【基于Oauth2的api接口开发】1、固定配置

已于 2022-03-08 14:04:15 修改
阅读量929 收藏 1
点赞数 2
分类专栏: 接口API 文章标签: java spring
于 2022-03-07 11:56:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37634156/article/details/123326581
版权

maven引用

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.2.1.RELEASE</version>
</dependency>

配置授权服务器

这里需要注意的是配置token的参数:

 其中【withClient】和【secret】中配置的参数在后面获取access_token时需要用到。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

/**
 *  配置授权服务器,认证服务配置
 */
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationConfig extends AuthorizationServerConfigurerAdapter {

    /**
     * 注入authenticationManager
     * 来支持 password grant type
     */
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 配置开启验证
     * 授权服务安全配置
     *
     * @param oauthServer
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

        /**
         * 对于端点可以匿名访问
         * [/oauth/authorize] [/oauth/token] [/oauth/check_token]
         * [/oauth/confirm_access] [/oauth/token_key] [/oauth/error]
         */
        // 开启该配置,才可以使用oauth2认证,否则模式默认是HTTP的基本认证
        oauthServer.allowFormAuthenticationForClients();
        //这两个配置,目的是开启两个端点url
        oauthServer
                //url:/oauth/token_key,exposes public key for token verification if using JWT tokens
                .tokenKeyAccess("permitAll()")
                //url:/oauth/check_token allow check token
                .checkTokenAccess("isAuthenticated()");
    }

    /**
     * 配置token的参数
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client")
                .secret("{noop}secret")
                .authorizedGrantTypes("password", "authorization_code", "client_credentials", "implicit", "refresh_token")
                .scopes("all")
                .resourceIds("resourcesId")
                .accessTokenValiditySeconds(1200)
                .refreshTokenValiditySeconds(50000);
    }

    /**
     * 配置token的类型 密码模式
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

        endpoints.authenticationManager(authenticationManager).allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);

        endpoints.userDetailsService(userDetailsService);
    }

}

配置资源服务器

主要配置哪些url需要做oauth验证

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;


/**
 * 配置资源服务器
 * 配置oauth2的链路Filter
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    /**
     * 配置那些url要做oauth验证
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers("/v1/**").and().authorizeRequests().antMatchers("/v1/**").authenticated();

        // 禁用 session
        http
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests().anyRequest().authenticated().and()
                .cors().and()
                .csrf().disable();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        // 配置资源 ID
        resources.resourceId("resourcesId").stateless(true);
    }

}

配置安全

其中UserDetailsService配置用户名和密码。

import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;


/**
 * 配置安全
 */
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, proxyTargetClass = true)
public class WebConfig extends WebSecurityConfigurerAdapter {

    /**
     * 过滤那些url需要验证。模式是需要HTTP BASIC认证
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.requestMatchers().antMatchers("/oauth/**")
                .and()
                .authorizeRequests()
                .antMatchers("/oauth/**").authenticated();
    }

    /**
     * 必须注入 AuthenticationManager,不然oauth无法处理四种授权方式
     *  即:需要配置这个支持password模式 support password grant type
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    /**
     * 注入UserDetailsService
     * @return
     */
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
        userDetailsManager.createUser(User.withUsername("sed").password("{noop}sed123").authorities("USER").build());
        return userDetailsManager;
    }

}

创建测试方法

如下图所示。创建两个测试方法,一个做oauth验证,一个不做oauth验证:

 启动项目。

测试结果

1、首先测试获取token的方法:

其中【grant_type】表示密码模式,固定值为【password】,另外四个参数则是配置而来。

2、测试不做oauth验证的接口

3、测试oauth验证的接口

直接访问会报错【Full authentication is required to access this resource】:

 报错的原因是需要获取accesstoken,参数加上前面获取到的token则可以访问成功:

唯空城
关注
专栏目录
实战:用Spring Boot构建电商系统中的API接口
程序员光剑
08-06 851
1998年,在经历了无数的创新革命之后,互联网成为科技界最重要的分支之一。随着时间的推移,互联网已经成为人类信息化革命的源头。如今的电子商务网站数量达到数百亿,这些网站都具有大规模的用户群体、丰富的内容、高频的交易、海量数据等特征。电商行业近几年有了很多变革,比如大数据分析、物流管理、供应链管理、订单评价、信用卡支付等等。其中API接口开发对于电商系统而言尤其重要。
微服务[学成在线] day18:基于oauth2实现RBAC认证授权、微服务间认证实现
通往体面生活的路上
07-26 1747
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day18 的内容 基于方法的权限校验 基于 RBAC 进行用户权限配置以及动态查询。 根据教师所属的公司来实现课程信息查询的细粒度授权。也就是 A 公司的老师只能查询到 A 公司下的课程。 使用 Feign 拦截器实现获取前端请求中的 header 信息,并将 header 中带有
API网关】API接口调度需要token认证,如何将token加入缓存
最新发布
RestCloud 技术支持的博客
06-12 472
API接口调度需要token时如何实现实时调用缓存而不重复调用认证接口
OAuth接口说明及OAuth 核心1.0 中文翻译版
Care iOS技术团队
04-21 4760
<br /><br />OAuth 协议是现在众多网站提供API服务所选择的认证方式,是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起,目的是为API服务提供一个安全、统一和开放的标准。<br />官方网站对 OAuth 的一句话介绍是:<br />An open protocol to allow secure API authentication in a simple and standard method from desktop
Spring Security OAuth2 源码分析(一) TokenEndpoint
咖啡的博客
03-20 2005
通过请求 oauth/token 来获取 token。大致为以下流程: 从 principal 中获取 clientId, 进而装载 ClientDetails 。 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest。 校验 Client 信息。 根据 grantType 设置 TokenRequest 的 scope。 ...
springcloud集成Oauth2权限项目-网关校验access_token的正确性才能访问接口(十一)
穷水叮咚的博客
09-05 7605
现在任何连接都要经过网关,所以在网关校验access_token的正确性,当access_token正确后,才转发到相应的服务。 当获取access_token后,每次前端访问都要带上这个access_token。 依次启动服务,eureka---->user------>oauth---------->zull顺序启动服务 现在我们访问127.0.0.1:9999/use...
聊聊spring security oauth2的几个endpoint的认证
weixin_34233856的博客
12-12 1678
序 本文就来讲一下spring security oauth2的几个endpoint的认证 endpoint spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEnd...
Spring Security Oauth2实战
Trazen的专栏
07-10 1781
文章目录1.OAuth2简介2.OAuth2的四大角色3.OAuth2 授权流程3.1 授权码模式(authorization code)3.2 简化模式(Implicit Grant)3.3 密码模式(Resource Owner Password Credentials Grant)3.4 客户端模式(Client Credentials Grant)4.搭建演示工程4.1 添加依赖4.2 授权服务器配置4.3 资源服务器配置4.4 Security配置4.5 增加测试接口5.测试6.扩展篇6.1 To
微服务[学成在线] day16:基于Spring Security Oauth2开发认证服务
通往体面生活的路上
07-24 547
???? 知识点概览 为了方便后续回顾该项目时能够清晰的知道本章节讲了哪些内容,并且能够从该章节的笔记中得到一些帮助,所以在完成本章节的学习后在此对本章节所涉及到的知识点进行总结概述。 本章节为【学成在线】项目的 day16 的内容 学习 Spring Security + Oauth2 基本概念以及实现过程。 学习 Oauth2 的基本应用场景,这里主要是通过 Oauth2 的密码模式来实战。 初识 JWT 令牌。 本章节的最后通过 Spring Security Oauth2 完成了认证
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9402
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
Oauth2.0认证应用 API
qq_36663951的博客
10-17 895
项目初始化 新建项目 lukeyans-MacBook-Pro:laravel lukeyan$ laravel new laravel_demo 添加laravel自带的Passport服务 lukeyans-MacBook-Pro:laravel_demo lukeyan$ composer require laravel/passport 接下来,将 Passport 的服务提供者
企业微信oauth认证_OAuth验证接口
weixin_39938746的博客
02-11 966
OAuth2.0验证接口说明企业应用中的URL链接(包括自定义菜单或者消息中的链接),可以通过OAuth2.0验证接口来获取成员的身份信息。通过此接口获取成员身份会有一定的时间开销。对于频繁获取成员身份的场景,建议采用如下方案:1、企业应用中的URL链接直接填写企业自己的页面地址2、成员跳转到企业页面时,企业校验是否有代表成员身份的cookie,此cookie由企业生成3、如果没有获取到cooki...
基于 OAuthAPI 认证解决方案:Passport
slqgenius的博客
04-22 1730
https://xueyuanjun.com/post/21568 简介 Laravel 通过传统的登录表单已经让用户认证变得很简单,但是 API 认证怎么实现?API 通常使用令牌(token)进行认证并且在请求之间不维护会话(Session)状态。Laravel 官方扩展包 Laravel Passport 让 API 认证变得轻而易举,Passport 基于 Alex Bil...
8种至关重要OAuth API授权流与能力
低代码开发,数据,中间件,企业架构原创技术分享
11-06 303
本文由公众号EAWorld翻译发表,转载需注明出处。作者:Daniel Lindau译者:白小白原题:8 Vital OAuth Flows and Powers原文:...
基于 Oauth2 搭建微服务 API 开放平台第 1 篇 —— 了解 Oauth2
流放深圳
06-06 1477
OK,根据系列博客我们已经学习了互联网的基本安全架构:https://blog.csdn.net/biandanloveyou/category_11074285.html 接下来,我们开始搭建基于 Oauth2 的 API 开放平台。 什么是 API 开放平台? 在一些大型互联网公司,随着公司的业务发展逐渐庞大,需要和外部合伙伙伴进行合作,需要将公司的接口开放给外部其他合伙伙伴进行调用。 比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫...
Oauth2.0搭建开放平台接口
daziyuanazhen的博客
09-25 2481
开放平台 类似qq互联、微信开放平台和蚂蚁金服开放平台等,可以实现qq联合登陆、微信扫码登陆等。在大型公司中,公司旗下的分公司等相互通讯也可以采用开放平台形式对接口进行授权使用。 Oauth 一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分析他们数据的所有内容。 Oauth2.0相比1.0,其认证流程更...
OAuth2.0实现API设计(微信登录)
qq_42005257的博客
07-04 6287
互联网API开放平台Oauth2.0认证原理 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 oauth2.0认证协议比容现在qq联合登录,微信联合登录。第三方登录。 oauth2.0原理(appid、appsecret、access_tokent、回调地址、授权地址)。 在微信开放平台申请对应的appid信息。 然后在接口上生...
WEB使用OAuth2协议实现开放接口的设计方案
大大肉包博客
08-08 3468
WEB使用OAuth2协议实现开放接口的设计方案(待完善) 术语 developer:开发者,第三方应用的开发者。 openPlat:开放平台,发放App Key(相当于第三方应用的ID)、App Secret(私钥,验证ID是否唯一有效,需要妥善保管)。 Authorization Server:授权服务端,发放Code、Access Token,验证App Key、App Secret...
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1610
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
oauth2 api接口
06-08
OAuth2 是一个授权框架,允许应用程序以受限的方式访问用户帐户。API 接口是允许应用程序与服务进行交互的一种方式。OAuth2 API 接口是一种使用 OAuth2 授权框架进行身份验证和授权的 API 接口。通过 OAuth2 API 接口,应用程序可以安全地访问用户的数据和服务。OAuth2 API 接口通常需要应用程序进行身份验证和授权处理,以便应用程序可以对用户数据执行操作。常见的 OAuth2 API 接口包括 Google API、Facebook API 和 Twitter API
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值