springboot 2.1.4 集成Spring Security oauth2 —— 2.3.5.RELEASE,修复各种5.0以上坑...

最新推荐文章于 2024-06-30 21:16:13 发布
最新推荐文章于 2024-06-30 21:16:13 发布
阅读量5.9k 收藏 9
点赞数 5
分类专栏: JavaBean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38765404/article/details/88803411
版权

oauth2 定义了下面四种授权方式:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

* response_type:表示授权类型,必选项,此处的值固定为"code"

* client_id:表示客户端的ID,必选项

* redirect_uri:表示重定向URI,可选项

* scope:表示申请的权限范围,可选项

* state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

上代码:

package com.oath.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

@Configuration
@EnableAuthorizationServer
public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {

	@Autowired
	private AuthenticationManager authenticationManager;

	@Autowired
	private BCryptPasswordEncoder bCryptPasswordEncoder;
	
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
		oauthServer.realm("oauth2-resources") // code授权添加
				.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()") // allow check token
				.allowFormAuthenticationForClients();
	}

	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
		endpoints.authenticationManager(authenticationManager)
				// 允许 GET、POST 请求获取 token,即访问端点:oauth/token
				.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);
		// 要使用refresh_token的话,需要额外配置userDetailsService
		endpoints.userDetailsService(userDetailsService);
	}

	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
		clients.inMemory().withClient("demoApp").secret(bCryptPasswordEncoder.encode("demoAppSecret"))
				.redirectUris("http://baidu.com")// code授权添加
				.authorizedGrantTypes("authorization_code", "client_credentials", "password", "refresh_token")
				.scopes("all").resourceIds("oauth2-resource").accessTokenValiditySeconds(1200)
				.refreshTokenValiditySeconds(50000);
	}

}

 

 

资源服务器:

package com.oath.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.requestMatchers().antMatchers("/api/**").and().authorizeRequests().antMatchers("/api/**").authenticated();
	}
}

安全配置:

package com.oath.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
	
	@Bean
	public BCryptPasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.csrf().disable();
		http.requestMatchers().antMatchers("/oauth/**", "/login/**", "/logout/**").and().authorizeRequests()
				.antMatchers("/oauth/**").authenticated().and().formLogin().permitAll();
	}

	// 配置内存模式的用户
	@Bean
	@Override
	protected UserDetailsService userDetailsService() {
		InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
		manager.createUser(User.withUsername("demoUser1").password(this.passwordEncoder().encode("123456"))
				.authorities("USER").build());
		manager.createUser(User.withUsername("demoUser2").password(this.passwordEncoder().encode("123456"))
				.authorities("USER").build());
		return manager;
	}

	@Override
	@Bean
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
	}
}

 

测试接口:

package com.oath.controller;

import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api")
public class HelloOath2Controller {
	@RequestMapping("/hello/{id}")
	public String helloOath2(@PathVariable long id) {
		System.out.println("请求的ID编码为:" + id);
		return "helloOath2";
	}
}

启动类:

package com.oath;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class SpingbootOath2DemoApplication {

	/**
	 * *【密码授权模式-client】
	 * 		密码模式需要参数:username,password,grant_type,client_id,client_secret
	 * 		http://localhost:8080/oauth/token?username=demoUser1&password=123456&grant_type=password&client_id=demoApp&client_secret=demoAppSecret
	 * 
	 * *【客户端授权模式-password】 客户端模式需要参数:grant_type,client_id,client_secret
	 * 		http://localhost:8080/oauth/token?grant_type=client_credentials&client_id=demoApp&client_secret=demoAppSecret
	 * 
	 * *【授权码模式-code】 获取code
	 * 		http://localhost:8080/oauth/authorize?response_type=code&client_id=demoApp&redirect_uri=http://baidu.com
	 * 
	 ** 【通过code】 换token
	 * 		http://localhost:8080/oauth/token?grant_type=authorization_code&code=Filepd&client_id=demoApp&client_secret=demoAppSecret&redirect_uri=http://baidu.com
	 * 		这里的code字段是授权码模式中返回的code  例如: https://www.baidu.com/?code=tsuHSh
	 * 
	 ** 【通过refresh token】 刷新token
	 *		http://localhost:8080/oauth/token?grant_type=refresh_token&refresh_token=7ba47059-d853-4050-9c64-69d0cade71a7&client_id=demoApp&client_secret=demoAppSecret
	 *		其中grant_type为固定值:grant_type=refresh_token    , refresh_token = 通过code获取的token中的refresh_token
	 *		
	 */

	public static void main(String[] args) {
		SpringApplication.run(SpingbootOath2DemoApplication.class, args);
	}

}

POM依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.4.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.oath.demo</groupId>
	<artifactId>spingboot-oath2-demo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>spingboot-oath2-demo</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		
		<dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.5.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

 

测试:

【密码授权模式-client】
密码模式需要参数:username,password,grant_type,client_id,client_secret
http://localhost:8080/oauth/token?username=demoUser1&password=123456&grant_type=password&client_id=demoApp&client_secret=demoAppSecret

【客户端授权模式-password】
客户端模式需要参数:grant_type,client_id,client_secret
http://localhost:8080/oauth/token?grant_type=client_credentials&client_id=demoApp&client_secret=demoAppSecret

【授权码模式-code】
获取code
http://localhost:8080/oauth/authorize?response_type=code&client_id=demoApp&redirect_uri=http://baidu.com

通过code换token(注意:code参数为授权码模式返回的参数)
http://localhost:8080/oauth/token?grant_type=authorization_code&code=Filepd&client_id=demoApp&client_secret=demoAppSecret&redirect_uri=http://baidu.com

【通过refresh token】 刷新token
http://localhost:8080/oauth/token?grant_type=refresh_token&refresh_token=7ba47059-d853-4050-9c64-69d0cade71a7&client_id=demoApp&client_secret=demoAppSecret
其中grant_type为固定值:grant_type=refresh_token    , refresh_token = 通过code获取的token中的refresh_token
点滴1993
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
Spring Boot 2.3.5.RELEASE正式升级,SpringBoot新版本发布
bufegar0的博客
10-30 4335
版本升级 spring boot 正式版本于今日升级到2.3.5.Release. 应用案例 微服务:https://github.com/matevip/matecloud SpringBoot也同步升级至2.3.5.RELEASE版本,欢迎体验 升级内容 bug修复 配置属性注释处理器不会注意到覆盖的getter方法#23969 增量编译不会保留内部类的元数据#23959 HttpEncodingAutoConfiguration未添加到WebMvcTest切片 #23813 Jar条目在BOOT-I
SpringBoot2.1.4基础配置.zip
06-14
SpringBoot2.1.4基础配置是一个针对初学者设计的项目框架,旨在提供一个便捷的开发环境,方便快速上手SpringBoot、Redis、Mybatis和Log4j2等技术。这个压缩包包含了运行一个基本应用所需的所有核心组件,使得开发者...
SpringBoot配置属性之Security
weixin_34357962的博客
01-14 529
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性之Migrati...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-oauth2-2.3.5.RELEASE.pom; 包含翻译后的API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代
Spring SecurityOAuth2集成开发
最新发布
技术研究中心
06-30 551
通过将Spring SecurityOAuth2集成,我们可以构建一个安全的、基于令牌的身份认证和授权系统。通过集成Spring SecurityOAuth2,可以构建一个强大且灵活的身份认证和授权系统。希望本文能为您提供有价值的参考,帮助您在项目中成功实现Spring SecurityOAuth2的集成Spring SecuritySpring框架的一个子项目,提供了全面的安全服务支持,包括身份认证、授权、攻击防护等。确保使用最新版本的Spring Boot,以享受最新的简化配置和增强特性。
Spring Security OAuth2 远程命令执行漏洞复现(CVE-2016-4977)
来到了学渣的博客
11-09 1856
访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要命令执行需要把执行结果带外才行,java的命令执行漏洞基本需要编码 http://www.jackson-t.ca/runti
spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977)复现-kali
qq_41760817的博客
12-04 1270
spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977)复现
Spring Boot项目系列(4)集成Spring SecurityOauth2实现项目级别的权限控制和鉴权管理
weixin_43704107的博客
10-17 1720
前言     项目中出现的,接口权限问题,和第三方鉴权功能的简单实现。技术采用spring boot+spring security+oauth2相关技术,做一个简单的权限管理。本项目,只适合用来学习搭建项目,并不适用于直接用于项目开发。还需要加点改造。本项目github地址: https://gitee.com/shen_wen_jia/learning-projects/tree/master/springsecurity-oauth2          整体项目架构 jar包
hex-springcloud:SpringBoot 2.1.4 Spring Cloud Greenwich.SR1 微服务版本测试
05-26
基于SpringCloud构建的微服务 基础版本 组件说明: 组件名称 版本 描述 SpringBoot 2.1.4 基础框架 Spring Cloud Greenwich.SR1 基础框架 Spring Cloud Gateway - 网关 Spring Cloud Eureka - 注册中心 Spring Cloud...
【java框架】SpringBoot(7) -- SpringBoot整合MyBatis(csdn)————程序..pdf
12-04
在Java开发中,SpringBoot是一个非常流行的框架,它简化了Spring应用的初始搭建以及开发过程。在实际项目中,MyBatis作为持久层框架,常常与SpringBoot结合使用,提供灵活的SQL操作。本篇将详细介绍如何在SpringBoot...
spring-boot-2.1.4.RELEASE.jar
02-27
java运行依赖jar包
spring-security-oauth2
07-21
spring-security-oauth2代码demo
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-oauth2-2.3.5.RELEASE.pom; 包含翻译后的API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中英对照文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化
spring-security-oauth2最新jar包和API文档
12-12
spring-security-oauth2最新jar包和API文档 最新的spring securityoauth2的实现,还有最全面的API文档
spring-cloud-starter-alibaba-sentinel-2.1.4.RELEASE.jar
05-03
Spring Cloud Starter Alibaba Sentinel jar 包,各个版本,免费下载 Spring-Cloud-Starter-Alibaba-Sentinel.jar 各个版本,免费下载 sentinel 微服务 熔断 jar 包 各个版本,免费下载 如果下载不了,关注我,评论...
springboot集成Spring Security oauth2(八)
weixin_30950887的博客
06-29 84
由于公司项目需要,进行SpringBoot集成Spring Security oauth2,几乎搜寻网上所有大神的案例,苦苦不能理解,不能完全OK。 以下是借鉴各大神的代码,终于demo完工,请欣赏 oauth2 定义了下面四种授权方式: 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password ...
资源保护无法修复服务器,Spring Security OAuth2受保护资源实际上未受保护...筛选器无法正常工作?...
weixin_33542015的博客
08-12 235
授权服务器@Configuration@EnableAuthorizationServerpublic class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@AutowiredAuthenticationManager authenticationManager;@Primary@BeanInM...
SpringSecurityOAuth2客户端模式集成Springboot项目】
m0_52846216的博客
01-13 434
SpringSecurityOAuth2客户端模式集成Springboot项目 一、导入maven依赖 <!--oauth--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId>
spring boot 1.5.10.RELEASEspring boot 2.3.5.RELEASE 日志管理配置区别
qq_33471278的博客
12-14 394
spring boot 1.5.10.RELEASE spring boot 2.3.5.RELEASE 在application.properties中能点出来即为配置正确,点不出来了日志配置就有问题 1.5和2.3的配置有稍许不同,这里用的是spring boot 自带的日志管理,如果需要使用log4j的需要另外集成 ...
Spring Boot 2.1.4.RELEASE 参考指南
文档版本为2.1.4.RELEASE,适用于2012年至2018年的版权规定。 该文档分为以下几个主要部分: 1. Spring Boot文档介绍:这部分简要介绍了文档的目的和内容,以及获取帮助的途径。 2. 开始使用:这里详细介绍了...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值