使用Spring Security Oauth2完成RESTful服务password认证的过程

最新推荐文章于 2024-08-30 14:13:47 发布
最新推荐文章于 2024-08-30 14:13:47 发布
阅读量102 收藏
点赞数
文章标签: 测试 数据库 web.xml
原文链接:http://www.cnblogs.com/wgp13x/p/4626026.html
版权
          摘要:Spring Security与Oauth2整合步骤中详细描述了使用过程 ,但它对于入门者有些重量级,比如将用户信息、ClientDetails、token存入数据库而非内存 。配置过程比较复杂,经过几天时间试验终于成功,下面我将具体的使用 Spring Security Oauth2完成password认证的过程记录下来与大家分享。
        关键字: HTTP Authentication, rest, spring security , spring mvc
        前提:IntelliJ IDEA ( 13.1.5 版本),  apache maven  3.2.3 版本),  Tomcat(7.0.56版本), Spring(3.2.4版本),  spring-security-oauth2(2.0.7 版本
 
 
一、首先需要使用Spring MVC完成RESTful API的发布,这一步骤的详细情况可见我的另一博文:应用Spring MVC 发布restful服务是怎样的一种体验
二、在/webapp/WEB-INF/web.xml文件中添加相应的filter: org.springframework.web.filter.DelegatingFilterProxy mapping ,具体如以下所示。
<?xml version= "1.0"  encoding= "UTF-8" ?>
<web-app xmlns= "http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi= "http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation= "http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version= "3.1" >
    <filter>
        <filter- name >springSecurityFilterChain</filter- name >
        <filter- class >org.springframework.web.filter.DelegatingFilterProxy</filter- class >
    </filter>
    <filter-mapping>
        <filter- name >springSecurityFilterChain</filter- name >
        < url -pattern>/*</ url -pattern>
    </filter-mapping>

    <context- param >
        < param - name >contextConfigLocation</ param - name >
        < param - value >
            /WEB-INF/security.xml
        </ param - value >
    </context- param >
    <listener>
        <listener- class >org.springframework.web.context.ContextLoaderListener</listener- class >
    </listener>

    <servlet>
        <servlet- name >restful</servlet- name >
        <servlet- class >org.springframework.web.servlet.DispatcherServlet</servlet- class >
        <load-on-startup> 1 </load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet- name >restful</servlet- name >
        < url -pattern>/</ url -pattern>
    </servlet-mapping>
</web-app>
三、在上一步的web.xml文件中可以看到,Spring需要加载 /WEB-INF/下的security.xml文件,因此我们在 /WEB-INF/下创建 security.xml文件,其主要内容如下所示。这里比 使用Spring Security完成RESTful服务用户认证中的 security.xml文件配置要复杂得多(见我之前的博文: 使用Spring Security完成RESTful服务用户认证的过程 )。注意,这里的配置文件中的  <security:http pattern= "/abcs/**" <security:intercept- url  pattern= "/abcs/**"  access= "ROLE_ABCS" />  access必须指定一个角色名称,使用  use-expressions= "true"  isAuthenticated() 这里是不允许的。因此,我们需要在 实现UserDetails接口、实现 getAuthorities()方法时返回 此角色名称,在拥有此角色的用户认证通过后,才可以访问/abcs/**资源。
<?xml version= "1.0" encoding= "UTF-8" ?>
<beans xmlns= "http://www.springframework.org/schema/beans"
       xmlns:xsi= "http://www.w3.org/2001/XMLSchema-instance"
       xmlns:oauth2= "http://www.springframework.org/schema/security/oauth2"
       xmlns:mvc= "http://www.springframework.org/schema/mvc"
       xmlns:security= "http://www.springframework.org/schema/security"
       xsi:schemaLocation= "http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd http://www.springframework.org/schema/security/oauth2  http://www.springframework.org/schema/security/spring-security-oauth2.xsd" >

    <mvc:annotation-driven/>
    <mvc:default-servlet-handler/>

    <bean id = "tokenStore" class = "org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore" />
    <bean id = "tokenServices" class = "org.springframework.security.oauth2.provider.token.DefaultTokenServices" >
        <property name = "tokenStore" ref= "tokenStore" />
        <property name = "supportRefreshToken" value = "true" />
        <!--<property name="clientDetailsService" ref="clientDetailsService"/>-->
    </bean>
    <bean id = "clinetAuthenticationEntryPoint"
          class = "org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />
    <bean id = "accessDeniedHandler"
          class = "org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />
    <bean id = "userApprovalHandler"
          class = "org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" />

    <!--client-->
    <bean id = "clientDetailsService" class = "com.anqi.dp.controllers.MyClientDetailsService" />
    <bean id = "clientDetailsUserDetailsService"
          class = "org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService" >
        <constructor-arg ref= "clientDetailsService" />
    </bean>
    <bean id = "clientCredentialsTokenEndpointFilter"
          class = "org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter" >
        <property name = "authenticationManager" ref= "clientAuthenticationManager" />
    </bean>
    <security:authentication-manager id = "clientAuthenticationManager" >
        <security:authentication-provider user-service-ref= "clientDetailsUserDetailsService" />
    </security:authentication-manager>
    <oauth2:authorization-server client-details-service-ref= "clientDetailsService" token-services-ref= "tokenServices"
                                 user-approval-handler-ref= "userApprovalHandler" >
        <oauth2:authorization- code />
        <oauth2:implicit/>
        <oauth2:refresh-token/>
        <oauth2:client-credentials/>
        <oauth2:password/>
    </oauth2:authorization-server>
    <security:http pattern= "/oauth/token" create-session= "stateless"
                   authentication-manager-ref= "clientAuthenticationManager" >
        <security:anonymous enabled = "false" />
        <security:http-basic entry-point-ref= "clinetAuthenticationEntryPoint" />
        <security:custom-filter ref= "clientCredentialsTokenEndpointFilter" before= "BASIC_AUTH_FILTER" />
        <security:access-denied-handler ref= "accessDeniedHandler" />
    </security:http>
     <!--client-->
     <!--user-->
    <bean id = "userService" class = "com.anqi.dp.controllers.UserService" />
    <security:authentication-manager alias= "authenticationManager" >
        <security:authentication-provider user-service-ref= "userService" >
            <!--<security:password-encoder hash="md5"/>-->
        </security:authentication-provider>
    </security:authentication-manager>
     <!--user-->

    <oauth2:resource-server id = "mobileResourceServer" resource- id = "mobile-resource" token-services-ref= "tokenServices" />
    <bean id = "accessDecisionManager" class = "org.springframework.security.access.vote.UnanimousBased" >
        <constructor-arg>
            <list>
                <bean class = "org.springframework.security.oauth2.provider.vote.ScopeVoter" />
                <bean class = "org.springframework.security.access.vote.RoleVoter" />
                <bean class = "org.springframework.security.access.vote.AuthenticatedVoter" />
            </list>
        </constructor-arg>
    </bean>
    <security:http pattern= "/abcs/**" create-session= "never" entry-point-ref= "clinetAuthenticationEntryPoint"
                   access-decision-manager-ref= "accessDecisionManager" >
        <security:anonymous enabled = "false" />
        <security:intercept- url pattern= "/abcs/**" access= "ROLE_ABCS" />
        <security:custom-filter ref= "mobileResourceServer" before= "PRE_AUTH_FILTER" />
        <security:access-denied-handler ref= "accessDeniedHandler" />
    </security:http>

</beans>
四、当然要新建com.anqi.dp.UserService类了,其在 security.xml文件中配置其为 authenticationManager authentication-provider。 com.anqi.dp.UserService类实现自UserDetailsService接口,它需要实现一loadUserByUsername方法,在实现此方法的过程中,又需要新建MyUserDetails类来实现UserDetails接口。实现 loadUserByUsername方法时,可以自己依需要从关系数据库、NoSQL 或者其它存放用户信息的地方获取。示例代码可以查看 之前的博文: 使用Spring Security完成RESTful服务用户认证的过程  图1 UserService示例及用户名密码登陆 。注意,因为配了 access= "ROLE_ABCS" ,因此需要   在拥有相应角色的用户 getAuthorities()方法内返回 此角色名称: SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority("ROLE_ABCS"); 。
还要新建com.anqi.dp.MyClientDetailsService类,其 security.xml文件中配置其为 clientAuthenticationManager authentication-provider。 com.anqi.dp.MyClientDetailsService类实现自 ClientDetailsService接口 ,它需要实现一loadClientByClientId方法,在实现此方法的过程中,又需要新建MyClientDetails类来实现ClientDetails接口。实现 loadClientByClientId 方法时,可以自己依需要从关系数据库、NoSQL 或者其它存放客户端信息的地方获取。示例代码可以查看 图1  MyClientDetailsService 示例及token获取。注意, 这里的 getAuthorities()方法对 配的 access= "ROLE_ABCS"  没有影响。
 
  图1  MyClientDetailsService 示例及token获取
五、经过以上的步骤,我们就可以进行RESTful服务发布了,发布成功后,需要进行用户认证的试验。
1、如图1  MyClientDetailsService 示例及token获取 所示,我们使用REST Client工具对  http://127.0.0.1:8088/restfulservice/oauth/token  路径发出POST请求,其中需要在Request Parameters中添加client_id、client_secret、grant_type与user_name、password键值对。 如此, 即进行了模拟的通过用户名密码获取token的过程 。图2中是client认证失败时的Response,我将client_secret更改后的结果。图3是user认证失败时的 Response,我将password更改后的结果。 图4是认证成功时的 Response。可以看出,在认证成功时的 Response中存在access_token字段,这就是我们获取到的token
 
 
图2 client认证失败
 
图3 user认证失败
 
 
 
图4 认证成功
 
 
2、我们在认证成功的条件下,使用上面步骤中返回的 access_token   http://localhost:8088/restfulservice/abcs/6?access_token=a7f3e13e-cbb0-417d-a9f8-9764d11db00f   进行 GET 请求,即可以成功得到返回结果, 我是使用浏览器进行HTTP请求的 。(具体的逻辑使用Spring MVC的Control完成,见我之前的博文:)。在调试时,可以看到每次请求,进入对应Controller后,代码均会转入 UserDetails的String getUsername()方法中。
如果对请求路径里的 access_token值 稍作修改,如再   http://localhost:8088/restfulservice/abcs/6?access_token=a7f3e13e-cbb0-417d-a9f8-9764d11db008   进行 GET 请求,则返回不到正确结果,如图5所示,即返回Invalid access token错误。
 
图5  带正确的access_token值请求返回的结果
 
 
 
图6 带不正确的access_token值请求返回的结果
 
 
如果删除access_token,不带 access_token值对 http://localhost:8088/restfulservice/abcs/6  进行GET请求时,返回的错误信息如图7所示。
 
图7 不带 access_token值请求返回的结果
 
 
这就说明,我们的用户认证配置达到了预期效果。
 

最近有各种之前没有碰到过的问题、技术,有时间整理好分享给大家。



转载于:https://www.cnblogs.com/wgp13x/p/4626026.html

weixin_30740581
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring SecuritySpring Cloud OAuth2 技术栈对比分析
禅与计算机程序设计艺术
09-14 2348
目前随着互联网应用的发展,安全问题也日益突出。越来越多的人选择前沿的技术框架来构建他们的产品和服务。其中,Spring Security是一个开源的基于Java开发的安全框架,它提供身份验证、授权和访问控制功能。Spring Cloud则是一个微服务架构下的一站式云端开发平台。本文将从安全架构的角度,探讨Spring SecuritySpring Cloud OAuth2两种不同的安全技术方案。
Spring Security OAuth2 概念及实战:OAuth2 是一种用于授权第三方应用访问某些受保护
禅与计算机程序设计艺术
08-05 1424
OAuth(开放授权)是一个开放标准,它允许用户提供一个标识符让应用得以安全地请求特定的服务(如照片,视频或联系人数据)。该标准由 IETF 管理,并得到了行业的广泛支持。OAuth 允许用户直接授权给第三方应用其需要的权限,而无需将用户名和密码等敏感信息暴露给这些应用。OAuth2 是 OAuth 的最新版本,具有更好的安全性、更强的可伸缩性和易用性。它允许第三方应用获得仅限特定资源的访问权,并且不会向资源所有者授予超过所需的权限。
使用Spring SecurityOAuth2实现RESTful服务安全认证
zw456的专栏
11-05 1万+
使用Spring SecurityOAuth2实现RESTful服务安全认证    这篇教程是展示如何设置一个OAuth2服务来保护REST资源. 源代码下载github. 你能下载这个源码就开始编写一个被OAuth方法保护的服务。该源码包含功能: * 用户注册和登录 * Email验证 * Password 丢失 采取的技术有以下: * OAuth2 Protoc
Spring SecurityOAuth2实现RESTful服务安全认证
yueguanyun的专栏
08-04 2886
Spring SecurityOAuth2实现RESTful服务安全认证 转自:http://blog.csdn.net/l241002209/article/details/37518869 这篇教程是展示如何设置一个OAuth2服务来保护REST资源. 源代码下载github. (https://github.com/iainporter/oauth2-provider)你能下载
spring-security-oauth2 (二十八) RBAC权限控制
codeing-tiger
05-07 4426
一般的内部管理系统,权限比较复杂,通常权限都是动态配置的,也就是下面我们要讲的的rbac模型 RBAC 详细原理请度娘,这里只是涉及到企业权限的功能级权限,数据级权限还要我们自己控制(用户只能看见它相关的业务表数据) Spring Security中支持我们自定义的实现,就像这样调用,下面我们来代码实现 config.anyRequest().access("@rbacS...
Password Manager Pro密码管理:完美的特权管理策略必备8要素
ITmoster的博客
01-19 714
Password Manager Pro密码管理:完美的特权管理策略必备8要素 专家们一致认为:实施特权帐户管理(PAM)是组织机构的首要安全项目之一。鉴于此观点,每位IT负责人都应关注以下八点内容,以有效推进PAM的实施。 1、集中管理所有特权帐户 运行一个全自动程序,定期扫描您的网络,检测新帐户并将其添加到一个中心存储库。 为防止非法授权访问, 应使用诸如AES-256等加密算法来增强存储库的...
spring security oauth2 基于 RBAC 的自定义认证
qq_44758028的博客
07-19 1420
基于 RBAC 的自定义认证 概述 在实际开发中,我们的用户信息都是存在数据库里的,本章节基于 RBAC 模型 将用户的认证信息与数据库对接,实现真正的用户认证与授权 操作流程 继续 基于 JDBC 存储令牌 章节的代码开发 初始化 RBAC 相关表 在数据库中配置“用户”、“角色”、“权限”相关信息 数据库操作使用 tk.mybatis 框架,故需要增加相关依赖 配置 Web 安全 配置使用...
filter java oauth_使用Spring SecurityOAuth2实现RESTful服务安全认证
weixin_36005427的博客
12-24 177
Spring专题使用Spring SecurityOAuth2实现RESTful服务安全认证这篇教程是展示如何设置一个OAuth2服务来保护REST资源. 源代码下载github. 你能下载这个源码就开始编写一个被OAuth方法保护的服务。该源码包含功能:* 用户注册和登录* Email验证* Password 丢失采取的技术有以下:*OAuth2 Protocol* Spring Secur...
spring security 5 oauth2认证服务器开发
热门推荐
qq_35425070的博客
02-05 1万+
原文地址 spring security 相关技术选型: 由于 spring security 使用广度不及 spring boot,且 spring 这两年废弃了许多项目,spring 的术语和称呼都有一些改变。 网上看到的一些教程大多是过时的,2019年之前的文章、教程大都跟不上最新的潮流,2019的文章和教程大部分又是转载的前几年的,因此需要看 spring 官方文档。 由于 spring ...
spring security oauth2整合的代码汇总,一共包括5个资料
01-26
这个项目可能是 Spring Boot 中的 OAuth2 整合示例,展示了如何使用 Spring Security OAuth2 在 Spring Boot 应用中实现认证和授权。我们可以从中了解如何配置启动器、创建权限角色、定义资源服务器以及设置客户端...
Spring Security OAuth2.0
06-19
在实际项目中,Spring Security OAuth2.0 常用于构建RESTful API的安全层,保护移动应用、Web应用以及后台服务之间的通信。 通过理解和掌握Spring Security OAuth2.0,开发人员能够构建安全、灵活的认证和授权系统...
构建一个安全可靠的身份认证中心和资源服务中心:SpringSecurity+OAuth2.0的完美结合(一)
凛鼕将至的博客
01-24 1104
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
深入理解restfulAPI和 Oauth2.0(精简版)
weixin_30886233的博客
08-25 278
一、restfulAPI 1、解释: restfulAPI协议,我们也可以说是一套API接口编写风格。 它被现在很多企业所认可和默认,是一套成俗的API接口编写方案。 2、restfulAPI之资源 例一: https://www.xifl.com/users/1 在PHP中,我们对数据表操作,我们会在我们的项目中构建一个model,通过控制器对model来实现基本的增删...
软件测试学习笔记丨Pytest配置文件
ceshiren_com的博客
08-27 2411
pytest.ini是pytest的配置文件;可以修改pytest的默认行为;不能使用任何中文符号,包括汉字、空格、引号、冒号等。
数据导出为Excel接口报错:java.io.IOException: UT010029: Stream is closed
一起coding,一起嗨。
08-27 415
数据导出为Excel接口报错:java.io.IOException: UT010029: Stream is closed
鸿蒙Next 单元测试框架——hypium
最新发布
qq_39431405的博客
08-30 704
单元测试框架(hypium)是HarmonyOS上的测试框架,提供测试用例编写、执行、结果显示能力,用于测试系统或应用接口。表1 单元测试框架功能特性。
8款常见的自动化测试开源框架
2301_78276982的博客
08-28 808
在如今开源的时代,我们就不要再闭门造车了,热烈的拥抱开源吧!本文针对性能测试、Web UI 测试、API 测试数据库测试、接口测试、单元测试等方面,为大家整理了github或码云上优秀的自动化测试开源项目,希望能给大家带来一点帮助。
Spring MVC】MVC设计模式的Java Web框架
weixin_63405049的博客
08-26 700
Spring MVC 是 Spring 框架中的一个模块,基于 Model-View-Controller (MVC) 设计模式,用于构建灵活和可扩展的 Java Web 应用程序。它通过前端控制器 DispatcherServlet 处理所有请求,并将请求分发给对应的控制器,负责业务逻辑处理,再将结果传递给视图进行渲染,简化了开发过程并实现了应用程序的高效组织和维护。​
谷粒商城实战-264-商城业务-订单服务-订单登录拦截
epitomizelu的专栏
08-26 827
preHandle: 在控制器方法执行之前被调用。postHandle: 在控制器方法执行之后,但在视图渲染之前被调用。: 在整个请求处理完成之后被调用,包括视图渲染。提供了一个强大的机制来扩展 Spring MVC 应用程序的功能。通过实现这些方法,你可以轻松地添加诸如身份验证、日志记录、性能监控等功能,而无需修改现有的控制器代码。
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器和资源服务器的过程Spring Security OAuth2 Boot提供了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值