Spring Security OAuth2 JWT公私钥认证登录后获取登录名为client_id解决方案

最新推荐文章于 2024-06-05 16:49:27 发布
最新推荐文章于 2024-06-05 16:49:27 发布
阅读量2.4k 收藏 3
点赞数
文章标签: jwt spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21480329/article/details/115200047
版权

spring security oauth2 + jwt认证实现,认证通过返回access_token,用户相关信息可以通过access_token的解析获取。但是SecurityContextHolder.getContext().getAuthentication().getName()获取到的username是client_id。

​ 在不使用jwt的情况下,正常登录认证后,通过SecurityContextHolder.getContext().getAuthentication().getName()获取到的username就是登录用户名。

​ 一般情况下,不处理此种情况对于用户资源访问没有任何影响。但是因为在一个项目中使用activiti7的工作流,工作流执行是因为权限问题,导致工作流执行异常,最终debug发现,因为SecurityContextHolder.getContext().getAuthentication().getName()是client_id,不是真正登录后的用户名导致。

​ 解决方案:

​ 修改认证,及继承了AuthorizationServerConfigurerAdapter类的一个自定义类,比如AuthorizationServerConfig类,源码如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.cloud.bootstrap.encrypt.KeyProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.token.DefaultAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.KeyStoreKeyFactory;

import javax.annotation.Resource;
import javax.sql.DataSource;
import java.security.KeyPair;

@Configuration
@EnableAuthorizationServer
class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Resource(name = "keyProp")
    private KeyProperties keyProperties;


    //重点代码,实现自定义的凭证转化
    @Autowired
    private CustomUserAuthenticationConverter customUserAuthenticationConverter;

    /** 客户端配置 */
    @Bean
    public ClientDetailsService clientDetails() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource).clients(clientDetails());
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
        .accessTokenConverter(jwtAccessTokenConverter())  //重点代码
        .authenticationManager(authenticationManager)
        .userDetailsService(userDetailsService)
        .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST)
        ;
    }

    /****
     * JWT令牌转换器
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();

        /**
         * getLocation  证书路径 microservice.jks
         * getSecret  证书秘钥 microservice
         * getAlias  证书别名 microservice
         * getPassword  证书密码 microservice
         */
        KeyPair keyPair = new KeyStoreKeyFactory(
                keyProperties.getKeyStore().getLocation(),
                keyProperties.getKeyStore().getSecret().toCharArray())
                .getKeyPair(
                        keyProperties.getKeyStore().getAlias(),
                        keyProperties.getKeyStore().getPassword().toCharArray());
        converter.setKeyPair(keyPair);
        /** 配置自定义的 CustomUserAuthenticationConverter */
        DefaultAccessTokenConverter accessTokenConverter = (DefaultAccessTokenConverter) converter.getAccessTokenConverter();
        accessTokenConverter.setUserTokenConverter(customUserAuthenticationConverter);

        return converter;
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
        //允许表单认证
        oauthServer.allowFormAuthenticationForClients()
                .passwordEncoder(new BCryptPasswordEncoder())
                .tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()");
    }

}

​ 对于不需要使用工作流服务,资源服务配置可使用以下源码:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.stream.Collectors;

/**
 * 描述
 *
 * @author carter
 * @version 1.0
 * @package  *
 * @since 1.0
 */
@Configuration
// 开启 资源服务器(标识他是一个oauth2中的资源服务器)
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的PreAuthorize注解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    //公钥
    private static final String PUBLIC_KEY = "public.key";

    /***
     * 定义JwtTokenStore
     * @param jwtAccessTokenConverter
     * @return
     */
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    /***
     * 定义JJwtAccessTokenConverter  用来校验令牌
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(getPubKey());
        return converter;
    }

    /**
     * 获取非对称加密公钥 Key
     *
     * @return 公钥 Key
     */
    private String getPubKey() {
        Resource resource = new ClassPathResource(PUBLIC_KEY);
        try {
            InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
            BufferedReader br = new BufferedReader(inputStreamReader);
            return br.lines().collect(Collectors.joining("\n"));
        } catch (IOException ioe) {
            return null;
        }
    }

    /***
     * Http安全配置,对每个到达系统的http请求链接进行校验
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {

        //放行 用户注册的请求
        //其他的请求  必须有登录之后才能访问 (校验token合法才可以访问)


        //所有请求必须认证通过
        http.authorizeRequests()
                //下边的路径放行
                .antMatchers(
                        "/user/add", "/user/login", "/**"). //配置地址放行
                permitAll()
                .anyRequest()
                .authenticated();    //其他地址需要认证授权
    }
    
}

​ 针对以activiti7为工作流服务,需要做相应的变更,并且需要自定义一个类继承JwtAccessTokenConverter,资源服务配置使用以下源码:

import com.common.jwt.CustomAccessTokenConverter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.stream.Collectors;

/**
 * 描述
 *
 * @author carter
 * @version 1.0
 * @package  *
 * @since 1.0
 */
@Configuration
// 开启 资源服务器(标识他是一个oauth2中的资源服务器)
//@EnableResourceServer
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的PreAuthorize注解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    //公钥
    private static final String PUBLIC_KEY = "public.key";

    /***
     * 定义JwtTokenStore
     * @param jwtAccessTokenConverter
     * @return
     */
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /***
     * 定义JJwtAccessTokenConverter  用来校验令牌
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
      	//重点代码,主要是为了解决jwt认证获取到登录用户名是client_id
        CustomAccessTokenConverter converter = new CustomAccessTokenConverter();
        converter.setVerifierKey(getPubKey());
        return converter;
    }

    /**
     * 获取非对称加密公钥 Key
     *
     * @return 公钥 Key
     */
    private String getPubKey() {
        Resource resource = new ClassPathResource(PUBLIC_KEY);
        try {
            InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
            BufferedReader br = new BufferedReader(inputStreamReader);
            return br.lines().collect(Collectors.joining("\n"));
        } catch (IOException ioe) {
            return null;
        }
    }

    /***
     * Http安全配置,对每个到达系统的http请求链接进行校验
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {

        //放行 用户注册的请求
        //其他的请求  必须有登录之后才能访问 (校验token合法才可以访问)
        //所有请求必须认证通过
        http.authorizeRequests()
        //下边的路径放行
        .antMatchers("/**"). //配置地址放行
        permitAll()
        .anyRequest()
        .authenticated();    //其他地址需要认证授权
    }
    
}

​ 此处源码主要是为了解决jwt认证获取到登录用户名是client_id,重新封装登录认证信息,最终SecurityContextHolder.getContext().getAuthentication().getName()是。

import cn.hutool.core.collection.CollectionUtil;
import com.common.constants.Constants;
import com.google.common.collect.Lists;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.OAuth2Request;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;

import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.stream.Collectors;

/**
 * 项目名称:common
 * 类 名 称:CustomAccessTokenConverter
 * 类 描 述:TODO
 * 创建时间:2021/3/21 下午11:42
 * 创 建 人:chenyouhong
 */
public class CustomAccessTokenConverter extends JwtAccessTokenConverter {

    @Override
    public OAuth2Authentication extractAuthentication(Map<String, ?> claims) {
        List<String> authorities = (List)claims.get("authorities");
        List<SimpleGrantedAuthority> simpleGrantedAuthorities = Lists.newArrayList();
        if (CollectionUtil.isNotEmpty(authorities)) {
            simpleGrantedAuthorities.addAll(authorities.stream().map(e -> new SimpleGrantedAuthority(e)).collect(Collectors.toList()));
        }

        String password = Constants.BLANK;
        if (claims.get("password") != null) {
            password = (String)claims.get("password");
        }

        UserJwt userDetails = new UserJwt((String)claims.get("userCode"), password, simpleGrantedAuthorities);
        OAuth2Request request = new OAuth2Request((Map)null, (String)claims.get("client_id"), simpleGrantedAuthorities, true, (Set)null, (Set)null, (String)null, (Set)null, (Map)null);
        //将提取的值principal作为构造函数参数
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(userDetails, "N/A", simpleGrantedAuthorities);
        token.setDetails(claims);
        return new OAuth2Authentication(request, token);
    }

}
qq_21480329
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring oauth2如何获取当前登录用户信息
爱写代码的程序员
07-17 7072
使用spring oauth2框架做授权鉴定。想获取当前用户信息怎么办? 我们知道spring oauth2是基于spring security的实现的。 spring security可以通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前用户信息。 而spring oauth2通过SecurityContextHolder.getContext().getAuthentication().getPrinc
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 2700
SpringOAuth2授权流程分析
Oauth2请求不带client_id获取方法】
ShayneLee8的博客
06-12 1087
这段时间在学习 oauth2, 发现我组用的框架,登录请求参数中并没有 client_id ,但是后台逻辑确实关联到了 client 信息。
Client IDClient Secret
最新发布
ershuiyan的博客
06-05 1099
了解Client IDClient Secret
php oauth2.0密码模式,OAuth2.0密码授权模式中,client_id是什么的id
weixin_28881749的博客
04-01 555
有博客是这样解释的密码模式:密码模式(resource owner password credentials):用户向第三方客户端提供自己在授权服务端的用户名和密码,客户端通过用户提供的用户名和密码向授权服务端请求令牌(Access Token)。Laravel使用密码授权的方式需要提交的参数如下:$response=$http->post('http://your-app.com/oa...
oauth2.0 客户端模式、从数据库中获取 client_id client_secret
奋斗
08-03 2946
oauth2.0 客户端模式、从数据库中获取 client_id client_secret。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
Spring Security OAuth2.0 是一个广泛使用的Java安全框架,它为构建安全的Web应用程序提供了强大的支持。OAuth2.0是授权框架的一个标准,允许第三方应用在用户授权的情况下访问其私有资源,而无需共享用户登录凭证...
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. ...
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8316
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
oauth2 通过SecurityContextHolder获取用户信息(二)
个人工作学习内容总结
04-06 2054
既上一篇获取用户信息,又找到了另一种获取用户信息的方法,在这做下介绍 本方法获取用户信息使用的是 token-info-uri user-info-uri方式移步 资源服务配置文件 当使用token-info-uri时,默认user-info-uri不生效,loadBalanced:集群配置 security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth1/users/cu
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权码模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
Spring security oauth2 简单配置
haliaddel的博客
12-15 506
配置认证服务器 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="ht...
OAuth 2.0授权方式以及默认端点
debug_fang的博客
03-11 1410
OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) Oauth2提供的默认端点(endpoints) /oauth/authorize:授权端点 /oauth/token:令牌端点 /oauth/confirm_access:用户确认授权提交端点 /oauth/error:授权服务错误信息端点 /oa
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2310
OAuth2根据授权码获取Token
springsecurity实现单点登录
m0_67401660的博客
08-25 839
小伙伴们,你们好呀!我是老寇!废话不多说,跟我一起学习单点登录SSO。
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
SpringBoot 整合security 实现自定义Token和clientId登录及退出(三)
~~~~~~~BUG FLY~~~~~~~~~
12-19 2702
代码写好了,我们可以来测试一下写得是否满足我们的需求 测试工具:postman 在登录接口,输入用户名和密码 发送请求 获得用户返回的信息 数据库user_token 新增一条数据(这里就不截图了) 在新建一个请求 @RestController @RequestMapping(value = "api") @SuppressWarnings("all") public class UserController { @Autowired private UserService user
springsecurity+oauth2+jwt实现单点登录demo
09-04
Spring Security OAuth2是基于Spring Security的一个模块,用于实现OAuth2协议的认证和授权功能。JWT(JSON Web Token)是一种基于JSON的开放标准,用于在各个系统之间传递安全的信息。 要实现Spring Security OAuth2 JWT的单点登录(Single Sign-On)Demo,可以按照以下步骤进行: 1. 引入依赖:在项目的pom.xml文件中,添加Spring Security OAuth2和JWT的依赖,例如: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置认证服务器:在Spring Boot的配置文件中,配置OAuth2认证服务器的相关信息,包括授权类型、客户端信息、权限等。 3. 配置资源服务器:通过@EnableResourceServer注解,配置资源服务器的相关信息,包括权限配置、接口保护等。 4. 实现用户认证:创建一个自定义的UserDetailsService实现类,用于根据用户名从数据库或其他存储中获取用户信息,并返回一个实现了UserDetails接口的对象,包括用户用户名、密码和权限信息。 5. 实现JWT生成和解析:创建一个JwtUtil工具类,用于生成和解析JWT。在生成JWT时,可以将用户信息包含在JWT的负载中,并设置过期时间等信息。 6. 配置登录和授权端点:在Spring Security的配置类中,配置登录和授权的端点,包括登录页面、登录成功和登录失败的处理器等。 7. 创建前端页面:根据需求,创建相应的前端页面,用于展示登录界面和验证JWT。 8. 测试:启动应用程序,访问登录页面,输入用户名和密码进行登录。成功登录后,将会生成一个JWT,并返回给前端。在其他需要进行单点登录的应用中,只需使用该JWT进行认证即可。 通过以上步骤的实现,就可以实现Spring Security OAuth2 JWT的单点登录Demo。在其他需要进行单点登录的应用中,只需使用同一个认证服务器,并验证JWT的合法性即可实现单点登录的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值