使用 Spring Boot 和 Spring Security 轻松实施 OAuth 2.0

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量127 收藏
点赞数
文章标签: spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vvoennvv/article/details/133849835
版权

OpenID Connect 和 OAuth 2.0 三分钟概述
一开始,有一些孤立的网站,彼此之间不进行交流,这很令人难过。

Yelp 等网站开始想要访问您在 Google 通讯录中的联系信息。因此,Yelp 自然会收集您的 Google 用户名和密码,以便它可以访问您的联系人。您已授予 Yelp 许可,所以这一切都很好,是吗?不!

通过您的用户名和密码,Yelp 可以访问您的电子邮件、您的文档——您在 Google 中拥有的一切——而不仅仅是您的联系人。而且,更糟糕的是,Yelp 必须以可以明文使用的方式存储您的密码,并且没有标准方法可以撤销您对 Yelp 访问您的 Google 帐户的同意。

我们需要一个授权框架,允许您在不放弃密码的情况下授予对某些信息的访问权限 - 提示 OAuth。

您可能还喜欢:OAuth 到底是什么?
经过三次修订后,我们迎来了 OAuth 2.0(之前有 1.0 和 1.0a),世界一切都好。现在,像 Yelp (a ) 这样的应用程序 可以从像 Google (an ) 这样的服务 Client Application请求 。Access TokenAuthorization Server

您(  Resource Owner)使用您的凭据登录 Google,并将您的凭据提供 Consent给 Yelp 以访问您的联系人(并且仅限您的联系人)。 Access Token在手中,Yelp 向 Google Contacts API (the ) 发出请求 Resource Server并获取您的联系人。Yelp 永远不会看到您的密码,也绝不会访问您同意之外的任何内容。而且,您可以随时撤回您的同意。

在这个同意和授权的新世界中,只缺少一件事:身份。提示 OpenID 连接。OIDC 是 OAuth 2.0 之上的一个薄层,它引入了一种新型令牌:身份令牌。有关经过身份验证的用户的信息以JWT格式编码在这些加密签名令牌中 。这为互操作性和单点登录的新水平打开了大门。

OAuth(以及扩展的 OIDC)使用许多定义 来管理、 和 之间 Flows的交互 。在这篇文章中,您将重点关注 . 此流程应从您的浏览器启动,如下所示:Client AppAuthorization ServerResource ServerAuthorization Code Flow

Yelp 想要访问您的联系人。它提供了一个链接您的 Google 通讯录的按钮。
单击该按钮后,您将被重定向到 Google,并使用您的用户名和密码登录(如果您尚未登录)。
Google 会向您显示一个屏幕,告诉您 Yelp 想要对您的联系人进行只读访问。
一旦您同意,Google 就会通过您的浏览器重定向回 Yelp,并提供一个临时代码(称为授权代码)。
使用此代码,Yelp 联系 Google 以将其交易为访问令牌。
Google 会验证代码,如果全部检查通过,则会向 Yelp 颁发具有有限功能(对您的联系人的只读访问权限)的访问令牌。
然后,Yelp 向 Google Contacts API 提供访问令牌。
Google Contacts API 会验证令牌,如果请求与令牌标识的功能匹配,则将您的联系人列表返回给 Yelp。
OAuth 2.0 和 Spring Boot
Spring 框架已经 诞生 17 年了。Spring 框架及其包含的许多项目(如 Spring Security)非常庞大。

可以公平地说,Spring 及其许多项目的核心引擎是配置。Spring Boot 将“约定优于配置”的概念带入 Spring 世界,以便您可以快速启动并运行可投入生产的应用程序。它通过固执己见的自动配置系统(您可以根据需要覆盖该系统)来实现此目的。

Spring Security正式化了 Spring 框架中的身份验证和授权方法。

OAuth 和 OIDC 非常适合 Spring Security 构造,并且在最新版本的 Spring Boot( 撰写本文时的 版本2.1.3 )和 Spring Security(撰写本文时的版本5.1.4 )中,这些标准现在是第一个级公民。

如果您一直使用 Spring Boot 1.5.x 进行OAuth和 OIDC,则需要做一些迁移工作才能进入 Spring Boot 2.1.x 的新世界,但这是值得的。

在迁移路径中演练的示例代码中,您将与 Okta 的 OAuth 和 OIDC 服务集成。但是,您可以针对任何符合 OAuth 和 OIDC 的提供商遵循本指南。

配置 OpenID 连接
Okta 让您可以轻松地为您的应用程序配置 OIDC 和 OAuth 2.0。您所要做的就是提供一些基本信息,Okta 会完成所有繁重的工作。这是 OaaS!(OAuth 即服务)。

使用 OIDC 和 OAuth 2.0 设置 Okta,以获取 代码中的 Spring Boot 示例。您只需执行一次此配置即可在三个代码示例中的每一个中使用。

首先,创建一个免费的开发人员 Okta 组织。按照说明激活您的组织。

在 Okta 中创建 OIDC 应用程序
单击 ApplicationsOkta 管理 UI 菜单中的。

单击 Add Application并单击该 Web选项。

单击 Next。输入 Name应用程序的 a。将 的值更改为 Login Redirect URIs:  http://localhost:8080/login/oauth2/code/okta。添加另一个登录重定向 Uri:  http://localhost:8080/login。保留所有其他默认值。

注意:您添加两个不同的登录重定向 uri 以支持不同版本的 Spring Boot。在 2.1.x 版本中,您可以使用: http://localhost:8080/login/oauth2/code/okta.

单击 Done。向下滚动并捕获 Client ID和 Client Secret值。

就是这样!四个步骤。还不错。

玩 Spring Boot OpenID Connect 和 OAuth 2.0 游戏
该 代码示例分为三个 Maven 模块:  oauth2-demo-1.5、 oauth2-demo-2.1和 okta-oauth2-demo-2.1。这些是完全封闭的示例,它们之间没有父关系。他们每个人都有适合 spring-boot-starter-parent该示例的版本。这使得 pom.xml文件比必要的更加冗长,但它使得您可以完全独立地运行每个版本的 Client Application和每个版本的 Resource Server。您甚至可以为每个版本使用不同的 JVM 版本。

每个版本的示例代码都有四个主要文件

pom.xml- 识别依赖关系
application.yml- OIDC 和 OAuth 所需的配置
DemoApplication.java- 客户端应用程序
DemoResourceServer.java- 资源服务器
在每种情况下,我都设定了一个目标,即最大限度地减少依赖项、配置和注释来完成工作。此外,应用程序代码、控制器代码和配置代码被人为地包含在单个文件中。这是为了保持示例清晰简洁。在实际应用程序中,您可以将这些关注点分成各自的类。

当您启动 时 DemoApplication,它将监听 http://localhost:8080。当您启动 时 ResourceServer,它将监听 http://localhost:8081。

千源万码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
angular-spring-boot-oidc:使用Spring Boot作为后端和OIDC IdP的Angular 2+示例项目
04-04
角弹簧靴OIDC 使用Spring Boot作为后端和OIDC IdP的Angular 2+示例项目。 该示例具有一些虚拟登录/登录系统,在资源服务器上具有单个受保护的api调用。 前端 Angular的相关人员深受这篇文章的启发: 和这两个项目: 后端 Spring部分受构建资源服务器的此示例项目的影响: 已在此处的迁移指南中提供: :
SpringBoot集成Oauth2.0(密码模式)
m0_71817461的博客
07-03 4117
SpringBoot集成Oauth2.0(密码模式)
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1628
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
搭建一个基于SpringBoot的OIDC客户端
Forget_Re的博客
11-18 1935
基于SpringBoot的OIDC客户端demo
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 5248
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring SecurityOAuth2.0模块来实现授权验证。
SpringBoot OAuth2.0认证管理流程详解
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
Spring boot 入门教程-在Spring Security+Oauth2
m0_69526738的博客
04-28 830
@Autowired @Qualifier(“authenticationManagerBean”) private AuthenticationManager authenticationManager; @Autowired @Qualifier(“dataSource”) private DataSource dataSource; @Autowired private UserDetailsService userDetailsService; @Bean public TokenStore tok
Spring Boot 2.0 整合 Spring Security Oauth2
郑龙飞
04-29 1万+
是金子在哪都会发光的——每个说这句话的人都误以为自己是金子。 前言在Spring Security源码分析十一:Spring Security OAuth2整合JWT中,我们使用Spring Boot 1.5.6.RELEASE版本整合Spring Security Oauth2实现了授权码模式、密码模式以及用户自定义登录返回token。但更新至Spring Boot 2.0.1.RELEASE版本
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security ...该示例展示了如何使用 Spring Security Oauth2.0 实现短信验证码登录功能,提供了灵活的身份验证机制和强大的安全功能。
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
spring-boot spring-security-oauth2 完整demo
11-22
在这个完整的demo中,开发者已经构建了一个使用Spring BootSpring SecurityOAuth2的系统。关键在于如何配置OAuth2以实现微信式授权。微信授权流程通常包括以下步骤: 1. 用户访问应用,应用重定向至微信授权...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
springboot整合springsecurity+oauth2.0密码授权模式
qq_45072555的博客
01-15 6987
本文采用的springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
SpringBoot整合OAuth2
xwnxwn的专栏
10-03 2073
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到黑马程序员的网站。完全是A服务与B服务内部的交互,与用户无关了。第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
SpringBoot整合OAuth 2.0
xjj1040249553的专栏
08-20 2864
OAuth 2.0为OAuth的协议的延续版本,是一个关于授权的开放网络标准,在全世界得到广泛应用。基于OAuth 2.0授权有一下几个特点:1、安全:平台商无需使用用户的用户名与密码就可以申请获得该用户资源的授权;2、开放:任何消费方都可以使用 OAuth 认证服务,任何服务提供方 ( Service Provider) 都可以实现自身的 OAuth 认证服务。3、简单:不管是消费方还是服务提供...
Spring Boot中整合Keycloak OpenID Connect(OIDC)
canduecho的专栏
08-13 1232
这些步骤仅提供了一个基本的整合指南。确保在整合Keycloak OIDC时,参考Keycloak和Spring Boot的官方文档,以便获得更详细的信息和最佳实践。- 在Spring Boot的配置文件中,添加Keycloak相关的配置,包括Realm、Client ID、Client Secret等。- 在Keycloak管理员控制台中创建一个新的Realm,用于管理你的应用程序的身份验证和授权。- 在你的应用程序中,你可以使用Spring Security的注解来保护需要认证的资源。
Spring Boot中集成Okta OIDC登录
禅与计算机程序设计艺术
10-11 1679
在互联网企业当中,单点登录(Single Sign On)是实现用户认证和授权的重要方式之一。 OpenID Connect (OIDC) 是 OAuth 2.0 的一个分支协议,它将身份认证和授权委托给第三方提供商(Identity Provider)。因此,通过集成 Okta OIDC ,应用程序可以实现统一认证和授权管理,从而简化企业应用程序的访问控制和安全策略的管理。 本文将阐述如何使用 Spring Boot 在开发过程中集成 Okta OIDC 来完成用户认证和授权。
Spring Boot 最新版3.x 集成 OAuth 2.0实现认证授权服务、第三方应用客户端以及资源服务
热门推荐
太空眼睛的专栏
02-05 1万+
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务Spring发布了spring-security-oauth2-authorization-se
Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1
05-17
OAuth2.0是一种常用的认证授权机制,Spring SecuritySpring框架中的安全模块,可以实现OAuth2.0认证。本文将介绍如何利用Spring Boot 2.0和Spring Security实现简单的OAuth2.0认证方式1。 1. 添加依赖 在项目的pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> ``` 其中,spring-boot-starter-securitySpring Boot中包含Spring Security的依赖,spring-security-oauth2是Spring Security中实现OAuth2.0的依赖。 2. 配置Spring SecuritySpring Boot应用中,可以通过application.properties或application.yml文件来配置Spring Security。在本文中,我们将使用application.yml文件来配置Spring Security。 ``` spring: security: oauth2: client: registration: custom-client: client-id: custom-client-id client-secret: custom-client-secret authorization-grant-type: authorization_code redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}' scope: - read - write provider: custom-provider: authorization-uri: https://custom-provider.com/oauth2/auth token-uri: https://custom-provider.com/oauth2/token user-info-uri: https://custom-provider.com/userinfo user-name-attribute: sub ``` 其中,我们定义了一个名为custom-client的OAuth2.0客户端,它的客户端ID和客户端密钥分别为custom-client-id和custom-client-secret,授权方式为authorization_code,重定向URI为{baseUrl}/login/oauth2/code/{registrationId},授权范围为read和write。 同时,我们定义了一个名为custom-provider的OAuth2.0提供者,它的授权URI、令牌URI、用户信息URI和用户名属性分别为https://custom-provider.com/oauth2/auth、https://custom-provider.com/oauth2/token、https://custom-provider.com/userinfo和sub。 3. 配置OAuth2.0登录 在Spring Security中,可以通过配置HttpSecurity对象来定义登录、授权等行为。在本文中,我们将使用configure方法来配置HttpSecurity对象。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .loginPage("/login") .defaultSuccessURL("/dashboard") .and() .logout() .logoutSuccessUrl("/") .permitAll(); } } ``` 其中,我们使用了authorizeRequests方法来设置授权规则,任何请求都需要进行认证,除了根路径和home路径。我们还使用oauth2Login方法来设置OAuth2.0登录的相关配置,包括登录页面、默认成功URL等。最后,我们使用了logout方法来设置登出的相关配置,包括成功URL等。 4. 配置用户信息 在OAuth2.0认证中,用户信息通常由OAuth2.0提供者来维护。在Spring Security中,可以通过实现UserInfoRestTemplateFactory接口来获取用户信息。 ``` @Configuration public class OAuth2Config { @Bean public OAuth2UserService<OAuth2UserRequest, OAuth2User> oAuth2UserService() { return new DefaultOAuth2UserService(); } @Bean public UserInfoRestTemplateFactory userInfoRestTemplateFactory() { return new CustomUserInfoRestTemplateFactory(); } } ``` 其中,我们使用了DefaultOAuth2UserService来获取用户信息,同时使用了CustomUserInfoRestTemplateFactory来创建RestTemplate对象。 5. 编写测试 最后,我们可以编写一个简单的测试来验证OAuth2.0认证是否生效。 ``` @RunWith(SpringRunner.class) @SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT) @AutoConfigureMockMvc public class OAuth2Test { @Autowired private MockMvc mockMvc; @Test public void testOAuth2Login() throws Exception { mockMvc.perform(get("/login")) .andExpect(status().isOk()) .andExpect(content().string(containsString("Login with custom-provider"))) .andReturn(); } } ``` 在测试中,我们使用MockMvc对象模拟访问/login路径,期望返回200状态码,并且页面内容中包含“Login with custom-provider”的字符串。 至此,我们已经成功地利用Spring Boot 2.0和Spring Security实现了简单的OAuth2.0认证方式1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千源万码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值