springboot结合oauth2实现权限认证

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量2.5k 收藏 5
点赞数 1
分类专栏: oauth2 权限认证 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25460159/article/details/108842459
版权

1.什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

2.优点

体积小、传输快

支持跨域授权,因为跨域无法共享cookie

分布式系统中,很好地解决了单点登录问题

3.使用场景

1. 认证,这是比较常见的使用场景,只要用户登录过一次系统,之后的请求都会包含签名出来的token,通过token也可以用来实现单点登录。

2. 交换信息,通过使用密钥对来安全的传送信息,可以知道发送者是谁、放置消息被篡改。

4.项目克隆地址(以下过程代码简写,可自行克隆代码查看实现过程,这个框架是我自己搭建的,里边已经集成了很多东西,喜欢的可以研究研究,都是比较常用的技术,有什么问题也可以评论,看到会回复,账号密码 admin   admin)

ssh://admin@121.36.107.248:29418/goudan.git

5.集成过程

(1)导入sql表,我把sql文件放在下图所示位置

sql文件

(2)添加依赖

依赖

(3)主体有5个文件需要添加,分别是shiroConfig、OAuth2Filer配置、OAuth2Realm、OAuth2Token、TokenGenerator

3.1 shiroConfig

shiroConfig

具体代码如下

/**

* @program: xiaowu

* @description: Shiro配置

* @author: Wu

* @create: 2020-08-29 09:46

**/

@Configuration

public class ShiroConfig {

@Bean("sessionManager")

public SessionManagersessionManager(){

DefaultWebSessionManager sessionManager =new DefaultWebSessionManager();

        sessionManager.setSessionValidationSchedulerEnabled(true);

        sessionManager.setSessionIdCookieEnabled(true);

        return sessionManager;

    }

@Bean("securityManager")

public SecurityManagersecurityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {

DefaultWebSecurityManager securityManager =new DefaultWebSecurityManager();

        securityManager.setRealm(oAuth2Realm);

        securityManager.setSessionManager(sessionManager);

        return securityManager;

    }

@Bean("shiroFilter")

public ShiroFilterFactoryBeanshirFilter(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilter =new ShiroFilterFactoryBean();

        shiroFilter.setSecurityManager(securityManager);

        //oauth过滤

        Map filters =new HashMap<>();

        filters.put("oauth2", new OAuth2Filter());

        shiroFilter.setFilters(filters);

        Map filterMap =new LinkedHashMap<>();

        filterMap.put("/druid/**", "anon");

        filterMap.put("/app/**", "anon");

        filterMap.put("/login", "anon");

        filterMap.put("/**", "oauth2");

        shiroFilter.setFilterChainDefinitionMap(filterMap);

        return shiroFilter;

    }

@Bean("lifecycleBeanPostProcessor")

public LifecycleBeanPostProcessorlifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

    }

@Bean

    public DefaultAdvisorAutoProxyCreatordefaultAdvisorAutoProxyCreator() {

DefaultAdvisorAutoProxyCreator proxyCreator =new DefaultAdvisorAutoProxyCreator();

        proxyCreator.setProxyTargetClass(true);

        return proxyCreator;

    }

@Bean

    public AuthorizationAttributeSourceAdvisorauthorizationAttributeSourceAdvisor(SecurityManager securityManager) {

AuthorizationAttributeSourceAdvisor advisor =new AuthorizationAttributeSourceAdvisor();

        advisor.setSecurityManager(securityManager);

        return advisor;

    }

}

3.2  OAuth2Filer  过滤器(oauth2是一种规范,springcloud有个springsecurity oauth2是实现,这里用的jwt)

OAuth2Filer

具体代码如下

/**

* @program: xiaowu

* @description: oauth2过滤器

* @author: Wu

* @create: 2020-08-29 10:09

**/

public class OAuth2Filterextends AuthenticatingFilter {

@Override

    protected AuthenticationTokencreateToken(ServletRequest request, ServletResponse response)throws Exception {

//获取请求token

        String token = getRequestToken((HttpServletRequest) request);

        if(StringUtil.isBlank(token)){

return null;

        }

return new OAuth2Token(token);

    }

@Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

if(((HttpServletRequest) request).getMethod().equals(RequestMethod.OPTIONS.name())){

return true;

        }

return false;

    }

@Override

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)throws Exception {

//获取请求token,如果token不存在,直接返回401

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        String token = getRequestToken((HttpServletRequest) request);

        if(StringUtil.isBlank(token)){

HttpServletResponse httpResponse = (HttpServletResponse) response;

            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");

            httpResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));

            JSONObject json =new JSONObject();

            json.put("code", "401");

            json.put("msg", "invalid token");

            httpResponse.getWriter().print(json);

return false;

        }

return executeLogin(request, response);

    }

@Override

    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {

HttpServletResponse httpResponse = (HttpServletResponse) response;

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        httpResponse.setContentType("application/json;charset=utf-8");

        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");

        httpResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));

        try {

//处理登录失败的异常

            Throwable throwable = e.getCause() ==null ? e : e.getCause();

            JSONObject json =new JSONObject();

            json.put("code", "401");

            json.put("msg", throwable.getMessage());

            httpResponse.getWriter().print(json);

        }catch (IOException e1) {

}

return false;

    }

/**

    * 获取请求的token

*/

    private StringgetRequestToken(HttpServletRequest httpRequest){

//从header中获取token

        String token = httpRequest.getHeader("token");

        //如果header中不存在token,则从参数中获取token

        if(StringUtil.isBlank(token)){

token = httpRequest.getParameter("token");

        }

return token;

    }

}

3.3 OAuth2Realm配置(这个里面可以设置角色、权限和认证信息)

OAuth2Realm

具体代码如下

/**

* @program: xiaowu

* @description: 认证

* @author: Wu

* @create: 2020-08-29 10:18

**/

@Component

public class OAuth2Realmextends AuthorizingRealm {

@Autowired

    private ManagerServicemanagerService;

    @Override

    public boolean supports(AuthenticationToken token) {

return tokeninstanceof OAuth2Token;

    }

/**

    * 授权(验证权限时调用, 控制role 和 permissins时使用)

*/

    @Override

    protected AuthorizationInfodoGetAuthorizationInfo(PrincipalCollection principals) {

ManagerInfo manager = (ManagerInfo)principals.getPrimaryPrincipal();

        Integer managerId = manager.getManagerId();

        SimpleAuthorizationInfo info =new SimpleAuthorizationInfo();

        // 模拟权限和角色

        Set permsSet =new HashSet<>();

        Set roles =new HashSet<>();

        if (managerId ==1) {

// 超级管理员-权限

            permsSet.add("delete");

            permsSet.add("update");

            permsSet.add("view");

            roles.add("admin");

        }else {

// 普通管理员-权限

            permsSet.add("view");

            roles.add("test");

        }

info.setStringPermissions(permsSet);

        info.setRoles(roles);

        return info;

    }

/**

    * 认证(登录时调用)

*/

    @Override

    protected AuthenticationInfodoGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException {

String accessToken = (String) token.getPrincipal();

        //根据accessToken,查询用户信息

        ManagerToken managerToken =managerService.queryByToken(accessToken);

        //token失效

        SimpleDateFormat sm =new SimpleDateFormat("yyyyMMddHHmmss");

        Date expireTime;

        boolean flag =true;

        try {

expireTime    = sm.parse(managerToken.getExpireTime());

            flag = managerToken ==null || expireTime.getTime() < System.currentTimeMillis();

        }catch (ParseException e) {

e.printStackTrace();

        }

if(flag){

throw new IncorrectCredentialsException("token失效,请重新登录");

        }

//查询用户信息

        ManagerInfo managerInfo =managerService.getManagerInfo(managerToken.managerId);

        //账号锁定

        // if(managerInfo.getStatus() == 0){

        //    throw new LockedAccountException("账号已被锁定,请联系管理员");

// }

        SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(managerInfo, accessToken, getName());

        return info;

    }

}

3.4 OAuth2Token设置

OAuth2Token

3.5 TokenGenerator, 生成token

TokenGenerator

具体代码

/**

* @program: xiaowu

* @description: 生成token

* @author: Wu

* @create: 2020-08-29 10:26

**/

public class TokenGenerator {

public static StringgenerateValue() {

return generateValue(UUID.randomUUID().toString());

    }

private static final char[]hexCode ="0123456789abcdef".toCharArray();

    public static StringtoHexString(byte[] data) {

if (data ==null) {

return null;

        }

StringBuilder r =new StringBuilder(data.length *2);

        for (byte b : data) {

r.append(hexCode[(b >>4) &0xF]);

            r.append(hexCode[(b &0xF)]);

        }

return r.toString();

    }

public static StringgenerateValue(String param) {

try {

MessageDigest algorithm = MessageDigest.getInstance("MD5");

            algorithm.reset();

            algorithm.update(param.getBytes());

            byte[] messageDigest = algorithm.digest();

            return toHexString(messageDigest);

        }catch (Exception e) {

throw new RuntimeException("生成Token失败", e);

        }

}

}

4.测试(这里以登录接口验证为例)

登录接口

实现层代码

实现层

mapper文件还有这种写法(头一次见,以前都是在业务代码里写的)

xml文件

postman测试

测试

mysql

接口权限已经完成,剩下的就是根据过期时间的业务代码,当然这个token加密算法比较简单,我们可以更换加密算法,这以后再完善

喜欢请关注 “蛋皮皮” 微信公众号!更多干货等你来学习哦。

                                   

蛋皮皮
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Spring Boot 3 极速搭建OAuth2认证框架
oscar999的专栏
03-22 381
使用 Spring Authorization Server 的较高版本,简单的状况只需要在 application.yml 配置就可以实现认证服务器, 如果要更详细的配置,也可以定义 SecurityConfig.java 进行配置。Spring Authorization Server支持四种授权方式, 简单起见,这里使用 客户端模式(Client Credentials),这种模式使用在API调用的授权上,这里使用 Postman进行验证。定义一个REST的控制器,并且写一个简单的映射方法。
基于SpringBoot整合oauth2实现token认证
08-25
主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成使用教程源码
08-14
包含spring boot 监控、secruity与OAuth2鉴权、elasticSearch、Kafka、RabbitMQ、rocketMQ、MongoDB、Redis的集成使用案例,供大家在实际项目中做借鉴使用。
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
springboot-shiro多realm认证授权集成oauth2+jwt单点
weixin_45623983的博客
04-19 2396
一.第三方授权登录 1.用户在前端页面发起微信登录 2.后端根据clientId和clientSecret以及自定义第三方来源标识组装授权url,让前端重定向该url 3.用户确定授权,第三方回调到后端接口 4.后端获取用户标识与用户信息存表或与系统用户表关联 ...
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4274
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5444
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Boot 中的OAuth 2
探索er的博客
05-12 7889
Spring Boot 中的OAuth 2
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 8803
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
springboot和springsecurity整合OAuth2
足迹人生的博客
01-13 2764
springboot和springsecurity整合OAuth2
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 6759
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
SpringBoot实现OAuth2认证服务器.docx
06-27
pom依赖 <groupId>org.springframework.boot <artifactId>spring-boot-starter-security <groupId>org.spring... <artifactId>spring-security-oauth2-autoconfigure <version>2.1.0.RELEASE </dependency>
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
springboot+Oauth2实现自定义AuthenticationManager和认证path
08-29
本篇文章主要介绍了springboot+Oauth2实现自定义AuthenticationManager和认证path,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 234
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1340
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 482
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1253
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 728
consul官网地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值