oauth2授权,配置springSecurity web认证

最新推荐文章于 2024-06-05 20:55:42 发布
最新推荐文章于 2024-06-05 20:55:42 发布
阅读量301 收藏 1
点赞数
分类专栏: java 文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40250122/article/details/97576067
版权

一 继承WebSecurityConfigurerAdapter抽象类

package com.xy.uums.auth.config;

import com.xy.uums.auth.security.service.AuthUserDetailsService;
import com.xy.uums.core.security.CustomAccessDeniedHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * oauth2 权限控制
 *
 */
@Configuration
public class OAuth2SecurityConfigurer extends WebSecurityConfigurerAdapter {
    @Autowired
    private AuthUserDetailsService    userDetailsService;
    @Autowired
    private CustomAccessDeniedHandler accessDeniedHandler;
    @Autowired
    private PasswordEncoder           passwordEncoder;//定义在这里-> CoreBeanConfigurer.java

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 配置 user-detail 服务
     *
     * @param auth
     * @throws Exception
     * @since 2018-03-22
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(daoAuthenticationProvider());
        auth.eraseCredentials(true);    //登录完成后清除密码
    }

    @Bean
    public AuthenticationProvider daoAuthenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService);
        provider.setHideUserNotFoundExceptions(false);
        provider.setPasswordEncoder(passwordEncoder);
        return provider;
    }

    /**
     * 配置 spring security 的 custom 链
     *
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) {
        web.debug(false);
        web.ignoring().antMatchers(
                "/image/**",
                //静态资源
                "/view/**",
                "/public/**",
                "/**/*.ico",
                "/**/*.js",
                "/**/*.css",
                "/**/*.tff",
                "/**/*.eot",
                "/**/*.woff",
                "/**/*.svg",
                "/**/*.woff2",
                "/**/*.css.map",
                "/**/*.jpg",
                "/**/*.gif",
                "/**/*.bmp",
                "/**/*.png"
        );
    }

    /**
     * 配置 如何通过拦截器保护请求
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();

        http.exceptionHandling()
                .accessDeniedHandler(accessDeniedHandler)
                .authenticationEntryPoint(accessDeniedHandler);

        http.authorizeRequests()
                .anyRequest()
                .authenticated();

        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

}

spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Filter(UsernamePasswordAuthenticationFilter)之类的,Filter再交由其他组件完成细分的功能,例如最常用的UsernamePasswordAuthenticationFilter会持有一个AuthenticationManager引用,AuthenticationManager顾名思义,验证管理器,负责验证的,但AuthenticationManager本身并不做具体的验证工作,AuthenticationManager持有一个AuthenticationProvider集合,AuthenticationProvider才是做验证工作的组件,AuthenticationManager和AuthenticationProvider的工作机制可以大概看一下这两个的java doc,然后成功失败都有相对应该Handler 。大体的spring security的验证工作流程就是这样了。

需要一个数据库认证的AuthenticationProvider,我们可以直接用spring security提供的DaoAuthenticationProvider,设置一下UserServiceDetails和PasswordEncoder就可以了

然后 配置拦截器保护请求已经不需要权限的资源

以上的
@Autowired
private PasswordEncoder           passwordEncoder; //这里使用以下的密码加密器, 默认的不安全

    /**
     * 密码加密器
     *
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);
    }
Young--
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
深入浅出SpringSecurityOAuth2(三)—— WebSecurity建造核心逻辑
你要悄悄的拔尖,然后惊艳所有人
08-10 526
文章目录前言正文 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurityOAuth2的知识没有一个整体概念的把握,知识体系没有形成系统,遂决定写一个关于SpringSecurityOAuth2的系列专栏,在建造自己知识体系的同
Java 使用Spring Security OAuth2中configure(AuthenticationManagerBuilder auth)配置
最新发布
weixin_42098295的博客
06-05 943
使用 Spring Security OAuth2 时,你需要配置 AuthenticationManagerBuilder 来定义用户身份验证的方式。这可以包括内存中的用户存储、JDBC 用户存储、LDAP 用户存储,或自定义的用户详情服务。这种方法适用于将用户信息存储在数据库中。// 这里可以实现自定义的用户查找逻辑,例如从数据库中查找用户。这种方法适用于将用户信息存储在 LDAP 服务器中。这种方法适用于需要自定义用户验证逻辑的场景。示例:使用LDAP用户存储。1、使用内存中的用户存储。
web-security第一期:简谈 OAuth2.0 协议
Swing
06-08 3475
声名:此文有参考链接 (鸣谢!) 1.简述OAuth2.0 OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 此机制下涉及三方: 资源拥有者:用户 (第三方应用)客户端:APP 服务提供方:包含两个角色 认证服务器 资源服务器 资源拥有者告诉服务提供方,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用 2.令牌(token)与密码 令牌(token)与密码都可以作为访问资源服务器...
oauth2 的基本使用 spring security + oauth 服务端的基本配置oauth2学习第一天)
tianlong1569的专栏
09-02 1046
说明:本文采用JDK1.8,springboot 采用2.0.6.RELEASE,我这里采用的内存用户配置 pom.xml配置信息如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://mav
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
总之,通过这份详尽的笔记和实例代码,开发者将能够全面掌握Spring Security OAuth2.0的认证授权机制,并将其应用于实际的Web应用程序开发中,以确保用户数据的安全和隐私。对于希望深入了解和实践OAuth2.0的Java...
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurityOAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
Spring Security OAuth2配置WebSecurityConfigurerAdapter及与ResourceServerConfigurerAdapter区别(三)
FAIRYTAIL的博客
08-26 5813
上一篇提到通常WebSecurityConfigurerAdapter (spring security配置)和ResourceServerConfigurerAdapter会配合来对url进行访问控制,本篇通过示例细化一下它们两者的使用。
Spring Cloud整合 Spring Security OAuth2.0认证授权
Qdog
05-22 4981
一、分布式系统认证方案 1.1 什么是分布式系统 具有分布式架构的系统叫分布式系统,分布式系统的运行通常依赖网络,它将单体结构的系统分为若干服务,服务之间通过网络交互来完成用户的业务处理,当前流行的微服务架构就是分布式系统架构,如下图: 分布式系统具体如下基本特点: 1、分布性:每个部分都可以独立部署,服务之间交互通过网络进行通信,比如:订单服务、商品服务。 2、伸缩性:每个部分都可以集群方式部署,并可针对部分结点进行硬件及软件扩容,具有一定的伸缩能力。 3、共享性:每个部分都可以作为共享资源对外提供服务
Spring Security OAuth2 的 WebSecurityConfigurerAdapter 与 ResourceServerConfigurerAdapter
wangooo的博客
02-21 4077
WebSecurityConfigurer 是 springsecurity 框架配置的类 ResourceServerConfigurerAdapter 是 oauth2 框架配置的类 1、Spring Security配置 Java在正常servelet处理http的请求可能会经过很多的filter,大体例子像下面这个: 而spring security又是怎么处理的呢,详见下图: 从图中可以看出spring security自己有一个叫 FilterChainProxy 代理类,该类也实现
springboot2整合oauth2、security初体验
小石潭记丶
05-30 2099
1.项目结构 2.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apac
Spring Security OAuth2之认证服务、资源服务、web安全配置服务加载优先级详解
OceanSky的专栏
07-27 2481
最近一直在搭建Spring Security OAuth2认证服务,经常会遇到在资源服务器配置配置生效,但是在web安全配置类中配置就不生效等等像这样的问题,今天我就 深入的研究了一下原来是三个类在IOC容器之中加载的优先级问题所造成的,下面我们就一步一步的来分析下三个类的优先级问题; 1.@EnableAuthorizationServer注解的类继承AuthorizationServerCo...
SpringSecurity配置详解——WebSecurityConfiguration
C_1_1_的博客
06-09 6142
WebSecurityConfiguration.class: @Configuration public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware { private WebSecurity webSecurity; private Boolean debugEnabled...
Spring Security Oauth2 SSO单点登录配置及原理深度剖析
热门推荐
银河架构师的博客
06-15 1万+
​单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。 随着企业各系统越来越多,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等,登录问题就变得愈发重要。要记录那么多的用户名和密码,实在不是一件容易的事儿。而为了便于记忆,...
整合 Oauth2 和 SpringSecurity
weixin_46113055的博客
08-22 372
Oauth2 整合 SpringSecurityOauth2整合 Oauth2 和 SpringSecurity1. 导入相应的依赖2. WebSecurityConfig Oauth2 这里采用了 Oauth2 的 code 模式 , Oauth2 Oauth的大致思路是一个线性的流程。 第三方应用向资源持有者请求获取资源 资源持有者授权给予第三方应用一个许可 第三方应用将该许可给予认证服务器进行认证,如果认证成功,返回一个Access Token 第三方应用使用该access token到资源服
OAuth 2.0实战指南:Spring Security保护Web应用
作者Adolfo Eloy Nascimento以实际案例和教程的形式展示了如何在Spring Security框架中集成OAuth 2.0,确保Web应用的安全性和用户认证。 书中内容涵盖了以下几个关键知识点: 1. **OAuth 2.0基础**:首先介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值