【Spring Security】Spring Security 与 OAuth2 之授权码模式

最新推荐文章于 2024-08-27 15:36:46 发布
最新推荐文章于 2024-08-27 15:36:46 发布
阅读量854 收藏 3
点赞数 2
分类专栏: springboot新发现 文章标签: jwt 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37362891/article/details/103538195
版权

在这里插入图片描述

1.Oauth2认证

1.1 Oauth2认证流程

第三方认证技术方案最主要是解决认证协议的通用标准 问题,因为要实现 跨系统认证,各系统之间要遵循一定的接口协议。

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。

Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。

参考:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin
Oauth协议:https://tools.ietf.org/html/rfc6749

下边分析一个Oauth2认证的例子,第三方网站使用微信认证的过程:
在这里插入图片描述

  1. 客户端请求第三方授权,用户进入第三方应用的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。
  2. 资源拥有者同意给客户端授权,资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给第三方网站访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到的网站。
  3. 客户端获取到授权码,请求认证服务器申请令牌,此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。
  4. 认证服务器向客户端响应令牌,认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。此交互过程用户看不到,当客户端拿到令牌后,用户在第三方网站看到已经登录成功。
  5. 客户端请求资源服务器的资源,第三方网站携带令牌请求访问微信服务器获取用户的基本信息。
  6. 资源服务器返回受保护资源,资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。

注意:资源服务器和认证服务器可以是一个服务也可以分开的服务,如果是分开的服务资源服务器通常要请求认证服务器来校验令牌的合法性。

2.探索授权码模式

2.1 概念

上边例举的第三方网站使用微信认证的过程就是授权码模式,流程如下:

  1. 客户端请求第三方授权
  2. 用户(资源拥有者)同意给客户端授权
  3. 客户端获取到授权码,请求认证服务器申请令牌
  4. 认证服务器向客户端响应令牌
  5. 客户端请求资源服务器的资源,资源服务校验令牌合法性,完成授权
  6. 资源服务器返回受保护资源

2.2 搭建工程

show me your code, talk is cheap.

  • 创建 AuthorizationServerConfig
@Configuration
@EnableAuthorizationServer
class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private DataSource dataSource;
    //jwt令牌转换器
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    UserDetailsService userDetailsService;
    @Autowired
    AuthenticationManager authenticationManager;
    @Autowired
    TokenStore tokenStore;
    @Autowired
    private CustomUserAuthenticationConverter customUserAuthenticationConverter;

    //读取密钥的配置,keytool配置的密钥
    @Bean("keyProp")
    public KeyProperties keyProperties(){
        return new KeyProperties();
    }

    @Resource(name = "keyProp")
    private KeyProperties keyProperties;

    //客户端配置,JDBC 方式实现获取已注册的客户端详情
    @Bean
    public ClientDetailsService clientDetails() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Override
    //配置客户端详情(Client Details)
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(this.dataSource).clients(this.clientDetails());
    }

    @Bean
    @Autowired
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        //使用jwt保存令牌
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    //使用同一个密钥来编码 JWT 中的  OAuth2 令牌
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(CustomUserAuthenticationConverter customUserAuthenticationConverter) {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        KeyPair keyPair = new KeyStoreKeyFactory
                (keyProperties.getKeyStore().getLocation(), keyProperties.getKeyStore().getSecret().toCharArray())
                .getKeyPair(keyProperties.getKeyStore().getAlias(),keyProperties.getKeyStore().getPassword().toCharArray());
        converter.setKeyPair(keyPair);
        //配置自定义的CustomUserAuthenticationConverter
        DefaultAccessTokenConverter accessTokenConverter = (DefaultAccessTokenConverter) converter.getAccessTokenConverter();
        accessTokenConverter.setUserTokenConverter(customUserAuthenticationConverter);
        return converter;
    }
    //授权服务器端点配置,//告诉Spring Security Token的生成方式
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.accessTokenConverter(jwtAccessTokenConverter)
                .authenticationManager(authenticationManager)//认证管理器
                .tokenStore(tokenStore)//令牌存储
                .userDetailsService(userDetailsService);//用户信息service
    }

    //授权服务器的安全配置
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.allowFormAuthenticationForClients()
                .passwordEncoder(new BCryptPasswordEncoder())
                //允许所有资源服务器访问公钥端点(/oauth/token_key)
                //只允许验证用户访问令牌解析端点(/oauth/check_token)
                .tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
    }

}
  • 创建 CustomUserAuthenticationConverter
@Component
public class CustomUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
    @Autowired
    UserDetailsService userDetailsService;

    @Override
    public Map<String, ?> convertUserAuthentication(Authentication authentication) {
        LinkedHashMap response = new LinkedHashMap();
        String name = authentication.getName();
        response.put("user_name", name);

        Object principal = authentication.getPrincipal();
        UserJwt userJwt = null;
        if (principal instanceof UserJwt) {
            userJwt = (UserJwt) principal;
        } else {
            //refresh_token默认不去调用userdetailService获取用户信息,这里我们手动去调用,得到 UserJwt
            UserDetails userDetails = userDetailsService.loadUserByUsername(name);
            userJwt = (UserJwt) userDetails;
        }
        response.put("name", userJwt.getName());
        response.put("id", userJwt.getId());
        response.put("utype", userJwt.getUtype());
        response.put("userpic", userJwt.getUserpic());
        response.put("companyId", userJwt.getCompanyId());
        if (authentication.getAuthorities() != null && !authentication.getAuthorities().isEmpty()) {
            response.put("authorities", AuthorityUtils.authorityListToSet(authentication.getAuthorities()));
        }

        return response;
    }
}
  • 创建 WebSecurityConfig
@Configuration
@EnableWebSecurity
@Order(-1)
class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/userlogin","/userlogout","/userjwt");

    }
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }
    //采用bcrypt对密码进行编码
    @Bean
    public PasswordEncoder passwordEncoder() {`在这里插入代码片`
        return new BCryptPasswordEncoder();
    }
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .httpBasic().and()
                .formLogin()
                .and()
                .authorizeRequests().anyRequest().authenticated();

    }
}
  • UserDetailsServiceImpl
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    ClientDetailsService clientDetailsService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //取出身份,如果身份为空说明没有认证
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        //没有认证统一采用httpbasic认证,httpbasic中存储了client_id和client_secret,开始认证client_id和client_secret
        if (authentication == null) {
            ClientDetails clientDetails = clientDetailsService.loadClientByClientId(username);
            if (clientDetails != null) {
                //密码
                String clientSecret = clientDetails.getClientSecret();
                return new User(username, clientSecret, AuthorityUtils.commaSeparatedStringToAuthorityList(""));
            }
        }
        if (StringUtils.isEmpty(username)) {
            return null;
        }
        FooUserExt userext = new FooUserExt();
        userext.setUsername("batman");
        userext.setPassword(new BCryptPasswordEncoder().encode("batman"));
        userext.setPermissions(new ArrayList<FooMenu>());
        if (userext == null) {
            return null;
        }
        //取出正确密码(hash值)
        String password = userext.getPassword();
        //这里暂时使用静态密码
//       String password ="123";
        //用户权限,这里暂时使用静态数据,最终会从数据库读取
        //从数据库获取权限
        List<FooMenu> permissions = userext.getPermissions();
        List<String> user_permission = new ArrayList<>();
        permissions.forEach(item -> user_permission.add(item.getCode()));
//        user_permission.add("course_get_baseinfo");
//        user_permission.add("course_find_pic");
        String user_permission_string = StringUtils.join(user_permission.toArray(), ",");
        UserJwt userDetails = new UserJwt(username,
                password,
                AuthorityUtils.commaSeparatedStringToAuthorityList(user_permission_string));
        userDetails.setId(userext.getId());
        userDetails.setUtype(userext.getUtype());//用户类型
        userDetails.setCompanyId(userext.getCompanyId());//所属企业
        userDetails.setName(userext.getName());//用户名称
        userDetails.setUserpic(userext.getUserpic());//用户头像
        return userDetails;
    }
}

server:
  port: ${PORT:40400}
  servlet:
    context-path: /auth
spring:
  application:
    name: security-auth
  redis:
    host: ${REDIS_HOST:127.0.0.1}
    port: ${REDIS_PORT:6379}
    timeout: 5000 #连接超时 毫秒
    jedis:
      pool:
        maxActive: 3
        maxIdle: 3
        minIdle: 1
        maxWait: -1 #连接池最大等行时间 -1没有限制
  datasource:
    druid:
      url: ${MYSQL_URL:jdbc:mysql://localhost:3306/xc_user?characterEncoding=utf-8}
      username: root
      password: root
      driverClassName: com.mysql.cj.jdbc.Driver
      initialSize: 5  #初始建立连接数量
      minIdle: 5  #最小连接数量
      maxActive: 20 #最大连接数量
      maxWait: 10000  #获取连接最大等待时间,毫秒
      testOnBorrow: true #申请连接时检测连接是否有效
      testOnReturn: false #归还连接时检测连接是否有效
      timeBetweenEvictionRunsMillis: 60000 #配置间隔检测连接是否有效的时间(单位是毫秒)
      minEvictableIdleTimeMillis: 300000  #连接在连接池的最小生存时间(毫秒)
auth:
  tokenValiditySeconds: 1200  #token存储到redis的过期时间
  clientId: batman
  clientSecret: batman
  cookieDomain: 127.0.0.1
  cookieMaxAge: -1
encrypt:
  key-store:
    location: classpath:/batman.keystore
    secret: batmanstore
    alias: batman
    password: batman

3.测试授权服务

3.1申请授权码

请求认证服务获取授权码:
Get请求:

localhost:40400/auth/oauth/authorize?
client_id=batman&response_type=code&scop=app&redirect_uri=http://localhost

参数列表如下:
client_id:客户端id,和授权配置类中设置的客户端id一致。
response_type:授权码模式固定为code
scop:客户端范围,和授权配置类中设置的scop一致。
redirect_uri:跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)。

首先跳转到登录页面:
在这里插入图片描述

输入账号和密码,账号密码都是batman。
在这里插入图片描述
点击授权,即可

在这里插入图片描述

3.2申请令牌

拿到授权码后,申请令牌。
Post请求:http://localhost:40400/auth/oauth/token
参数如下:
grant_type:授权类型,填写authorization_code,表示授权码模式
code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
此链接需要使用 http Basic认证。

什么是http Basic认证?
http协议定义的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在header中请求服务端,一个例子:
Authorization:Basic WGNXZWJBcHA6WGNXZWJBcHA=WGNXZWJBcHA6WGNXZWJBcHA= 是用户名:密码的base64编码。

以上测试使用postman完成:
http basic认证:

在这里插入图片描述
客户端Id和客户端密码会匹配数据库oauth_client_details表中的客户端id及客户端密码。

Post请求参数:

在这里插入图片描述

点击发送:
申请令牌成功:
在这里插入图片描述
access_token:访问令牌,携带此令牌访问资源
token_type:有MAC Token与Bearer Token两种类型,两种的校验算法不同,RFC 6750建议Oauth2采用 Bearer
Token(http://www.rfcreader.com/#rfc6750)。
refresh_token:刷新令牌,使用此令牌可以延长访问令牌的过期时间。
expires_in:过期时间,单位为秒。
scope:范围,与定义的客户端范围一致。

到此为止,授权码模式,获取令牌就算完成了。

参考github地址: https://github.com/fafeidou/fast-cloud-nacos/tree/master/fast-cloud-nacos-examples/spring-security-examples/security-auth

总结

  • 由于学艺不精,只能分享一些操作流程,没有太深入的解析,浅尝辄止。
  • 下期预告,我们令牌拿到了,怎么访问服务,请听下篇分享。

如果觉得写得好请给博客一个赞,还有github一个star,谢谢:)。

it噩梦
关注
专栏目录
Spring Security OAuth2 Demo —— 授权模式 (Authorization Code)
CHIKA2333的博客
07-29 1664
redirectUris校验是否同一个客户端这个,可能说的不是很准确,说下大体流程,我们在授权服务器上配置了这个回调地址,授权服务器在用户授权成功后,返回授权的地址就是它,另外我们后续申请token时,也需要传递这个回调地址,所以我的理解是校验是否是同一客户端发来的第二次请求(换token时)除了配置用户,我们需要对服务的资源进行保护,这里将所有的请求都要求通过认证才可以访问,用户登录需要使用httpBasic形式(就是那种网页弹个窗要求登录的那种😄)code=2e6450。
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (六)OAuth2经典场景~授权模式
06-25 1780
2024 最新 SpringSecurity OAuth2 授权模式完成示例! JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上修改 C:\Windows\System32\drivers\etc\hosts文件。(如果授权服务器和客户端在不同的域名下,就不用修改了)
SpringSecurity(13)——OAuth2授权模式
peng_gx的博客
01-24 1292
SpringSecurity OAuth2授权模式使用
五、SpringSecurity+auth2.0系列(四种模式的接口请求接口)
qq_38132995的博客
09-07 652
本文只介绍通用的授权和密模式,其他的自行学习 1、Oauth2.0授权模式 1、步骤:客户端申请认证的URI,获取code ip地址/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read&state=xxx 参数说明: response_type:授权类型,必选项,此处的值固定为"code"   client_id:客户端的ID,必选项  
登录校验组件 Spring Security OAuth2 详解
最新发布
m0_48038376的博客
08-27 989
OAuth 2.0:是一个开放标准的授权协议,允许第三方应用程序在用户的许可下访问他们在其他服务上的资源和数据,而无需直接共享用户的用户名和密OAuth 2.0 关注于简化客户端开发、提高安全性,并支持多种应用场景。:是一个全面的安全框架,用于在Java应用程序中提供身份验证和授权机制。它支持多种身份验证技术,包括表单登录、HTTP Basic认证、LDAP等。
SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器
Mr_XiMu的博客
06-07 3213
SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器
Spring Security OAuth2 授权模式的实现
08-18
主要介绍了Spring Security OAuth2 授权模式的实现,文中通过示例代介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security oAuth2之授权模式
IFriar的博客
07-13 696
概述 客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。oAuth 2.0 定义了四种授权方式。 implicit:简化模式,不推荐使用 authorization code:授权模式 resource owner password credentials:密模式 client credentials:客户端模式 我们这里,主要写...
SpringSecurity OAuth2 授权模式介绍
我就是我的博客
11-30 2089
授权模式简介: 用户访问第三方应用 第三方应用请求用户授权,将用户转至认证服务器,认证服务器认证之后,请求携带授权 跳回到第三方应用(url中设置的redirect_uri) 第三方应用携带授权,去向认证服务器申请令牌 认证服务器检查授权无误后,发放令牌 第三方应用以后的请求,携带令牌访问即可 获取授权的过程 客户端根据下面的参数来构造请求uri response_type 必填...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
通过授权流程、密模式、客户端凭据模式等多种授权类型,OAuth2提供了灵活的授权机制,广泛应用于社交登录、API访问控制等领域。 在课程中,新增的第10+11章可能涵盖了Spring SecurityOAuth2的深度整合,这...
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在Spring Security中,OAuth2的四种标准授权模式包括: 1. 授权模式(Authorization Code):适用于有后台服务器...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密。...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式授权模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring-security-oauth2授权模式
u013008898的博客
05-22 756
完整pom <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/mav
Spring Cloud Security Oauth2 授权模式
Lyndon的专栏
04-30 218
OAuth2 授权模式访问/oauth/authorize返回403提示。
springsecurity+oauth2.0 分布式认证授权-授权存储到数据库7
健康平安的活着的专栏
09-01 3549
一 说明 前面文章的介绍了,客户单和授权存储在内存中,现在需要存储到数据库中。 本操作在第5章节的基础上进行操作。 二 操作 2.1 客户端认证信息的配置 2.1.1 在数据库中创建oauth_client_details DROP TABLE IF EXISTS `oauth_client_details`; CREATE TABLE `oauth_client_details` ( `client_id` varchar(255) CHARACTER SET utf8 COLLATE u
学成在线-第16天-讲义- Spring Security Oauth2 JWT
qq_40208605的博客
02-07 264
3.3.3申请令牌拿到授权后,申请令牌。Post请求:http://localhost:40400/auth/oauth/token参数如下:grant_type:授权类型,填写authorization_code,表示授权模式code:授权,就是刚刚获取的授权,注意:授权只使用一次就无效了,需要重新申请。redirect_uri:申请授权时的跳转url,一定和申请授权...
手把手教你Spring Security Oauth2自定义授权模式
qq_36551991的博客
12-01 2698
Spring Security Oauth2自定义授权模式
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
qq_42264638的博客
04-21 3118
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值