Spring OAuth2 Resource Server 配置

最新推荐文章于 2024-08-22 16:21:39 发布
最新推荐文章于 2024-08-22 16:21:39 发布
阅读量1.8k 收藏 10
点赞数 23
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/semicolon_hello/article/details/137147058
版权
本文详细介绍了如何在SpringBoot应用中配置SpringOAuth2ResourceServer,包括使用JWT令牌验证和处理Opaque令牌,以及设置NimbusJwtDecoder和RemoteTokenServices。
摘要由CSDN通过智能技术生成

Spring OAuth2 Resource Server 是 Spring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。以下是一个简化的Spring Boot应用中如何配置OAuth2 Resource Server的基本步骤和示例:

依赖引入

首先,在pom.xmlbuild.gradle中引入相应的依赖:

<!-- Maven -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

<!-- Gradle -->
dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-oauth2-resource-server'
}

配置资源服务器

使用JWT令牌验证

如果你的Authorization Server使用的是JWT令牌,则需要配置资源服务器来验证这种令牌:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.core.DelegatingOAuth2TokenValidator;
import org.springframework.security.oauth2.core.OAuth2Error;
import org.springframework.security.oauth2.jose.jws.JwsAlgorithms;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtValidators;
import org.springframework.security.oauth2.jwt.NimbusJwtDecoder;

import java.util.Arrays;

@Configuration
@EnableWebSecurity
public class ResourceServerConfig extends WebSecurityConfigurerAdapter {

    @Value("${spring.security.oauth2.resourceserver.jwt.issuer-uri}")
    private String issuerUri;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .oauth2ResourceServer()
                .jwt()
                    .decoder(jwtDecoder())
                    .jwtAuthenticationConverter(jwtAuthenticationConverter());
    }

    // 创建JWT解码器
    private JwtDecoder jwtDecoder() {
        NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withJwkSetUri(issuerUri).build();
        jwtDecoder.setJwtValidator(new DelegatingOAuth2TokenValidator<>(Arrays.asList(
            JwtValidators.createDefaultWithIssuer(issuerUri),
            new CustomJwtValidator() // 如果有自定义验证逻辑,可以添加自定义验证器
        )));
        return jwtDecoder;
    }

    // 自定义JWT转换器(如有必要)
    private Converter<Jwt, ? extends AbstractAuthenticationToken> jwtAuthenticationConverter() {
        JwtAuthenticationConverter converter = new JwtAuthenticationConverter();
        // 可能需要映射JWT声明到角色或其他属性
        OAuth2AuthenticatedPrincipal authoritiesExtractor = new AuthoritiesExtractor();
        converter.setJwtAuthoritiesConverter(authoritiesExtractor);
        return converter;
    }
    
    // 示例自定义验证器
    private static class CustomJwtValidator implements OAuth2TokenValidator<Jwt> {
        @Override
        public OAuth2TokenValidatorResult validate(Jwt jwt) {
            // 这里添加额外的JWT验证逻辑
            // ...
            return OAuth2TokenValidatorResult.success(); // 如果验证成功
        }
    }

    // 示例JWT声明转角色的提取器
    private static class AuthoritiesExtractor implements Converter<Jwt, Collection<GrantedAuthority>> {
        @Override
        public Collection<GrantedAuthority> convert(Jwt jwt) {
            // 从JWT声明中获取角色并转换成GrantedAuthority对象
            // ...
            return Arrays.asList(new SimpleGrantedAuthority("ROLE_USER")); // 示例
        }
    }
}
使用opaque令牌验证

如果使用的是opaque类型的访问令牌,则通常需要配置远程Token服务来验证:

// 配置opaque令牌验证
private RemoteTokenServices tokenService() {
    RemoteTokenServices tokenService = new RemoteTokenServices();
    tokenService.setCheckTokenEndpointUrl("http://auth-server/oauth/check_token");
    tokenService.setClientId("your-client-id");
    tokenService.setClientSecret("your-client-secret");
    return tokenService;
}

// 在configure(HttpSecurity)方法中添加配置
.and()
.oauth2ResourceServer()
.authenticationManager(new DefaultOAuth2AuthenticationManager(tokenService()));

注意事项

  • issuer-uri应该指向颁发JWT的Authorization Server的公共元数据URI,以便下载公钥进行验证。

  • 对于opaque令牌,配置RemoteTokenServices时需要替换为实际的检查令牌端点URL、客户端ID和客户端密钥。

  • 上述示例仅作演示用途,实际配置需根据具体的Authorization Server配置和需求调整。

  • JwtAuthenticationConverter用于将JWT中的声明转换为Spring Security可以识别的角色或其他权限信息。

务必按照您的OAuth2授权服务器的具体要求来适配上述配置。在现代应用中,尤其是采用OpenID Connect协议的场景下,使用JWT令牌并验证其签名及标准声明已经成为主流做法。

semicolon_helloword
关注
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Oauth2 resource server入门配置
架构路上的博客
11-02 4088
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 1万+
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务...
Java知音
06-11 2937
前言Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源...
Spring OAuth2.0资源服务源码解析
最新发布
onePlus5T的博客
08-22 749
主要分析spring-security-oauth2-resource-server的源码,介绍OAuth2.0授权码模式下Spring Boot OAuth2资源服务的运行流程,分析其是如何对令牌进行认证的,并展示资源服务配置
使用spring-cloud-security-oauth2来实现oauth serverresource server
02-28
使用spring-cloud-security-oauth2来实现oauth serverresource serveroauth Serverresource Server分开,resource Server实现了两种方式
oauth2-resource-server授权配置介绍
言午玉口才
08-17 3220
也就是授权(token中存放用户名、授权信息),接着资源服务器的token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1736
OAuth2 Resource Server
OAuth2-auth-resource-server
02-25
OAuth2-auth-resource-server
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
热门推荐
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。 简而言之,我们需要把jwt 的Claim...
spring-boot-2-oauth2-resource-server:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2资源和授权服务器实现
02-04
Spring Boot 2 Oauth2资源和授权服务器 使用用户和客户端数据库... git clone https://github.com/indrekru/spring-boot-2-oauth2-resource-server.git 您需要在您的环境中安装Maven: Mac(自制): brew install
spring-security-oauth2-authorization-server.zip
08-25
本文以最简配置搭建一个授权服务,让大家初步了解授权服务及相关表。 token 存于数据库中 例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库
mcloud-oauth2-server:使用Spring OAuth2实现的OAuth2资源服务器以及认证服务器
01-30
MCloud-OAuth2认证中心 不推荐使用 认证模块将使用替代 简介 mcloud-oauth-server基于Spring OAuth2 ,实现了OAuth2认证服务器以及资源服务器,并以Restful API的方式提供了OAuth客户端以及用户的管理功能。 项目中主要使用了以下技术: Java8的 Spring相关的SpringSpring Mvc,Spring Cloud,spring data jpa,Spring Boot,Hibernate mapstruct主要用于DTO与实体之间的转换 flywaydb以版本化的方式管理数据库脚本 thymeleaf模板框架,用于实现后台管理界面 Redis主要用于缓存实现(暂未实现) Lombok 认证流程 OAuth2认证流程可参考博客 ,此处不再赘述。 产品特点 认证服务器使用Spring Security结合JWT令牌实现认证服务,提供了功能完整的OAuth2认证服务器。 资源服务器实现了以下两种方式进行OAuth2相关资源的管理 以RestAPI形式提供服务来管理资源: http://localhost:8043/
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
主要介绍了Springboot Oauth2 Server 搭建Oauth2认证服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
OAuth2 and Friends Resource Server
来啊 快活啊
06-29 1660
security: oauth2: resource: token-info-uri: http://localhost:8080/uaa/introspect user-info-uri: # jwk: # key-set-uri: http://localhost:8080/uaa/token_keys prefer-...
Spring Cloud OAuth2 认证服务器
凉茶铺的博客
08-31 3113
Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。............
java oauth server_Spring OAuth2 ResourceServer外部AuthorizationServer
weixin_35792271的博客
02-24 319
如何设置单独的Spring OAuth2 ResourceServer,它使用和第三方AuthorizationServer我看到的所有示例都始终在同一个应用程序中实现ResourceServer和AuthorizationServer .我不想实现AuthorizationServer,因为其他人会提供这个 .试过没有运气@Configuration@EnableResourceServerpu...
Spring Boot2.0 Oauth2 服务器和客户端配置及理
weixin_28718769的博客
02-22 1195
一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。 问题是只有得到用户的授权,Google才会同意”云冲印”读取这些照片。那么,”云冲印”怎样获得用户的授权呢? 传统方法是,用户将自己的Google用户名和密码,告诉”云冲印”,后者就可以...
Oauth2综合案例:资源服务器
大连赵哥的博客
01-11 390
Oauth2综合案例:资源服务器
Spring Security实现Oauth2授权详解
Spring Security是一个强大的安全框架,它与Oauth2结合提供了优雅的解决方案,减少了自定义代码的需求,并允许灵活地配置权限控制。 首先,Oauth2是一种开放标准,用于授权第三方应用访问用户在其他服务上的数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

semicolon_helloword

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值