Spring Security、Cloud OAuth2的实例-用户名和密码模式

最新推荐文章于 2023-10-24 10:05:20 发布
最新推荐文章于 2023-10-24 10:05:20 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: SpringCloud 文章标签: spring boot oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35549286/article/details/116662928
版权

OAuth2

是一个开放授权标准,
允许第三方应用访问资源拥有者在资源服务器的特定私有资源。

角色

OAuth2中的角色

Client

第三方应用

Resource Owner

资源拥有者

Resource Server

资源服务器

Authorization Server

授权服务器

维护Client、Resource Owner、Resource Server三者之间的关系。
Resource Server和Authorization Server既可以是分开的两个服务,
也可以是同一个服务。

四种授权的模式

oauth2定义了四种授权的模式(流程),
oauth2的核心就是向第三方应用授权)

用户名密码模式

我们在微服务之中用到了用户名密码模式来进行鉴权
在这里插入图片描述

授权码模式

授权码模式是oauth2中最常用也是最安全的授权模式
在这里插入图片描述

隐藏式授权模式

客户端凭证模式

项目说明

今天我们实现的是用户名密码模式

auth-server

授权服务器

Spring Boot2.3.10

https://start.spring.io/

jdk

Java8

Dependencies

Spring Web、Spring Security、Cloud OAuth2
在这里插入图片描述

user-server

资源服务器,收到请求后会到auth-server验证

Spring Boot2.3.10

https://start.spring.io/

jdk

Java8

Dependencies

Spring Web、Spring Security、Cloud OAuth2
在这里插入图片描述
在这里插入图片描述

配置授权服务器

application.yml

server:
  port: 8080

Spring Security配置

package com.superv.authserver.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author yangwei
 * @describition Spring Security配置
 *
 * @time 2021年5月11日-上午10:57:59
 */
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	/**
	 * 密码加密工具
	 * @return
	 */
	@Bean
	public PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
	
	/**
	 * 用户名密码模式要指定的授权管理Bean
	 */
	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}

	/**
	 * 允许匿名访问所有接口,否则oauth的/oauth/**接口无法访问
	 */
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// TODO Auto-generated method stub
//		super.configure(http);
		http.authorizeRequests()
			.antMatchers("/**").permitAll();
	}
	
}

实现UserDetailsService

用户(资源拥有者)身份验证

为了方便演示,把资源拥有者的用户名和密码都写在了代码里,
真实情况应该是从数据库查询。

package com.superv.authserver.config;

import java.util.ArrayList;
import java.util.List;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * @author yangwei
 * @describition UserDetailsService实现
 *
 * @time 2021年5月11日-上午
 */
@Component
public class UserDetailsServiceImpl implements UserDetailsService {

	@Autowired
	public PasswordEncoder passwordEncoder;
	
	/**
	 * 用户身份验证
	 */
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		// TODO Auto-generated method stub
//		return null;
		if (!"admin".equalsIgnoreCase(username)) {
			throw new UsernameNotFoundException(username);
		} else {
			// 角色
			String role = "ROLE_ADMIN";
			List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
			authorities.add(new SimpleGrantedAuthority(role));
			
			String password = passwordEncoder.encode("123456");
			return new org.springframework.security.core.userdetails.User(username, password, authorities);
		}
	}

}

Cloud OAuth2配置

为了方便演示,把客户端(资源服务器)信息都写在了代码里,
真实情况应该是从数据库查询

package com.superv.authserver.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

/**
 * @author yangwei
 * @describition Cloud OAuth2配置
 *
 * @time 2021年5月11日-上午
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
	
	@Autowired
	public TokenStore tokenStore;

	@Autowired
	public PasswordEncoder passwordEncoder;
	
	@Autowired
	public UserDetailsService userDetailsService;
	
	@Autowired
	public AuthenticationManager authenticationManager;
	
	/**
	 * 基于内存的TokenStore
	 * @return
	 */
	@Bean
	public TokenStore tokenStore() {
		return new InMemoryTokenStore();
	}

	@Override
	public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
		// TODO Auto-generated method stub
//		super.configure(security);
		security.allowFormAuthenticationForClients(); // 允许客户端即资源服务器访问oauth2授权接口
		security.tokenKeyAccess("isAuthenticated()"); // 允许已授权用户访问获取token接口
		security.checkTokenAccess("isAuthenticated()"); // 允许已授权用户访问验证token接口
	}

	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
		// TODO Auto-generated method stub
//		super.configure(clients);
		clients.inMemory()
			.withClient("user-client") // 资源服务器
			.secret(passwordEncoder.encode("user-secret-8888"))
			.authorizedGrantTypes("refresh_token", "authorization_code", "password") // 用户名密码模式
			.accessTokenValiditySeconds(3600) // token有效时间:秒
			.scopes("all");
	}

	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
		// TODO Auto-generated method stub
//		super.configure(endpoints);
		endpoints.authenticationManager(authenticationManager) // 支持用户名密码模式
			.userDetailsService(userDetailsService) // 用户验证服务
			.tokenStore(tokenStore); // token存储方式
	}
	
}

配置资源服务器

application.yml

server:
  port: 8081

security:
  oauth2:
    client:
      client-id: user-client
      client-secret: user-secret-8888
#      access-token-uri: http://localhost:8080/oauth/token
#      user-authorization-uri: http://localhost:8080/oauth/authorize
    resource:
      id: user-client
      user-info-uri: user-info
    authorization:
      check-token-access: http://localhost:8080/oauth/check_token

ResourceServer配置

package com.superv.userserver.config;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;

/**
 * @author yangwei
 * @describition ResourceServer配置
 *
 * @time 2021年5月11日-下午5:01:27
 */
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

	@Value("${security.oauth2.client.client-id}")
	private String clientId;
	
	@Value("${security.oauth2.client.client-secret}")
	private String clientSecret;
	
	@Value("${security.oauth2.authorization.check-token-access}")
	private String checkTokenEndpointUrl;
	
	@Bean
	public RemoteTokenServices tokenService() {
		RemoteTokenServices tokenService = new RemoteTokenServices();
		tokenService.setClientId(clientId);
		tokenService.setClientSecret(clientSecret);
		tokenService.setCheckTokenEndpointUrl(checkTokenEndpointUrl);
		return tokenService;
	}

	@Override
	public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
		// TODO Auto-generated method stub
//		super.configure(resources);
		resources.tokenServices(tokenService());
	}
	
}

资源:controller

package com.superv.userserver.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
public class UserController {

	@RequestMapping("/hello")
	@PreAuthorize("hasAnyRole('ROLE_ADMIN')")
	public String hello() {
		return "hello";
	}
	
}

验证

分别启动授权服务器auth-server、资源服务器user-server,postman。

请求授权服务器获取access_token

POST:http://localhost:8080/oauth/token?grant_type=password&username=admin&password=123456&scope=all

请求header中添加Authorization,
值为:Basic dXNlci1jbGllbnQ6dXNlci1zZWNyZXQtODg4OA==
注意:Basic后跟有一个空格

Basic+" "后的内容为"user-client:user-secret-8888"经过base64编码后的值
在这里插入图片描述
access_token的值,等会要用到

携带access_token访问资源服务器

GET:http://localhost:8081/user/hello

请求header中添加Authorization,
值为:bearer 1e48fb5d-ed96-467b-a592-b8a449d9d128
注意:bearer后跟有一个空格,bearer是固定写法为token的类型

bearer+" "后的内容为上一步获取到的access_token
在这里插入图片描述
返回结果正常:hello

过程

如果不携带access_token访问会怎么样?你会看到这样的结果:

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

这中间又发生了哪些不为人知的事情呢?
在这里插入图片描述
当我们通过客户端-postman访问资源服务器时,
OAuth2AuthenticationProcessingFilter拦截token,
我也不知道对应图中的哪一个。。
然后会调用RemoteTokenServices,
去授权服务器http://localhost:8080/oauth/check_token验证token,
把无状态的token转化成用户信息。

不当之处,请予指正。

参考文章:

架构师girl可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程
MacroZhengSpring Cloud Security:Oauth2使用入门
LightOfMiracleSpring Boot整合oauth2.0搭建统一授权服务

CaptainCats
关注
专栏目录
深入理解Spring Boot中的OAuth2使用
fudaihb的博客
08-26 1065
OAuth2(Open Authorization 2.0)是目前应用广泛的授权框架,允许第三方应用在资源所有者许可的情况下获取受保护资源。随着微服务架构的普及,OAuth2 已成为保护API和管理用户访问的首选解决方案。在Spring Boot中,OAuth2得到了广泛支持,并可以通过Spring Security进行无缝集成。 本文将详细介绍如何在Spring Boot应用中使用OAuth2,涵盖OAuth2的基本概念、主要流程以及实战中的具体实现和常见问题解决方案。
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1033
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
灰太狼
12-21 2863
1.oauth2的密码模式基础使用可以查看​​Spring cloud Oauth2的密码模式内存方式实现登录授权验证​​ 2.在项目中oauth2的密码模式实现授权都是直接读取数据库的用户信息进行验证的。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服务,调用接口会去认证中心验证token一致性。 3.代码实现: 在​​Spring cloud Oauth2的密码模式内存方式实现登录授权验证​​的基础代码上进行更改。 3.
一步步入门搭建SpringSecurity OAuth2(密码模式
我神级欧文的博客
02-05 5083
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
OAuth2 入门---采用密码模式搭建demo工程
hamster204的专栏
03-25 1018
最近在学习OAuth2,虽然网上教学例子很多但不少都存在问题给学习带来很大困扰,因今天拿出时间整理一下思路以密码模式为例写一篇记录学习的文章,希望能给有需要的同学带来些帮助。本文以实践为主默认读者对OAuth2在概念上已有一定了解。 一、OAuth2 密码模式 OAuth2包括授权码、简化、密码和客户端四种模式,其中密码模式比较适用于公司内部项目使用,将若干受信系统认证和授权功能抽象为独立的认...
Spring Security OAuth2笔记系列】- App认证框架- 重构用户名密码登录
代码有毒的博客
08-24 2005
重构用户名密码登录 让自己的逻辑获取token的话,oath前面的逻辑都不能使用。使用我们自己的逻辑来代替。 也就是相当于只使用后面的功能;把自定义认证模式添加进来 在AuthenticationSuccessHandle中存在authentication对象, 所以只要获取到 ClientDetails和TokenRequest即可; 有时间了查看源码找这些吧 思路 提交登...
OAuth2.0授权学习—2,账号密码授权
时间是把杀刀猪
12-03 550
对于没有服务端的第三方应用,使用账号密码授权也是一种方式(不过需要基于用户对这个应用足够信任的前提)   1,申请Client ID(填写应用ID号和密码,这里不需要填写回调网址)   访问 http://localhost/oauth/server/examples/mongo/addclient.php   填写ID=50001,Secret=pwd提交,查询数据库如下 ...
springcloud整合oauth2和jwt
04-09
本篇文章将深入探讨如何在Spring Cloud项目中整合OAuth2和JWT,以及与MyBatis的集成。 首先,OAuth2是一个开放标准,主要用于授权。它允许第三方应用在用户许可的情况下访问其私有资源,而无需获取用户的用户名和...
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1578
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Spring Cloud Gateway 与OAuth2模式一起使用
jcc4261的博客
12-21 1043
Spring Cloud Gateway是一个构建在 Spring 生态之上的 API Gateway。建立在、和之上。本节中您将使用Spring Cloud Gateway将请求路由到Servlet API服务。本文您将学到OpenID Connect 身份验证 - 用于用户身份验证令牌中继 - Spring Cloud Gateway API网关充当客户端将令牌转发到资源请求上先决条件Java 8+MySQLRedis。
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
本系统基于SpringCloudSecurityOAuth2.0三大技术栈构建,旨在提供一个高效、安全的权限管理解决方案。下面,我们将详细探讨这些关键技术点。 首先,SpringCloud作为微服务架构的核心组件,提供了服务发现、配置...
oauth2密码模式java版
12-12
oauth2密码模式的java版本,服务端和客户端,希望能帮助到大家
oauth2密码模式mysql模式
08-13
oauth2密码模式mysql模式,有走redis存储token的,改一下配置即可
oauth2密码模式分离
08-09
oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离
【Java】Spring Cloud OAuth2之密码模式实战
最新发布
记录开发学习笔记
10-24 379
SpringCloud OAuth2密码模式
Spring-Security+OAuth2+redis实现密码登录
梅子黄时雨
07-14 2571
Spring-Security+OAuth2+redis实现密码登录
springcloud oauth2授权码模式密码模式
菠萝吃西瓜的博客
03-16 1444
微服务下使用SpringCloud oauth2做授权和认证 使用oauth2之前 授权:授权服务器完成 鉴权:使用AOP根据登录用户信息完成权限判断 登录验证:在网关判断token存在与有效性,如果是白名单url(不需要登录的URL) 以访问服务器中的文件服务未例子: ...
oauth2.0密码模式详解
weixin_44846436的博客
03-08 4254
oauth2.0密码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-password 如果你高度信任某个应用,RFC 6749 也允许用户把用户名密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。 1、密码模式流程 第一步,A 网站要求用户提供 B 网站的用户名密码。拿到以后,A 就直接向 B 请求令牌。 https://oauth.b.com/token?
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值