Spring security Oauth2.0 SSO单点登录实现 Securty 简单讲解

最新推荐文章于 2024-08-01 08:23:29 发布
最新推荐文章于 2024-08-01 08:23:29 发布
阅读量258 收藏
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/Yye0118/p/9994624.html
版权

   因为公司的项目需要一个新开发的单点登录系统,以前从没有接触过登录安全方面的,然后最近这段时间充电学习使用Oauth2.0完成登录和授权,也是在学习完成之后项目搭建好之后写了这篇博客,用来记录学习的收获。

  Oauth2.0协议,相信有需要使用的小伙伴们都已经了解过了,我就不赘述了,下面直接开始单点登录系统的搭建。

 

首先在Spring io上面下载一个Spring boot项目,基于Spring boot的注解能快速的实现我们想要的单点登录,在代码中我会插入一些自己对Spring Sucurity的理解。

    

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>

	<groupId>com.oauthDemo</groupId>
	<artifactId>oauth</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>jar</packaging>

	<name>oauth</name>
	<description>Demo project for Spring Boot</description>

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.0.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
		<mysql.vsrsion>6.0.6</mysql.vsrsion>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security.oauth</groupId>
			<artifactId>spring-security-oauth2</artifactId>
			<version>2.0.14.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-jdbc</artifactId>
		</dependency>
		<!--Druid数据源-->
		<dependency>
			<groupId>com.alibaba</groupId>
			<artifactId>druid</artifactId>
			<version>1.0.19</version>
		</dependency>
		<!--MySql驱动-->
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<version>${mysql.vsrsion}</version>
		</dependency>

	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>


</project>

 

  这是在项目中需要的依赖。

  在这里我们首先讲一个Spring Security的安全验证流程,Spring Security 实现登录和授权实际上是使用的一个过滤器链

  图片是百度Spring Security 过滤器链找到的,我加入了一点自己的理解,将过滤器链简单的归纳一下,让使用者对Spring Security的认证流程有一个简单的概念。

 

  SecurityContextPersistenceFilter:

  在浏览器发起一个请求的时候第一个经过的过滤器,这个过滤器实现的功能是,如果当前的请求中有经过认证的用户信息,就取出来,如果没有经过

用户的认证信息就把自身的存储的用户信息放进去,如果没有用户信息就直接通过。

  FilterSecurityInterceptor:

   从请求中获取认证信息,如果有认证的信息就会放行,如果请求中没有认证过的用户信息,就会抛一个异常,而它左边的ExceptionTranslationFilter 就是捕获整个过滤器链的异常,然后进行不同的操作,如果在FilterSecurityInterceptor 捕获的异常是用户未认证的异常,他就会根据Security的配置引导用户去到登录页面去进行登录操作。

  UsernamePasswordAuthenticationFilter :

  处理来自表单登录的请求,表单必须提供用户名和密码,在配置中,用户还能自己重写登录成功或者失败的Handler方法,来自定义登录成功和失败的处理,在这个过滤器中,会生成一个UsernamePasswordAuthenticationToken这个对象是一个未经过认证的token对象。这个对象中有两个构造方法,一个构造方法是生成未经过认证的token对象,一个是认证完成之后的生成经过认证的token对象。

  BasicAuthenticationFilter:

  这个过滤器和上一个表单的过滤器是一起的,只不过这个是过滤Basic登录请求的。

  RememberMeAuthenticationFiter:

  看前面就能理解这个过滤器的作用,记住我,当登录的表单有记住我这个勾选框,并且这个勾选框的nane要和Spring Security所指定的name一致,在用户登录成功后,这个过滤器就会在浏览器保存一个Cookie,并且在数据表中存储一个token信息和对应的用户名信息,下次打开的时候会先进入这个过滤器,如果浏览器有token的登录信息,并且和数据库中存储的信息对应就会默认是当前这个用户登录,会自动走一遍认证的流程,如果用户正常,不是异常状态,就可以免登陆,实现RememberMe记住我。

  

   上面介绍的几个是Spring Security默认提供的过滤器链,上图中RememberMeAuthenticationFiter下面的过滤器是其他的登录方式的过滤器,但是实际上和表单登录的逻辑是一样,只不过在这样的过滤器中实现的是我们自己定义的登录逻辑。

   经过上面对Security的认证流程简单认知后,我们开始来构建一个简单的授权登录的Oauthor2.0认证服务器。

  

  首先我们在项目目录下新建一个Class,用来当做Security的配置类,虽然Security有默认的配置类,但是如果我们要实现我们自己的逻辑,就必须要自己来配置一些信息。

  

@Configuration
public class webSecurityConfig extends WebSecurityConfigurerAdapter {

    // 查询用户的实现类
    @Autowired
    private UserDetailsService UserServiceImpl;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(UserServiceImpl).passwordEncoder(new BCryptPasswordEncoder());
    }
    /**
     * 功能描述: 如果其他地方想要注入AuthenticationManager的话,这里必须要声明这个Bean
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    /**
     * 这是Security的安全认证策略,默认的是所有请求都可以在授权之后访问
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();
    }
}

 

 

  这是一个非常简单的访问配置,意思是 使用表单登录,所有的请求,都需要经过认证之后才能访问。

  实现的UserDetailsService是Security提供给我们的接口,让我们来自定义用户的登录逻辑。

  

/**
 * @author  by stephen
 * @date  2018/10/18.
 */
@Service
public class UserServiceImpl implements UserDetailsService {

    /**
     *
     * 功能描述: 实现Security中的从数据库中查询对象,这里可以引入操作数据库对象的方式,然后来从数据库中根据用户名
     * 获取你自己的用户对象,然后返回一个Security的UserDetails对象
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User("user","123456",new ArrayList<>());
    }
}

  到这里,简单的Seucirty配置就配置完成了。

  接下来就是Oauth2.0的配置,oauth2.0的配置和Sercurity配置类似,但是需要自己在项目中指定Mysql依赖和配置数据源,这里我就不将数据源的信息贴出来了,使用Oauth2.0在数据库中保存信息的话需要自己新建三张表,这三张表可以百度一下然后自己了解一下。

 

@Configuration
@EnableAuthorizationServer
public class authorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    /**
     *  数据源信息
     */
    @Autowired
    private DataSource dataSource;
    @Autowired
    private TokenStore tokenStore;
    /**
     *  声明TokenStore实现
     */
    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    /**
     * 声明 ClientDetails实现,这里有封装方法进过数据源验证请求提交的数据
     */
    @Bean
    public ClientDetailsService clientDetails() {
        return new JdbcClientDetailsService(dataSource);
    }


    /**
     * oauth2认证的客户端信息,连接的客户端必须要在oauth2中注册过
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService UserServiceImpl;

    @Autowired
    private ClientDetailsService clientDetails;

    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setTokenStore(tokenStore);
        return tokenServices;
    }

    /**
     * 该方法是用来配置Authorization Server endpoints的一些非安全特性的,比如token存储、token自定义、授权类型等等的
     * 默认情况下,你不需要做任何事情,除非你需要密码授权,那么在这种情况下你需要提供一个AuthenticationManager
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
        endpoints.tokenStore(tokenStore());
        endpoints.userDetailsService(UserServiceImpl);
        endpoints.setClientDetailsService(clientDetails);
        endpoints.tokenServices(tokenServices());
        //配置TokenServices参数
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(endpoints.getTokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setClientDetailsService(endpoints.getClientDetailsService());
        tokenServices.setTokenEnhancer(endpoints.getTokenEnhancer());
        tokenServices.setAccessTokenValiditySeconds((int) TimeUnit.DAYS.toHours(1));
    }
}
authorizationServerConfiguration

  最后还要加上资源服务器的配置,这次我们将资源服务器和认证服务器部署在一个项目内,正常来说是需要分开配置的。

@Configuration
@EnableResourceServer
public class resourceServerConfiguration extends ResourceServerConfigurerAdapter {

    /**
     * 资源服务器与授权服务器为一体,此处配置守保护的资源
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers("/user/**")
                .and()
                .authorizeRequests()
                .anyRequest().authenticated();
    }
}

到这里配置就差不多了,我们可以启动项目测试一下。

 首先,我们在Spring boot 的启动类上做一点改造

@SpringBootApplication
@RestController
public class OauthApplication {

    @RequestMapping("/Hello")
    public String HelloOauth(){
        return "成功!";
    }

    public static void main(String[] args) {
        SpringApplication.run(OauthApplication.class, args);
    }
}

然后启动项目,我们访问这个Hello这个地址

 

 Spring Security会自动为我们跳转到登录界面,我们在这个登录界面来输入我们在UserDetailsService中的创建的User对象的用户名和密码点击登录。

 

 

 

  他会自动帮我们跳会我们之前请求的地址,但是实际上我们的这些功能,Spring Security就可以实现了,接下来,我们来搭建两个项目,在这两个项目之间实现单点登录的效果。

 

  在Spring io上面再次导出两个新的项目,加入如下的依赖

  

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.0.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

  客户端的配置其实相当渐变,我们只需要在Application上面加上单点登录的注解,然后让这个启动类可以被访问,来测试一下我们的单点登录

 这是客户端A的

@SpringBootApplication
@EnableOAuth2Sso
@RestController
public class OauthApplication {
    @RequestMapping("/findA")
    public String find(){
        return "Aaaaaaaaaa";
    }

    public static void main(String[] args) {
        SpringApplication.run(OauthApplication.class, args);
    }
}

这是客户端B的

@SpringBootApplication
@EnableOAuth2Sso
@RestController
public class OauthApplication {
    @RequestMapping("/findB")
    public String find(){
        return "BBBBBB";
    }

    public static void main(String[] args) {
        SpringApplication.run(OauthApplication.class, args);
    }
}

然后我们启动之后请求就可以来测试一下是否可以单点登录了

访问A和B都会跳转到认证服务器的登录页面,我们登录其中一个页面:

然后我们返回第一个选项卡的位置,这是请求A的地址,我们重新请求一下A

请求都通过了认证。

到此我们简单的单点登录就完成了。

 

转载于:https://www.cnblogs.com/Yye0118/p/9994624.html

weixin_30338461
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 授权解决方案_基于Spring Security的Oauth2授权实现方法
weixin_42160424的博客
02-27 1099
前言经过一段时间的学习Oauth2,在网上也借鉴学习了一些大牛的经验,推荐在学习的过程中多看几遍阮一峰的《理解OAuth 2.0》,经过对Oauth2的多种方式的实现,个人推荐Spring Security和Oauth2的实现是相对优雅的,理由如下:1、相对于直接实现Oauth2,减少了很多代码量,也就减少的查找问题的成本。2、通过调整配置文件,灵活配置Oauth相关配置。3、通过结合路由组件(如...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
spring security oauth2整合SSO(单点登录)
本郡主是喵
06-20 530
相对于之前spring - security - oauth2 Demo发现,我们a=那个客户端、授权服务器在一个服务器看上述demo,发现我们的客户端服务器,统一访问资源授权用的是授权服务所在的服务器配置。
基于SpringSecurity OAuth2实现单点登录——登录访问应用A后再访问应用B会发生什么呢?
向心行者
06-13 1262
1、环境搭建 2、流程分析    1>、第一次访问应用A(http://localhost:8082/index),因为未登录,经过Spring Security过滤器,会重定向到应用A的登录http://localhost:8082/login。    2>、因为我们启用了应用A的单点登录功能(即在启动类上增加了@EnableOAuth2Sso注解),当我们访问应用A的登录http://localhost:8082/login时,经过单点登录的过滤器,会重定向到授权服务的http://loc
Spring Security Oauth2以及整合sso
weixin_43730516的博客
03-11 799
}注意一定要实现接口,并重写其中的方法JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于通信双方传递json对象,传递的信息经过数字签名可以被验证和信任,JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。
SpringSecurityOauth2+JWT实现单点登录
夙梦-小白的博客
04-17 3156
单点登录的介绍 单点登录(Single Sign On),简称为 SSOSSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 OAuth2 相关解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Clie...
securityoauth2.0相关概述
qq_31671187的博客
01-31 898
oauth2.0security的区别及联系
微服务安全Spring Security Oauth2实战
cc123489ll的博客
06-05 569
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
【开发技术】2万字分析shiro、spring security两大安全框架,spring session,OAuth2 入门级教程
a23452的博客
07-25 3838
SpringBootSpringBoot开发技术 — 应用程序安全,Spring security,ShiroWeb开发中还有一个要点就是应用程序的安全性,比如一般通过登录验证保护用户的个人资源,会员制度将会员和普通用户享用的功能区分,管理系统要进行角色进行相关的权限的管理,安全管理框架: Spring Security和Shiro,Shiro为轻量级,主要就是一个验证器RBAC role based access control 访问控制基于角色,安全管理的实现思路就是前台通过相关的标签进行标记,后台通过
Spring Security 源码分析十一:Spring Security OAuth2 整合 JWT
weixin_42073629的博客
06-02 981
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 1. JWT组成 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security oauth2.0 (讲义+代码)
03-10
本讲义结合代码将深入探讨如何利用Spring Security OAuth2.0 实现这一目标。 首先,OAuth2.0 有四个核心角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器...
简单的 mongoDB 学习
qq_19342829的博客
07-31 497
mongodb入门学习整理
社区养老服务小程序的设计
Karen198的博客
07-31 515
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 1182
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
MySQL备份与恢复
最新发布
m0_74860678的博客
08-01 452
在生产环境中,数据的安全性至关重要任何数据的丢失都可能产生严重的后果造成数据丢失的原因程序错误人为操作错误运算错误磁盘故障灾难(如火灾、地震)和盗窃# 开启二进制日志功能[mysqld]# 重启服务# 有 mysql-bin.000001 就代表成功。
springsecurity oauth2.0 单点 授权
10-17
实现单点登录,您可以使用 Spring SecuritySSO 功能。Spring Security 提供了多种 SSO 实现,包括基于 Cookie 的 SSO 和基于 OAuth2.0SSO。您可以根据您的需求选择适合您的 SSO 实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值