5、oauth2之资源服务配置类EnableResourceServer

最新推荐文章于 2024-06-06 20:03:23 发布
最新推荐文章于 2024-06-06 20:03:23 发布
阅读量7k 收藏 9
点赞数
分类专栏: spring security oauth2 文章标签: 资源服务配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153127/article/details/118443254
版权

简介

资源服务器会对所有的请求进行拦截认证,当然除了oauth相关的请求之外。同时会创建一个拦截器OAuth2AuthenticationProcessingFilter,该拦截器会对请求头Authorization中的值进行相关验证。

使用方式:

1、添加注解@EnableResourceServer

2、继承ResourceServerConfigurerAdapter

@Configuration
@EnableResourceServer
public static class ResourceServerConfigurer extends ResourceServerConfigurerAdapter {
   
}

@EnableResourceServer导入了ResourceServerConfiguration配置类,该配置类继承了WebSecurityConfigurerAdapter,拥有了http security的相关能力。

@Configuration
public class ResourceServerConfiguration extends WebSecurityConfigurerAdapter implements Ordered {
......

 //请求匹配,对oauth相关请求放行,其他请求拦截
   private static class NotOAuthRequestMatcher implements RequestMatcher {

      private FrameworkEndpointHandlerMapping mapping;

      public NotOAuthRequestMatcher(FrameworkEndpointHandlerMapping mapping) {
         this.mapping = mapping;
      }

      @Override
      public boolean matches(HttpServletRequest request) {
         String requestPath = getRequestPath(request);
         for (String path : mapping.getPaths()) {
            if (requestPath.startsWith(mapping.getPath(path))) {
               return false;
            }
         }
         return true;
      }

      private String getRequestPath(HttpServletRequest request) {
         String url = request.getServletPath();

         if (request.getPathInfo() != null) {
            url += request.getPathInfo();
         }

         return url;
      }

   }

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       //资源服务可配置类,添加了OAuth2AuthenticationProcessingFilter过滤器,对请求头Authorization进行验证
      ResourceServerSecurityConfigurer resources = new ResourceServerSecurityConfigurer();
      ResourceServerTokenServices services = resolveTokenServices();
      if (services != null) {
         resources.tokenServices(services);
      }
      else {
         if (tokenStore != null) {
            resources.tokenStore(tokenStore);
         }
         else if (endpoints != null) {
            resources.tokenStore(endpoints.getEndpointsConfigurer().getTokenStore());
         }
      }
      if (eventPublisher != null) {
         resources.eventPublisher(eventPublisher);
      }
      for (ResourceServerConfigurer configurer : configurers) {
         configurer.configure(resources);
      }
      // @formatter:off
      http.authenticationProvider(new AnonymousAuthenticationProvider("default"))
      // N.B. exceptionHandling is duplicated in resources.configure() so that
      // it works
      .exceptionHandling()
            .accessDeniedHandler(resources.getAccessDeniedHandler()).and()//访问拒绝处理类
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .csrf().disable();
      // @formatter:on
      http.apply(resources);
      if (endpoints != null) {
         // Assume we are in an Authorization Server
         http.requestMatcher(new NotOAuthRequestMatcher(endpoints.oauth2EndpointHandlerMapping()));
      }
      for (ResourceServerConfigurer configurer : configurers) {
         // Delegates can add authorizeRequests() here
         configurer.configure(http);
      }
      if (configurers.isEmpty()) {
         // Add anyRequest() last as a fall back. Spring Security would
         // replace an existing anyRequest() matcher with this one, so to
         // avoid that we only add it if the user hasn't configured anything.
         http.authorizeRequests().anyRequest().authenticated();
      }
   }
......

}

附流程图

hudongdongjava
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Cloud Security OAuth2 实现资源服务配置以及测试
Zystem
05-10 1171
@EnableResourceServer 注解到一个 @Configuration 配置上,并且必须使用 ResourceServerConfigurer 这个 配置对象来进行配置(可以选择继承自 ResourceServerConfigurerAdapter 然后覆写其中的方法,参数就是这个 对象的实例),下面是一些可以配置的属性: ResourceServerSecurityConfigurer中主要包括: (1)tokenServices:ResourceServerTokenServices
ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter同时使用只有ResourceServerConfigurerAdapter生效
l244112311的博客
03-05 6344
1.此处使用的ResourceServerConfigurerAdapter是spring-security-oauth2中的,WebSecurityConfigurerAdapter是spring-security-config中的; 2.同时使用上面的两种配置的时候,如果两者配种存在重写相同的方法时,后者的会出现配置不生效的问题,比如重写了configure这个方法(参数final不影响) 3.造成这个问题的主要原因其实就是因为两者的默认自动注册的@Order的优先级不同(具体情况请自行参考源码
Spring OAuth2 Resource Server 配置
semicolon_hello的专栏
03-29 1172
Spring OAuth2 Resource Server 是 Spring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源
Spring Boot 在升级到 2.4 的时候 EnableResourceServer 提示将会丢弃
HONEY MOOSE
01-26 2738
在升级 Spring Boot 从 2.3.3 到 2.4 的时候提示: @EnableResourceServer 将会被丢弃。 @EnableResourceServer 开启资源服务配置,会配置资源服务相关的安全配置。 一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentication filter 即验证过滤器来实现的保护,你可以通过 @En
OAuth--资源服务配置、测试
吴声子夜歌的博客
03-31 578
资源服务配置 @EnableResourceServer 注解到一个 @Configuration 配置上,并且必须使用 ResourceServerConfigurer 这个 配置对象来进行配置(可以选择继承自 ResourceServerConfigurerAdapter 然后覆写其中的方法,参数就是这个 对象的实例),下面是一些可以配置的属性: ResourceServerSecurity...
资源服务授权配置
xq12009的博客
03-07 139
资源服务器授权配置 掌握OAuth认证微服务动态加载数据 OAuth2.0认证并获取用户令牌数据 微服务与微服务之间的认证
SpringBoot-OAuth2:Spring Boot OAuth授权和资源服务
02-04
Spring Boot OAuth授权和资源服务器要求Java平台(JDK)8 Eclipse + Buildship Gradle插件(来自Eclipse Marketplace的Insall) MySQL的如何运行克隆存储库Eclipse,将项目导入为gradle项目,同步gradle项目以获取...
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
11.Oauth2授权之JWT集成
01-01
Oauth2授权之JWT集成 在本文中,我们将详细介绍Oauth2授权中使用JSON Web Token(JWT)的集成。JWT是一种基于RFC 7519标准定义的可以安全传输的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT的组成 -...
12.OAuth2授权之基于JWT完成单点登录
01-01
OAuth2授权之基于JWT完成单点登录 OAuth2授权是一种industry标准的授权协议,用于对第三方应用程序的访问控制。OAuth2授权协议可以实现单点登录功能,即用户只需登录一次,即可访问多个需要登录的系统。 在本文中...
oauth2-bundle:Symfony捆绑包,提供OAuth 2.0授权资源服务器功能
02-06
Trikoder OAuth 2套装 Symfony捆绑软件,提供OAuth 2.0授权/资源服务器功能。 授权和资源服务器参与者是使用库实现的。 重要笔记 该捆绑软件在库和Symfony之间提供了“胶水”。 它以其官方文档指定的方式实现库。 ...
解决@EnableEurekaServer无法导入,项目启动报错问题
weixin_42840266的博客
12-10 1210
原因是springboot与springcloud的支持版本不一致 Spring官方详细版本对应:https://start.spring.io/actuator/info 例:SpringBoot : 2.1.6.RELEASE <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</
springboot oauth2学习(一)
join_null的博客
09-24 769
概述 配置主要只有三个步骤: 1.resourceserver资源服务配置,负责配置哪些url进行ouath2认证。通过继承ResourceServerConfigurerAdapter进行配置 2.AuthorizationServer授权服务配置,负责关于token相关的配置。通过继承AuthorizationServerConfigurerAdapter进行配置 3.websec...
Oauth2 resource server入门配置
架构路上的博客
11-02 4018
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
Spring Security OAuth2配置WebSecurityConfigurerAdapter及与ResourceServerConfigurerAdapter区别(三)
FAIRYTAIL的博客
08-26 5689
上一篇提到通常WebSecurityConfigurerAdapter (spring security的配置)和ResourceServerConfigurerAdapter会配合来对url进行访问控制,本篇通过示例细化一下它们两者的使用。
@EnableResourceServer资源服务注解源码分析
最新发布
pscool的博客
06-06 406
@EnableResourceServer用于开启资源服务器,它使用@Import注解引入了`ResourceServerConfiguration`
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1707
OAuth2 Resource Server
关于WebSecurityConfigurerAdapter和ResourceServerConfigurerAdapter区别联系
weixin_39521850的博客
03-16 3402
一、区别与联系 1、ResourceServerConfigurerAdapter被配置为不同的端点(参见antMatchers),而WebSecurityConfigurerAdapter不是。 这两个适配器之间的区别在于,RealServServer配置适配器使用一个特殊的过滤器来检查请求中的承载令牌,以便通过OAuth2对请求进行认证。WebSecurityConfigurerAd...
Spring Security 与 OAuth2(资源服务器)
chucan4529的博客
01-26 816
Spring Security 与 OAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
spring boot 中的oauth资源服务配置
08-12
### 回答1: Spring Boot 中的 OAuth 资源服务配置需要在应用程序的配置文件中添加一些属性,并在应用程序中启用 OAuth 资源服务器。 1. 在配置文件中添加以下属性: - spring.security.oauth2.resource.jwt.key-value: 用于验证 JWT 令牌的公钥或私钥 - spring.security.oauth2.resource.user-info-uri: 用于获取用户信息的 URI 2. 在应用程序中启用 OAuth 资源服务器: - 在主中添加 @EnableResourceServer 注解 - 在配置中添加 @EnableAuthorizationServer 注解 3. 配置安全配置,在这个中添加配置信息 参考代码: ``` @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Value("${spring.security.oauth2.resource.jwt.key-value}") private String jwtKeyValue; @Value("${spring.security.oauth2.resource.user-info-uri}") private String userInfoUri; @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.resourceId("resource-server-rest-api").tokenStore(tokenStore()); } @Bean public TokenStore tokenStore() { return new JwtTokenStore(jwtTokenEnhancer()); } @Bean protected JwtAccessTokenConverter jwtTokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey(jwtKeyValue); return converter; } @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").authenticated() .and() .requestMatcher(new OAuthRequestedMatcher()); } private static class OAuthRequestedMatcher implements RequestMatcher { public boolean matches(HttpServletRequest request) { String auth = request.getHeader("Authorization"); // Determine if the client request contained an OAuth Authorization boolean haveOauth2Token = (auth != null) && auth.startsWith("Bearer"); boolean haveAccessToken = request.getParameter(" ### 回答2: Spring Boot中的OAuth资源服务配置是通过添加相关依赖和配置文件来实现的。 首先,我们需要在项目的pom.xml文件中添加Spring Security和Spring Security OAuth2的依赖,例如: ``` <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId> </dependency> </dependencies> ``` 然后,我们需要在项目的配置文件(例如application.yml)中配置相关的OAuth2资源服务器属性,例如: ``` spring: security: oauth2: resourceserver: jwt: issuer-uri: <身份验证服务器的URL> ``` 在上述配置中,我们需要指定身份验证服务器的URL,它将用于验证和解析传入的JWT令牌。 接下来,我们可以创建一个配置资源服务器的行为,例如: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated(); } } ``` 在上述示例中,我们使用@EnableResourceServer注解启用资源服务器,并指定了访问权限规则。在这个例子中,我们允许/public路径下的请求被所有人访问,其他任何请求都需要通过身份验证。 最后,我们可以使用@RestController注解创建一个简单的REST控制器来演示资源服务器的功能,例如: ```java @RestController public class HelloController { @GetMapping("/hello") public String hello() { return "Hello, World!"; } } ``` 这样,我们就可以使用OAuth2的令牌来访问该控制器所暴露的资源。 综上所述,通过添加依赖、配置属性和编写相关配置,我们可以在Spring Boot中配置OAuth资源服务器。 ### 回答3: 在Spring Boot中配置OAuth资源服务器包括以下步骤: 1. 添加必要的依赖:在pom.xml文件中添加Spring Security OAuth2依赖。例如,可以添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> </dependency> ``` 2. 创建一个配置:创建一个@Configuration注解的配置,并使用@EnableResourceServer注解启用资源服务器。例如: ``` @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.resourceId("my-resource-id"); } } ``` 3. 配置访问权限:使用HttpSecurity配置http的请求权限。在上述示例中,`/api/**`路径的请求需要进行身份验证。可以根据实际情况配置其他路径和权限。 4. 配置资源ID:使用ResourceServerSecurityConfigurer配置资源服务器的资源ID。资源ID可以是任何唯一标识符,用于标识受保护的资源。 以上是基本的OAuth资源服务配置步骤。配置完成后,可以使用OAuth2的授权服务器进行认证,并使用访问令牌对受保护的资源进行访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值