Spring Security Oauth2和Spring Boot实现单点登录

最新推荐文章于 2024-07-17 15:25:08 发布
最新推荐文章于 2024-07-17 15:25:08 发布
阅读量492 收藏
点赞数
文章标签: java spring
原文链接:https://zhuanlan.zhihu.com/p/96512158
版权

最近在学习单点登录相关,调查了一下目前流行的单点登录解决方案:cas 和 oauth2,文章主要介绍oauth2 单点登录。希望这篇文章能帮助大家学习相关内容。

我们将使用两个单独的应用程序:

  • 授权服务器–这是中央身份验证机制
  • 客户端应用程序:使用SSO的应用程序

简而言之,当用户尝试访问客户端应用程序中的安全页面时,将首先通过身份验证服务器将其重定向为进行身份验证。

而且,我们将使用OAuth2中的“ 授权代码”授予类型来驱动身份验证的委派。

1、身份认证服务器(oauth2-server)

1.1 Maven依赖

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2 -->
 <dependency>
     <groupId>org.springframework.security.oauth</groupId>
     <artifactId>spring-security-oauth2</artifactId>
     <version>2.3.5.RELEASE</version>
</dependency>

注意:spring-security-oauth2>=2.3.0,<2.3.4中检测到已知的高严重性安全漏洞,请合理引用依赖

1.2 授权服务器配置

/**
 * 认证服务器配置
 * @author ltzhang
 * @time 2019-11-28
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    /**
     * 注入权限验证控制器 来支持 password grant type
     */
    @Autowired
    private AuthenticationManager authenticationManager;

    /**
     * 注入userDetailsService,开启refresh_token需要用到
     */
    @Autowired
    private MyUserDetailsService userDetailsService;

    /**
     * 数据源
     */
    @Autowired
    private DataSource dataSource;

    @Autowired
    private RedisConnectionFactory connectionFactory;

    @Autowired
    private MyOAuth2WebResponseExceptionTranslator webResponseExceptionTranslator;


    @Bean
    public TokenStore tokenStore() {
        // token 相关信息保存在 redis 中
        return new RedisTokenStore( connectionFactory );
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .allowFormAuthenticationForClients();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 客户端信息保存在数据库中:表 oauth_client_details
        // 如果oauth_client_details表中将autoApprove设置为true,
        // 这样我们就不会重定向和提升为手动批准任何范围
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //开启密码授权类型
        endpoints.authenticationManager(authenticationManager);
        //配置token存储方式
        endpoints.tokenStore(tokenStore());
        //自定义登录或者鉴权失败时的返回信息
        endpoints.exceptionTranslator(webResponseExceptionTranslator);
        //要使用refresh_token的话,需要额外配置userDetailsService
        endpoints.userDetailsService( userDetailsService );
        endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);
    }
}

 

1.3 资源服务器配置

/**
 * 资源提供端的配置
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private RestAuthAccessDeniedHandler deniedHandler;

    @Autowired
    private MyAuthenticationEntryPoint authenticationEntryPoint;
    /**
     * 这里设置需要token验证的url
     * 可以在WebSecurityConfigurerAdapter中排除掉,
     * 对于相同的url,如果二者都配置了验证
     * 则优先进入ResourceServerConfigurerAdapter,进行token验证。而不会进行
     * WebSecurityConfigurerAdapter 的 basic auth或表单认证。
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers("/user/me")
                .and()
                .authorizeRequests()
                .antMatchers("/user/me")
                .authenticated();
        //需要的时候创建session,支持从session中获取认证信息,ResourceServerConfiguration中
        //session创建策略是stateless不使用,这里其覆盖配置可创建session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(deniedHandler);
        //此处是关键,默认stateless=true,只支持access_token形式,
        // OAuth2客户端连接需要使用session,所以需要设置成false以支持session授权
        resources.stateless(false);
    }
}

1.4 安全配置

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class BrowerSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SecurityAuthenticationProvider provider;

    /**
     * 如若需从数据库动态判断权限则实现 AccessDecisionManager
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.antMatcher("/**")
                .authorizeRequests()
                .antMatchers("/login", "/oauth/authorize**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .failureUrl("/login?error=true")
                .permitAll()
                .and()
                .logout()
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .logoutUrl("/logout")
                .and()
                //配置没有权限的自定义处理类
                .exceptionHandling()
                .accessDeniedPage("/403"); // 处理异常,拒绝访问就重定向到 403 页面

        // 设置跨域问题
        http.cors().and().csrf().disable();
        http.sessionManagement().invalidSessionUrl("/login");
        //单用户登录,如果有一个登录了,同一个用户在其他地方不能登录
        http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/assets/**");
    }

    /**
     * 自定义验证逻辑
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth){
        auth.authenticationProvider(provider);
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception{
        return super.authenticationManager();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

2 客户端应用配置(oauth2-client)

2.1 maven相关依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.0.1.RELEASE</version>
</dependency>

2.2安全配置

@Configuration
@EnableOAuth2Sso
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private RestAuthAccessDeniedHandler deniedHandler;

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .logout()
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .logoutSuccessUrl("http://localhost:8081/auth/logout")
                .and()
                //配置没有权限的自定义处理类
                .exceptionHandling()
                .accessDeniedHandler(deniedHandler);

        http.csrf().disable();

        // security 不开启 登录验证
        http.httpBasic().disable();
    }
}

2.3 application.yml配置

server:
  port: 8082
  servlet:
    context-path: /ui
    session:
      cookie:
        name: UISESSION

security:
  oauth2:
    client:
      clientId: dev
      clientSecret: 11
      accessTokenUri: http://localhost:8081/auth/oauth/token
      userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
    resource:
      userInfoUri: http://localhost:8081/auth/user/me

注意事项

  • 禁用了默认的基本身份验证
  • accessTokenUri是获取访问令牌的URI
  • userAuthorizationUri是将用户重定向到的授权URI
  • userInfoUri 用户端点的URI,以获取当前用户详细信息

实现效果预览

 

代码地址

 

https://github.com/ltztao/spring-security-oauth2-server

https://github.com/ltztao/spring-boot-oauth2-client

参考文章

https://www.baeldung.com/sso-spring-security-oauth2

 

 

 

发布于 2019-12-10

 

mengfch
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBootSpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
使用Spring Security OAuth2实现单点登录
08-25
在本教程中,我们将讨论如何使用Spring Security OAuthSpring Boot实现SSO - 单点登录。感兴趣的朋友跟随小编一起看看吧
[译] 学习 Spring Security(八):使用 Spring Security OAuth2 实现单点登录
weixin_33725239的博客
04-08 145
www.baeldung.com/sso-spring-… 作者:baeldung 译者:oopsguy 1、概述 在本教程中,我们将讨论如何使用 Spring Security OAuthSpring Boot 实现 SSO(单点登录)。 本示例将使用到三个独立应用 一个授权服务器(中央认证机制) 两个客户端应用(使用到了 SSO 的应用) 简而言之,当用户尝试访问客户端应用的...
教程:在Spring Boot应用中集成OAuth 2.0认证
省赚客开发者博客
06-27 1565
通过本教程,我们学习了如何在Spring Boot应用中集成和使用OAuth 2.0认证。从添加依赖、配置OAuth 2.0客户端信息,到配置Spring Security和创建控制器处理认证后的回调,这些步骤帮助开发者快速实现安全的认证机制,并保护应用程序的资源。
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 1969
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录
Spring Cloud SecurityOauth2实现单点登录
smart_an的专栏
04-18 1148
单点登录(Single Sign On)指的是当有多个系统需要登录时,用户只需登录一个系统,就可以访问其他需要登录的系统而无需登录。
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security ...该示例展示了如何使用 Spring Security Oauth2.0 实现短信验证码登录功能,提供了灵活的身份验证机制和强大的安全功能。
spring-boot spring-security-oauth2 完整demo
11-22
在Web服务中,OAuth2常用于实现单点登录(SSO,Single Sign-On)和API访问控制,确保数据安全的同时提供便捷的用户体验。 在这个完整的demo中,开发者已经构建了一个使用Spring BootSpring SecurityOAuth2的...
基于springsecurity+oauth2+jwt实现单点登录系统
qq_42971757的博客
03-08 1830
springsecurity+oauth2+jwt实现单点登录系统
springboot+oauth2单点登录.rar
04-13
springboot2.0+oauth搭建的SSO单点登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
实现功能需要的最小jar集合,其中lib文件夹是导出的jar,maven pom文件夹是maven组织的pom.xml文件。二选一。
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录
热门推荐
王浩的技术博客
07-20 5万+
1、概述 Spring Cloud 的安全模块可以为Spring Boot应用提供基于令牌的安全特性。具体讲就是支持OAuth2协议来实现单点登录(SSO),可以很方便地在资源服务之间传递身份令牌,以及使用嵌入式的ZUUL代理来配置下游服务的认证。 在这篇文章中,我们将介绍如何在Spring Boot 客户端应用、身份认证服务与提供REST API的资源服务之间配置完成这些功能。实现系统的安全...
SpringBoot Security OAuth2实现单点登录SSO(附源码)
最新发布
A的博客
07-17 1294
OAuth2 允许用户使用第三方认证提供者(如Google、GitHub等)的凭据进行认证,而不需要在你的应用中存储用户的密码。如果在你的应用程序中配置了多个 OAuth2 客户端(例如同时配置了 Google 和 GitHub),用户在其中一个认证成功后,在访问其他配置的客户端时不需要重新认证。登陆界面,进行上述整篇都在说的认证服务器,但如果先登录认证服务器,在进行登陆8082端口这个服务,会直接进入8082页面,这就是所谓的已经授权过的无需在重复登陆的实现。登陆页面–点击登陆进行授权。
学习 Spring Security(八):使用 Spring Security OAuth2 实现单点登录
qq_44005305的博客
01-05 750
在本教程中,我们将讨论如何使用 Spring Security OAuthSpring Boot 实现 SSO(单点登录)。本示例将使用到三个独立应用一个授权服务器(中央认证机制)两个客户端应用(使用到了 SSO 的应用)简而言之,当用户尝试访问客户端应用的安全页面时,他们首先通过身份验证服务器重定向进行身份验证。我们将使用 OAuth2 中的 Authorization Code 授权类型来驱动授权。
SpringBoot Security--OAuth2--实例/单点登录
IT利刃出鞘的博客
09-23 444
原文网址: 其他网址 Spring Boot Security OAuth2 入门_weixin_42073629的博客-CSDN博客springboot oauth2 单点登录实例_feinifi的博客-CSDN博客OAuth2认证授权流程解析_lixiang987654321的专栏-CSDN博客 简介 OAuth2用于第三方的认证,之前写过一篇博客来介绍OAuth2的授权流程:见这里。本文实战一下搭建OAuth2服务端,然后写一个客户端来调用它。 说明:实际...
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器和资源服务器的过程。Spring Security OAuth2 Boot提供了一...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值