Spring Security Oauth2 ResourceServerConfigurerAdapter (资源服务器配置)

最新推荐文章于 2024-03-21 17:06:39 发布
最新推荐文章于 2024-03-21 17:06:39 发布
阅读量1.3w 收藏 10
点赞数
分类专栏: Spring
原文链接:https://blog.csdn.net/wuzhiwei549/article/details/79815491
版权

ResourceServerConfigurerAdapter (资源服务器配置)

内部关联了ResourceServerSecurityConfigurer 和 HttpSecurity。前者与资源安全配置相关,后者与http安全配置相关

    /**
     * ResourceServerSecurityConfigurer主要配置以下几方面:
     * tokenServices:ResourceServerTokenServices 类的实例,用来实现令牌访问服务,如果资源服务和授权服务不在一块,就需要通过RemoteTokenServices来访问令牌
     * tokenStore:TokenStore类的实例,定义令牌的访问方式
     * resourceId:这个资源服务的ID
     * 其他的拓展属性例如 tokenExtractor 令牌提取器用来提取请求中的令牌。
     */

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        //resourceId 用于分配给可授予的clientId
        // stateless  标记以指示在这些资源上仅允许基于令牌的身份验证
        // tokenStore token的存储方式(上一章节提到)
        resources.resourceId(RESOURCE_ID).stateless(true).tokenStore(tokenStore)
                //authenticationEntryPoint  认证异常流程处理返回
                // tokenExtractor token获取方式,默认BearerTokenExtractor
                // 从header获取token为空则从request.getParameter("access_token")
                .authenticationEntryPoint(authenticationEntryPoint).tokenExtractor(unicomTokenExtractor);
    }

其他属性:
accessDeniedHandler          权失败且主叫方已要求特定的内容类型响应
resourceTokenServices        加载 OAuth2Authentication 和 OAuth2AccessToken 的接口

eventPublisher                     事件发布-订阅  根据异常的clazz触发不同event

 

    @Configuration
    @EnableResourceServer
    protected class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
    /**
     * HttpSecurity配置这个与Spring Security类似:
     * 请求匹配器,用来设置需要进行保护的资源路径,默认的情况下是保护资源服务的全部路径。
     */

        @Override
        public void configure(HttpSecurity http) throws Exception {

            AuthenticationManager oauthAuthenticationManager = oauthAuthenticationManager(http);
            //OAuth2核心过滤器
            resourcesServerFilter = new OAuth2AuthenticationProcessingFilter();
            resourcesServerFilter.setAuthenticationEntryPoint(authenticationEntryPoint);
            //OAuth2AuthenticationManager,只有被OAuth2AuthenticationProcessingFilter拦截到的oauth2相关请求才被特殊的身份认证器处理。
            resourcesServerFilter.setAuthenticationManager(oauthAuthenticationManager);
            if (eventPublisher != null) {
                //同上
                resourcesServerFilter.setAuthenticationEventPublisher(eventPublisher);
            }
            if (tokenExtractor != null) {
                //同上
                resourcesServerFilter.setTokenExtractor(tokenExtractor);
            }
            resourcesServerFilter = postProcess(resourcesServerFilter);
            resourcesServerFilter.setStateless(stateless);

            if (!Boolean.TRUE.toString().equals(apolloCouponConfig.getOauthEnable())) {
                // 不需要令牌,直接访问资源
                http.authorizeRequests().anyRequest().permitAll();
            } else {
                http
                        //.anonymous().disable()  //匿名访问
                        .antMatcher("/**")        //匹配需要资源认证路径
                        .authorizeRequests()
                        .antMatchers("/swagger-ui.html", "/swagger-resources/**",
                                "/v2/api-docs/**", "/validatorUrl","/valid"
                        ).permitAll()            //匹配不需要资源认证路径
                        .anyRequest().authenticated()
                        .and()
                        .addFilterBefore(resourcesServerFilter, AbstractPreAuthenticatedProcessingFilter.class)
                        .exceptionHandling() //添加filter
                        .exceptionHandling().accessDeniedHandler(accessDeniedHandler)  //异常处理
                        .authenticationEntryPoint(authenticationEntryPoint);   //认证异常流程 
            }
        }
    }

accessDeniedHandler  异常 :  令牌不能访问该资源 (403)异常等   

authenticationEntryPoint  异常 : 不传令牌,令牌错误(失效)等

wangooo
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2.0自定义资源服务核心配置——ResourceServer
WannaRunning的博客
12-10 2448
目录 ResourceServerConfigurer ResourceServerConfigurerAdapter 插曲:WebSecurityConfigurerAdapterResourceServerConfigurerAdapter对比 实现ResourceServerConfigurerAdapter类重写方法自定义资源配置 上一篇写了授权服务器配置,在Spring Security OAuth2.0可以把授权服务器(AuthorizationServer)和资源服务器(Reso
Spring Security OAuth2 实现登录互踢的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录互踢的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot oauth2学习(一)
join_null的博客
09-24 752
概述 配置主要只有三个步骤: 1.resourceserver资源服务器配置,负责配置哪些url进行ouath2认证。通过继承ResourceServerConfigurerAdapter进行配置 2.AuthorizationServer授权服务器配置,负责关于token相关的配置。通过继承AuthorizationServerConfigurerAdapter进行配置 3.websec...
Spring Security OAuth2 的 WebSecurityConfigurerAdapterResourceServerConfigurerAdapter
wangooo的博客
02-21 3860
WebSecurityConfigurer 是 springsecurity 框架配置的类 ResourceServerConfigurerAdapteroauth2 框架配置的类 1、Spring Security配置 Java在正常servelet处理http的请求可能会经过很多的filter,大体例子像下面这个: 而spring security又是怎么处理的呢,详见下图: 从图中可以看出spring security自己有一个叫 FilterChainProxy 代理类,该类也实现
SpringSecurity】十六、OAuth2.0授权服务器资源服务器配置(理论部分)
llg___的博客
03-21 1162
授权服务:负责校验接入的客户端、登录的用户账户是否合法,以及颁发token.资源服务:校验token,返回资源信息
2022升级 Spring Security+OAuth2 精讲视频教程
10-25
2022升级 Spring Security+OAuth2 精讲视频教程,一共11章
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-oauth2-2.3.5.RELEASE.pom; 包含翻译后的API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代
ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter同时使用只有ResourceServerConfigurerAdapter生效
l244112311的博客
03-05 6280
1.此处使用的ResourceServerConfigurerAdapterspring-security-oauth2中的,WebSecurityConfigurerAdapterspring-security-config中的; 2.同时使用上面的两种配置的时候,如果两者配种存在重写相同的方法时,后者的会出现配置不生效的问题,比如重写了configure这个方法(参数final不影响) 3.造成这个问题的主要原因其实就是因为两者的默认自动注册的@Order的优先级不同(具体情况请自行参考源码
关于WebSecurityConfigurerAdapterResourceServerConfigurerAdapter区别联系
PYJcsdn的博客
03-14 3274
1、ResourceServerConfigurerAdapter配置为不同的端点(参见antMatchers),而WebSecurityConfigurerAdapter不是。 这两个适配器之间的区别在于,RealServServer配置适配器使用一个特殊的过滤器来检查请求中的承载令牌,以便通过OAuth2对请求进行认证。WebSecurityConfigurerAdapter适配器用于通过会话对用户进行身份验证(如表单登录) 2、WebSecurityConfigurerAdap...
解决Oauth ResourceServerConfigurerAdapterSpringSecurity WebSecurityConfigurerAdapter冲突引发的配置失效问题
slxz001的博客
04-17 2192
Springboot项目中,解决了同时存在ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter配置时,部分自定义配置失效的问题
Spring Security OAuth2配置WebSecurityConfigurerAdapter及与ResourceServerConfigurerAdapter区别(三)
FAIRYTAIL的博客
08-26 5545
上一篇提到通常WebSecurityConfigurerAdapter (spring security配置)和ResourceServerConfigurerAdapter会配合来对url进行访问控制,本篇通过示例细化一下它们两者的使用。
Spring Security Oauth2 之 核心架构配置
热门推荐
vincent
04-04 1万+
gitHub 链接:https://github.com/vincent9309/seurity-oauth2 1ResourceServerConfigurerAdapter资源服务器配置) 内部关联了ResourceServerSecurityConfigurer和HttpSecurity。前者与资源安全配置相关,后者与http安全配置相关 @Override pub...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用Spring Security OAuth2实现单点登录
08-25
在本教程中,我们将讨论如何使用Spring Security OAuthSpring Boot实现SSO - 单点登录。感兴趣的朋友跟随小编一起看看吧
node-v8.15.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Java基础知识总结(超详细整理).txt
05-06
Java基础知识总结(超详细整理)
ISO IEC 27021-2017 信息技术.安全技术.信息安全管理系统专业人员的能力要求.pdf
05-06
ISO IEC 27021-2017 信息技术.安全技术.信息安全管理系统专业人员的能力要求.pdf
2024年中国DFB激光器芯片行业研究报告.docx
05-06
2024年中国DFB激光器芯片行业研究报告
公开整理-ESG视角下的多期DID构建数据集(2009-2022年).xlsx
05-06
详细介绍及样例数据:https://blog.csdn.net/li514006030/article/details/138510939
spring boot 中的oauth资源服务器 配置
08-12
### 回答1: Spring Boot 中的 OAuth 资源服务器配置需要在应用程序的配置文件中添加一些属性,并在应用程序中启用 OAuth 资源服务器。 1. 在配置文件中添加以下属性: - spring.security.oauth2.resource.jwt.key-value: 用于验证 JWT 令牌的公钥或私钥 - spring.security.oauth2.resource.user-info-uri: 用于获取用户信息的 URI 2. 在应用程序中启用 OAuth 资源服务器: - 在主类中添加 @EnableResourceServer 注解 - 在配置类中添加 @EnableAuthorizationServer 注解 3. 配置安全配置类,在这个类中添加配置信息 参考代码: ``` @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Value("${spring.security.oauth2.resource.jwt.key-value}") private String jwtKeyValue; @Value("${spring.security.oauth2.resource.user-info-uri}") private String userInfoUri; @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.resourceId("resource-server-rest-api").tokenStore(tokenStore()); } @Bean public TokenStore tokenStore() { return new JwtTokenStore(jwtTokenEnhancer()); } @Bean protected JwtAccessTokenConverter jwtTokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey(jwtKeyValue); return converter; } @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").authenticated() .and() .requestMatcher(new OAuthRequestedMatcher()); } private static class OAuthRequestedMatcher implements RequestMatcher { public boolean matches(HttpServletRequest request) { String auth = request.getHeader("Authorization"); // Determine if the client request contained an OAuth Authorization boolean haveOauth2Token = (auth != null) && auth.startsWith("Bearer"); boolean haveAccessToken = request.getParameter(" ### 回答2: Spring Boot中的OAuth资源服务器配置是通过添加相关依赖和配置文件来实现的。 首先,我们需要在项目的pom.xml文件中添加Spring SecuritySpring Security OAuth2的依赖,例如: ``` <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId> </dependency> </dependencies> ``` 然后,我们需要在项目的配置文件(例如application.yml)中配置相关的OAuth2资源服务器属性,例如: ``` spring: security: oauth2: resourceserver: jwt: issuer-uri: <身份验证服务器的URL> ``` 在上述配置中,我们需要指定身份验证服务器的URL,它将用于验证和解析传入的JWT令牌。 接下来,我们可以创建一个类来配置资源服务器的行为,例如: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated(); } } ``` 在上述示例中,我们使用@EnableResourceServer注解启用资源服务器,并指定了访问权限规则。在这个例子中,我们允许/public路径下的请求被所有人访问,其他任何请求都需要通过身份验证。 最后,我们可以使用@RestController注解创建一个简单的REST控制器来演示资源服务器的功能,例如: ```java @RestController public class HelloController { @GetMapping("/hello") public String hello() { return "Hello, World!"; } } ``` 这样,我们就可以使用OAuth2的令牌来访问该控制器所暴露的资源。 综上所述,通过添加依赖、配置属性和编写相关配置类,我们可以在Spring Boot中配置OAuth资源服务器。 ### 回答3: 在Spring Boot中配置OAuth资源服务器包括以下步骤: 1. 添加必要的依赖:在pom.xml文件中添加Spring Security OAuth2依赖。例如,可以添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> </dependency> ``` 2. 创建一个配置类:创建一个@Configuration注解的配置类,并使用@EnableResourceServer注解启用资源服务器。例如: ``` @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").authenticated() .anyRequest().permitAll(); } @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources.resourceId("my-resource-id"); } } ``` 3. 配置访问权限:使用HttpSecurity配置http的请求权限。在上述示例中,`/api/**`路径的请求需要进行身份验证。可以根据实际情况配置其他路径和权限。 4. 配置资源ID:使用ResourceServerSecurityConfigurer配置资源服务器资源ID。资源ID可以是任何唯一标识符,用于标识受保护的资源。 以上是基本的OAuth资源服务器配置步骤。配置完成后,可以使用OAuth2的授权服务器进行认证,并使用访问令牌对受保护的资源进行访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值