三、SpringCloud鉴权之OAuth2.0(上篇)

最新推荐文章于 2024-09-12 23:23:29 发布
最新推荐文章于 2024-09-12 23:23:29 发布
阅读量718 收藏
点赞数
分类专栏: SpringCloud快速入门 文章标签: SpringCloud,微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liagnzi1259/article/details/96098597
版权

鉴权中心

springsecurity oauth2.0

1、前言

必备知识

学习本文之前你应该会熟练使用Springboot,并对SpringSecurityOAuth2.0有所理解,如有需要请参考下面的一些内容,简单理解下相关知识

SpringSecurity

Spring Security是一个功能强大、高度可定制的身份验证和访问控制框架。它用于保护基于Spring的应用程序。Spring Security是一个专注于向Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全的真正威力在于它可以很容易地扩展以满足定制需求。

OAuth2.0

OAuth 2.0是用于授权的行业标准协议。OAuth2.0注重客户端开发人员的简单性,同时为Web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流。更多请参考 OAuth2.0

OAuth2.0模式

2、前期必备

核心pom依赖如下:

<!-- 注意是starter,自动配置 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- 不是starter,手动配置 -->
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.6.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- 将token存储在redis中 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>1.7.25</version>
</dependency>
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

创建一个rest接口用于后面测试资源

@Slf4j
@RestController
public class TestSecurityController {
    @GetMapping("/product/{id}")
    public String getProduct(@PathVariable String id) {
        //for debug
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return "product id : "   id;
    }

    @GetMapping("/order/{id}")
    public String getOrder(@PathVariable String id) {
        //for debug
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return "order id : "   id;
    }
}

3、操作步骤

很多文章写的特别复杂,其实主要的内容也就分为下面几步

3.1、授权服务器AuthorizationServerConfigurerAdapter

需要自定义授权服务器,继承AuthorizationServerConfigurerAdapter,详细代码如下

@Configuration
@EnableAuthorizationServer
public   class AuthServerConfiguration extends AuthorizationServerConfigurerAdapter {
    private static final String DEMO_RESOURCE_ID = "order";

    @Autowired
    AuthenticationManager authenticationManager;
    @Autowired
    RedisConnectionFactory redisConnectionFactory;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //配置两个客户端,一个用于password认证一个用于client认证
        String secret = new BCryptPasswordEncoder().encode("123456");对密码进行加密
        clients.inMemory().withClient("client_1")
                .resourceIds(DEMO_RESOURCE_ID)
                .authorizedGrantTypes("client_credentials", "refresh_token")
                .scopes("select")
                .authorities("client")
                .secret(secret)
                .and().withClient("client_2")
                .resourceIds(DEMO_RESOURCE_ID)
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("select")
                .authorities("client")
                .secret(secret);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .tokenStore(new RedisTokenStore(redisConnectionFactory))
                .authenticationManager(authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        //允许表单认证
        oauthServer.allowFormAuthenticationForClients();
    }

}

3.2、资源服务器ResourceServerConfigurerAdapter

同上,需要实现自己的资源服务器,继承ResourceServerConfigurerAdapter,详细代码如下

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    private static final String DEMO_RESOURCE_ID = "order";
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(DEMO_RESOURCE_ID).stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
                // Since we want the protected resources to be accessible in the UI as well we need
                // session creation to be allowed (it's disabled by default in 2.0.6)
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .requestMatchers().anyRequest()
                .and()
                .anonymous()
                .and()
                .authorizeRequests()
//                    .antMatchers("/product/**").access("#oauth2.hasScope('select') and hasRole('ROLE_USER')")
                .antMatchers("/order/**").authenticated();//配置order访问控制,必须认证过后才可以访问
        // @formatter:on
    }
}

3.3、配置SpringSecurity

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    protected UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        String pwd = new BCryptPasswordEncoder().encode("123456");//对密码进行加密
        manager.createUser(User.withUsername("user_1").password(pwd).authorities("USER").build());
        manager.createUser(User.withUsername("user_2").password(pwd).authorities("USER").build());
        return manager;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .requestMatchers().anyRequest()
                .and()
                .authorizeRequests()
                .antMatchers("/oauth/*").permitAll();
    }
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

4、测试

我们设计的是product服务可以匿名访问,而order服务需要签名才可以访问,验证如下:

  • password模式
    利用postman进行post访问http://localhost:8080/oauth/token?username=user_1&password=123456&grant_type=password&scope=select&client_id=client_2&client_secret=123456
    获取如下结果
{
    "access_token": "c2340190-48f3-4291-bb17-1e4d51bcb284",
    "token_type": "bearer",
    "refresh_token": "03ee113c-a942-452a-9918-7ffe24472a7f",
    "expires_in": 40399,
    "scope": "select"
}

  • client模式
    同样利用postman的POST方式访问http://localhost:8080/oauth/token?grant_type=client_credentials&scope=select&client_id=client_1&client_secret=123456
    结果如下
{
    "access_token": "05a4e614-f34b-4c83-9ec1-89ea55c0afd2",
    "token_type": "bearer",
    "expires_in": 40396,
    "scope": "select"
}

对资源进行访问
  • product服务:访问http://localhost:8080/product/1得到如下数据
    product id : 1
  • order服务:访问http://localhost:8080/order/1,返回数据如下 
<oauth>
<error_description>
Full authentication is required to access this resource
</error_description>
<error>unauthorized</error>
</oauth>

验证结果,说明order服务需要签名才可以访问,接下来,我们输入签名访问order服务。我们分别利用上面password模式获取的token,访问 http://localhost:8080/order/1?access_token=c2340190-48f3-4291-bb17-1e4d51bcb284得到数据 order id : 1

通用利用client模式获取的token,访问 http://localhost:8080/order/1?access_token=05a4e614-f34b-4c83-9ec1-89ea55c0afd2同样可以得到 order id : 1

示例代码

分支为springsecurity-oauth2-1,master为最终代码

https://github.com/liangliang1259/fast-cloud-examples/tree/springsecurity-oauth2-1

参考

http://blog.didispace.com/spring-security-oauth2-xjf-1/

阿亮私语
关注
专栏目录
Spring Cloud Gateway整合OAuth2.0 实现分布式统一认证授权
BUG指挥课堂
01-24 1万+
今天这篇文章介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多,有不清楚的可以看下陈某的往期文章。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务商控制 统一在网关层面认证鉴权微服务只负责业务 你们公司目前用的是哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认证鉴权 无法做到统一认证鉴权
纯硬货,Spring Cloud Gateway整合OAuth2.0 实现分布式统一认证授权
m0_58008803的博客
12-31 572
大家好,我是不才陈某~ 今天这篇文章介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多,有不清楚的可以看下陈某的往期文章。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务商控制 统一在网关层面认证鉴权微服务只负责业务 你们公司目前用的是哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认
灵魂一击!OAuth 2.0单元测试解决方案
Java圈全能架构师的博客
10-10 706
为什么需要单元测试 单元测试拥有保证代码质量、尽早发现软件 Bug、简化调试过程、促进变化并简化集成、使流程更灵活等优势。单元测试是针对代码单元的独立测试,核心是“独立”,优势来源也是这种独立性,而所面临的不足也正是因为其独立性:既然是“独立”,就难以测试与其他代码和依赖环境的相互关系。单元测试与系统测试是互补而非代替关系。单元测试的优势,正是系统测试的不足,单元测试的不足,又恰是系统测试的优势。不能将单元测试当做解决所有问题的万金油,而需理解其优势与不足,扬长避短,与系统测试相辅相成,实现测试的最大效益
Spring】搭建SpringBoot + OAuth2认证授权服务
最新发布
一个不断前行的程序者
09-12 1154
在这篇博客中,我们成功搭建了一个基于Spring BootOAuth2的认证授权服务。我们配置了用户存储、安全配置、OAuth2授权服务器和资源服务器,并创建了一些基本的控制器和前端页面来演示登录和访问受保护资源的过程。请注意,这只是一个简单的示例,用于演示基本的OAuth2流程。在生产环境中,你需要考虑更多的安全性和配置选项,例如使用JWT令牌、配置数据库、添加错误处理、日志记录等。
基于 OAuth2.0Spring Cloud 权限管理系统
03-10
在整理大部分同学的需求时候,迫切需要一个小而专的微服务系统。 全面兼容Spring Cloud 最新GA版本 Spring Boot 2.0.8.RELEASE 、Spring Cloud Finchley.SR2 、Spring Security OAuth2 1. 减少中间件依赖 2.0 依赖中间件只需要 mysql、redis 即可,提供傻瓜式部署方案,大大缩减了上手和使用成本。 2. 提供常见容器的支持 默认 提供docker-compose的支持,提供kubernetes (thx @毛子坤) 脚本支持。 3. 网关使用高性能 Spring Cloud Gateway ,摒弃 Zuul 1 4. Spring Cloud Config 默认本地文件,不再强制依赖Git管理 5. 全面重构资源服务器 整体接入OAuth2 提供标准专业的权限管理深度封装 spring security oauth2 只需要继承封装类,即可接入OAuth2 6. ORM 全面使用 Mybatis Plus 3,采用lambda 重构 7. 全面重构业务代码 使用lambda、stream、 lombok 重构,优雅简单 8. 前端重构 前端全面使用自研Avue,同时兼容和传统element-ui 混开,一行代码渲染出CRUD,解决后端工程师写vue的难题
spring security oauth2_SpringCloud鉴权OAuth2.0(上篇)
weixin_39608748的博客
11-26 156
鉴权中心springsecurity +oauth2.01、前言必备知识学习本文之前你应该会熟练使用Springboot,并对SpringSecurity和OAuth2.0有所理解,如有需要请参考下面的一些内容,简单理解下相关知识SpringSecuritySpring Security是一个功能强大、高度可定制的身份验证和访问控制框架。它用于保护基于Spring的应用程序。Spring Secu...
SpringBoot-OAuth2
azto的博客
04-26 549
OAuth2协议什么是OAuth2协议OAuth2的基本角色Spirng Security 结合 OAuth2 什么是OAuth2协议 OAuth2是一个开放的标准,允许第方用户访问该用户在某一个网站上存储的私密资源。 最常见的使用场景,各种第方登录,如登录网易云音乐使用QQ登录等等,一般这种都会设计OAuth协议。 无需将用户和密码提供给第方应用 如上述的登录网易云音乐。第方就是网易云音...
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 2970
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Springcloud+ Springsecurity oauth2.0 + jwt简单实现认证
killdrsa的博客
04-09 3896
基于Springcloud+ Springsecurity oauth2.0 + jwt 实现一个认证授权手脚架 一.用户的认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允...
spring boot oauth2
10-24
springboot2 + security+ oauth2 进行认证,并将令牌存储到数据库中。
oauth2_spring_boot
02-25
OAuth2 钥匙斗篷 Keycloak是适用于现代应用程序和服务的开源身份和访问管理解决方案。 跑步 docker-compose -f keycloak-postgres.yml up 默认情况下,服务器将在 管理员用户 用户名: admin 密码: password 领域和客户示例 领域: app 用户帐户 用户[app]: user1 [user1 ,12345] 客户: client_id:应用程序代码流客户端 client_secret:56807fdb-be60-4787-87e6-0bb2cccf848b 访问类型:机密 标准流程:已启用 直接访问授予:已禁用 (可选)PKCE-代码的证明密钥:S256 重定向uri: 要求: curl --request GET ' http://localhost:8080/auth/realms/app/prot
springboot OAuth2
无术不学的博客
02-20 281
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=monline_3_dg&wd=springboot%20OAuth2&oq=%25E5%25BE%25AE%25E6%259C%258D%25E5%258A%25A1OAuth2&rsv_pq=95d022f900074b4f&rsv_t=36c9EQREOiyL8A2aczntQ%2Fr81%2FYVTHEwOYWtIjXd3KG%2BMLsjDmN%
SpringBoot OAuth2
cn_yaojin
05-19 318
一. IDEA 新建module(我是在原有的项目里面建的,因此创建module就行):oauth2,然后在pom文件中引入资源: <!-- springboot 的版本 --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>
Spring Boot Oauth2
Glory丶笨小孩
05-22 1万+
Spring Boot Oauth2 pom.xml &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.springframework.boot&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;spring-boot-star
Spring Boot OAuth2
热门推荐
zzpf2007的专栏
07-27 1万+
Spring Boot OAuth2 简要实现
SpringBootOauth2
const_
09-27 329
微服务接入oauth2_微服务权限终极解决方案,Spring Cloud Gateway+Oauth2 实现统一认证和鉴权 https://blog.csdn.net/weixin_33716865/article/details/112339860 springboot-安全认证security+jwt+OAuth2.0关系梳理 https://blog.csdn.net/shishuai4206/article/details/111504155 Spring Security 与 OAuth2(介绍)
Spring Boot 中的OAuth 2
探索er的博客
05-12 8083
Spring Boot 中的OAuth 2
springcloud alibaba security oauth2.0 写一套java 多商户商城
04-05
很抱歉,我是一名AI语言模型,无法实际编写代码。但是,我可以为您提供一些关于使用Spring Cloud Alibaba Security OAuth2.0构建Java多商户商城的建议: 1. 首先,您需要设计并实现商城的数据模型,包括商户、商品、订单、支付等模块。 2. 接下来,您需要使用Spring BootSpring Cloud Alibaba构建商城的微服务架构。其中,可以使用Spring Cloud Gateway作为API网关,使用Spring Cloud Config作为配置中心,使用Spring Cloud Discovery将各个微服务注册到服务注册中心,使用Spring Cloud Feign实现微服务之间的调用,使用Spring Cloud Stream实现异步消息处理等。 3. 在商城中实现OAuth2.0授权认证,可以使用Spring Security OAuth2.0Spring Cloud Alibaba Security OAuth2.0。其中,您需要实现OAuth2.0的授权服务器和资源服务器,并为每个商户分配一个唯一的客户端ID和客户端秘钥。 4. 在商城中实现多商户功能,可以使用Spring Cloud Alibaba Nacos作为服务注册中心和配置中心,使用Nacos的命名空间和配置组来实现不同商户的隔离和配置分离。 5. 最后,您需要实现商城的前端页面和移动端应用程序,以便用户可以方便地浏览和购买商品。可以使用Vue.js、React.js、Angular等前端框架和Spring Boot构建RESTful API提供给移动端应用程序使用。 希望以上建议对您有所帮助,祝您编写成功!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值