Spring Security OAuth2 中的 JwtAccessTokenConverter

于 2024-05-17 19:43:49 发布
阅读量856 收藏 9
点赞数 26
分类专栏: Spring secrunity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mywaya2333/article/details/139011929
版权

介绍

JwtAccessTokenConverter 是 Spring Security OAuth2 中的一个类,用于处理 JWT(JSON Web Token)的生成和验证。它在授权服务器和资源服务器之间起着关键作用,确保令牌的完整性和真实性。

JwtAccessTokenConverter 的角色和作用

在授权服务器中

  • JwtAccessTokenConverter 用于生成和签名 JWT。
  • 授权服务器使用私钥对 JWT 进行签名,以确保令牌的完整性和真实性。

在资源服务器中

  • JwtAccessTokenConverter 用于验证和解码 JWT。
  • 资源服务器使用公钥验证 JWT 的签名,以确保令牌未被篡改,并从中提取相关的声明(claims)。

JwtAccessTokenConverter 的具体功能

  1. 令牌转换(Token Conversion)

    • 将 OAuth2 访问令牌转换为 JWT。
    • 将 JWT 解码为 OAuth2 访问令牌。

  2. 签名和验证(Signing and Verification)

    • 在授权服务器中使用私钥对 JWT 进行签名。
    • 在资源服务器中使用公钥验证 JWT 的签名。

授权服务器、资源服务器和 JwtAccessTokenConverter 之间的关系

授权服务器

授权服务器负责认证用户并颁发令牌。配置授权服务器时,会使用 JwtAccessTokenConverter 来生成和签名 JWT。示例配置如下:

import org.springframework.context.annotation.Bean;
import org.springframework.core.io.ClassPathResource;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.KeyStoreKeyFactory;

import java.security.KeyPair;

@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        KeyPair keyPair = new KeyStoreKeyFactory(
            new ClassPathResource("cxs-jwt.jks"), "cxs123".toCharArray())
            .getKeyPair("cxs-jwt");
        converter.setKeyPair(keyPair);
        return converter;
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.tokenStore(tokenStore()).accessTokenConverter(accessTokenConverter());
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
    }
}

资源服务器

资源服务器保护资源,并在每个请求中验证 JWT 的有效性。配置资源服务器时,也会使用 JwtAccessTokenConverter 来验证 JWT 的签名。示例配置如下

import org.springframework.context.annotation.Bean;
import org.springframework.core.io.ClassPathResource;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
import org.springframework.security.oauth2.provider.token.TokenStore;

import java.io.IOException;
import java.nio.charset.Charset;

public class ResourceConfig extends ResourceServerConfigurerAdapter {

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        ClassPathResource resource = new ClassPathResource("jwt-publicKey.txt");
        try {
            String publicKey = FileUtil.readString(resource.getFile(), Charset.defaultCharset());
            jwtAccessTokenConverter.setVerifierKey(publicKey);
        } catch (IOException e) {
            e.printStackTrace();
        }
        return jwtAccessTokenConverter;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.tokenStore(tokenStore());
    }
}

工作流程

  1. 客户端请求令牌

    • 客户端(如 Web 应用或移动应用)向授权服务器请求访问令牌。
    • 授权服务器认证客户端身份,并生成 JWT。
    • JwtAccessTokenConverter 使用私钥对 JWT 进行签名。
    • 签名后的 JWT 返回给客户端。

  2. 客户端请求受保护资源

    • 客户端使用 JWT 请求资源服务器的受保护资源。
    • 资源服务器接收到 JWT,并使用 JwtAccessTokenConverter 进行解码和签名验证。
    • JwtAccessTokenConverter 使用公钥验证 JWT 的签名。
    • 如果签名验证通过,资源服务器允许访问受保护资源;如果验证失败,拒绝访问。

具体方法解释

configure(AuthorizationServerEndpointsConfigurer endpoints)

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
    endpoints.tokenStore(tokenStore()).accessTokenConverter(accessTokenConverter());
}

  • tokenStore(tokenStore())

    • 指定用于存储令牌的策略。在这里使用 JwtTokenStore
    • JwtTokenStore 是一个 TokenStore 的实现,用于存储 JWT。

  • accessTokenConverter(accessTokenConverter())

    • 指定用于访问令牌转换的策略。在这里使用 JwtAccessTokenConverter
    • JwtAccessTokenConverter 用于将 OAuth2 访问令牌转换为 JWT,并在授权服务器中使用私钥对 JWT 进行签名。

configure(AuthorizationServerSecurityConfigurer security)

@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    security.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
}

这段代码的作用是配置授权服务器的安全性,具体包括以下两方面:

  1. tokenKeyAccess("permitAll()")

    • 允许所有人访问令牌密钥端点。
    • 通常,这个端点提供的是公钥,客户端和资源服务器可以通过这个端点获取公钥,用于验证 JWT 的签名。
    • 公开访问公钥是安全的,因为公钥仅用于验证签名,而不能用于生成签名。

  2. checkTokenAccess("isAuthenticated()")

    • 要求对令牌检查的访问需要身份验证。
    • 这意味着只有经过认证的客户端才能访问检查令牌的端点,确保只有合法的客户端可以进行令牌验证请求。

运行流程

  1. 令牌生成和存储

    • 客户端请求令牌时,授权服务器使用 JwtAccessTokenConverter 生成 JWT,并存储在 JwtTokenStore 中。

  2. 公钥访问

    • 客户端或资源服务器可以访问 /oauth/token_key 端点获取公钥,用于验证 JWT 的签名。

  3. 令牌检查

    • 客户端或资源服务器可以访问 /oauth/check_token 端点检查令牌的有效性,但必须经过身份验证才能访问该端点。

总结

  • configure(AuthorizationServerEndpointsConfigurer endpoints) 配置了授权服务器的端点,指定了如何存储和转换令牌。
  • configure(AuthorizationServerSecurityConfigurer security) 配置了授权服务器的安全性,定义了公钥访问和令牌检查的访问规则。

这些配置确保了授权服务器能够安全地生成和管理 JWT,并提供必要的端点供客户端和资源服务器访问。

mywaya2333
关注
  • 26
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring security oauth2.0 (讲义+代码)
03-10
OAuth2.0协议是当前开放流行的认证协议,本课程使用流行的Spring Security认证框架及OAuth2.0协议实现单体及分布式系统的认证授权技术解决方案。
Spring Cloud SecurityOauth2结合JWT使用
Lyndon的专栏
09-22 1235
Spring Cloud SecurityOauth2结合JWT使用
Spring Security Oauth2配置类AuthorizationServerConfigurerAdapter
wangooo的博客
02-23 1万+
AuthorizationServerConfigurerAdapter: ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。 AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束. AuthorizationServerEndpointsC
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌源码解析
mac文的java路
02-04 2976
springsecurity登录以后,默认会返回一个令牌(access_token): 通过查看源码,DefaultTokenServices的createAccessToken方法,令牌其实就是一个uuid: 实际使用,一般不会使用默认令牌,而是使用jwt令牌来替代默认令牌,这样做的好处是携带默认令牌访问资源,每次都要通过授权服务来认证令牌是否有效,而jwt则可以做到资源服务自己解析从...
Springsceurity使用TokenEnhancer和JwtAccessConverter增强jwt令牌原理
qq_42654484的博客
07-09 1万+
什么是JWT JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。(更多信息建议去官网了解) 使用JWT替换传统Token有很多好处,比如: 简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快 自包含(Self-contained):...
使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)
FAIRYTAIL的博客
08-31 5893
自定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain,最后设置到端点endpoints.tokenEnhancer(tokenEnhancerChain)。
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3522
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
spring-security-oauth2-2.3.5.RELEASE-API文档-文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
oauth2.0 access_token资源认证
01-10
Oauth2.0连接oracle数据库,进行资源认证,生成access_token.
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Cloud ~ 从JWT获取当前用户信息
热门推荐
说淑人的所思所想
04-25 1万+
前言 当完整的搭建了Spring Security Oauth2 + JWT工程之后,我在想该如何获取当前用户的信息?这本质算不上是太大问题,配合Redis很容易就能解决,但既然JWT的优点就在于保存了用户信息,再去Redis去拿就显得多此一举。 这就像是明明身上带着足够的钱,买东西时却偏偏要求你去银行取一样(线上支付让我的例子显得有些苍白无力)。 要做到这一点算不上难,但教材没有讲述,网上的...
Spring Cloud进阶之路 | 二十一:授权服务(Spring Cloud Oauth2)JWT实现-TokenStore之JwtTokenStore
银河架构师的博客
02-24 5104
前面的文章,分别介绍了Spring Cloud进阶之路 | 十八:授权服务(Spring Cloud Oauth2)ClientDetailsService之JdbcClientDetailsService、Spring Cloud进阶之路 | 十九:授权服务(Spring Cloud Oauth2)TokenStore之JdbcTokenStore、Spring Cloud进阶之路 | 二十:授权服务(Spring Cloud Oauth2)TokenStore之RedisTokenStore等实现。然
六、SpringCloudGateway+JWT统一认证鉴权
余衫马的博客
06-02 7463
参考springcloud-learning/micro-oauth2
OAuth2.0 - 使用JWT替换TokenJWT内容增强
小毕超博客
01-16 7917
一、OAuth2.0 上篇文章我们讲解了OAuth2.0的几种认证模式,前面的讲解Token采用OAuth2.0自带的方式生成的Token,但是这种方式也存在这弊端,通过前面的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 因此我们可以采用JWT生成令牌,用户认证通过会得到一个JWT令牌,JWT令牌已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行
OAuth2+JWT认证
qq_28326501的博客
06-22 645
一:OAuth2认证 思路: 【1】:服务创建及pom文件
SpringSecurity(二十四)--OAuth2:使用JWT和加密签名(下)非对称密钥加密
学习不止境的博客
12-30 2077
由于上文对称密钥涉及到的内容比较多,所以这一节的非对称密钥加密拆开成这一节单独讲解。 所以大家尽量先阅读完上一章的内容后再浏览这一章内容会更好。本节将实现OAuth2身份验证的一个示例,其授权服务器和资源服务器会使用一个非对称密钥对来对令牌签名和验证令牌。有时只让授权服务器和资源服务器共享一个密钥的做法是不可行的。通常,如果授权服务器和资源服务器不是由同一组织开发的,就会发生这种情况。在这种情况下,就可以认为授权服务器不“信任:资源服务器,因此我们不希望授权服务器与资源服务器共享密钥。而且,使用对称密钥,
Spring cloud入门-OAuth 2.0(三)JWT集成
weixin_42324034的博客
10-23 846
OAuth 2.0之(三)JWT集成JWT简介JWT组成创建oauth2-jwt-server模块使用jwt 存储扩展JWT存储的内容解析JWT的内容刷新令牌使用Redis 存储令牌 JWT简介 JWT是JSON WEB TOKEN的简写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT组成 JWT组成有三部分 Header Payload Signature Header 存在签名的生成算法,比如 { "alg": "
Spring security oauth2 Authorization Server Token增强
最新发布
06-03
Spring Security OAuth2 Authorization Server可以通过Token增强器(Token Enhancer)来为授权后返回的Access Token添加额外的信息。Token增强器是一个接口,它接收一个Access Token并返回一个增强后的Access Token。在Authorization Server配置类,可以通过调用tokenEnhancer()方法来设置Token增强器,示例代码如下: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Bean public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("123456"); return converter; } @Bean public TokenEnhancer tokenEnhancer() { return new CustomTokenEnhancer(); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService) .tokenStore(tokenStore()) .accessTokenConverter(accessTokenConverter()) .tokenEnhancer(tokenEnhancer()); } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { oauthServer.tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()") .allowFormAuthenticationForClients(); } } ``` 在上面的代码,CustomTokenEnhancer是一个自定义的Token增强器,它可以在Access Token添加额外的信息。示例代码如下: ```java public class CustomTokenEnhancer implements TokenEnhancer { @Override public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) { Map<String, Object> additionalInfo = new HashMap<>(); additionalInfo.put("organization", authentication.getName() + "@test.com"); ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo); return accessToken; } } ``` 在上面的代码,我们向Access Token添加了一个名为“organization”的信息,它的值为当前用户的用户名加上@test.com。这种方式可以为Access Token添加任何我们需要的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值