Springboot Security Oauth2 第三篇:编写一个基于第二篇服务端的客户端

最新推荐文章于 2024-08-24 19:14:38 发布
最新推荐文章于 2024-08-24 19:14:38 发布
阅读量667 收藏 4
点赞数 1
分类专栏: Springboot Security 文章标签: SpringSecurity OAuth2 客户端 Swagger
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013034378/article/details/89600015
版权

本文主要开发一个客户端,token认证远程关联到上一篇讲解的认证服务器中,token获取和校验都在服务器中做。
本文还会使用swagger2框架,并在swagger框架中内嵌一个登陆页面,通过登陆页面来实现token获取,这样登陆成功后,在swagger上面访问接口,都会带上登陆成功返回的token,使例子更符合正在开发场景。

1.pom.xml

<parent>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-parent</artifactId>
	<version>2.1.2.RELEASE</version>
	<relativePath/> <!-- lookup parent from repository -->
</parent>
	
<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>

	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
		<scope>test</scope>
	</dependency>

	<!-- swagger2 -->
	<dependency>
		<groupId>io.springfox</groupId>
		<artifactId>springfox-swagger2</artifactId>
		<version>2.6.1</version>
	</dependency>
	<dependency>
		<groupId>io.springfox</groupId>
		<artifactId>springfox-swagger-ui</artifactId>
		<version>2.6.1</version>
	</dependency>
	<!-- spring-security-oauth2 -->
	<dependency>
		<groupId>org.springframework.security.oauth</groupId>
		<artifactId>spring-security-oauth2</artifactId>
		<version>2.3.4.RELEASE</version>
	</dependency>
</dependencies>

2.配置资源拦截ResourceServerConfig,这里和第一篇不一样的是,配置了RemoteTokenServices,关联到远程认证服务器做token获取认证。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;

@Configuration
@EnableResourceServer
/**
 * 这里设置访问路径权限
 */
public class ResourceServerConfig extends ResourceServerConfigurerAdapter{

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")    //默认加上前缀ROLE_,如ROLE_ADMIN
                .antMatchers("/user/**").hasAnyRole("ADMIN","USER")
                .antMatchers("/swagger-ui.html").permitAll()	//去掉关于swagger框架的拦截
                .antMatchers("/webjars/**").permitAll() //去掉关于swagger框架的拦截
                .antMatchers("/swagger-resources/**").permitAll() //去掉关于swagger框架的拦截
                .antMatchers("/v2/**").permitAll() //去掉关于swagger框架的拦截
                .anyRequest().authenticated();
    }

    //配置远程连接授权服务器,验证token
    @Bean
    public RemoteTokenServices tokenServices(){
        RemoteTokenServices tokenServices = new RemoteTokenServices();
        //配置远程认证服务器,用于获取token地址
        tokenServices.setCheckTokenEndpointUrl("http://localhost:8888/oauth/check_token");
        //配置认证服务器的clientId和clientSecret
        tokenServices.setClientId("demoClient");
        tokenServices.setClientSecret("demoSecret");
        return tokenServices;
    }
}

3.配置swagger,这里大部分都是swagger的配置,可以自行百度了解.

import org.springframework.context.annotation.Bean;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.RequestMethod;
import springfox.documentation.builders.ApiInfoBuilder;
import springfox.documentation.builders.PathSelectors;
import springfox.documentation.builders.RequestHandlerSelectors;
import springfox.documentation.builders.ResponseMessageBuilder;
import springfox.documentation.service.*;
import springfox.documentation.spi.DocumentationType;
import springfox.documentation.spi.service.contexts.SecurityContext;
import springfox.documentation.spi.service.contexts.SecurityContextBuilder;
import springfox.documentation.spring.web.plugins.Docket;
import springfox.documentation.swagger.web.ApiKeyVehicle;
import springfox.documentation.swagger.web.SecurityConfiguration;
import springfox.documentation.swagger2.annotations.EnableSwagger2;

import java.nio.file.Path;
import java.util.List;

import static com.google.common.collect.Lists.newArrayList;

@Component
@EnableSwagger2
public class SwaggerConfig {


    private String securitySchemaOAuth2 = "oauth2schema";
    private AuthorizationScope authorizationScopeRead = new AuthorizationScope("read","read");
    private AuthorizationScope authorizationScopeWrite = new AuthorizationScope("write","write");
    private ApiInfo apiInfo(){
        return new ApiInfoBuilder()
                .title("swagger标题")
                .version("1.0")
                .description("write by wbb")
                .build();
    }

    @Bean
    public Docket docket(){
        return new Docket(DocumentationType.SWAGGER_2)
                .apiInfo(apiInfo())
                .select()
                .apis(RequestHandlerSelectors.basePackage("com.wbb.swagger2oauth2.controller"))
                .paths(PathSelectors.any())
                .build()
                .useDefaultResponseMessages(false)
                .globalResponseMessage(RequestMethod.POST, globalResponse())
                .globalResponseMessage(RequestMethod.DELETE, globalResponse())
                .globalResponseMessage(RequestMethod.PUT, globalResponse())
                .globalResponseMessage(RequestMethod.GET, globalResponse())
                .securitySchemes(newArrayList(securitySchema()))
                .securityContexts(newArrayList(securityContext()));
    }
    private SecurityContext securityContext(){
        return SecurityContext.builder()
                .securityReferences(securityReference())
                .forPaths(PathSelectors.any())
                .build();

    }
    private List<SecurityReference> securityReference(){
        AuthorizationScope[] scopes = new AuthorizationScope[2];
        scopes[0] = authorizationScopeRead;
        scopes[1] = authorizationScopeWrite;
        return newArrayList(new SecurityReference(securitySchemaOAuth2,scopes));
    }

    private List<ResponseMessage> globalResponse() {
        List<ResponseMessage> result = newArrayList();
        result.add(new ResponseMessageBuilder().code(400).message("Bad Request").build());
        result.add(new ResponseMessageBuilder().code(401).message("Unauthorized").build());
        result.add(new ResponseMessageBuilder().code(403).message("Forbidden").build());
        result.add(new ResponseMessageBuilder().code(404).message("Not Found").build());
        result.add(new ResponseMessageBuilder().code(500).message("Internal Server Error").build());
        return result;
    }

    @Bean
    SecurityConfiguration security() {
        return new SecurityConfiguration(
                "demoClient", //认证服务器clientId
                "demoSecret", //认证服务器clientSecret
                "oauth2-resource",//认证服务器resourceIds
                "swagger",
                "apiKey",
                ApiKeyVehicle.HEADER,
                "api_key",
                " " /*scope separator*/);
    }
	//token认证
    private OAuth securitySchema() {
        LoginEndpoint loginEndpoint = new LoginEndpoint("http://localhost:8888/oauth/authorize");
        GrantType grantType = new ImplicitGrant(loginEndpoint, "access_token");
        return new OAuth(securitySchemaOAuth2, newArrayList(authorizationScopeRead, authorizationScopeWrite), newArrayList(grantType));
    }

}

4.Controller


import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("")
public class MyController {

    @RequestMapping(value = "/test",method = RequestMethod.GET)
    public Object test(){
        return "test";
    }

    @RequestMapping(value = "/user",method = RequestMethod.GET)
    @PreAuthorize("hasAnyRole('ROLE_USER')")
    public Object user(){
        return "user";
    }

    @RequestMapping(value = "/user/a",method = RequestMethod.GET)
    public Object user2(){
        return "user";
    }

    @PreAuthorize("hasAnyRole('ROLE_ADMIN')")
    @RequestMapping(value = "/admin",method = RequestMethod.GET)
    public Object admin(){
        return "admin";
    }

    @RequestMapping(value = "/admin/b",method = RequestMethod.GET)
    public Object admin2(){
        return "admin";
    }

5.这样整个项目就写完了,直接启动,不过在启动前需要先启动认证服务器(在上一篇写过)。
启动后,打开http://localhost:9999/swagger-ui.html#/,会出现一个swagger页面
在这里插入图片描述
随便点开一个url访问,会报没有认证的错误,跟之前我们用postman访问接口一样
在这里插入图片描述
接着,点击右上角的Authorize按钮,会弹出一个窗口
在这里插入图片描述
选择多选框,再点击Authorize按钮,会跳转到一个授权页面
在这里插入图片描述
再点击Authorize,会跳转到登陆页面,我这边登陆页面比较简单,如果需要的话,可以自行加工。直接输入账号密码登陆,这个登陆账号密码和第二篇用postman访问登陆一样。
在这里插入图片描述
点击登陆,登陆后,会返回到swagger页面,蓝色表示已登陆,红色是未登录。
登陆的原因在于第二篇yml配置中的spring.security.oauth2.client.redirectUris参数,登陆成功后重定向到客户端的swagger页面,该参数可以配置多个客户端swagger地址,上一篇中就配置了两个,大家可以修改客户端地址,多启动几个客户端,测试一下是不是这个样子
在这里插入图片描述
再接着访问第一个admin接口,会报无权限,跟上一篇postman演示一样
在这里插入图片描述
接着再访问user接口,访问成功
在这里插入图片描述

演示到这里就结束了。这个客户端,是不是很简单,本文这里集成了swagger,如果不需要,去掉swagger的配置就好了,通过接口获取token,然后再带上token访问接口,就和之前用postman演示一样。

讲到这里,本篇文章到此也就结束了,如果文章中有问题,或者有一些不够严谨完善的地方,希望大家体谅体谅。欢迎大家留言,交流交流。

最好附上项目github地址

WuBinBin-Albert
关注
专栏目录
Spring Security OAuth2 概念及实战:OAuth2 是一种用于授权第三方应用访问某些受保护
AI天才研究院
08-05 1463
OAuth(开放授权)是一个开放标准,它允许用户提供一个标识符让应用得以安全地请求特定的服务(如照片,视频或联系人数据)。该标准由 IETF 管理,并得到了行业的广泛支持。OAuth 允许用户直接授权给第三方应用其需要的权限,而无需将用户名和密码等敏感信息暴露给这些应用。OAuth2 是 OAuth 的最新版本,具有更好的安全性、更强的可伸缩性和易用性。它允许第三方应用获得仅限特定资源的访问权,并且不会向资源所有者授予超过所需的权限。
Springboot 2.11版本集成security+oauth2
xiyuan_mc的博客
12-21 4522
Springboot 2.11版本集成security+oauth2前言OAuth2.0基本知识上代码请求token参考资料[git地址](https://github.com/NicolaLuoqi/zhaospace.git) 前言 Springboot版本升级至2.0以上之后,集成security+oauth2有了一些新的变化。现将在搭建过程记录如下,以便日后使用。 OAuth2.0基本知识...
SpingBoot集成OAuth实现认证鉴权
u013916394的博客
10-11 920
1、Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2、Oauth2服务器 授权服务器 Authorization Service. 资源服务器 Res...
Spring Boot 与 Spring Security 的集成及 OAuth2 实现
最新发布
2202_76097976的博客
08-24 3601
本文介绍了如何在 Spring Boot 应用中集成 Spring SecurityOAuth2 进行安全保护。首先,配置了 Spring Security 来控制访问权限,允许匿名访问部分资源并保护其他资源。接着,通过 OAuth2 客户端实现与 Google 的授权集成,使应用能够获取访问令牌并保护 API。最后,展示了前端如何使用访问令牌请求受保护的资源,从而增强应用的安全性和用户体验。
Spring Boot整合 Spring SecurityOAuth2
m0_56799642的博客
12-08 2498
OAuth是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式OAuth相关的名词第三方应用程序,比如这里的虎牙直播;HTTP服务提供商,比如这里的QQ(腾讯);资源所有者,就是QQ的所有人,你;User Agent用户代理,这里指浏览器;认证服务器,这里指QQ提供的第三方登录服务;资源服务器,这里指虎牙直播提供的服务,比如高清直播,弹幕发送等(需要认证后才能使用)。认证服务器主要包含了四种授权模式的实现和Token的生成与存储资源服务器。
Spring Boot中集成OAuth2
聚娃科技开发者博客
07-07 524
OAuth2是一种开放标准,用于授权,通常用于允许第三方应用访问用户在另一个服务提供者上存储的信息,而不需要共享用户的凭证。它通过代表用户进行授权,提供了一种安全的授权机制。本文详细介绍了如何在Spring Boot项目中集成OAuth2实现安全认证,涵盖了依赖添加、OAuth2配置、Spring Security配置以及自定义OAuth2UserService的步骤和关键代码。通过这些步骤,开发者可以轻松地为他们的应用程序添加安全认证功能,保护用户数据和资源的安全性。
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 7429
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
springBoot-springSecurity-OAuth2
子笙的博客
01-16 1180
springBoot整合OAuth2示例及其代码
基础知识:Spring Boot + Spring Security 5 + OAuth2 / OIDC客户端
专业的开发者“讨论”
04-23 5311
很长一段时间以来,我想使用Spring Security集成一个OpenID Connect提供程序。上次尝试时,我感到它非常复杂,并编写了自己的库。由于Spring Security 5对OAuth2 Client具有本机支持,并且扩展了其对OpenID connect的使用,因此我想了解它的集成有多么容易。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1660
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
csweldn520的专栏
03-24 8419
一、 单点登录 1、单点登录技术方案 二、 第三方认证 1、 Oauth2认证 2、 Oauth2的应用场景 三、 Spring security Oauth2认证 1、 JWT (一) 、令牌结构 (二) 、生成私钥和公钥 (1)、生成密钥证书 (2)、查询证书信息 (3)、删除别名 (4)、导出公钥 2、 搭建Spring security认证服务器 (一)、导入Spring Security...
基于Springboot集成securityoauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成securityoauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
springbootsecurity oauth2整合例子
08-01
springbootsecurity oauth2+jwt控制安全整合例子。。
java.securti_springboot集成springsecurity 使用OAUTH2做权限管理的教程
weixin_33631836的博客
02-24 718
Spring Security OAuth2主要配置,注意application.yml最后的配置resource filter顺序配置,不然会能获取token但是访问一直 没有权限WebSecurityConfigurerAdapter 所在服务器的web配置AuthorizationServerConfigurerAdapter 认证服务器配置ResourceServerConfigurerA...
springboot整合springsecurity+oauth2.0密码授权模式
qq_45072555的博客
01-15 7227
本文采用的springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (六)OAuth2经典场景~授权码模式
06-25 1787
2024 最新 SpringSecurity OAuth2 授权码模式完成示例! JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上修改 C:\Windows\System32\drivers\etc\hosts文件。(如果授权服务器和客户端在不同的域名下,就不用修改了)
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务...
Java知音
06-11 3104
前言Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源...
SpringBoot+security+oauth2搭建demo
qq_39095701的博客
06-15 742
oauth2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值