十二.SpringCloud+Security+Oauth2实现微服务授权 - 资源服务器配置

最新推荐文章于 2024-05-28 23:05:50 发布
最新推荐文章于 2024-05-28 23:05:50 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: 《Spring Cloud Oauth2微服务授权》 文章标签: 1024程序员节 资源服务器 oauth2 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014494148/article/details/109266477
版权
前言

Oauth2分为授权服务和资源服务,上一章节我们对AuthServer做了Oauth2的授权服务配置,这一章节我们来配置资源服务器Resource1Server

1.概述Oauth2资源服务配置

资源服务器也需要导入oauth2的依赖

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

当客户端(web端,mobile移动端)带着Token向资源服务器发起请求获取资源,资源服务器需要对请求中的Token进行校验以及对资源进行授权,如果Token校验和授权都通过即可返回相应的数据给客户端,那么,资源服务器配什么?

Oauth2提供的资源服务配置类为ResourceServerConfigurerAdapter ,它实现与ResourceServerConfigurer 接口,提供了两个configure方法,源码如下:

**
 * @author Dave Syer
 *
 */
public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {
   @Override
   public void configure(ResourceServerSecurityConfigurer resources)
 throws Exception { }

   @Override
   public void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests().anyRequest().authenticated();
   }
}

注意上面是源码,别乱拷贝,解释一下:

  • ResourceServerSecurityConfigurer : 第一个configure方法的参数,它是资源服务安全配置,比如Token该如何校验就是通过它来配置的
  • HttpSecurity :第二个configure方法的参数,用作WEB安全配置,在学习Security基础的时候我们就接触过他
2.资源服务器配置实战

改造 “security-resource-server” ,增加资源服务器器配置类

//资源服务配置
@Configuration
@EnableResourceServer   //开启资源服务配置
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    //配置资源id ,对应oauth_client_details表中配置的resourceIds
    //一个资源ID可以对应一个资源服务器,如果Token中不包含该资源ID就无法访问该资源服务器
    public static final String RESOURCE_ID = "res1";

    @Bean
    public TokenStore tokenStore(){
        //return new InMemoryTokenStore();
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    //JWT令牌校验工具
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        //设置JWT签名密钥。它可以是简单的MAC密钥,也可以是RSA密钥
        jwtAccessTokenConverter.setSigningKey("123");
        return jwtAccessTokenConverter;
    }
    //资源服务器安全性配置
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        //资源ID,请求中的Token必须有用该资源ID的访问权限才可以访问该资源服务器
        resources.resourceId(RESOURCE_ID);
        //指定TokenStore,使用JWT校验
        resources.tokenStore(tokenStore());
        //无状态
        resources.stateless(true);
        //验证令牌的服务,令牌验证通过才允许获取资源,使用远程校验
        //resources.tokenServices(resourceServerTokenServices());
    }

    //资源服务令牌验证服务,通过远程校验令牌
    /**
    @Bean
    public ResourceServerTokenServices resourceServerTokenServices(){
        //使用远程服务请求授权服务器校验token , 即:资源服务和授权服务器不在一个主机
        RemoteTokenServices services = new RemoteTokenServices();
        //授权服务地址 , 当浏览器访问某个资源时就会调用该远程授权服务地址去校验token
        //要求请求中必须携带token
        services.setCheckTokenEndpointUrl("http://localhost:3000/oauth/check_token");
        //客户端id,对应认证服务的客户端详情配置oauth_client_details表中的clientId
        services.setClientId("webapp");
        //密钥,对应认证服务的客户端详情配置的秘钥
        services.setClientSecret("secret");
        return services;
    }
	*/
    //SpringSecurity的相关配置
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //校验scope必须为all , 对应认证服务的客户端详情配置的clientId
                .antMatchers("/**").access("#oauth2.hasScope('all')")
                //关闭跨域伪造检查
                .and().csrf().disable()
                //把session设置为无状态,意思是使用了token,那么session不再做数据的记录
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
}

  • resources.tokenStore(tokenStore()) :这是在配置Token的校验方式,使用的是JwtTokenStore,JWT自校验的方式,当然这里也可以使用resources.tokenServices指定一个RemoteTokenServices 远程校验方案,这种方案的流程是当请求到达资源服务器,资源服务会带着请求中的token,向认证服务器发起远程校验(/oauth/check_token) ,可想而知性能不怎么好。

  • resources.resourceId(RESOURCE_ID):这个是配置资源服务器ID,意思是访问这个资源服务器的请求中的Token必须包含这个资源ID的访问权限

  • .antMatchers("/**").access("#oauth2.hasScope(‘all’)"):意思是Token必须拥有all的授权访问才可以访问到资源服务器

注意:这里在配置类上开启了@EnableGlobalMethodSecurity(prePostEnabled = true),因为我这里需要使用方法授权的方式指明我们的controller方法需要什么样的权限才能访问,当然也可以使用web授权的方式(回顾web授权和方法授权)

3.编写controller

controller就是具体的资源了,我们的方法使用了注解授权

@RestController
public class ResourceController {

    @RequestMapping("/employee/list")
    //这是一个测试方法,如果资源服务器对token校验通过就能够访问该资源
    @PreAuthorize("hasAnyAuthority('employee:list')")
    public String list(){
        return "您的token验证通过,已经访问到真正的资源 employee:list";
    }

    @RequestMapping("/employee/add")
    //这是一个测试方法,如果资源服务器对token校验通过就能够访问该资源
    @PreAuthorize("hasAnyAuthority('employee:add')")
    public String add(){
        return "您的token验证通过,已经访问到真正的资源 employee:add";
    }
}

该Controller作为测试返回数据,当客户端请求“oauth-resource”过来,如果Token校验成功,将会看到"您的token验证通过,已经访问到真正的资源"

注意:需要在资源服务配置类“ResourceServerConfig ”开启全局方法授权:@EnableGlobalMethodSecurity(prePostEnabled = true)

4.测试

再走一遍获取token的流程,然后带着Token访问资源服务器,请求头携带:Authorization=Bearer token值 ,如下:
在这里插入图片描述

这里我们已经成功的访问到真正的资源 , 请求资源之前,资源服务器会发送远程请求到授权服务器验证token的合法性,并且根据当前token获取权限列表,然后在进行授权,如果权限列表拥有资源(controller的方法)所需要的权限,即可访问成功 。

如果Token是无效的会出现如下信息:
在这里插入图片描述

如果Token中的权限不包含资源所需要的权限会出现如下信息:
在这里插入图片描述

5.总结资源服务器配置

资源服务器的配置不是很多,主要是配置如下内容:

  1. 通过HttpSecurity配置 #oauth2.hasScope('all') 资源服务器的授权范围
  2. 通过ResourceServerSecurityConfigurer 配置资源服务器的ResourceID
  3. 通过ResourceServerSecurityConfigurer 配置资源服务器如何校验Token,这里使用的是RemoteTokenServices 远程校验方式

那么资源服务器的执行流程是怎么样的呢?

  1. 我们请求头中带着Token向资源服务器发送请求
  2. 资源服务器收到请求,得到Token后通过jwtAccessTokenConverter转换器进行Token的转换得到Token中的认证授权信息
  3. 然后资源服务器会校验认证信息中是否拥有资源服务器配置的授权范围(Scope),资源ID(ResourceID),如果都验证通过资源服务器还会校验权限列表是否包含当前访问的资源(controller)说需要的权限
  4. 如果授权范围(Scope),资源ID(ResourceID),方法授权都校验通过就执行相关的方法返回资源

最后再配一张认证服务到资源服务器的完整流程图吧:

在这里插入图片描述

墨家巨子@俏如来
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springCloud+security+oauth+zuul
10-23
pringCloud+security+oauth+zuul整合demo。付费下载分享
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现微服务统一认证授权
03-20
本项目基于Spring Cloud、Spring Boot、OAuth2、Spring Security以及Redis技术栈,实现了一个高效、安全的微服务统一认证授权解决方案。下面将详细阐述这些技术在微服务认证授权中的应用。 首先,Spring Boot是快速...
从永远到永远-SpringCloud项目实战(十五)-权限/SpringSecurity
MACHENIC的博客
07-10 646
权限功能设计1、关于权限2、开发权限管理1、数据库表2、代码1、创建新模块2、依赖3、配置文件4、复制代码 1、关于权限 理论部分自己补充吧 2、开发权限管理 1、数据库表 理论自补 5张表 # Host: localhost (Version 5.7.19) # Date: 2019-11-18 15:49:15 # Generator: MySQL-Front 6.1 (Build 1.26) # # Structure for table "acl_permission" # CREATE
微服务架构下的‘黑带’安全大师:Spring Cloud Security全攻略!
最新发布
Geek_H
05-28 1430
在数字化浪潮中,微服务架构如同一场盛大的国际美食节,而Spring Cloud Security则是这场盛宴的安全守护神。本文将带你深入后厨,揭秘如何使用Spring Cloud Security微服务间搭建坚不可摧的安全防线。从环境搭建到服务间通信,从安全策略设计到经典问题的巧妙应对,每一环节都充满了智慧和趣味。准备好了吗?让我们一起探索微服务美食广场的秘密,打造一个五星级的安全防护!
SpringCloud - Spring Cloud 之 Security服务安全机制(二十)
MinggeQingchun的博客
07-07 2125
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring Security 是 Spring Resource 社区的一个安全组件, Spring Security 为 JavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
springcloud整合Security
weixin_43914685的博客
08-10 8160
Security核心配置 创建ngroute-framework工程作为 Security核心配置 1.引入pom <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
Spring Cloud Gateway 整合Spring Security
杜海的博客
03-08 1620
Security中用户信息需存放在 UserDetails 中,UserDetails 是一个接口,可以使用Security已经实现的 org.springframework.security.core.userdetails.User,也可以实现 UserDetails 接口自定义用户信息类。/***/@Data/*** token*//***//***//***//*** location*//***//***//*** 用户名。
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
总结,基于SpringCloud+Security+OAuth2.0的权限管理系统,通过微服务架构实现了服务解耦,利用Spring Security提供了强大的安全保护,而OAuth2.0则为第三方应用的接入提供了安全的授权机制。这样的系统设计既保证了...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
基于SpringCloud2.1+spring-security-oauth2+nacos+feign的微服务开发脚手架.zip
02-02
Spring Security OAuth2提供了一套完整的OAuth2实现,包括授权服务器资源服务器和客户端的实现,使得微服务之间的安全交互变得更加容易。 3. **Nacos**: Nacos是阿里巴巴开源的动态配置服务和Naming服务,用于...
springcloud + 前后端分离实现 Oauth2
04-07
综上所述,"Spring Cloud + 前后端分离实现OAuth2"涉及到的关键技术包括Spring Cloud、Spring Security OAuth2、用户认证、授权流程、JWT和安全策略。在实现过程中,我们需要考虑如何有效地结合这些技术,构建一个...
微服务结合Oauth2资料.zip
12-26
微服务结合Oauth2 jwt的代码 完整 已经测试!微服务结合Oauth2 jwt的代码 完整 已经测试!
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
Spring Cloud Security OAuth2 实现资源服务配置以及测试
Zystem
05-10 1200
@EnableResourceServer 注解到一个 @Configuration 配置类上,并且必须使用 ResourceServerConfigurer 这个 配置对象来进行配置(可以选择继承自 ResourceServerConfigurerAdapter 然后覆写其中的方法,参数就是这个 对象的实例),下面是一些可以配置的属性: ResourceServerSecurityConfigurer中主要包括: (1)tokenServices:ResourceServerTokenServices
使用SpringCloudSecurity进行安全认证
禅与计算机程序设计艺术
01-28 896
1.背景介绍 1. 背景介绍 随着互联网的发展,安全性变得越来越重要。Spring Cloud Security 是一个基于 Spring Security 的安全框架,它提供了一系列的安全认证和授权功能,帮助开发者快速构建安全的应用系统。在本文中,我们将深入了解 Spring Cloud Security 的核心概念、算法原理、最佳实践以及实际应用场景。 2. 核心概念与联系 Sprin...
十五.SpringCloud+Security+Oauth2实现微服务授权 -前端登录实战
墨家巨子@俏如来
10-29 1603
前言
SpringSecurity Oauth2 - 02 搭建资源服务器
你今天真好看呀
11-03 815
这个存储配置类在搭建授权服务器的时候就讲到过,资源服务器授权服务器需要使用同一个token存储方式。,这里我搭建资源服务器来访问受限资源
【Spring Security Oauth2】构建资源服务器(一):构建服务
apple_csdn的博客
03-10 600
一、环境准备 1、回顾 【Spring Security Oauth2】构建授权服务器(一):内存模式 二、构建服务 1、创建ResourceServerConfig资源管理类 package com.cyun.uua.test.config.oauth2; import lombok.RequiredArgsConstructor; import org.springframework.context.annotation.Bean; import org.springframework.context
springcloud+springboot+oauth2+spring security+redis
07-15
### 回答1: springcloud是一个开源的微服务框架,它基于Spring Boot,并提供了一整套解决方案,用于构建分布式系统中的各个微服务。通过使用springcloud,我们可以轻松实现服务注册与发现、负载均衡、断路器、配置中心等功能,简化了微服务开发和管理的复杂度。 springboot是一个基于Spring的轻量级开发框架,它通过开箱即用的原则,提供了一种快速构建应用程序的方式。使用springboot,我们可以简化繁琐的配置,只需少量的代码即可实现一个功能完整的应用程序,并且可以方便地和其他Spring生态的框架进行集成。 OAuth2是一种授权协议,用于保护Web应用程序、移动应用程序和API的资源。通过OAuth2协议,用户可以授权第三方应用程序访问他们的资源,而无需提供他们的密码。它提供了一种安全且可扩展的机制来处理用户身份验证和授权,并且被广泛应用于各种应用程序中。 Spring Security是一个Java框架,用于提供身份验证和访问控制的功能。它可以轻松地集成到Spring应用程序中,提供了一套强大的API和安全策略,用于保护应用程序免受各种攻击,包括身份验证和授权、会话管理、密码加密等。 Redis是一种内存数据存储系统,它以键值对的形式存储数据,并支持多种数据结构,如字符串、列表、集合、有序集合等。Redis具有高速、持久化和可扩展性等特点,可用于缓存、消息队列、分布式锁等各种场景。在使用Spring框架开发时,我们可以使用Redis作为缓存层,提高应用程序的性能和响应速度。 综上所述,Spring Cloud提供了构建和管理微服务的解决方案,Spring Boot简化了应用程序的开发,OAuth2和Spring Security提供了安全和授权的功能,而Redis作为内存数据存储系统,为应用程序提供了可扩展的缓存和数据存储能力。这些技术和框架相互协作,可以帮助开发者更快速、更安全地构建分布式系统。 ### 回答2: Spring Cloud是一个用于构建分布式系统的开发工具包,它提供了多个子项目来解决分布式系统的常见问题,例如服务注册与发现、配置管理、断路器、负载均衡等。Spring Boot是用于简化Spring应用程序开发的工具,它提供了一种自动配置的方式来快速搭建和运行Spring应用。OAuth2是一个开放标准,用于授权访问特定资源,它允许用户使用某个网站的授权信息来访问其他网站上的受保护资源。Spring Security是一个全面的身份验证和授权框架,它提供了一套安全服务,用于保护Web应用程序中的资源。Redis是一个高性能的键值存储系统,它常被用作缓存、队列、消息中间件等。 结合以上几个技术,可以构建一个基于Spring Cloud的分布式系统,使用Spring Boot快速搭建各个服务,使用Spring Security进行身份验证和授权管理。而OAuth2可以用于保护系统中的资源,通过认证服务器进行用户认证和授权,使得只有授权的用户才能访问相应的资源。Spring SecurityOAuth2可以集成使用,通过Spring Security提供的权限管理功能来管理不同角色对资源的访问权限。同时,将Redis作为缓存服务器,可用于提高系统的性能和响应速度。 总之,Spring Cloud、Spring Boot、OAuth2、Spring Security和Redis等技术可以在构建分布式系统时发挥重要作用,帮助我们快速搭建实现各个功能模块,并提供高性能和安全性。 ### 回答3: Spring Cloud是一套基于Spring Boot的微服务框架,它提供了在分布式系统中构建和管理各种微服务的解决方案。它具有服务注册与发现、负载均衡、熔断、服务网关等功能,可以方便地实现微服务架构。 Spring Boot是一个用于快速开发基于Spring框架的应用程序的工具,它简化了Spring应用程序的配置和部署流程。它提供了自动化配置、内嵌服务器、开箱即用的特性,使得我们只需要关注业务逻辑的开发而不用过多关注框架的配置OAuth2是一种开放标准的授权协议,它使得用户可以通过授权的方式将与用户相关的信息共享给第三方应用程序。它使用令牌的方式进行授权,具有安全性高、可扩展性好的优点,常用于实现单点登录和授权管理。 Spring Security是一个用于在Java应用程序中提供身份验证和访问控制的框架。它可以与Spring Boot和Spring Cloud集成,提供了认证、授权、密码加密等功能,帮助我们更好地保护应用程序的安全。 Redis是一种高性能的键值存储系统,它支持多种数据结构,如字符串、列表、哈希表等。它具有高并发读写、持久化、分布式等特点,常用于缓存、消息队列、会话管理等场景。 综上所述,Spring Cloud提供了构建微服务的解决方案,Spring Boot简化了Spring应用程序的开发,OAuth2实现授权管理,Spring Security提供了身份验证和访问控制,而Redis则可以用于缓存和数据存储。这些技术的结合可以帮助我们构建安全、高效的分布式系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨家巨子@俏如来

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值