【OAuth2.0】Spring Security OAuth2.0篇之初识

最新推荐文章于 2023-04-13 10:49:46 发布
最新推荐文章于 2023-04-13 10:49:46 发布
阅读量153 收藏
点赞数
文章标签: java 测试
原文链接:http://www.cnblogs.com/tinkerz/p/3759796.html
版权

  • 不吐不快

  

  因为项目需求开始接触OAuth2.0授权协议。断断续续接触了有两周左右的时间。不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?)。好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代码。忏悔…

 

  • WHAT?

  

  项目之中实际使用OAuth2.0实现是用的Spring Security OAuth2.0,一套基于Spring Security项目的实现,配合Spring Security配置使用。

  总体来讲,自己所理解的这套实现当中,是在Spring Security的基础之上又增加了几部分内容:

  • authorization server

这部分配置算是OAuth2.0的核心配置部分。

该配置涉及:

  client details service(第三方client端信息查询配置)、

  token service(token查询操作相关)、

  authorization code service(授权code获取)、

  user approval handler(用户授权处理)、

  client端的各种grant_type等等。

同时,这部分内容“内置”了两个FrameworkEndpoint(和Controller意义相同):AuthorizationEndpoint和TokenEndpoint,分别对应请求/oauth/authorize和/oauth/token。只要在spring配置文件中开启MVC配置就能使用并拦截对应

该部分简单配置:

 1 <mvc:annotation-driven/>
 2 <mvc:default-servlet-handler/>
 3 
 4 <!-- 1. OAuth2 related config -->
 5 <oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"
 6                                 user-approval-handler-ref="oauthUserApprovalHandler"
 7                                 user-approval-page="oauth_approval"
 8                                 error-page="oauth_error">
 9        <oauth2:authorization-code authorization-code-services-ref="authorizationCodeServices" />
10        <oauth2:implicit/>
11        <oauth2:refresh-token/>
12        <oauth2:client-credentials/>
13        <oauth2:password/>
14    </oauth2:authorization-server>
15    
16 <!-- 1.1 client detail service -->
17 <beans:bean id="clientDetailsService" class="com.cyou.nad.bet.oauth.service.impl.CustomJdbcClientDetailsServiceImpl">
18     <beans:constructor-arg index="0" ref="platform_dataSource"/>
19 </beans:bean>
20 
21 <!-- 1.2 Config token services-->
22 <beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
23     <beans:property name="tokenStore" ref="tokenStore"/>
24     <beans:property name="supportRefreshToken" value="true"/>
25 </beans:bean>
26 <beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
27     <beans:constructor-arg index="0" ref="platform_dataSource"/>
28 </beans:bean>
29 
30 <!-- 1.3 oauthUserApprovalHandler -->
31 <beans:bean id="oauthUserApprovalHandler" class="com.cyou.nad.bet.oauth.approval.SimpleTokenServiceUserApprovalHandler">
32     <beans:property name="tokenServices" ref="tokenServices"/>
33     <beans:property name="oauthClientDetailsService" ref="oauthClientDetailsService"/><!-- FIXME 考虑直接使用clientDetailService -->
34    </beans:bean>
35 
36 <!-- 1.4 authorization code creator -->
37 <beans:bean id="authorizationCodeServices" class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">
38        <beans:constructor-arg index="0" ref="platform_dataSource"/>
39 </beans:bean>
Authorization Server

 

  • 第三方client配置

在spring的这套实现当中,在第三方client端也有自己单独的id、secret和权限,所以从某种程度上来讲,其实client端相当于是一种特殊的user了。

以前使用Spring Security配置user权限校验的时候,会配置authentication-manager,使用DB的话,还需要提供userService用于查询DB获取用户信息。

这里在配置OAuth的时候,client端也有类似配置,同样需要配置authentication-manager并指定clientDetailService。

实际后续了解更多之后,发现实际校验时,二者封装成的都是类UserDetails的实例

 

用于client端校验的AuthenticationManager配置:

1 <authentication-manager id="oauth2ProviderManager">
2     <authentication-provider user-service-ref="oauth2ClientDetailsUserService"/>
3 </authentication-manager>
4 <beans:bean id="oauth2ClientDetailsUserService"
5             class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
6     <beans:constructor-arg ref="clientDetailsService"/>
7 </beans:bean>
AuthenticationManager 4 client

 

  • resource custom filter

在spring oauth2.0的配置当中,可以单独配置resource-server,指定特定的resource-id。

这个resource-server的用处在于,之后会作为一个custom-filter加到Spring Security Filter Chain当中的。当第三方client尝试访问受限资源时,该filter会对client信息和其携带过来的access_token进行校验,校验通过之后才能拿到资源。

resource配置:

1 <oauth2:resource-server id="userResourceServerFilter" resource-id="user" token-services-ref="tokenServices"/>
User resource

    后续作为custom-filter添加到http配置中:

1 <http pattern="/oauth/userInfo*" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
2       access-decision-manager-ref="oauth2AccessDecisionManager">
3     <anonymous enabled="false"/>
4     <!-- 获取用户信息 -->
5     <intercept-url pattern="/oauth/userInfo*" access="ROLE_UNITY,scope=READ"/>
6     <custom-filter ref="userResourceServerFilter" before="PRE_AUTH_FILTER"/>
7     <access-denied-handler ref="oauth2AccessDeniedHandler"/>
8 </http>
http配置

 

另外需要一提的就是,OAuth2.0当中还有一个SCOPE的概念,相当于用户对client授权访问自己拥有的某一资源时,可以指定其范围,比如read(只读), write(可写),或者get_user_info(获取用户信息), share(分享)等等。一开始没有很好的理解,后来看到别的项目的配置,感觉可以这样想:如果resource对应的是工程的Controller的话,那么scope可以理解为Controller当中的方法,类似于user.getUserInfo()或者user.addShare()等。配置参考:https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml

添加scope之后,在<http>配置的AccessDecisionManager中就需要添加用于oauth2.0 scope校验相关的voter了:

<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
    <beans:constructor-arg>
        <beans:list>
            <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter">
                <beans:property name="scopePrefix" value="scope="></beans:property>
            </beans:bean>
            <beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
            <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>
AccessDecisionManager配置

  

  关于Spring这套实现的配置,前辈们分享的已经很多了,基本都是类似的配置。后续主要整理对于整体流程和诸如code或token的生成和存储规则相关的东西,最最重要的,还是要把使用过程中遇到的各种问题记录下来才是。

转载于:https://www.cnblogs.com/tinkerz/p/3759796.html

weixin_30875157
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
详解使用Spring Security OAuth 实现OAuth 2.0 授权
08-28
文章主要介绍了详解使用Spring Security OAuth 实现OAuth 2.0 授权,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security oauth2 常用授权方式配置详细教程(一)
tiancxz的专栏
09-28 1万+
spring security oauth2 简单配置说明 工程说明: <modules> <!-- 项目依赖--> <module>spring-security-oauth2-dependencies</module> <!-- 认证服务器--> <module>spring-security-oauth2-server</module>
Spring Security OAuth2的基本使用
积跬步,至千里。
10-20 2705
Spring Security OAuth2对Oauth2进行了实现,主要包含认证服务器和资源服务器两大块的实现。本介绍Spring Security OAuth2的基本使用。
Spring Security与OAuth2的完美结合
m0_49151953的博客
04-13 1659
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权的服务器,资源服务器是指存储资源的服务器。Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
springsecurity或者oauth2中设置某个开头的路径拦截,并且放行某个子路径
weixin_42844971的博客
04-16 1万+
@Override public void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/web/user/**").permitAll() ...
SpringSecurity的OAuth2的授权服务器配置
Xjzzon的博客
08-20 1541
SpringSecurity Oauth2 授权服务器
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security oAuth2.0 Demo.zip
07-04
Spring Security框架 oAuth2.0协议标准,实现认证服务器和资源服务器,并实现oAuth2.0自定义登陆和授权界面,Access_token和Refresh_token过期时间的设置,以及数据库表结构建表语句,参考博客能更好的学习和了解,...
SpringSecurity OAuth2 (6) 自定义: ClientDetailsService, 异常处理以及一致性响应
热门推荐
O_o
07-07 1万+
本文介绍 Spring Security OAuth2 的自定义数据结构以及 ClientDetailsService.
Spring cloud OAuth2
lpz658798的博客
03-07 1780
Spring cloud OAuth2 实战开发流程(让你从不会到一站式开发)
Spring Cloud整合 Spring Security OAuth2.0认证授权
Qdog
05-22 4836
一、分布式系统认证方案 1.1 什么是分布式系统 具有分布式架构的系统叫分布式系统,分布式系统的运行通常依赖网络,它将单体结构的系统分为若干服务,服务之间通过网络交互来完成用户的业务处理,当前流行的微服务架构就是分布式系统架构,如下图: 分布式系统具体如下基本特点: 1、分布性:每个部分都可以独立部署,服务之间交互通过网络进行通信,比如:订单服务、商品服务。 2、伸缩性:每个部分都可以集群方式部署,并可针对部分结点进行硬件及软件扩容,具有一定的伸缩能力。 3、共享性:每个部分都可以作为共享资源对外提供服务
Spring Security OAuth2 JWT认证服务器配置
OceanSky的专栏
07-16 3219
1.四种授权模式 授权码模式 密码模式 客户端模式 简化模式 2.密码模式 http://localhost:9001/oauth/token?username=user&password=user&grant_type=password&client_id=client&client_secret=secret grant_type:授权类型,必选,此处固...
SpringSecurity+Oauth2+Jwt的配置
安迪爸爸
07-16 1650
前言 文章搭建工程基于Idea。SpringSecurity+Oauth2+Jwt实现了什么功能? SpringSecurity主要的工作就是拦截请求,只有满足基于springSecurity你定义的规则,才允许继续访问相应的资源或接口。可以说是一套权限管理的框架。能非常方便细致的帮助我们管理接口和资源的权限。 比如一个apicontroller里定义了多个接口,admin可以访问所有接口,角...
Spring Security#OAuth2
来啊 快活啊
06-20 4679
Congiurer ClientDetailsServiceConfigurer AuthorizationServerSecurityConfigure AuthorizationServerEndpointsConfigurer ResourceServerSecurityConfigurer HttpSecurity Authorization Server ClientDetailsServ
Spring Security Oauth2核心组件之ClientDetailsService
clyu的博客
01-10 2302
一、客户端 public interface ClientDetails extends Serializable { String getClientId();//客户端id Set<String> getResourceIds();//此客户端可以访问的资源。如果为空,则调用者可以忽略 boolean isSecretRequired();//验证此客户端是否需要secret String getClientSecret();//获取客户端的secret bool
SpringCloud微服务集成oauth2.0权限验证
u010541516的博客
12-09 3130
在微服务大行其道的今天,出门面试不会整两句springboot、springcloud都不好意思去面试。在java领域springcloud已经是微服务开发的事实标准了,使用springcloud+springboot开发微服务也很简单,但是在在开发过程中微服务的权限验证是个问题,怎么保证各微服务的安全,微服务的权限验证普遍用的都是osuth2.0的验证,但是在oauth2.0种验证方式也.........
springsecurity+oauth2.0 分布式认证授权-授权码存储到数据库7
健康平安的活着的专栏
09-01 2835
一 说明 前面文章的介绍了,客户单和授权码存储在内存中,现在需要存储到数据库中。 本操作在第5章节的基础上进行操作。 二 操作 2.1 客户端认证信息的配置 2.1.1 在数据库中创建oauth_client_details DROP TABLE IF EXISTS `oauth_client_details`; CREATE TABLE `oauth_client_details` ( `client_id` varchar(255) CHARACTER SET utf8 COLLATE u
oauth2.0 spring security流程图
最新发布
09-01
Spring Security是一个强大的安全框架,可以与OAuth 2.0结合使用,用于对应用程序进行身份验证和授权。 下面是OAuth 2.0与Spring Security的流程图: 1. 用户访问应用程序,并尝试通过第三方应用程序进行身份验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值