springboot2整合oauth2

已于 2024-03-08 10:23:59 修改
阅读量6.7w 收藏 103
点赞数 18
分类专栏: springboot 文章标签: java spring
于 2018-06-15 14:10:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37170583/article/details/80704660
版权

1.背景

项目由springboot1.5.X升级到springboot2.0.0后,导致各组件API以及依赖包发生了变化。

完整项目demo:码云

2.spring security

Spring Security 从入门到进阶系列教程网址:http://www.spring4all.com/article/428

  • spring security架构图
    在这里插入图片描述
  • 认证过程
    [外链图片转存失败(img-Z2J4Yur9-1567653136510)(https://gitee.com/uploads/images/2018/0419/105052_53ea1406_1305332.png "屏幕截图.png")]

3.OAuth2

  • OAuth2基础概念网址:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
  • OAuth2分为3个部分:1认证服务器2资源服务器3第三方应用
  • OAuth2有4种授权模式:1授权码模式2简化模式3密码模式4客户端模式

4.使用springboot2+oauth2注意事项

  • 项目搭建参考网址:

https://blog.csdn.net/qq_19671173/article/details/79748422

http://wiselyman.iteye.com/blog/2411813

4.1.在pom.xml文件中导入依赖包发生变化

        <!-- springboot2.0已经将oauth2.0与security整合在一起 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- 由于一些注解和API从spring security5.0中移除,所以需要导入下面的依赖包  -->
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.0.0.RELEASE</version>
        </dependency>
        <!-- redis相关依赖包 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-pool2</artifactId>
        </dependency>

4.2.直接使用RedisTokenStore存储token会出现NoSuchMethodError RedisConnection.set([B[B)V错误

解决方案:自己编写一个MyRedisTokenStore,复制RedisTokenStore类中代码,并将代码中conn.set(accessKey, serializedAccessToken)修改为conn.stringCommands().set(accessKey, serializedAccessToken);

4.3.前后端分离时,存在跨域问题

解决方案:

  • 方案一在后端注册corsFilter
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 1
        corsConfiguration.addAllowedOrigin("*");
        // 2
        corsConfiguration.addAllowedHeader("*");
        // 3
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // step 4
        source.registerCorsConfiguration("/**", buildConfig());
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return bean;
    }
}
  • 方案二,在启动类添加bean到IOC容器中
@SpringBootApplication
public class ZuulServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(ZuulServerApplication.class, args);
    }

    /**
     * 解决前后端分离跨域问题
     *
     * @return
     */
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }

}

4.4.前后端分离,登录页面放在前端时登录的问题

解决方案:授权模式使用password的方式

  • 使用post请求访问http://localhost:20000/auth/oauth/token
  • 在请求的headers中新增一个header:key=Authorization,value=Basic Y2xpZW50OnNlY3JldA==

(Y2xpZW50OnNlY3JldA==为64编码,格式:client:secret)

  • 在form-data中传递参数:username(用户账号)、password(用户密码)、grant_type(固定值:password)、scope(作用域)
    这里写图片描述

4.5.访问资源服务器的方式

  • 当通过在认证服务器获取到token后,有三种方式访问资源服务器
  1. 在Headers中携带:key=Authorization,value=bearer 797c4200-8b10-4a2b-8764-33397749a8f7
  2. 拼接在URL中:http://localhost:8088/user?access_token=797c4200-8b10-4a2b-8764-33397749a8f7
  3. 在form表单中:name=access_token,value=797c4200-8b10-4a2b-8764-33397749a8f7

4.6.spring security密码配置问题

  • secret密码配置从 Spring Security 5.0开始必须以 {加密方式}+加密后的密码 这种格式填写
  • 当前版本5新增支持加密方式:

bcrypt - BCryptPasswordEncoder (Also used for encoding)

ldap - LdapShaPasswordEncoder

MD4 - Md4PasswordEncoder

MD5 - new MessageDigestPasswordEncoder(“MD5”)

noop - NoOpPasswordEncoder

pbkdf2 - Pbkdf2PasswordEncoder

scrypt - SCryptPasswordEncoder

SHA-1 - new MessageDigestPasswordEncoder(“SHA-1”)

SHA-256 - new MessageDigestPasswordEncoder(“SHA-256”)

sha256 - StandardPasswordEncoder

4.7.通过spring security的角色限制访问受保护的接口

  • 在配置类或启动类上添加注解 @EnableGlobalMethodSecurity(securedEnabled = true)
@EnableOAuth2Sso
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/index")
                .permitAll()
                .anyRequest()
                .authenticated();
    }
}
  • 在controller的类或方法上添加注解 @Secured(“ROLE_ADMIN”)
package com.bici.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * @author: keluosi@bicitech.cn
 * @date: 2018/4/17
 */
@RestController
@RequestMapping("/client")
@Secured("ROLE_ADMIN")
public class ClientController {

    @GetMapping("/user")
    public Authentication getUser() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }

    @GetMapping("/index")
    @Secured("ROLE_USER")
    public String index() {
        return "index";
    }
}

4.8.使用自定义的加密方式校验数据库中保存的加密后的密文

  • 在@EnableWebSecurity注解的方法中编写代码
import com.bici.encrypt.EncryptUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Qualifier("userDetailsService")
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected UserDetailsService userDetailsService() {
        // 自定义用户信息类
        return this.userDetailsService;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder(){
            @Override
            public String encode(CharSequence charSequence) {
                // 加密
                return EncryptUtil.hashPasswordAddingSalt(charSequence.toString());
            }
            @Override
            public boolean matches(CharSequence charSequence, String s) {
                // 密码校验
                return EncryptUtil.isValidPassword(charSequence.toString(), s);
            }
        }) ;
    }
}

4.9.通过配置返回通知获取token

可以在这个地方将token和username存入到缓存中,然后如果需要强制某个用户下线时,通过username从缓存中找到token,调用ConsumerTokenServicesrevokeToken(token)方法。

package com.zkane.aspect;

import org.aspectj.lang.annotation.AfterReturning;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpRequest;
import org.springframework.http.ResponseEntity;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;

/**
 * @author: 594781919@qq.com
 * @review:
 * @date: 2018/8/24
 */
@Aspect
@Component
public class TokenAspect {

    @Pointcut("execution(* org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.postAccessToken(..))")
    private void token() {
    }

    @AfterReturning(returning = "obj", pointcut = "token()")
    public void doAfterReturning(ResponseEntity<OAuth2AccessToken> obj) throws Exception {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        // 打印用户名
        System.out.println(request.getParameter("username"));
        // 打印token
        System.out.println(obj.getBody().getValue());
    }
}

5.不足或后续改进

5.1.客户端信息保存到数据中

  • 创建sql语句
CREATE TABLE `oauth_client_details` (
  `client_id` varchar(256) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types` varchar(256) DEFAULT NULL,
  `web_server_redirect_uri` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO oauth_client_details (
	client_id,
	resource_ids,
	client_secret,
	scope,
	authorized_grant_types,
	web_server_redirect_uri,
	authorities,
	access_token_validity,
	refresh_token_validity,
	additional_information,
	autoapprove
)
VALUES
	(
		'client',
		NULL,
		'{noop}secret',
		'all',
		'password,authorization_code,refresh_token,implicit,client_credentials',
		NULL,
		NULL,
		NULL,
		NULL,
		NULL,
		'true'
	);
  • 以jdbc方式配置客户端信息
@Configuration
@EnableAuthorizationServer
public class ServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }
}

5.2.前后端分离,导致单点登录问题

  • 目前通过网上下载的demo,还没有查找到第三方应用前后端分离,怎么去登录的问题。
  • 第三方应用一般都是通过请求转发页面时,到认证中心去登录。也就是前后端未分离的情况,使用注解@EnableOAuth2Sso
  • 建议解决方案:通过前端进行跳转到唯一的登录页面,登录成功后再返回到原来系统并带上token

5.3.密码错误时,返回前端的json未实现自定义返回内容

{
    "error": "invalid_grant",
    "error_description": "Bad credentials"
}

update 2018-04-28

自定义返回前端的登录错误信息

  • 将spring-security-core\5.0.3.RELEASE\org\springframework\security\messages_zh_CN.properties拷贝到resources目录下
  • 在启动类中编写代码
@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Bean
    public ReloadableResourceBundleMessageSource messageSource() {
        ReloadableResourceBundleMessageSource messageSource = new ReloadableResourceBundleMessageSource();
        messageSource.setBasename("classpath:messages");
        return messageSource;
    }
}
  • 显示效果,error_description是在messages_zh_CN.properties中自己根据需要编写的
{
    "error": "invalid_grant",
    "error_description": "账号未注册,请联系管理员"
}
一梦喂马.
关注
专栏目录
springboot整合Oauth2
LJH_java10086的博客
10-13 790
Spring Boot可以与Oauth2集成以提供安全的身份验证和授权。
springboot整合oauth2
热门推荐
2010yhh
05-08 2万+
springboot整合oauth2.0 文章目录springboot整合oauth2.01.概念2.springboot整合oauth2.0示例2.1SecurityConfig配置2.2资源服务器配置和授权服务器配置3.测试 环境 springboot1.5.x demo下载: 1.概念 客户应用: 通常是一个web或者手机,他需要访问用户的受保护资源 资源服务器::是一个web站点或者w...
小白也能看懂的OAuth2讲解
最新发布
wendao76的专栏
09-30 2940
OAuth 2是一个重要的授权框架,它通过颁发令牌的方式实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
Springboot整合OAuth2
qq_41566980的博客
08-28 7562
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 2963
springbootspringsecurity整合OAuth2
Spring Boot中集成OAuth2
聚娃科技开发者博客
07-07 543
OAuth2是一种开放标准,用于授权,通常用于允许第三方应用访问用户在另一个服务提供者上存储的信息,而不需要共享用户的凭证。它通过代表用户进行授权,提供了一种安全的授权机制。本文详细介绍了如何在Spring Boot项目中集成OAuth2实现安全认证,涵盖了依赖添加、OAuth2配置、Spring Security配置以及自定义OAuth2UserService的步骤和关键代码。通过这些步骤,开发者可以轻松地为他们的应用程序添加安全认证功能,保护用户数据和资源的安全性。
教程:在Spring Boot应用中集成OAuth 2.0认证
省赚客开发者博客
06-27 2489
通过本教程,我们学习了如何在Spring Boot应用中集成和使用OAuth 2.0认证。从添加依赖、配置OAuth 2.0客户端信息,到配置Spring Security和创建控制器处理认证后的回调,这些步骤帮助开发者快速实现安全的认证机制,并保护应用程序的资源。
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
springboot2整合oauth2实现密码授权模式
u014077048的博客
11-05 1万+
spring cloud集成oauth2实现微服务认证,调用oauth服务获取token,通过这个access_token去访问其它微服务,从而实现统一认证授权。oauth作为认证服务器之外也作为资源服务器,而其它每个服务器都自身也是一个资源服务器。 oauth2有四种授权模式 授权码模式(Authorization Code)  授权码简化模式(Implicit) 密码模式(Resour...
SpringBoot整合OAuth2
明平姚的博客
09-04 1万+
1. OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到
springboot整合OAuth2组件,模拟第三方授权访问
06-25
<artifactId>spring-security-oauth2 <version>2.1.3.RELEASE <groupId>org.springframework.boot <artifactId>spring-boot-starter-security 这里有两个核心组件依赖:OAuth2组件和Security组件。 模块划分...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
springboot与security oauth2整合例子
08-01
springboot与security oauth2+jwt控制安全整合例子。。
基于SpringBoot整合oauth2实现token认证
08-25
主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成OAuth2
AI天才研究院
01-28 1114
1.背景介绍 1. 背景介绍 OAuth2 是一种授权协议,允许用户授权第三方应用程序访问他们的资源。它是一种“授权”模式,而不是“认证”模式。OAuth2 的主要目的是允许用户授权第三方应用程序访问他们的资源,而不需要将他们的凭据(如用户名和密码)传递给第三方应用程序。 Spring Boot 是一个用于构建新 Spring 应用程序的开箱即用的 Spring 框架。它旨在简化开发人员的工...
Spring Boot整合OAuth2,附详细注释
2401_84010865的博客
04-18 1313
**授权服务器配置@author 向振华*/@Autowired@Autowired@Autowired@Autowired/**配置令牌端点(内置的/oauth/* 接口)的安全约束*/@Overridesecurity// 允许访问/oauth/token授权接口// 开启/oauth/check_token访问/**配置客户端详情*/@Override// 读DB客户端详情// 客户端详情配置。
SpringBoot整合OAuth 2.0
xjj1040249553的专栏
08-20 3629
OAuth 2.0为OAuth的协议的延续版本,是一个关于授权的开放网络标准,在全世界得到广泛应用。基于OAuth 2.0授权有一下几个特点:1、安全:平台商无需使用用户的用户名与密码就可以申请获得该用户资源的授权;2、开放:任何消费方都可以使用 OAuth 认证服务,任何服务提供方 ( Service Provider) 都可以实现自身的 OAuth 认证服务。3、简单:不管是消费方还是服务提供...
SpringBoot集成OAuth2身份验证机制
AI天才研究院
08-01 2852
随着互联网技术的飞速发展、应用场景的多样化以及对安全性的需求越来越高,越来越多的人开始关注并实践“OAuth2”(开放授权)协议。在本文中,我将会通过对 Spring Boot 的集成 OAuth2 身份验证机制,来实现身份认证功能的支持。OAuth2 是一种授权框架协议,它为用户资源提供一个安全的访问通道,让用户可以分享他/她的账号信息给第三方应用或者网站,而不用暴露自己的密码等敏感信息。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值