Spring Boot Security 整合 OAuth2 设计安全API接口服务

最新推荐文章于 2023-11-09 11:46:48 发布
最新推荐文章于 2023-11-09 11:46:48 发布
阅读量589 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28683541/article/details/88817039
版权
本文详细介绍了如何在Spring Boot项目中使用Spring Security整合OAuth2,创建安全的API接口服务。涵盖了OAuth2的基本概念、四种授权模式,特别是授权码模式的实现。通过数据库建表、项目结构解析、关键代码展示,包括AuthenticationManager配置、AuthorizationServerConfiguration和ResourceServerConfig的设置,以及密码授权模式、客户端授权模式的验证流程。并提供了参考链接和源码地址。
摘要由CSDN通过智能技术生成

Spring Boot Security 整合 OAuth2 设计安全API接口服务

 

简介

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。本文重点讲解Spring Boot项目对OAuth2进行的实现,如果你对OAuth2不是很了解,你可以先理解 OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。

OAuth2概述

oauth2根据使用场景不同,分成了4种模式

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

在项目中我们通常使用授权码模式,也是四种模式中最复杂的,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。

Oauth2授权主要由两部分组成:

  • Authorization server:认证服务
  • Resource server:资源服务

在实际项目中以上两个服务可以在一个服务器上,也可以分开部署。下面结合spring boot来说明如何使用。

快速上手

之前的文章已经对 Spring Security 进行了讲解,这一节对涉及到 Spring Security 的配置不详细讲解。若不了解 Spring Security 先移步到 Spring Boot Security 详解

建表

客户端信息可以存储在内存、redis和数据库。在实际项目中通常使用redis和数据库存储。本文采用数据库。Spring 0Auth2 己经设计好了数据库的表,且不可变。表及字段说明参照:Oauth2数据库表说明 。

创建0Auth2数据库的脚本如下:

DROP TABLE IF EXISTS `clientdetails`;
DROP TABLE IF EXISTS `oauth_access_token`;
DROP TABLE IF EXISTS `oauth_approvals`;
DROP TABLE IF EXISTS `oauth_client_details`;
DROP TABLE IF EXISTS `oauth_client_token`;
DROP TABLE IF EXISTS `oauth_refresh_token`;

CREATE TABLE `clientdetails` (
  `appId` varchar(128) NOT NULL,
  `resourceIds` varchar(256) DEFAULT NULL,
  `appSecret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `grantTypes` varchar(256) DEFAULT NULL,
  `redirectUrl` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additionalInformation` varchar(4096) DEFAULT NULL,
  `autoApproveScopes` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`appId`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;


CREATE TABLE `oauth_access_token` (
  `token_id` varchar(256) DEFAULT NULL,
  `token` blob,
  `authentication_id` varchar(128) NOT NULL,
  `user_name` varchar(256) DEFAULT NULL,
  `client_id` varchar(256) DEFAULT NULL,
  `authentication` blob,
  `refresh_token` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`authentication_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `oauth_approvals` (
  `userId` varchar(256) DEFAULT NULL,
  `clientId` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `status` varchar(10) DEFAULT NULL,
  `expiresAt` datetime DEFAULT NULL,
  `lastModifiedAt` datetime DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `oauth_client_details` (
  `client_id` varchar(128) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types`
最低0.47元/天 解锁文章
journey_IT
关注
springboot整合oauth2
2010yhh
05-08 2万+
springboot整合oauth2.0 文章目录springboot整合oauth2.01.概念2.springboot整合oauth2.0示例2.1SecurityConfig配置2.2资源服务器配置和授权服务器配置3.测试 环境 springboot1.5.x demo下载: 1.概念 客户应用: 通常是一个web或者手机,他需要访问用户的受保护资源 资源服务器::是一个web站点或者w...
springboot+security】6、oauth2,使用password模式实现前后端分离的登录
江南雨敲窗的博客
07-17 1931
oauth2认证的流程,
SpingBoot集成OAuth实现认证鉴权
u013916394的博客
10-11 921
1、Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2、Oauth2服务器 授权服务器 Authorization Service. 资源服务器 Res...
Spring SecurityAPI 项目安全验证(基于basic-authentication)
weixin_34095889的博客
11-06 725
===================================Basic Authorization 规范===================================Request 头部:Authorization: Basic QWxpY2U6MTIzNDU2其中 QWxpY2U6MTIzNDU2 是user:pwd做 base64 编码, 格式是 user:pwd res...
SpringBoot整合springsecurityOAuth2.0-达摩院
weixin_44021967的博客
08-11 669
文章目录07-01 RESTful简介第九章 Spring Cache第十章 spring security10-03 手工配置用户名密码10-04 HTTPSecurity配置10-05 HTTPSecurity登录表单配置10-06 HTTPSecurity注销登录请求10-07 多个HTTPSecurity10-8 密码加密10-12 动态权限配置SpringBoot整合OAuth2.0 07-01 RESTful简介 添加依赖:web,Rest Repositories,底层使用了Spring Da
spring-boot spring-security-oauth2 完整demo
11-22
Spring BootSpring SecurityOAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这三个框架如何协同工作,以及如何通过...
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
这是一个基于最新技术栈,包括Spring Cloud 2021、Spring Boot 2.7和OAuth2的RBAC(Role-Based Access Control)权限管理系统的源码项目。该项目旨在提供一套高效、安全的后端服务框架,用于实现用户权限的精细化...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
Spring Boot Restful WebAPI集成 OAuth2
weixin_30439131的博客
06-28 217
系统采用前后端分离的架构,采用OAuth2协议是很自然的事情。 下面开始实战,主要依赖以下两个组件: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId&g...
springsecurity oauth2.0 springboot整合 spring security自定义登录页面5
健康平安的活着的专栏
08-08 4275
一 自定义认证页面 1.1 说明 1. 如果用户没有自定义登录页面,spring security 默认会启动自身内部的登录页面,尽管自动生成的登录页面很方便 快速启动和运行,但大多数应用程序都希望定义自己的登录页面。 1.2 自定义登录页面 在新建一个webapp目录,和resouces目录,平级,将login.jsp页面考配到这个页面下 页面代码: <%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-.
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
超级简单的springboot整合springsecurity oauth2第三方登录
最新发布
gzmyh的博客
11-09 3168
springboot整合进行第三方登录,例如qq、微信、微博。网上一堆教程,并且很多都是旧版本的,篇幅又长,哔哩吧啦一大堆,就算你搞下来了,等下次版本升级或变更一下,你又不知道怎么改了。这篇文章主要是分享一下我自己是如何实现第三方登录的,其实很简单~~~
Spring Boot Security Oauth2.0 整合
冰糖的博客
07-08 2213
Spring Boot Security Oauth2.0整合写在前面依赖认证服务器基于内存的实现基于数据库的实现授权服务器 写在前面 阅读本文最好具备Spring Boot , Oauth2.0, Maven等等技能 接触oauth其实已经有很多年了,但是由于现实中的业务大多数都是接入第三方,对于搭建Oauth服务的需求i相对较少,无意看了下Spring Security Oauth的代码,发现变动蛮大,就想着搭建一套试试,但是网上的大部分教程都比较零散,要么就是抄来抄去。于是自己动手搞一套。 额外提一嘴
springboot+springsecurity+oauth2整合(并用mysql数据库实现持久化客户端数据)
热门推荐
Victor_An的博客
08-13 2万+
springboot+springsecurity+oauth2整合(并用mysql实现持久化) 本文主要讲的是,实现oauth2的工作流程,需要对oauth2.0概念有一定的基础知识了解。阅读前请学习oauth2.0的理论知识。文末有此项目代码地址。 介绍 AuthorizationServer的搭建 创建Client 请求access_token 刷新access_token 介......
手把手教你用SpringBootSpring SecurityOAuth 2.0进行整合
淮南King的博客
08-09 3018
@TOC 写在前面 Spring Security 作为一款Spring 家族中的一款安全框架,在Spring Boot 环境下可以很容易的将其嵌入其中。 本项目建议有一些Spring Security基础的人学习。纯小白用户建议先学习 [Spring Security 入门](https://blog.csdn.net/qq_26020387/article/details/107495056) 本文涉及知识点 Spring Boot Spring Security OAuth 2.0 MySQL
SpringBoot整合SpringSecurityOAuth2后产生的登录、授权、鉴权一系列问题
程序员劝退师的博客
12-10 5629
最近这段时间一直在潜心研究安全这一块,从单纯的整合SpringSecurity整合SpringSecurityOAuth,再到SSO单点登陆这几部分简单实用确实不难,但是想要真的搞懂然后在整合到自己的知识体系中来还是需要花一定的时间的!这里有同感的朋友给本文点个赞! 这篇文张会先说明登录问题,搭建问题,授权问题,鉴权问题、拦截路由配置,一些特殊的解决方案,以及最近这段时间整个这些东西的一些心得!希望对各位同行有所帮助!开发不易,但不要忘记前行! 1.问题铺垫以及产生问题的原因 在写SpringSecuri
Spring Security(5) 整合OAuth2
郑清
04-02 4598
文章目录一、前言二、什么是OAuth2?三、应用场景四、三部分五、四种授权模式1. 授权码模式(authorization code)2. 简化模式(implicit)3. 密码模式(resource owner password credentials)4. 客户端模式(client credentials)六、编程1、授权服务a、引入依赖b、`application.yml`配置c、Security 核心配置类d、配置生成token存储e、自定义JWT返回信息f、配置添加JWT额外信息j、授权服务器配置
Spring Security OAuth2 (一)基础SpringBoot整合OAuth
zzzZhou1997的博客
10-06 800
今天简单记录一下SpringBoot整合OAuth2的代码步骤 SpringBoot的1.5.21版本同SpringBoot 2.x版本有区别 本文记录的是密码式的授权方式 1、导入依赖 <!-- 以下是安全相关 --> <!-- spring security --> <dependency> <groupId>org.springframework.boot</grou
SpringBoot集成Oauth2.0(密码模式)
m0_71817461的博客
07-03 4601
SpringBoot集成Oauth2.0(密码模式)
Spring Boot整合OAuth2实现安全第三方授权流程
Spring BootSpring Security OAuth2的整合,可以大大简化OAuth2授权流程的实现过程,同时保持了高安全性和扩展性。开发者可以在此基础上进行定制和扩展,以满足不同应用场景的需求。 对于提供的压缩包子文件名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值