OAuth + Security - 2 - 资源服务器配置

最新推荐文章于 2024-03-28 09:15:42 发布
最新推荐文章于 2024-03-28 09:15:42 发布
阅读量666 收藏 1
点赞数
分类专栏: OAuth+Security 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34431921/article/details/106493148
版权

PS:此文章为系列文章,建议从第一篇开始阅读。

资源服务器配置

@EnableResourceServer 注解到一个@Configuration配置类上,并且必须使用ResourceServerConfigurer 这个配置对象来进行配置(可以选择继承自ResourceServerConfigurerAdapter然后覆写其中的方法,参数就是这个对象的实例),下面是一些可以配置的属性:

  • ResourceServerSecurityConfigurer中主要包括:

  1. tokenServices :ResourceServerTokenServices 类的实例,用来实现令牌服务。

  2. tokenStore :TokenStore类的实例,指定令牌如何访问,与tokenServices配置可选

  3. resourceId :这个资源服务的ID,这个属性是可选的,但是推荐设置并在授权服务中进行验证

  4. 其他的拓展属性例如 tokenExtractor 令牌提取器用来提取请求中的令牌。

  • HttpSecurity配置这个与Spring Security类似:

  1. 请求匹配器,用来设置需要进行保护的资源路径,默认的情况下是保护资源服务的全部路径。

  2. 通过 http.authorizeRequests()来设置受保护资源的访问规则

  3. 其他的自定义权限保护规则通过 HttpSecurity 来进行配置。

具体的配置信息如下:

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class DimplesResourceServerConfigurerAdapter extends ResourceServerConfigurerAdapter {

    public static final String RESOURCE_ID = "dimples";
    
    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(RESOURCE_ID)
                .tokenServices(tokenService())
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                // 配置客户端权限scope
                .antMatchers("/**").access("#oauth2.hasScope('all')")
                .and().csrf().disable()
                // 关闭session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
    
    /**
     * 资源服务令牌解析服务,调用远程服务解析
     */
    /*@Bean
    public ResourceServerTokenServices tokenService() {
        //使用远程服务请求授权服务器校验token,必须指定校验token 的url、client_id,client_secret
        RemoteTokenServices service = new RemoteTokenServices();
        service.setCheckTokenEndpointUrl("http://localhost:8080/oauth/check_token");
        service.setClientId("dimples");
        service.setClientSecret("123456");
        return service;
    }*/

    
    /**
     * 资源服务器令牌解析服务,资源和认证在一起,不用调用远程
     *
     * @return ResourceServerTokenServices
     */
    @Bean
    @Primary
    public ResourceServerTokenServices tokenService() {
        DefaultTokenServices services = new DefaultTokenServices();
        // 必须设置
        services.setTokenStore(tokenStore);
        return services;
    }

}

tokenService():是配置访问资源服务时传过来的令牌解析服务,有两种情况:

  1. 资源服务器和认证服务器在一起,这是只需要配置默认的DefaultTokenServices即可,但是要注意必须配置一个TokenStore,即是认证服务器中存储令牌的配置,在本地进行解析验证。

  2. 资源服务器和认证服务器不在一起,如微服务中的单独认证服务器和多个资源服务器,这是我们需要配置远程令牌访问解析服务RemoteTokenServices ,配置token的验证端点/oauth/check_token,最终将其配置到资源服务器。要注意的是,一定要在认证服务器中开启相应的端点:

@Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security
                // /oauth/token_key公开
                .tokenKeyAccess("permitAll()")
                // /oauth/check_token公开
                .checkTokenAccess("permitAll()")
                .allowFormAuthenticationForClients();
    }
  1. 如果是资源服务分离情况下,还需要配置Security一个安全控制
@Configuration 
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    /**
     * 安全拦截机制(最重要)
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception{
        http.csrf().disable()
            .authorizeRequests()
            //所有/user/**的请求必须认证通过
            .antMatchers("/user/**").authenticated()
            //除了/user/**,其它的请求可以访问
            .anyRequest().permitAll();
    }
}
测试资源服务器

新建controller访问链接

@RestController
@RequestMapping("user")
public class UserController {

    @GetMapping
    @PreAuthorize("hasAuthority('admin')")
    public DimplesUser user() {
        DimplesUser user = new DimplesUser();
        user.setUserName("username");
        return user;
    }

}

先通过密码模式获取token

image

然后带上获取的token去访问相应的资源

token传输格式为 在OAuth2.0中规定:

  1. token必须放在Header中
  2. 对应的格式为:token的参数名称为:Authorization,值为:Bearer token值

image

如果传错误的token

image

或者不传token

image

唱、跳、Rap、篮球
关注
专栏目录
Spring Boot2.0 Oauth2 服务器和客户端配置及理
weixin_28718769的博客
02-22 1189
一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。 问题是只有得到用户的授权,Google才会同意”云冲印”读取这些照片。那么,”云冲印”怎样获得用户的授权呢? 传统方法是,用户将自己的Google用户名和密码,告诉”云冲印”,后者就可以...
Spring Security OAuth2之resource_id配置与验证
字母哥博客
07-28 8182
一、resource_id的作用 Spring Security OAuth2 架构上分为Authorization Server认证服务器Resource Server资源服务器。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。
Spring Security OAuth2 Redis 资源服务器配置
OceanSky的专栏
07-17 2107
1.资源服务器相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </de...
oauth2-resource-server授权配置介绍
言午玉口才
08-17 3162
也就是授权(token中存放用户名、授权信息),接着资源服务器的token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
Spring Security OAuth2 JWT资源服务器配置
OceanSky的专栏
07-16 1987
1.POM相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depe...
OAuth2:资源服务器
Leon_Jinhai_Sun的博客
07-31 1878
OAuth2:资源服务器
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
基于SpringCloud2.1+spring-security-oauth2+nacos+feign的微服务开发脚手架.zip
02-02
Spring Security OAuth2提供了一套完整的OAuth2实现,包括授权服务器资源服务器和客户端的实现,使得微服务之间的安全交互变得更加容易。 3. **Nacos**: Nacos是阿里巴巴开源的动态配置服务和Naming服务,用于...
spring-security-oauth2-authorization-server.zip
08-25
虽然这个项目不直接包含资源服务器,但理解它是OAuth2生态系统的一部分很重要。 3. **Client**:代表第三方应用,请求用户的授权以获取访问令牌。这些客户端可以在项目的配置中定义,指定它们可以访问哪些资源和...
security-oauth2-jwt-server.zip
09-04
第三方登录源码,认证授权与资源服务源码,个人项目分享,开箱简单配置即可使用,因为作为demo发布,所以认证和资源在同一个服务,如果需要分开服务,则只需要把ResServerConfig类单独提取到资源服务器即可,同时...
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
使用spring-cloud-security-oauth2来实现oauth serverresource server
02-28
使用spring-cloud-security-oauth2来实现oauth serverresource serveroauth Serverresource Server分开,resource Server实现了两种方式
用starter实现Oauth2中资源服务的统一配置
土味儿
04-16 792
Oauth2中的资源服务Resource需要验证令牌,就要配置令牌的解码器JwtDecoder,认证服务器的公钥等等。如果有多个资源服务Resource,就要重复配置,比较繁锁。把公共的配置信息抽取出来,制成starter,可以极大地简化操作。
SecurityOAuth2 Resource Server
BLOG域名:programb.blog.csdn.net
05-27 719
Getting Started Reference Documentation For further reference, please consider the following sections: Official Apache Maven documentation Spring Boot Maven Plugin Reference Guide Create an OCI image Spring Security OAuth2 Client OAuth2 Resource Server G
OAuth2资源服务器搭建
Curtisjia的博客
11-01 1310
OAuth2资源服务器搭建 接下来我们搭建一个资源服务器。大家网上看到的例子,资源服务器大多都是和授权服务器放在一起的,如果项目比较小的话,这样做是没问题的,但是如果是一个大项目,这种做法就不合适了。而且放在一起的话,要确认授权服务器资源服务器bean的读取顺序! 资源服务器就是用来存放用户的资源,例如你在微信上的图像、openid 等信息,用户从授权服务器上拿到 access_token 之后,接下来就可以通过 access_token 来资源服务器请求数据。 我们创建一个新的 Spring Boot
Spring SecurityOAuth2(资源服务器
chucan4529的博客
01-26 833
Spring SecurityOAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
配置OAuth2认证服务器资源服务器,实现基于令牌的身份验证和授权
最新发布
qiuyehuanghun的博客
03-28 886
配置OAuth2认证服务器资源服务器是实现基于令牌的身份验证和授权的关键步骤。创建一个WebSecurityConfigurerAdapter的子类,并覆盖configure(HttpSecurity http)方法以配置Spring Security,确保Spring Security不会拦截OAuth2的认证请求。通过以上步骤,您就可以在Spring Boot应用程序中配置OAuth2认证服务器资源服务器,实现基于令牌的身份验证和授权。
SpringSecurity(二十)---OAuth2:实现资源服务器(上)资源服务器搭建以及直接调用授权服务器模式
学习不止境的博客
12-01 3402
本章将讨论如何使用Spring Security实现一个资源服务器资源服务器是管理用户资源的组件。另外,学习本章有个前提,需要先把前面搭建授权服务器的相关文章先给阅读,否则可能后面出现的授权服务器相关代码不知道个所以然。就OAuth2而言,它代表了我们要保护的后端(端点),就像前几章保护的其他应用程序是一样的。为了允许客户端访问资源资源服务器需要一个有效的访问令牌。客户端会从授权服务器获得访问令牌,并通过将该令牌添加到HTTP请求头信息来使用该令牌调用资源服务器上的资源
SpringSecurity】十六、OAuth2.0授权服务器资源服务器配置(理论部分)
llg___的博客
03-21 2689
授权服务:负责校验接入的客户端、登录的用户账户是否合法,以及颁发token.资源服务:校验token,返回资源信息
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization ServerSpring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式。 密码模式是OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring SecuritySpring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源Spring SecuritySpring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-serverspring-authorization-serverSpring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式是OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用。 使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值