SpringBoot中如何使用Oauth2完成密码策略授权?

最新推荐文章于 2022-11-09 20:07:39 发布
最新推荐文章于 2022-11-09 20:07:39 发布
阅读量389 收藏 1
点赞数 1
分类专栏: 后端开发 文章标签: spring boot oauth2 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l28298129/article/details/115769593
版权

Oauth2如何使用密码策略完成授权?

一、导入相关依赖

  • POM文件
<!-- oauth2相关依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<!-- 数据库访问相关依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <scope>provided</scope>
</dependency>

<!-- 测试相关依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>
  • 配置文件
server:
  port: 8092

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/token?serverTimezone=Asia/Shanghai&useSSL=false
    username: root
    password: 123456
  # JPA 配置
  jpa:
    show-sql: true
    hibernate:
      ddl-auto: update
    database-platform: org.hibernate.dialect.MySQL5InnoDBDialect  #不加这句则默认为myisam引擎
    database: mysql

#security:
#  oauth2:
#    resource:
#      ####从认证授权中心上验证token
#      tokenInfoUri: http://localhost:8092/oauth/check_token
#      preferTokenInfo: true
#    client:  ## 获取accesstoken地址
#      accessTokenUri: http://localhost:8092/oauth/token
#      userAuthorizationUri: http://localhost:8092/oauth/authorize  #授权地址
#      clientId: client
#      clientSecret: client

二、项目结构

三、oauth2的配置类

3.1、AuthorizationServerConfig(认证服务器)
/**
 * 认证服务器
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private DomainUserDetailsService userDetailsService;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        super.configure(security);
    }

    /**
     * 客户端配置(给谁发令牌)
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory().withClient("client")
                .secret(passwordEncoder.encode("client"))
                //有效时间 2小时
                .accessTokenValiditySeconds(2*60*60)
                //密码授权模式和刷新令牌
                .authorizedGrantTypes(new String[]{"refresh_token", "password"})
                .scopes( "all");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints){
        endpoints
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }
}
3.2、ResourceServerConfigurer (资源服务器)
/**
 * 资源服务配置
 *
 * @ EnableResourceServer 启用资源服务
 * @ EnableWebSecurity 启用web安全
 * @ EnableGlobalMethodSecurity 启用全局方法安全注解,就可以在方法上使用注解来对请求进行过滤
 */

@Configuration
@EnableResourceServer//开启资源服务
public class ResourceServerConfigurer extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 对 api/order 请求进行拦截   验证 accessToken 与controller 的要有关系
        http.authorizeRequests()
                //放行的路径
                .antMatchers(Constant.IGNORE_PATHS
                        .toArray(new String[Constant.IGNORE_PATHS.size()])
                ).permitAll()
                .anyRequest().authenticated()
                .and()
                .httpBasic().and().csrf().disable();//关闭打开的csrf保护 跨域有问题
    }

}
3.3、SecurityConfig (开启WebSercurity功能)
package com.yonyou.oauth.config;

import com.yonyou.oauth.DomainUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.client.RestTemplate;

/**
 * 安全配置
 *
 * @ EnableWebSecurity 启用web安全配置
 * @ EnableGlobalMethodSecurity 启用全局方法安全注解,就可以在方法上使用注解来对请求进行过滤
 */

@Configuration
@EnableWebSecurity//开启WebSecurity功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public RestTemplate restTemplate() {
        return new RestTemplate();
    }
}
3.4、Constant (定义一些可忽略授权的API或路径)
/**
 * 常量
 */
public class Constant {

    /**
     * 定义可以不经授权访问的路径
     */
    public static final List<String> IGNORE_PATHS;

    static {
        IGNORE_PATHS = new ArrayList<>();
        //swagger2的访问路径及资源
        IGNORE_PATHS.add("/v2/api-docs");
        IGNORE_PATHS.add("/swagger-ui.html");
        IGNORE_PATHS.add("/webjars/**");

    }

}

四、密码策略的验证

DomainUserDetailsService 类
/**
 * 用户信息服务
 * 实现 Spring Security的UserDetailsService接口方法,用于身份认证
 */
@Service
public class DomainUserDetailsService implements UserDetailsService {

    @Autowired
    //这里的AccountService是service层中从数据库查找对应的数据类
    private AccountService accountService;

    /**
     * 根据用户名查找账户信息并返回用户信息实体
     * @param username 用户名
     * @return 用于身份认证的 UserDetails 用户信息实体
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String password = null;
        System.out.println("请求授权的账号为:"+username);
        //从数据库里查找该用户对应的密码(是否存在)
        password = accountService.getPasswordByName(username);
        if(password == null){
            throw new RuntimeException("账号不存在,授权失败!");
        }
        System.out.println("查询到的密码为:"+password);
        //进行验证
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));
    }
    
}

五、其中用到的查询数据库的类

5.1、实体类
package com.yonyou.entity;

import lombok.Data;

import javax.persistence.*;

@Entity
@Table(name = "account")
@Data
public class Account {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Integer id;

    @Column(columnDefinition = "varchar(20) NOT NULL comment '用户名'")
    private String username;

    @Column(columnDefinition = "varchar(100) NOT NULL comment '密码'")
    private String password;


}
5.2、AccountRepository 类
public interface AccountRepository extends JpaRepository<Account, Integer> {
    /**
     * 根据用户名查询密码
     * @param username
     * @return
     */
    @Query(nativeQuery = true, value = "select password from account where username=?1")
    String getPasswordByName(String username);
}
5.3、AccountServiceImpl 类
@Service
public class AccountServiceImpl implements AccountService {

    @Autowired
    private AccountRepository accountRepository;

    @Override
    public String getPasswordByName(String username) {
        return accountRepository.getPasswordByName(username);
    }
}

六、测试类 HelloController

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello(){
        return "HelloWorld";
    }
}

七、测试结果

1、获取授权token

2、测试

八、注意

  • 表里的 用户密码 要采用 oauth2 独有的加密方式 先进行加密,再进行保存,否则无效。

  • 模拟添加数据的测试类
@RunWith(SpringRunner.class)
@SpringBootTest
public class Oauth2ApplicationTests {

    @Autowired
    private AccountRepository accountRepository;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Test
    public void contextLoads() {
        Account account = new Account();
        account.setUsername("admin");
        String password = "123456";
        //先使用 passwordEncoder 进行加密
        password = passwordEncoder.encode(password);
        //设值进去
        account.setPassword(password);
        //保存
        accountRepository.save(account);
    }

}
总是提示已注册
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7045
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ
springboot oauth2 授权码模式与密码模式探索
feinifi的博客
08-20 6117
oauth2支持授权的方式有四种:授权码模式(authorization_code)、密码模式(password)、隐藏模式(implicit)、客户端模式(client_credentials)。其,比较常见的就是授权码模式和密码模式。 需要说明的是,授权码模式的过程大致如下: 1、封装参数,访问授权服务器登录与授权接口 接口:http://localhost:8080/oauth/authorize 参数:response_type client_id scope r...
Spring Boot 使用 Passay 库的自定义密码验证器
allway2的博客
11-09 1591
使用 Spring Initializr 生成具有以下依赖项的 Spring boot 2 项目:web、lombok、spring-boot-starter-validation。在继续本教程之前,您应该对使用 Spring 框架的 Java 有基本的了解。是一个基于Java的密码生成和验证库。它建立在成功的基础上,并提供了一个全面且可扩展的功能集。除了密码验证之外,passay 还允许您使用给定的策略生成密码。在本文,我创建了一个使用Angular作为前端的注册表单。使用包含要验证的信息的类。
Spring Security 关键的几个Filter(上)
chitiguan0536的博客
12-05 454
虽然Spring Security有很多的拦截器,但是关键的拦截器其实并不多,本人通过查看源码和参照网上其他人的研究成功,大概总结出核心的Filter有如下几个(由于现在流行jwt格式的token认证,所以就不介绍session那块了)。 SecurityContextPersist...
SpringBootSecurity(用户密码加密&加密后用户的校验)
weixin_46588020的博客
07-10 1902
SpringBootSecurity(用户密码加密&加密后用户的校验)
Spring Boot + Spring-Security实现前后端分离双重身份认证初学者指南(手机号密码JWT + 短信验证码)
u013652550的博客
08-30 2779
初学者想快速理解Spring-Security原理?如果学过基本的ioc思想、mvc思想、aop思想等等,不妨读一读本文吧
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
基于 SpringBoot2.4-oauth2 最简单教程入门.pdf
12-29
1. **配置OAuth2客户端**:在SpringBoot的配置文件设置`client_id`和`client_secret`以及相关授权服务器URL。 2. **创建资源服务器**:定义哪些资源需要保护,并配置相应的访问策略。 3. **实现授权逻辑**:处理...
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
本文将深入探讨如何使用Spring Cloud Oauth2的密码模式和JWT来实现登录验证授权。 首先,OAuth2是一个开放标准,用于授权第三方应用访问特定资源。在密码模式(Resource Owner Password Credentials Grant)下,...
springboot与security oauth2整合例子
08-01
这个过程涵盖了Spring Boot的快速启动特性、Spring Security的授权管理以及OAuth2的授权流程和JWT使用。通过学习和实践这个例子,开发者可以提升自己在安全领域的技能,为构建更安全、更健壮的应用程序奠定基础...
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
通过以上步骤,你可以构建出一个完整的 Springboot Oauth2 Server,为多个微服务应用提供统一的认证和授权服务。这个服务不仅可以保护你的资源免受未授权访问,还可以为用户提供统一的登录体验,提高系统的安全性。
SpringBoot Security 自定义登录验证逻辑+密码加盐
℡メ㏑╭ァ小凯
03-24 2662
密码加盐思路 JAVA 加盐加密方法_Teln_小凯的博客-CSDN博客 盐加密方法 @ApiOperation(value = "002-加密") @PreAuthorize("hasAuthority('sys:app:all')") @GetMapping(value = "/encodePassword") public HttpResult encodePassword(String password,String salt){ String pwd
SpringBoot登录设计---对密码进行两次Md5加密
qq_45968950的博客
06-29 927
MD5密码加密
springboot2 security-oauth2 搭建认证服务器、修改用户密码加密、修改用户权限认证
u013595395的博客
02-14 2125
一、搭建认证服务器 新建一个springboot2项目,加入以下两个配置类就可以启动服务器 1. AuthorizationServerConfiguration 主要有3个配置方法 (1)这边取消两个api的访问限制,以及允许将客户端的id、密码直接写入form表单 -- 客户端不是用户,是指第三方网站。代码用client来代表客户端 (2)第二个方法,用来指定客户端的信息 (3)第三个方法用来配置token的存储位置 2.WebSecurityCon...
Spring Boot Security Oauth2之客户端模式及密码模式实现
08-15 1780
Spring Boot Security Oauth2之客户端模式及密码模式实现 示例主要内容 1.多认证模式(密码模式、客户端模式) 2.token存到redis支持 3.资源保护 4.密码模式用户及权限存到数据库 5.使用说明 示例代码-github 介绍 oauth2 client credentials 客户端模式获取access_token流程 客户端模式(Client C...
基于springboot+SpringSecurity+kaptcha的用户登陆 密码三次输入错误锁定,登陆成功则授权
梁小厨的博客
07-12 3666
基于springboot+SpringSecurity+kaptcha的用户登陆 密码三次输入错误锁定,登陆成功则授权。 项目是前后端分离的,前端是vue.js 后端是springboot 1、kaptcha组件用来用户登陆时的一个验证码生成。 2、SpringSecurity安全框架,使用SpringSecurity拦截登陆请求 进行认证和授权,因为是前后端分离的不用做像jsp重定向处理,只用做...
spring cloud oauth2 登录一定次数后锁定
qq_37659138的博客
05-10 2592
spring cloud oauth2+账户锁定+限流
SpringBoot 实现密码加密以及登录成功token实现
qq_46679991的博客
09-23 3474
SpringBoot 实现密码加密以及登录成功token实现 谨以此文章记录自己的学习过程,借以帮助有同样需求的小伙伴,实现的不完善,只是将大概的主要内容实现而已~
SpringCloud实操(三)API网关整合OAuth2认证授权服务
傅红雪的专栏
01-14 4882
1. 基本概念 API网关将自己注册为Eureka服务治理下的应用,同时也从Eureka服务治理获得所有其他微服务的实例信息。我们通过搭建独立的OAuth2认证授权服务,将微服务冗余的登录校验、签名校验单独剥离出来,这些校验与微服务自己的业务并没有太大的关系,所以这些功能完全可以独立成一个单独的服务存在。只是独立出来之后,并不是给每个微服务调用,而是通过API网关进行统一调用,来对微服务接口...
springboot使用oauth2
最新发布
09-07
Spring Boot使用OAuth2可以实现用户认证和授权功能。下面是使用Spring Security和OAuth2的基本步骤: 1. 添加依赖:在pom.xml文件添加Spring Security和OAuth2的相关依赖。 2. 配置认证服务器:创建一个配置类,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

总是提示已注册

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值