使用Security和Oauth2搭建授权服务器和资源服务器

最新推荐文章于 2023-12-05 15:49:03 发布
最新推荐文章于 2023-12-05 15:49:03 发布
阅读量242 收藏
点赞数
分类专栏: Java Web开发 文章标签: java spring jwt spring boot
转载注明出处
本文链接:https://blog.csdn.net/qq_15973399/article/details/117621306
版权

安装

本文使用最新版本的依赖。

父pom,省略其他不相关依赖,根据实际指定和添加

<dependencyManagement>
        <dependencies>
            <!-- spring-cloud -->
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>2020.0.3</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <!-- spring-cloud-alibaba -->
            <dependency>
                <groupId>com.alibaba.cloud</groupId>
                <artifactId>spring-cloud-alibaba-dependencies</artifactId>
                <version>2021.1</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
            <!-- spring boot -->
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-parent</artifactId>
                <version>2.4.6</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

uaa工程,即认证服务

<!-- oauth2 -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<!-- security -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>

发现,依赖没被导入,查阅资料发现2020版本不再提供版本,需要自己添加

<!-- oauth2 -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
    <version>2.2.5.RELEASE</version>
</dependency>
<!-- security -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
    <version>2.2.5.RELEASE</version>
</dependency>

授权服务器

授权服务器3个重点

  1. 令牌管理服务
  2. 令牌安全约束
  3. 令牌端点服务

完整代码如下,MyUserDetailsService需要自己定义

/**
 * 认证服务
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    final AuthenticationManager authenticationManager;
    final JwtAccessTokenConverter jwtAccessTokenConverter;
    final TokenStore tokenStore;
    final MyUserDetailsService myUserDetailsService;
    final DataSource dataSource;
    final PasswordEncoder passwordEncoder;
    @Resource
    AuthorizationCodeServices authorizationCodeServices;
    @Resource
    ClientDetailsService clientDetails;

    public AuthorizationServerConfig(AuthenticationManager authenticationManager,
                                     JwtAccessTokenConverter jwtAccessTokenConverter,
                                     TokenStore tokenStore,
                                     MyUserDetailsService myUserDetailsService,
                                     DataSource dataSource,
                                     PasswordEncoder passwordEncoder) {
        this.authenticationManager = authenticationManager;
        this.jwtAccessTokenConverter = jwtAccessTokenConverter;
        this.tokenStore = tokenStore;
        this.myUserDetailsService = myUserDetailsService;
        this.dataSource = dataSource;
        this.passwordEncoder = passwordEncoder;
    }

    /**
     * 将客户端信息存储到数据库
     *
     * @return
     */
    @Bean
    public ClientDetailsService clientDetails() {
        JdbcClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
        clientDetailsService.setPasswordEncoder(passwordEncoder);
        return clientDetailsService;
    }

    /**
     * 令牌管理服务
     *
     * @return
     */
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setClientDetailsService(clientDetails);//客户端详情服务
        defaultTokenServices.setSupportRefreshToken(true);//不支持刷新令牌
        defaultTokenServices.setTokenStore(tokenStore);//令牌存储策略
        defaultTokenServices.setAccessTokenValiditySeconds(7200);
        defaultTokenServices.setRefreshTokenValiditySeconds(259200);
        //令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Collections.singletonList(jwtAccessTokenConverter));
        defaultTokenServices.setTokenEnhancer(tokenEnhancerChain);
        return defaultTokenServices;
    }

    /**
     * 设置授权码模式
     *
     * @return
     */
    @Bean
    public AuthorizationCodeServices authorizationCodeServices() {
        return new JdbcAuthorizationCodeServices(dataSource);
    }

    /**
     * 令牌安全约束
     *
     * @param security
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                .allowFormAuthenticationForClients();
    }

    /**
     * 客户端详情服务
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetails);
    }

    /**
     * 令牌端点服务
     *
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)//密码模式
                .authorizationCodeServices(authorizationCodeServices)//授权码服务
                .tokenServices(tokenService())//令牌管理服务
                .reuseRefreshTokens(false).userDetailsService(myUserDetailsService)//刷新令牌
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);
    }
}

CustomAccessDeniedHandler

/**
 * 自定义 Access Denied
 */
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException {
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setCharacterEncoding(String.valueOf(StandardCharsets.UTF_8));
        httpServletResponse.setContentType(MediaType.APPLICATION_JSON_VALUE);
        PrintWriter printWriter = httpServletResponse.getWriter();
        printWriter.print(new ObjectMapper().writeValueAsString(HttpResult.failed(ConstVal.ACCESS_DENIED_MSG)));
        printWriter.flush();
        printWriter.close();
    }
}

CustomAuthenticationEntryPoint

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException {
        httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        httpServletResponse.setCharacterEncoding(String.valueOf(StandardCharsets.UTF_8));
        httpServletResponse.setContentType(MediaType.APPLICATION_JSON_VALUE);

        PrintWriter printWriter = httpServletResponse.getWriter();

        Throwable cause = e.getCause();
        if (cause instanceof InvalidTokenException) {
            printWriter.print(new ObjectMapper().writeValueAsString(HttpResult.failed(ConstVal.INVALID_TOKEN_MSG)));
        } else {
            printWriter.print(new ObjectMapper().writeValueAsString(HttpResult.failed(ConstVal.UNAUTHORIZED_MSG)));
        }
        printWriter.flush();
        printWriter.close();
    }
}

TokenConfig

@Configuration
public class TokenConfig {

    @Resource(name = "keyProp")
    private KeyProperties keyProperties;

    @Bean("keyProp")
    public KeyProperties keyProperties() {
        return new KeyProperties();
    }

    /**
     * 使用redis存储认证token
     *
     * @return
     */
    @Bean
    public TokenStore tokenStore() {
        //无状态方式的存储
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 使用非对称加密算法来对Token进行签名
     *
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        KeyPair keyPair = (new KeyStoreKeyFactory(this.keyProperties.getKeyStore().getLocation(), this.keyProperties.getKeyStore().getSecret().toCharArray()))
                .getKeyPair(this.keyProperties.getKeyStore().getAlias(), this.keyProperties.getKeyStore().getPassword().toCharArray());
        converter.setKeyPair(keyPair);
        return converter;
    }
}

WebSecurityConfig

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    final MyUserDetailsService userDetailsService;

    public WebSecurityConfig(MyUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    /**
     * 认证管理器
     *
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 密码编码器
     *
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 用户信息服务
     *
     * @return
     */
    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService);
        provider.setHideUserNotFoundExceptions(false);
        provider.setPasswordEncoder(passwordEncoder());
        return provider;
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }

    /**
     * 用户验证
     *
     * @param auth
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(daoAuthenticationProvider());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests().antMatchers("/oauth/token").permitAll().anyRequest().authenticated()
                .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and().exceptionHandling().accessDeniedHandler(new CustomAccessDeniedHandler())//自定义异常处理
                .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
                .and().formLogin();
    }
}

encrypt:
  key-store:
    location: classpath:keystore.jks
    secret: ice
    alias: ice
    password: ice

keytool -genkeypair -alias ice -keyalg RSA -keypass ice -keystore keystore.jks -storepass ice

资源服务器

资源服务器比较简单,添加依赖和配置文件即可

WebSecurityConfig配置文件

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable().authorizeRequests().anyRequest().authenticated()
                .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

@Configuration
@EnableResourceServer
@Slf4j
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @SneakyThrows
    @Bean
    public ResourceServerTokenServices tokenService() {
        log.info(">>> 资源服务器认证...");
        DefaultTokenServices service = new DefaultTokenServices();

        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(new String(FileCopyUtils.copyToByteArray(
                new ClassPathResource("public.txt").getInputStream())));
        converter.afterPropertiesSet();
        service.setTokenStore(new JwtTokenStore(converter));
        return service;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId("ice_cloud_life").tokenServices(tokenService());
    }
}

以上需要使用公钥文件

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

一开始,没有生效,是因为没写converter.afterPropertiesSet();

调试代码JwtAccessTokenConverter.java

protected Map<String, Object> decode(String token) {
	try {
		Jwt jwt = JwtHelper.decodeAndVerify(token, verifier);
		String claimsStr = jwt.getClaims();
		Map<String, Object> claims = objectMapper.parseMap(claimsStr);
		if (claims.containsKey(EXP) && claims.get(EXP) instanceof Integer) {
			Integer intValue = (Integer) claims.get(EXP);
			claims.put(EXP, new Long(intValue));
		}
		this.getJwtClaimsSetVerifier().verify(claims);
		return claims;
	}
	catch (Exception e) {
		throw new InvalidTokenException("Cannot convert access token to JSON", e);
	}
}

第一句就报错了,因为verifier未null。通过在类中寻找verifier的初始化后发现。

	public void afterPropertiesSet() throws Exception {
		if (verifier != null) {
			// Assume signer also set independently if needed
			return;
		}
		//....
	}

于是在配置文件中添加调用。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 6.x 系列【26】源码篇之OAuth2登录流程
记录知识、锤炼自我
04-21 1130
在上篇文档中,我们使用Spring Security集成了GitHub、码云登录,接下来跟随源码分析下整个流程,首先看下码云官网提供的OAuth2 认证文档。
spring security依赖
yanshendeyinji的博客
10-19 6304
依赖 1非springboot项目 (1)spring-security-core包含了认证和权限控制的功能,支持非web应用,以及方法安全及JDBC等,所以一般需要使用spring security框架,该依赖是必须的 (2)spring-security-web提供web支持,包含了一些Filters,Servlet环境下url控制等基础 (3)spring-security-config包含了丰富的Spring Security XML和注解,可以通过添加该依赖使用他们,其他支持 LDAP, ACL
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7269
springsecurity整合oauth2+JWT,数据库配置客户端
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 2639
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
整合 Oauth2 和 SpringSecurity
weixin_46113055的博客
08-22 325
Oauth2 整合 SpringSecurityOauth2整合 Oauth2 和 SpringSecurity1. 导入相应的依赖2. WebSecurityConfig Oauth2 这里采用了 Oauth2 的 code 模式 , Oauth2 Oauth的大致思路是一个线性的流程。 第三方应用向资源持有者请求获取资源 资源持有者授权给予第三方应用一个许可 第三方应用将该许可给予认证服务器进行认证,如果认证成功,返回一个Access Token 第三方应用使用该access token到资源
搭建spring security oauth2认证授权服务器
qq_36551991的博客
12-05 2564
搭建spring security oauth2认证授权服务器
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
- **Security**:Spring Security是一个强大的安全框架,用于处理身份验证和授权。在这里,它被用来实现OAuth2的逻辑,包括用户认证、令牌管理等。 - **OAuth2**:授权框架,定义了如何安全地授予第三方应用访问用户...
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的实现主要涉及到授权服务器资源服务器和客户端三个部分的配置和实现。通过配置 AuthorizationServerConfigurer、ResourceServerConfigurer 和 OAuth2RestTemplate,可以实现 ...
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
Spring BootSpring SecurityOAuth2的结合提供了一种强大且灵活的方式来保护应用程序资源实现资源服务器(Resource Server)与认证服务器(Authorization Server)的分离。这种分离模式有助于提高系统的可扩展...
搭建spring-security-oauth2授权服务(服务)和资源服务(模块)(一)—— 搭建授权服务
疯子也是猖狂
03-05 1428
之前用的是springsecurity+jwt作为安全验证,现在oauth2版本也可以实现,而且还有对外的token获取方式,所以替换成oauth2版本的springsecurity。 同样是使用jwt管理token,但是会加上redis,因为jwt生成的token是无状态的,所以生成新toekn后,旧token依旧能用,所以使用redis作为中间件来避免旧token还能使用的情况,实现单点登陆。 项目接口,红框里的是没用的,不用管 首先创建一个springboot项目,由于我用的是微服务,授权
Spring SecurityOAuth2的完美结合
m0_49151953的博客
04-13 1768
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权服务器资源服务器是指存储资源服务器Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
Spring Cloud oAuth2(一)搭建授权服务器以及访问
Show Me The Code
12-17 1211
1231
oauth2 学习(一)-使用Apache oltu实现oauth2的授权服务器
weixin_30384031的博客
01-23 777
最近做oauth2预研,查了相当多的资料 因为现有的项目是使用java 语言来实现的,且不打算直接去实现这一整套的标准。因此先去官网(https://oauth.net/code/)看了下现有的java实现。其实还有其他的实现没有收录进去。   比较之后发现资料相对较多的是Apache oltu以及 spring sercurity oauth.因为...
使用OAuth2实现授权服务
FirstMrRight的博客
09-03 1682
主要用于将自定义的更多用户信息放入Token中。= null) {//把用户标识嵌入JWT Token中去(Key是userDetails) Map < String , Object > additionalInfo = new HashMap < >();} }
SpringSecurity(二十)---OAuth2:实现资源服务器(上)资源服务器搭建以及直接调用授权服务器模式
学习不止境的博客
12-01 3236
本章将讨论如何使用Spring Security实现一个资源服务器资源服务器是管理用户资源的组件。另外,学习本章有个前提,需要先把前面搭建授权服务器的相关文章先给阅读,否则可能后面出现的授权服务器相关代码不知道个所以然。就OAuth2而言,它代表了我们要保护的后端(端点),就像前几章保护的其他应用程序是一样的。为了允许客户端访问资源资源服务器需要一个有效的访问令牌。客户端会从授权服务器获得访问令牌,并通过将该令牌添加到HTTP请求头信息来使用该令牌调用资源服务器上的资源
OAuth 2 实现简单登录授权
zouyang920的博客
01-04 3073
1.OAuth2.0 进阶 根据官方标准,OAuth 2.0 共用四种授权模式: Authorization Code: 用在服务端应用之间,这种最复杂,也是本文采用的模式; Implicit: 用在移动app或者webapp(这些app是在用户的设备上的,如在手机上调起微信来进行认证授权) Resource Owner Password Credentials(password): 应用直接都是受信任的(都是由一家公司开发的,本例子使用) Client Credentials: 用在应用API访问。
OAuth2:搭建授权服务器
Leon_Jinhai_Sun的博客
07-30 3097
OAuth2:搭建授权服务器
OAuth2.0四种授权模式以及Oauth2.0实战
热门推荐
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式。 Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
spring-security-oauth2文档
最新发布
03-26
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器资源服务器的过程。Spring Security OAuth2 Boot提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值