Spring Cloud Security OAuth2(六)

已于 2023-01-07 21:37:45 修改
阅读量284 收藏
点赞数
分类专栏: # Spring全家桶 # SpringBoot 文章标签: jwt oauth2 springsecurity
于 2021-07-28 14:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45297578/article/details/119179039
版权

Spring Cloud Security OAuth2(六)

JWT令牌

JWT介绍

当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。

解决上边问题:
令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

什么是JWT?

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于 在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公 钥/私钥对来签名,防止被篡改

jwt官网

JWT令牌的优点:

  1. jwt基于json,非常方便解析。
  2. 可以在令牌中自定义丰富的内容,易扩展。
  3. 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。
  4. 资源服务使用JWT可不依赖认证服务即可完成授权。

JWT令牌结构

JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

  • Header
    头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA)
    { "alg": "HS256", "typ": "JWT" }
    将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。
  • Payload
    第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。
    此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。
    最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。
    { 
	"sub": "1234567890", 
	"name": "456",
	"admin": true 
 }
  • Signature
    第三部分是签名,此部分用于防止jwt内容被篡改
    这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明 签名算法进行签名。
    HMACSHA256( 
base64UrlEncode(header) + "."+ 
base64UrlEncode(payload), secret)

配置JWT令牌服务

在uaa中配置jwt令牌服务,即可实现生成jwt格式的令牌。
1.TokenConfig

@Configuration
public class TokenConfig {

    private String SIGNING_KEY = "uaa123";

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(SIGNING_KEY); //对称秘钥,资源服务器使用该秘钥来验证
        return converter;
    }
}

2.定义JWT令牌服务,在AuthorizationServer配置类中

 	@Autowired
    private JwtAccessTokenConverter accessTokenConverter;

    @Bean
    public AuthorizationServerTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setClientDetailsService(clientDetailsService);
        defaultTokenServices.setSupportRefreshToken(true);
        defaultTokenServices.setTokenStore(tokenStore);

        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        defaultTokenServices.setTokenEnhancer(tokenEnhancerChain);

        defaultTokenServices.setAccessTokenValiditySeconds(60*60*2);  // 令牌默认有效期2小时
        defaultTokenServices.setRefreshTokenValiditySeconds(60*60*24*3);// 刷新令牌默认有效期3天
        return defaultTokenServices;
    }

生成jwt令牌

使用客户端模式
在这里插入图片描述

校验jwt令牌

资源服务需要和授权服务拥有一致的签字、令牌服务等:

1.将授权服务中的TokenConfig类拷贝到资源 服务中
2.屏蔽资源 服务原来的令牌服务类

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {

    public static final String RESOURCE_ID = "res1";

    //资源服务令牌解析服务
//    public ResourceServerTokenServices tokenService() {
//        //使用远程服务请求授权服务器校验token,必须指定校验token 的url、client_id,client_secret
//        RemoteTokenServices service = new RemoteTokenServices();
//        service.setCheckTokenEndpointUrl("http://localhost:53020/uaa/oauth/check_token");
//        service.setClientId("c1");
//        service.setClientSecret("secret");
//        return service;
//    }

//    @Override
//    public void configure(ResourceServerSecurityConfigurer resources) {
//        resources.resourceId(RESOURCE_ID).tokenServices(tokenService()).stateless(true);
//        /**
//         * tokenServices:ResourceServerTokenServices 类的实例,用来实现令牌服务。
//         * tokenStore:TokenStore类的实例,指定令牌如何访问,与tokenServices配置可选
//         * resourceId:这个资源服务的ID,这个属性是可选的,但是推荐设置并在授权服务中进行验证
//         */
//    }

    @Autowired
    TokenStore tokenStore;
    
     //使用jwt校验令牌
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(RESOURCE_ID).tokenStore(tokenStore).stateless(true);
    }
   
}

在这里插入图片描述

测试

1.申请jwt令牌:这里使用密码模式
在这里插入图片描述
2.使用令牌请求资源
在这里插入图片描述
3.校验令牌
在这里插入图片描述

数据库中读取客户端信息

oauth_client_details存放客户端信息

CREATE TABLE `oauth_client_details` (
  `client_id` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '客户端标 识',
  `resource_ids` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '接入资源列表',
  `client_secret` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '客户端秘钥',
  `scope` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `authorized_grant_types` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `web_server_redirect_uri` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `authorities` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `access_token_validity` INT (11) NULL DEFAULT NULL,
  `refresh_token_validity` INT (11) NULL DEFAULT NULL,
  `additional_information` LONGTEXT CHARACTER SET utf8 COLLATE utf8_general_ci NULL,
  `create_time` TIMESTAMP(0) NOT NULL DEFAULT CURRENT_TIMESTAMP(0) ON UPDATE CURRENT_TIMESTAMP(0),
  `archived` TINYINT (4) NULL DEFAULT NULL,
  `trusted` TINYINT (4) NULL DEFAULT NULL,
  `autoapprove` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`client_id`) USING BTREE
) ENGINE = INNODB CHARACTER SET = utf8 COLLATE = utf8_general_ci COMMENT = '接入客户端信息' ROW_FORMAT = DYNAMIC;

oauth_code表,Spring Security OAuth2使用,用来存储授权码:

CREATE TABLE `oauth_code` (
  `create_time` TIMESTAMP(0) NOT NULL DEFAULT CURRENT_TIMESTAMP,
  `code` VARCHAR (255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `authentication` BLOB NULL,
  INDEX `code_index` (`code`) USING BTREE
) ENGINE = INNODB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = COMPACT;

配置授权服务

ClientDetailsServiceAuthorizationCodeServices从数据库读取数据

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {


    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private ClientDetailsService clientDetailsService;


    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;


    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    PasswordEncoder passwordEncoder;




    //用来配置令牌端点的安全约束
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("permitAll()")  //  /oauth/token_key 安全配置
                .checkTokenAccess("permitAll()") // /oauth/check_token 安全配置
                .allowFormAuthenticationForClients();  // 允许表单认证
    }

    @Bean
    public ClientDetailsService clientDetailsService(DataSource dataSource) {
        JdbcClientDetailsService jdbcClientDetailsService = new JdbcClientDetailsService(dataSource);
        jdbcClientDetailsService.setPasswordEncoder(passwordEncoder);

        return jdbcClientDetailsService;
    }

    //用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,
    //你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
//        clients.inMemory() //使用in‐memory存储
//                .withClient("c1") // client_id
//                .secret(new BCryptPasswordEncoder().encode("secret"))
//                .resourceIds("res1")
//                .authorizedGrantTypes("authorization_code", "password","client_credentials","implicit","refresh_token")
//                // 该client允许的授权类型 authorization_code,password,refresh_token,implicit,client_credentials
//                .scopes("all")// 允许的授权范围
//                .autoApprove(false)
//                 //加上验证回调地址
//                .redirectUris("http://www.baidu.com");
        clients.withClientDetails(clientDetailsService);  //读数据库中客户信息

    }

    //用来配置令牌(token)的访问端点和令牌服务(token services)。
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)
                .authorizationCodeServices(authorizationCodeServices)
                .tokenServices(tokenServices())
                .allowedTokenEndpointRequestMethods(HttpMethod.POST,HttpMethod.GET);

    }

    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;

    @Bean
    public AuthorizationServerTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setClientDetailsService(clientDetailsService);
        defaultTokenServices.setSupportRefreshToken(true);
        defaultTokenServices.setTokenStore(tokenStore);

        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        defaultTokenServices.setTokenEnhancer(tokenEnhancerChain);

        defaultTokenServices.setAccessTokenValiditySeconds(60*60*2);  // 令牌默认有效期2小时
        defaultTokenServices.setRefreshTokenValiditySeconds(60*60*24*3);// 刷新令牌默认有效期3天
        return defaultTokenServices;
    }

//    @Bean
//    public AuthorizationServerTokenServices tokenServices() {
//        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
//        defaultTokenServices.setClientDetailsService(clientDetailsService);
//        defaultTokenServices.setSupportRefreshToken(true);
//        defaultTokenServices.setTokenStore(tokenStore);
//        defaultTokenServices.setAccessTokenValiditySeconds(60*60*2);  // 令牌默认有效期2小时
//        defaultTokenServices.setRefreshTokenValiditySeconds(60*60*24*3);// 刷新令牌默认有效期3天
//        return defaultTokenServices;
//    }

//    @Bean
//    public AuthorizationCodeServices authorizationCodeServices() {
//        //设置授权码模式的授权码如何 存取,暂时采用内存方式
//        return new InMemoryAuthorizationCodeServices();
//    }

    @Bean
    public AuthorizationCodeServices authorizationCodeServices(DataSource dataSource) {
        //设置授权码模式的授权码如何 存取,暂时采用内存方式
        return new JdbcAuthorizationCodeServices(dataSource);
    }
}
李熠漾
关注
专栏目录
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3265
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud中,我们可以借助Spring Security OAuth2来实现这一功能。Spring Security OAuth2提供了授权服务器、资源服务器和客户端的实现,使得开发者可以方便地在微服务架构中实现安全的身份验证和授权。 首先...
Spring Cloud SecurityOauth2使用入门
macrozheng的专栏
11-04 2111
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。OAuth2 相关名词解释 Re...
玩转SpringCloud Security OAuth2资源授权动态权限扩展
Java知音
11-18 694
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/new_com/article/details/104731154在Spring Cloud Security 中,认...
Spring Cloud(十一):Spring Cloud Security Oauth2
Men-DD
11-18 3013
OAuth2 登录流程分析 令牌token与密码password差异 授权码模式 简化隐式模式 密码模式 客户端模式 令牌的使用 更新令牌 Spring Security OAuth2 配置spring security 配置认证服务器 配置授权服务器 基于redis存储Token 基于db存储Token 单点登录 基于Oauth2跨域单点登录 Oauth2整合网关实现微服务单点登录 JWT (JSON Web Token) JWT组成 Spring Security Oauth2整合JWT
Spring Cloud Security Oauth2
Fly to sky
02-08 409
主要过滤器 ClientCredentialsTokenEndpointFilter 作用 首先进行过滤 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServlet...
Spring CloudOAUTH2注销的实现示例
08-27
Spring CloudOAUTH2 注销的实现示例 在本文中,我们将探讨 Spring CloudOAUTH2 注销的实现示例。首先,让我们了解什么是 OAUTH2 和为什么需要注销。 OAUTH2 是一种授权协议,用于确保客户端应用程序能够...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
enjoy-oauth2-parent:Spring Cloud Security OAuth SSO
04-28
主要实现spring cloud security oauth2配置 access_token存放用户授权信息,通过redis关联,以达到授权服务与资源服务共享,防止token无效 enjoy-oauth2-authorization:授权服务 , 继承spring security验证用户合法...
Spring Cloud Security 整合 Oauth2
ProChick's Blog
04-08 1490
Spring Cloud Security 整合 Oauth2 实现登录鉴权一、环境搭建二、授权码模式测试三、密码模式测试四、刷新令牌 一、环境搭建 添加依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> <d
springcloud-security-oauth2:安全整合oauth2
02-21
springcloud-security-oauth2 安全整合oauth2
Spring Cloud SecurityOauth2结合JWT使用
smart_an的专栏
04-18 1286
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
SpringCloud SecurityOauth2 基本概念
weixin_40991408的博客
02-11 562
一.摘要 Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能。 二.OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 三.OAuth2 相关名词解释 Resource owner...
SpringCloud&OAuth2】三、Spring cloud security oauth2搭建
qwertyuiopasdfghjklzxcvbnm
04-21 991
简要描述 基于mysql8存储client客户端信息,基于jwt生成token,基于redis存储code和token pom.xml配置 &amp;amp;amp;amp;amp;amp;amp;lt;parent&amp;amp;amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;amp;amp;lt;groupId&amp;amp;amp;amp;amp;amp;amp;gt;org.springframework.
Spring Cloud Security
最新发布
Flying_Fish_roe的博客
07-30 1157
Spring Cloud Security是一款基于Spring Cloud的安全框架,用于在微服务架构中提供身份验证和授权功能。它集成了Spring Security,通过添加各种过滤器和拦截器来保护微服务的安全性。身份验证:通过集成Spring Security,可以使用各种身份验证机制来验证用户的身份,如基于用户名和密码的认证、基于令牌的认证、OAuth2等。授权管理:可以通过配置角色和权限来管理用户的访问权限,控制用户可以访问的服务和资源。
springcloud security oauth2
03-16
Spring Cloud Security OAuth2 是基于 Spring Cloud 的安全框架,它提供了 OAuth2 认证和授权的支持。它可以帮助开发者快速构建安全的分布式系统,保护系统的资源不被未授权的用户访问。同时,它也提供了一些常用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李熠漾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值