springOAuth2的教程与内部分析(内存储存篇)

最新推荐文章于 2024-04-17 22:48:31 发布
最新推荐文章于 2024-04-17 22:48:31 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: security 文章标签: springOAuth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22624361/article/details/88553568
版权

最近因为公司准备搭建自己的openAPI生态系统,所以致力与研究怎么保证对外接口的安全性问题,大家应该普遍知道一种比较经典的安全加密方式,就是非对称加密生成公钥和私钥之后再生成sign值再来进行服务端进行校验,其实这种加密方式已经非常适用了,如果是只是给外部服务端暴露接口的话,个人觉得这种已经足够了。
但是因为最近springOAuth2比较流行,而且OAuth2的协议也涵盖了大部分对外服务的安全保障,所以专门致力专研了一下springOAuth2,写的不好请各位大佬多提建议,也希望可以帮助到大家快速学习(文末附github地址)。
废话了这么多言,首先简单说下OAuth2,OAuth2只是一个授权标准,它可以使第三方应用程序或客户端获得对HTTP服务上(例如 Google,GitHub )用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。
下面直接开始教程。
关于springOAuth2主要分两个服务,一个是授权服务,负责获取内部服务授权给予的token,一个是资源服务,主要负责输出鉴权后请求的数据。
先来看一下项目的架构:
在这里插入代码片在这里插入图片描述
注册中心就不多讲,先主要讲auth服务:
在这里插入图片描述
1.先导入maven的依赖文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.service.auth</groupId>
    <artifactId>oauth-server</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>

    <name>oauth-server</name>
    <description>project for Spring OAuth2</description>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.3.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository   -->
    </parent>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
        <spring-cloud.version>Dalston.RELEASE</spring-cloud.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-eureka</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-eureka-server</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.16.10</version>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>${spring-cloud.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-resources-plugin</artifactId>
                <configuration>
                    <nonFilteredFileExtensions>
                        <nonFilteredFileExtension>cert</nonFilteredFileExtension>
                        <nonFilteredFileExtension>jks</nonFilteredFileExtension>
                    </nonFilteredFileExtensions>
                </configuration>
            </plugin>
        </plugins>
    </build>


</project>

2.OAuthSecurityConfig

@Configuration
@EnableAuthorizationServer
public class OAuthSecurityConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients
                .inMemory()
                .withClient("client_4")
                .secret("123456")
                .scopes("read").autoApprove(true)
                .authorities("WRIGTH_READ")
                .authorizedGrantTypes("refresh_token","authorization_code","password","client_credentials");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .tokenStore(tokenStore)
                .tokenEnhancer(jwtAccessTokenConverter())
                .authenticationManager(authenticationManager)
                .allowedTokenEndpointRequestMethods(HttpMethod.POST,HttpMethod.GET);
    }

    /**
     允许表单验证,浏览器直接发送post请求即可获取tocken
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess(
                "isAuthenticated()");
        oauthServer.allowFormAuthenticationForClients();
    }

    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("test-jwt.jks"), "test123".toCharArray());
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setKeyPair(keyStoreKeyFactory.getKeyPair("test-jwt"));
        return converter;
    }
}

开启校验服务器
注解开启校验服务器
2.1OAuthSecurityConfig继承AuthorizationServerConfigurerAdapter
AuthorizationServerConfigurerAdapter内主要有三个方法

2.1.1
ClientDetailsServiceConfigurer(客户端信息设置)
.inMemory():用内存方式保存client信息;
.withClient():规定client名称;
.secret():规定client的secret;
.scopes():规定客户端的作用域;
.autoApprove(true):授权码模式下是否需要跳转到验证页面去授权;
.authorities():客户端拥有的权限;
.authorizedGrantTypes:指定客户端支持的grant_type,可选值包括 authorization_code,password,refresh_token,implicit,client_credentials, 若支持多个grant_type用逗号(,)分隔,如: “authorization_code,password”. 在实际应用中,当注册时,该字段是一般由服务器端指定的,而不是由申请者去选择的,最常用的grant_type组合有: “authorization_code,refresh_token”(针对通过浏览器访问的客户端); “password,refresh_token”(针对移动设备的客户端)
2.1.2
AuthorizationServerEndpointsConfigurer
用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services),还有token的存储方式(tokenStore)。
.tokenStore(tokenStore):token的存储方式;
.tokenEnhancer:生成自定义令牌;
.authenticationManager:认证管理器;
allowedTokenEndpointRequestMethods(HttpMethod.POST,HttpMethod.GET):支持post和get方式来访问/oauth/token来获取token,oauth2里面默认只能使用post方式来获取token;
2.1.3
AuthorizationServerSecurityConfigurer
用来配置令牌端点(Token Endpoint)的安全约束。
oauthServer.allowFormAuthenticationForClients():允许表单提交;
2.1.4
jwtAccessTokenConverter()
自定义JWT的token
关于什么是jwttoken的传送门在这里
https://www.cnblogs.com/yan7/p/7857833.html
用keytool的方法生成jwt证书文件test-jwt,放在项目的根目录下面,另外生成公钥public.cert存放在资源服务器根目录下,根据JwtAccessTokenConverter里面的setKeyPair里面的RSA非对称加密来进行证书的校验。
3.OAuthWebConfig

@Configuration
@EnableWebSecurity
public class OAuthWebConfig extends WebSecurityConfigurerAdapter {


    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("user_1").password("123456").authorities("USER").build());

        return manager;
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {

        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.requestMatchers().anyRequest()
                .and()
                .authorizeRequests()
                .antMatchers("/oauth/**").permitAll();
        //支持表单登录
        http.formLogin();
    }


}

@EnableWebSecurity
注解开启web的安全验证
3.1
InMemoryUserDetailsManager:将用户的信息储存在内存中;
3.2
protected void configure(HttpSecurity http) throws Exception:关于http的安全校验
3.2.1
.antMatchers("/oauth/**").permitAll():/oauth/开头的请求路径不用通过鉴权;
http.formLogin():支持表单登录;
4.启用类

@SpringBootApplication
@EnableResourceServer
@EnableEurekaClient
public class AuthServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(AuthServerApplication.class, args);
    }


}

5.application.yml

spring:
  application:
    name: oauth-server-dev
server:
  port: 8882
eureka:
  client:
    service-url:
      defaultZone: http://localhost:8881/eureka/
security:
  oauth2:
    resource:
      id: oauth-server-dev

鉴权服务到此就简单的搭建完成了,我们来简单测试一下。
依次启动eureka-server,oauth-server;

可以看到我们成功获得了token。
下面进行资源服务器的搭建

1.ResourceServerConfiguration

@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {


    @Override
    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers("/**").authenticated();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
    }
}

ResourceServerConfiguration继承了ResourceServerConfigurerAdapter

这里也有对应的两个个方法可以重写
1.1
configure(ResourceServerSecurityConfigurer resources):用来自己装配关于资源的拓展信息(如:resourceId等);
1.2
configure(HttpSecurity http):关请求的拓展装配;
.antMatchers("/**").authenticated():设置需鉴权的路径;
2.JWTtoken解析类

@Configuration
public class JwtConfig {

    public static final String public_cert = "public.cert";

    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    @Bean
    @Qualifier("tokenStore")
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    @Bean
    protected JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        Resource resource =  new ClassPathResource(public_cert);

        String publicKey;
        try {
            publicKey = new String(FileCopyUtils.copyToByteArray(resource.getInputStream()));
        }catch (IOException e) {
            throw new RuntimeException(e);
        }

        converter.setVerifierKey(publicKey);
        return converter;
    }
}

这里按照上面提过的,用服务端生成的证书所生成的公钥来进行验证。
3.application.yml

eureka:
  client:
    service-url:
      defaultZone: http://localhost:8881/eureka/
server:
  port: 8883

security:
  oauth2:
    resource:
      jwt:
        key-uri: http://localhost:8882/oauth/token_key
    client:
      client-id: client_4
      client-secret: 123456
      access-token-uri: http://localhost:8882/oauth/token
      grant-type: password
      scope: read
      user-authorization-uri: http://localhost:8882/oauth/authorize

3.1
security.oauth2.resource.jwt.key:向鉴权服务去验证jwttoken有效性的地址;
security.oauth2.client:配置我们刚才在内存里面储存的客户端信息;
security.oauth2.client.access-token-uri:获取token的路径;
security.oauth2. user-authorization-uri:获得授权路径;

4.然后写一个测试类输出数据

@RestController
@RequestMapping(value="/resource/")
public class TestController{


    @ResponseBody
    @RequestMapping(value = "/test", method = RequestMethod.GET, produces = "application/json;charset=UTF-8")
    public String getTest(){
        return  "11111111";
    }

}

然后我们依次启动eureka-server,oauth-server,resource-server来测试一下。
首先还是通过上面讲过的方式来获取token,
然后我们先用没有携带token的请求来请求资源服务试试看

我们可以看到访问被拒绝了。
下面我们再用携带了token的请求来请求试试看

OK,完美成功。到此springOAuth2的简单验证流程就算是成功了,后面的文章会讲到怎么将token存储在redis和关系型数据库里面,还有将会OAuth2的三种模式的实践(简化模式太过于简单就不讲了)。
附上源码地址
https://github.com/fjc440/spring-oauth2-demo
(feature_memory分支)。
最后非常感谢简书用户
感谢大佬写的demo(https://www.jianshu.com/p/3427549a148a)学习良多。
如果有大佬们有好的建议可以随时留言

三只程序猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springOauth2
04-23
详见:http://blog.csdn.net/monkeyking1987/article/details/16828059
SpringCloudOAuth2-基于Redis管理Session
summer_fish的专栏
05-30 1145
一、SessionRepositoryRequestWrapper 重点看一下重写的getSession方法,代码如下: @Override public HttpSessionWrapper getSession(boolean create) { //1、从本地缓存中获取 HttpSessionWrapper currentSession = getCurrentSession(); if (currentSession != null) { return.
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
热门推荐
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了!
最新发布
2301_76348189的博客
04-17 558
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取token和token失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Spring Security oAuth2---基于内存方式
tealala的博客
03-08 1336
基于内存存储令牌 1、创建认证服务器,需要继承AuthorizationServerConfigurerAdapter,实现configure(ClientDetailsServiceConfigurer clients)方法,在这个方法里面设置相关的参数,客户端id,密钥,认证方式,范围,重定向到哪里; @Configuration @EnableAuthorizationServer p...
实战讲解Spring Oauth2.0密码模式和授权码模式(内存inMemory+持久化jdbc配置)
天然玩家的博客
10-27 5251
(1)Oauth2.0认证需要配置:认证拦截、认证服务、资源服务以及用户服务,其中,认证拦截是拦截认证相关的URI,如$/oauth/**$系列的URI,$/login/**$系列的URI;认证服务是认证服务器相关的配置信息,如认证方式、token有效期等;资源服务是需要使用oauth2.0进行授权访问的服务;用户服务是自定义的用户校验,可以自定义校验逻辑,如从MySQL查询账户; (2)认证服务的授权方式有四种:密码模式、授权码模式、客户端模式和简化模式,本文实现前两种,即密码模式和授权码模式;
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
SpringOauth2 JPA,H2 Intellij社区 2.练习内容 Spring Boot Oauth2-AuthorizationServer 文档 吉特 Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码...
SpringOAuth2Learn:学习Spring OAuth2
05-04
SpringOAuth2示例学习Spring OAuth2 授权提供者授权服务器和资源服务器
wso2is-springoauth:WSO2 IS 与 Spring OAuth 流程之间的集成
06-16
将 Spring OAuth 与 WSO2 身份服务器结合使用 介绍 请参阅以阅读代码的完整说明 跑步 使用 maven mvn clean install编译项目 运行在目标文件夹中找到的 jar: java -jar yenlo-oauth-1.0-SNAPSHOT.jar
spring-security-oauth2源码
06-30
spring security oauth2的源码,方便研究,备份一下。
oauth2 java 获取token_OAuth2简易实战(一)-四种模式
weixin_42473904的博客
02-19 4027
1. OAuth2简易实战(一)-四种模式1.1. 授权码授权模式(Authorization code Grant)1.1.1. 流程图1.1.2. 授权服务器配置配置授权服务器中 client,secret,redirectUri,授权模式,权限配置//授权服务器配置@Configuration@EnableAuthorizationServerpublic class OAuth2Autho...
Spring Security OAuth2 入门,linux操作系统学习
m0_63176399的博客
11-07 484
在授权码模式下,允许为空。 可能有部分胖友是 Windows 电脑,可以参考 《windows(64位)下使用 curl 命令》 来安装一个 curl 命令。 当然,如果胖友使用 Postman ,可以参看如下两图: 图 1 图 2 ⑥ 调用资源服务器的 API curl -X GET http://localhost:8080/api/example/hello -H “authorization: Bearer e60e41f2-2ad0-4c79-97d5-49af38e5c2e8” .
黑马Redis学习笔记 (基础篇+实战篇)
weixin_51515308的博客
11-24 1万+
传统关系型数据库能满足事务ACID的原则 ,而非关系型数据库往往不支持事务,或者不能严格保证ACID的特性,只能实现基本的一致性。特征:键值(key-value)型,value支持多种不同数据结构,功能丰富单线程,每个命令具备原子性低延迟,速度快(基于内存、IO多路复用、良好的编码)。支持数据持久化(定期将内存搬运到磁盘)支持主从集群、分片集群(数据拆分)支持多语言客户端Redis的官方网站地址:RedisRedis RedisRedis是基于C编写,所以需要先安装Redis所需的gcc依赖 如果有了就跳过
Spring Security Oauth2 示例
11-13 241
所有示例的依赖如下(均是SpringBoot项目) pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web<...
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3670
loadUserByUsername携带多个参数
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1510
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
spring security oauth其中的/oauth/token做了哪些
u013911102的博客
09-11 6122
项目场景: 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handler.obtainMessage()和 Handler.sendMessage(),其中 obtainMessage 方式当数据量过大时,由于 MessageQuene 大小也有限,所以当 message 处理不及时时,会造成先传的数据被覆盖,进而.
Spring Security Oauth2之获取token流程分析
clyu的博客
01-10 7202
前言 本文主要研究Spring Security Oauth2 token获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图! TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口 ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值