【spring authorization server系列教程】(一)入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)

最新推荐文章于 2024-07-20 17:52:40 发布
最新推荐文章于 2024-07-20 17:52:40 发布
阅读量1.8w 收藏 49
点赞数 21
分类专栏: spring security java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35270805/article/details/124980634
版权

SpringAuthorizationServer OAuth2.1 授权服务器 授权码模式 安全配置
关键词由CSDN通过智能技术生成
java 同时被 3 个专栏收录
49 篇文章 8 订阅
订阅专栏
springboot
20 篇文章 1 订阅
订阅专栏
spring security
6 篇文章 18 订阅
订阅专栏

系列文章目录

【spring authorization server系列教程】(一)入门系列,快速构建一个授权服务器

文章目录

前言

spring authorization server是spring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。
现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。
springsecurityoauth迁移到新的授权服务器指南 https://github.com/spring-projects/spring-security/wiki/OAuth-2.0-Migration-Guide
spring authorization server官方demo https://github.com/spring-projects/spring-authorization-server
上篇文章也有集成jdbc例子https://blog.csdn.net/qq_35270805/article/details/123125144

一、目前已实现的功能

Spring Authorization Server 支持以下特性:

授权方式

  • 授权码

     用户同意

  • 客户凭证

  • 刷新令牌

OAuth 2.1 授权框架(草案)

  • 授权码授予

  • 客户凭证授予

  • 刷新令牌授予

OpenID Connect Core 1.0(规范)

  • 授权码流程

令牌格式

  • 自包含 (JWT)

  • 参考(不透明)

  • JSON Web 令牌 (JWT) ( RFC 7519 )

  • JSON Web 签名 (JWS) ( RFC 7515 )

客户端认证

  • client_secret_basic

  • client_secret_post

  • client_secret_jwt

  • private_key_jwt

  • none(公众客户)

  • OAuth 2.1 授权框架(客户端身份验证)

  • 用于 OAuth 2.0 客户端身份验证的 JSON Web 令牌 (JWT) 配置文件 ( RFC 7523 )

  • OAuth 公共客户端 (PKCE) 的代码交换证明密钥 ( RFC 7636 )

协议端点

  • OAuth2 授权端点

  • OAuth2 令牌端点

  • OAuth2 令牌自省端点

  • OAuth2 令牌撤销端点

  • OAuth2 授权服务器元数据端点

  • JWK 设置端点

  • OpenID Connect 1.0 提供者配置端点

  • OpenID Connect 1.0 用户信息端点

  • OpenID Connect 1.0 客户端注册端点

  • OAuth 2.1 授权框架(草案)

    • 授权端点

    • 令牌端点

  • OAuth 2.0 令牌自省 ( RFC 7662 )

  • OAuth 2.0 令牌撤销 ( RFC 7009 )

  • OAuth 2.0 授权服务器元数据 ( RFC 8414 )

  • JSON 网络密钥 (JWK) ( RFC 7517 )

  • OpenID Connect Discovery 1.0(规范)

    • 提供者配置端点

  • OpenID Connect Core 1.0(规范)

    • 用户信息端点

  • OpenID Connect 动态客户端注册 1.0(规范)

    • 客户注册端点

    • 客户端配置端点

从上面官方表可以看出,协议是最新的oauth2.1协议。因为协议变更了,所以最新版本也就没有了密码模式授权

二、入门,一步一步快速开始构建一个简单的认证服务器

1.创建springboot项目并引入依赖

Spring Authorization Server 可以在您已经使用Spring Security的任何地方使用。

开始使用 Spring Authorization Server 的最简单方法是创建基于Spring Boot的应用程序。您可以使用start.spring.io生成基本项目或使用默认授权服务器示例作为指导。然后将 Spring Authorization Server 添加为依赖项,如下例所示:

		<!--spring-authorization-server依赖-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-authorization-server</artifactId>
            <version>0.3.0</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

截至目前为止最新版本为0.3.0

2.配置SecurityConfig

代码如下:

**
 * @author resthx
 * @date 9:21 2022/6/7
 */
@Configuration
public class SecurityConfig {

    /**
     * 端点的 Spring Security 过滤器链
     * @param http
     * @return
     * @throws Exception
     */
    @Bean
    @Order
    public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
            throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        //未通过身份验证时重定向到登录页面授权端点
        http.exceptionHandling((exceptions) -> exceptions
                        .authenticationEntryPoint(
                                new LoginUrlAuthenticationEntryPoint("/login"))
                );

        return http.build();
    }

    /**
     * 用于身份验证的 Spring Security 过滤器链
     * @param http
     * @return
     * @throws Exception
     */
    @Bean
    @Order
    public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
            throws Exception {
        http
                .authorizeHttpRequests((authorize) -> authorize
                        .anyRequest().authenticated()
                )
                //表单登录处理从授权服务器过滤器链
                .formLogin(Customizer.withDefaults());

        return http.build();
    }

    /**
     * 配置UserDetails
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService() {
        //这里用固定的用户,后续改成从数据库查询
        UserDetails userDetails = User.withDefaultPasswordEncoder()
                .username("admin")
                .password("111111")
                .roles("USER")
                .build();

        return new InMemoryUserDetailsManager(userDetails);
    }

    /**
     * 返回注册客户端资源,注意这里采用的是内存模式,后续可以改成jdbc模式。RegisteredClientRepository用于管理客户端的实例。
     * @return
     */
    @Bean
    public RegisteredClientRepository registeredClientRepository() {
        RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("messaging-client")
                .clientSecret("{noop}secret")
                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
                .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
                .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
                .redirectUri("http://127.0.0.1:8080/login/oauth2/code/messaging-client-oidc")
                .redirectUri("http://www.baidu.com")
                .scope(OidcScopes.OPENID)
                .scope("message.read")
                .scope("message.write")
                .clientSettings(ClientSettings.builder().requireAuthorizationConsent(true).build())
                .build();

        return new InMemoryRegisteredClientRepository(registeredClient);
    }

    /**
     * 生成jwk资源,com.nimbusds.jose.jwk.source.JWKSource用于签署访问令牌的实例。
     * @return
     */
    @Bean
    public JWKSource<SecurityContext> jwkSource() {
        KeyPair keyPair = generateRsaKey();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        RSAKey rsaKey = new RSAKey.Builder(publicKey)
                .privateKey(privateKey)
                .keyID(UUID.randomUUID().toString())
                .build();
        JWKSet jwkSet = new JWKSet(rsaKey);
        return new ImmutableJWKSet<>(jwkSet);
    }

    /**
     * 生成密钥对,启动时生成的带有密钥的实例java.security.KeyPair用于创建JWKSource上述内容
     * @return
     */
    private static KeyPair generateRsaKey() {
        KeyPair keyPair;
        try {
            KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
            keyPairGenerator.initialize(2048);
            keyPair = keyPairGenerator.generateKeyPair();
        }
        catch (Exception ex) {
            throw new IllegalStateException(ex);
        }
        return keyPair;
    }

    /**
     * ProviderSettings配置 Spring Authorization Server的实例
     * @return
     */
    @Bean
    public ProviderSettings providerSettings() {
        return ProviderSettings.builder().build();
    }

}

3.配置application.yml

server:
  port: 9600

到这里就配置完成了。。。。。。。。。。。。。。。。。。。。。。。。。。。初始配置简单的一个配置就够了。下面开始进行测试

这里我们只测试授权码模式。其他模式这里就不测试了

浏览器访问http://127.0.0.1:9600/oauth2/authorize?client_id=messaging-client&response_type=code&scope=message.read&redirect_uri=http://www.baidu.com
会跳转到登录页面
在这里插入图片描述
输入配置中的账户名密码,然后就跳转到认证页面了
在这里插入图片描述
勾选上message.read,然后点击提交
在这里插入图片描述
就跳转到百度然后后面带上了code
然后再用postman请求,像我这样配置
在这里插入图片描述
在这里插入图片描述
code替换成跳转路径后面那个
发送请求
在这里插入图片描述
这时候服务器就饭后了token

总结

以上就是今天要讲的内容,本文介绍了spring authorization server,还有他的简单上手demo。后面我会出这系列后续教程,,如何定制页面,更多的相关配置介绍,喜欢可以收藏一下,后续更新

爱音乐的程序猿
关注
  • 21
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Spring Authorization Server版本升级总结 + 功能点扩展
tof
06-10 2582
Spring Authorization Server版本升级总结 + 功能点扩展
Spring Authorization Server入门 (一) 初识SpringAuthorizationServerOAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Authorization Server实战
最新发布
wsb_2526的博客
07-20 788
OAuth一个开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(比如用户和密码)分享给第三方应用。OAuth2.0协议的流程如下:用户打开客户端后,客户端要求用户给与授权;用户同意给客户端授权;客户端使用上一步获得授权,向服务器申请令牌;授权服务器对客户端认证后,向客户端发放令牌;客户端使用令牌,向资源服务器申请获取资源;资源服务器确认令牌有效后,向客户端开发资源;
spring-authorization-server:由Spring Security团队领导的社区驱动项目,致力于为Spring社区提供Authorization Server支持
03-20
Spring授权服务器 Spring Authorization Server是由团队领导的社区驱动的项目,致力于向Spring社区提供支持。 该项目将作为独立项目在Spring的实验项目中开始,以便它可以更快地发展。 该项目的最终目标是取代提供的Authorization Server支持。 在我们社区的急需帮助下,该项目将以与原始Spring Security OAuth项目相同的方式增长。 功能规划 该项目使用来确定功能路线图的优先级,并帮助组织项目计划。可以在访问项目板。建议安装ZenHub因为它在GitHub的用户界面中本地集成。 可以在查看已完成和即将发布的功能列表。 入门 首先要阅读的是以深入了解如何构建授权服务器。这是至关重要的第一步,因为实现必须符合OAuth 2.0授权框架中定义的规范以及。 第二个开始是要非常熟悉以下Spring Security模块中的代码库: (
Spring Authorization Server入门 (二) Spring Boot整合Spring Authorization Server
热门推荐
云逸的博客
06-02 1万+
本篇文章从0到1搭建了一个简单认证服务,解释了认证服务的各项配置用意,如何设置自己的登录页和授权确认页,如何让认证服务解析请求时携带的token,文章过长难免有遗漏的地方,如果文章中有遗漏或错误的地方请各位读者在评论区指出。
使用 Spring Authorization Server
semicolon_hello的专栏
02-20 1452
如果你想要自定义默认配置(无论你是否使用Spring Boot),你可以在一个Spring @Configuration中将最小必需组件定义为@Bean。这些组件可以定义如下:try {} }try {} }KeyPair;
Spring Authorization Server的使用
zzy7075的专栏
05-21 828
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
Spring Authorization Server 1.1 扩展实现 OAuth2 密码模式与 Spring Cloud 的整合实战
有来技术
10-24 8841
本文基于开源微服务商城项目 youlai-mall、Spring Boot 3 和 Spring Authorization Server 1.1 版本,演示了如何扩展密码模式,以及如何将其应用于 Spring Cloud 微服务实战。
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
Oauth2授权服务器(身份验证服务器)的构造 0.概述 关于如何构建SpringBoot提供的Oauth2身份验证服务器的实践 在daddyprogrammer.org上序列化和获取Github注册 1.实习环境 Java 8-11 SpringBoot 2.x SpringOauth2 ...
Spring 官方发起Spring Authorization Server 项目
01-06
Spring官方在近日发布了一则消息:将发起一个新的名为Spring Authorization Server[1]的项目。该项目是由Spring Security主导的一个社区驱动项目,旨在向Spring社区提供授权服务器支持。 谈及缘由,大约十年前Spring...
spring-security-oauth2-authorization-server.zip
08-25
本文以最简配置搭建一个授权服务,让大家初步了解授权服务及相关表。 token 存于数据库中 例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库
This module is based on Spring Authorization Server and contains
07-12
This module is based on Spring Authorization Server and contains information on using Spring Security OAuth2
基于Spring Authorization Server全新适配OAuth 2.1协议的企业级微服务架构和服务能力开发平台
03-18
Dante Cloud 是一款企业级微服务架构和服务能力开发平台,是采用领域驱动模型(DDD)设计思想的、全面拥抱 Spring Authorization Server 的、基于 OAuth2.1 协议的、支持智能电视、IoT等物联网设备认证的多租户微服务...
Spring Authorization Server 授权服务器
xxxzzzqqq_的博客
03-07 2600
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
Spring Authorization Server 系列】(一)入门篇,快速搭建一个授权服务器
Markix的博客
08-01 1万+
Spring Authorization Server一个框架,提供了OAuth2.1和OpenIDConnect1.0规范以及其他相关规范的实现。它建立在SpringSecurity之上,为构建OpenIDConnect1.0IdentityProviders和OAuth2AuthorizationServer产品提供安全、轻量级和可定制的基础。旧版的框架是,该框架已停止维护。SpringSecurityOAuth2认证/授权服务器的前世今生。...............
21-Spring Authorization Server介绍
码农小胖哥
03-17 4048
从今天起我们来搞一搞Spring新项目Spring Authorization Server,我们先来看看项目背景,了解这个有助于你了解项目的意图和场景。 项目背景 2019年11月下旬,Spring官方在Spring Security OAuth 2.0路线图中 指出2.3.x版本将在2020年3月到达项目生命周期的终点(End Of Life),随后将会发布2.4.x和2.5.x。 后续2.4.x和2.5.x补丁和安全修复程序支持将持续到2021年5月,另外2.5.x的安全修复支持将持续到2022年5月
spring官网授权服务器spring-authorization-server
小小白兔兔
06-03 1486
https://github.com/spring-projects-experimental/spring-authorization-server 目前最新的spring-authorization-server的信息 <!-- https://mvnrepository.com/artifact/org.springframework.security.experimental/spring-security-oauth2-authorization-server --> <depe
spring-authorization-server入门
qq_42126105的博客
12-16 558
Spring Authorization Server服务整合
Spring Authorization Server中没有WebSecurityConfigurerAdapter这个类
09-06
是的,你是正确的。在Spring Authorization Server中,没有WebSecurityConfigurerAdapter这个类。相反,Spring Authorization Server使用了一种不同的配置方式来处理安全性。 在Spring Authorization Server中,你可以通过配置授权服务器的端点来定义安全性要求。你可以使用AuthorizationServerSecurityConfigurer来配置授权服务器的安全性规则,以及使用ClientDetailsServiceConfigurer来配置客户端的详细信息。 例如,你可以使用以下代码来配置授权服务器的安全性规则: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security .checkTokenAccess("isAuthenticated()") .tokenKeyAccess("permitAll()"); } // 其他配置... } ``` 在上述示例中,我们使用checkTokenAccess方法来定义了对令牌访问端点需要进行身份验证。同时,我们使用tokenKeyAccess方法来允许对令牌密钥端点的访问。 请注意,这只是一个简单的示例,你可以根据你的需求进行更详细的配置。 希望这个回答对你有帮助!如果你还有其他问题,请随时提问。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值