌存储至内存中
     * @return
     */
   /* @Bean
    public TokenStore tokenStore() {
        //第一种:使用内存存储令牌(普通令牌)
        return new InMemoryTokenStore();
    }*/
}

安全路径拦截类

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * 安全路径拦截
 * @author Administrator
 **/
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 认证管理器
     */
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 密码编码器
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 安全拦截机制(最重要)
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1")
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                .antMatchers("/login*").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin();
    }
}

Spring Security 提供的获取用户信息类

/**
 * @author Administrator
 * @version 1.0
 **/
@Service
public class SpringDataUserDetailsService implements UserDetailsService {

    @Autowired
    UserDao userDao;

    /**
     * 根据 账号查询用户信息
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //将来连接数据库根据账号查询用户信息
        UserDto userDto = userDao.getUserByUsername(username);
        if(userDto == null){
            //如果用户查不到,返回null,由provider来抛出异常
            return null;
        }
        //根据用户的id查询用户的权限
        List<String> permissions = userDao.findPermissionsByUserId(userDto.getId());
        //将permissions转成数组
        String[] permissionArray = new String[permissions.size()];
        permissions.toArray(permissionArray);
        //将userDto转成json
        String principal = JSON.toJSONString(userDto);
        UserDetails userDetails = User.withUsername(username).password(userDto.getPassword()).authorities(permissionArray).build();
        return userDetails;
    }
}

与数据库交互获取用户详情类:

import com.oauth.authentication.data.Data;
import com.oauth.authentication.model.PermissionDto;
import com.oauth.authentication.model.UserDto;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.jdbc.core.BeanPropertyRowMapper;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.stereotype.Repository;

import java.util.ArrayList;
import java.util.List;

/**
 * @author Administrator
 * @version 1.0
 **/
@Repository
public class UserDao {

    @Autowired
    JdbcTemplate jdbcTemplate;

    /**
     * 根据账号查询用户信息
     * 测试账户:kongchao/123456
     */
    public UserDto getUserByUsername(String username){
        //模拟连接数据库获取用户信息
        if(!StringUtils.isBlank(username) && username.equals(Data.name)){
            return Data.getUser();
        }else{
            return null;
        }
    }

    /**
     * 根据用户id查询用户权限
     */
    public List<String> findPermissionsByUserId(String userId){
        //模拟连接数据库获取用户信息
        if(!StringUtils.isBlank(userId) && userId.equals(Data.id)){
            List<PermissionDto> list = Data.getPermission(userId);
            List<String> permissions = new ArrayList<>();
            list.forEach(c -> permissions.add(c.getCode()));
            return permissions;
        }else{
            return null;
        }
    }
}

数据库数据模拟类

import com.oauth.authentication.model.PermissionDto;
import com.oauth.authentication.model.UserDto;
import org.apache.commons.lang.StringUtils;
import java.util.*;

/**
 1. 模拟数据库数据
 2. @author kongc
 */
public class Data {

    public static String name = "kongchao";
    public static String id = "10000";

    public static UserDto getUser(){
        UserDto user = new UserDto();
        user.setFullname("孔超");
        user.setId("10000");
        //$2a$10$aFsOFzujtPCnUCUKcozsHux0rQ/3faAHGFSVb9Y.B1ntpmEhjRtru == 123
        user.setPassword("$2a$10$aFsOFzujtPCnUCUKcozsHux0rQ/3faAHGFSVb9Y.B1ntpmEhjRtru");
        user.setUsername("kongchao");
        user.setMobile("15062100336");
        return user;
    }

    public static List<PermissionDto> getPermission(String userId){
        if(!StringUtils.isBlank(userId) && userId.equals(id)){
            PermissionDto permissionDto1 = new PermissionDto();
            permissionDto1.setId("1");
            permissionDto1.setCode("p1");
            permissionDto1.setDescription("测试资源一");
            permissionDto1.setUrl("/r/r1");
            PermissionDto permissionDto2 = new PermissionDto();
            permissionDto2.setId("1");
            permissionDto2.setCode("p2");
            permissionDto2.setDescription("测试资源二");
            permissionDto2.setUrl("/r/r2");

            List<PermissionDto> list = new ArrayList<>();
            list.add(permissionDto1);
            list.add(permissionDto2);
            return list;
        }else{
            return null;
        }
    }
}

二 客户端(第三方)

资源服务访问配置

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;

/**
 * 资源服务访问配置
 * 核对资源编号(RESOURCE_ID),认证用户授权许可的时会匹配当前客户端是否有使用该资源的权限,该数据可在‘oauth_client_details’表中核对
 * 令牌解析方案:获取到的令牌通过本地解析或是调用认证服务器的check_token接口解析,可以自行配置。建议本地解析,调用远程接口效率太低。
 * 拦截请求并验证权限是否可用:拦截请求,并根据解析后的用户许可信息判断当前与用户是否有权限调用哪些接口。
 */
@Configuration
@EnableResourceServer
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {

    public static final String RESOURCE_ID = "res1";

    @Autowired
    TokenStore tokenStore;

    /**
     * 令牌解析方案
     * @param resources
     */
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources
                //资源 id
                .resourceId(RESOURCE_ID)
                //通过JWT对称密钥来解析token信息,从而获取用户信息(客户端/第三方)
                .tokenStore(tokenStore)
                //验证令牌的服务
                //默认token解析方案(通过调用认证服务器check_token接口使用token解析用户信息/认证服务器)
                /*.tokenServices(tokenService())*/
                .stateless(true);
    }

    /**
     * 拦截请求并验证权限是否可用
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/**").access("#oauth2.hasScope('ROLE_API')")
            .and().csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    /**
     * 默认token解析方案(通过调用认证服务器check_token接口使用token解析用户信息
     * 资源服务令牌解析服务
     */
    /*@Bean
    public ResourceServerTokenServices tokenService() {
        //使用远程服务请求授权服务器校验token,必须指定校验token 的url、client_id,client_secret
        RemoteTokenServices service=new RemoteTokenServices();
        service.setCheckTokenEndpointUrl("http://localhost:53000/auth/oauth/check_token");
        service.setClientId("c1");
        service.setClientSecret("secret");
        return service;
    }*/
}

令牌解析配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

/**
 * 令牌解析配置
 * 根据私钥生成JWT令牌(token)
 * 配置JWT令牌的存储方式
 * @author kongc
 */
@Configuration
public class TokenConfig {

    private String SIGNING_KEY = "KONG3672CHAO757";

    /**
     * 将令牌已JWT的形式存储,并通过对称密钥来保证令牌的有效性
     * JWT令牌存储方案
     * @return
     */
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        //对称秘钥,资源服务器使用该秘钥来验证
        converter.setSigningKey(SIGNING_KEY);
        return converter;
    }

    /**
     * 将普通令牌存储至内存中
     * @return
     */
   /* @Bean
    public TokenStore tokenStore() {
        //第一种:使用内存存储令牌(普通令牌)
        return new InMemoryTokenStore();
    }*/
}

拦截求情/验证权限

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * 拦截求情/验证权限
 * 注:这里的拦截和ResouceServerConfig类中的configure拦截方法不同,
 * 这里拦截的是具体用户是否有权限使用某个接口,而ResouceServerConfig中则是规定了,
 * 某个角色可以使用的权限范围,也就是说这里配置会细化到具体接口。
 * @author Administrator
 * @version 1.0
 **/
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 安全拦截机制(最重要)
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                //.antMatchers("/r/r1").hasAuthority("p2")
                //.antMatchers("/r/r2").hasAuthority("p2")
                //所有/r/**的请求必须认证通过
                .antMatchers("/r/**").authenticated()
                //除了/r/**,其它的请求可以访问
                .anyRequest().permitAll();
    }
}

Controller 资源访问测试类

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 认证授权-客户端
 * @author kongc
 */
@RestController
@RequestMapping("/r")
public class OrderController {

    @GetMapping(value="/r1")
    @PreAuthorize("hasAnyAuthority('p1')")
    public String r(){
        return "访问资源1";
    }
}
kong7828675
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
SpringOAuth2.0
玉汝于成
05-08 839
OAuth 2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth 1.0)。它主要关注客户端开发者的简易性,并为Web应用、桌面应用、手机和智能家居设备提供专门的认证流程。OAuth 2.0的核心原理是通过授权访问令牌(Access Token)来实现身份验证和授权。注册应用程序:第三方应用程序需要在提供OAuth 2.0服务的身份提供商注册,并获得客户端ID(Client ID)和客户端密钥(Client Secret)。用户授权
spring oauth2.0
jie310600的博客
07-07 173
spring oauth2.0 grant_type : authorization_code — 授权码模式(即先登录获取code,再获取token) password — 密码模式(将用户名,密码传过去,直接获取token) client_credentials — 客户端模式(无用户,用户向客户端注册,然后客户端以自己的名义向’服务端’获取资源) implicit — 简化模式...
Spring Oauth2.0认证体系
kidkid1208的博客
11-15 622
OAuth2.0是做什么的? 通过token方式,授权第三方应用访问服务器的特定资源。 (如:第三方应用微信登录获取用户头像微信名,或第三方应用调用后端短信发送模块短信发送接口。) OAuth2.0授权的四种方式 授权码模式 授权流程: 第三方应用通过client_id和客户端密码(可选)访问授权服务器验证客户端信息并注册回调(redirect)。(第三方需要提前在授权服务器注册) 用户在授权页面输入用户名密码(或二维码)进行授权授权服务器将用户导向redirect_url并附上返回授权码cod
SpringBoot整合OAuth 2.0
xjj1040249553的专栏
08-20 3186
OAuth 2.0为OAuth的协议的延续版本,是一个关于授权的开放网络标准,在全世界得到广泛应用。基于OAuth 2.0授权有一下几个特点:1、安全:平台商无需使用用户的用户名与密码就可以申请获得该用户资源的授权;2、开放:任何消费方都可以使用 OAuth 认证服务,任何服务提供方 ( Service Provider) 都可以实现自身的 OAuth 认证服务。3、简单:不管是消费方还是服务提供...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
这个压缩包文件"视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar"包含了对这一主题的详细解释和实例代码,旨在帮助开发者深入理解和应用OAuth2.0Spring Security的集成。 首先,Spring SecuritySpring...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 是一个基于 Spring Security 框架的授权和身份验证机制,提供了强大的安全功能和灵活的配置选项。Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、...
我整理的Spring Security OAuth2.0认证授权资料 手把手教会你如何使用OAuth2.0认证授权原理以及搭建
最新发布
08-10
我整理的Spring Security OAuth2.0认证授权资料 手把手教会你如何使用OAuth2.0认证授权原理以及搭建
spring oauth2.0 例子
11-16
spring oauth2.0 例子 myeclipse工程
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
springboot-kong:该项目的目标是创建一个简单的Spring Boot REST API,并使用LDAP身份验证和基本身份验证插件通过Kong对其进行保护。 此外,我们将探索Kong提供的更多插件,例如:Rate Limiting,StatsD和Prometheus插件。
02-04
弹簧靴 该项目的目标是创建一个简单的 REST API,并使用LDAP Authentication和Basic Authentication插件通过进行保护。 此外,我们将探索Kong提供的更多插件,例如: Rate Limiting , Prometheus和StatsD插件。 项目图 应用 简单服务 Spring Boot Java Web应用程序公开了两个端点: /api/public :任何人都可以访问,但不安全; /api/private :只有经过身份验证的用户才能访问。 先决条件 构建应用程序Docker映像 打开终端并导航到springboot-kong根文件夹 运行以下
Oauth2.0Spring-security-oauth2
小和尚的专栏
05-25 1231
OAuth2提供商sparklr2和OAuth 2客户端TONR 。我探索在互联网上了一下,整理相关文档。编译并运行了OAuth2提供商sparklr2和OAuth2客户端TONR,并检查所有的授权上。现在,我在这里从实用的角度讲解的OAuth2.0的不同方面来理解Spring-security-Oauth2.0。 这篇文章是试图描述的OAuth2.0以简化的形式来帮助开发商和服务提供商实施的协
Spring Security And Oauth2.0
zrg523的专栏
02-28 299
Spring Security Spring Security的核心思想是用户授权和资源认证认证访问系统的用户,而授权则是用户可以访问的资源。 认证是调用authenticationManager.authenticate()方法来获得证书authentication,一般我们采用用户名、密码方式认证,那么authentication的实现类就是UsernamePasswordAuthen...
Spring全家桶-Spring SecurityOAuth2.0认证
HQ DevJ的专栏
06-04 553
我们以前都是通过用户名和密码进行登录,但是有时候我们不想通过用户名和密码登录,通过第三方的账号进行登录,我们该怎么办?OAuth为我们解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息。如:使用Github,QQ,Facebook等进行访问应用。即开放授权,是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。
Spring Security oauth2.0 服务端
weixin_42555971的博客
10-27 1560
oauth2.0
Spring-Security-OAuth2.0 了解(1)
Waiter软件工作室
06-03 467
一、简介资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。作为使用资源所有者的凭据访问受保护资源的替代,客户端获得一个访问令牌———一个代表特定作用域、生命周期以及其他访问权限属性的字符串。访问令牌由授权服务器在资源所有者认可的情况下颁发给第三方客户端。客户端使用访问令牌访问托管在资源服务器上的受保护资源。使用HTTP(RFC2616)协议设计。1、角色OAuth定义了四...
Spring Security OAuth2.0 认证协议【2】hello world(基于 SpringBoot)
LawssssCat的博客
03-24 687
Hello World SpringBoot集成Spring Security入门体验 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </d...
springsecurity oauth2.0认证流程
05-12
Spring Security OAuth2.0是基于Spring Security的框架,用于实现OAuth2.0协议。下面是OAuth2.0认证流程: 1. 客户端向认证服务器发送认证请求,其中包括客户端ID和客户端密钥。 2. 认证服务器验证客户端的身份,并向客户端发送访问令牌请求。 3. 客户端向认证服务器发送访问令牌请求,其中包括客户端ID、客户端密钥和授权码。 4. 认证服务器验证客户端的身份和授权码,并向客户端发送访问令牌。 5. 客户端使用访问令牌请求资源服务器。 6. 资源服务器验证访问令牌的有效性,并向客户端发送请求数据。 具体来说,Spring Security OAuth2.0认证流程如下: 1. 客户端向认证服务器发送认证请求。 2. 认证服务器验证客户端的身份,并向客户端发送授权码。 3. 客户端使用授权码向认证服务器发送访问令牌请求。 4. 认证服务器验证客户端的身份和授权码,并向客户端发送访问令牌。 5. 客户端使用访问令牌请求资源服务器。 6. 资源服务器验证访问令牌的有效性,并向客户端发送请求数据。 以上是Spring Security OAuth2.0认证流程。在实现认证流程时,需要配置OAuth2.0相关的参数,如客户端ID、客户端密钥、授权码、访问令牌等。同时,还需要实现相关的接口和方法,如UserDetailsService、ClientDetailsService等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kong7828675

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值