使用Spring Boot构建独立的OAuth服务器(三)

最新推荐文章于 2023-05-03 21:19:02 发布
最新推荐文章于 2023-05-03 21:19:02 发布
阅读量103 收藏
点赞数
文章标签: 测试 json python
原文链接:https://my.oschina.net/u/3707083/blog/1560909
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

使用Spring Boot构建独立的OAuth服务器(二) 中配置了一个独立的OAuth服务器,这里要对Resource,即需要保护的API进行配置,使其在被访问的时候,可以与OAuth服务器通信,根据Access Token获取相关授权信息。

下面会分别讲一下使用Spring MVC和Spring Boot这两种框架时的配置方法。

Spring MVC

  1. 在pom.xml中配置依赖项和插件 
    	<properties>
		<spring.version>3.2.13.RELEASE</spring.version>
        <spring.oauth.version>2.0.0.RELEASE</spring.oauth.version>
		<servlet.version>2.5</servlet.version>
		<jackson.version>1.9.13</jackson.version>
	</properties>

	<dependencies>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-context</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-webmvc</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-jdbc</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-context</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-aop</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.springframework</groupId>
		    <artifactId>spring-core</artifactId>
		    <version>${spring.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.codehaus.jackson</groupId>
		    <artifactId>jackson-core-asl</artifactId>
		    <version>${jackson.version}</version>
		</dependency>
		<dependency>
		    <groupId>org.codehaus.jackson</groupId>
		    <artifactId>jackson-mapper-asl</artifactId>
		    <version>${jackson.version}</version>
		</dependency>
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>${spring.oauth.version}</version>
        </dependency>
	</dependencies>

	<build>
	  <plugins>
	    <plugin>
	      <groupId>org.apache.tomcat.maven</groupId>
	      <artifactId>tomcat7-maven-plugin</artifactId>
	      <version>2.0</version>
	      <configuration>
	        <path>/</path>
	        <port>8081</port>
	      </configuration>
	    </plugin>
	  </plugins>
	</build>

     

  2. 添加spring-mvc.xml,配置MVC功能 
    <?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
	xsi:schemaLocation="
	http://www.springframework.org/schema/beans
	http://www.springframework.org/schema/beans/spring-beans.xsd
	http://www.springframework.org/schema/context
	http://www.springframework.org/schema/context/spring-context.xsd">
	
	<context:component-scan base-package="*" />

    <bean
        class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">
        <property name="messageConverters">
            <list>
                <ref bean="mappingJacksonHttpMessageConverter" />
            </list>
        </property>
    </bean>
    <bean id="mappingJacksonHttpMessageConverter"
        class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter">
        <property name="supportedMediaTypes">
            <list>
                <value>application/json; charset=UTF-8</value>
            </list>
        </property>
    </bean>

</beans>

     

  3. 添加spring-security.xml,配置OAuth保护,使所有API只有角色为ROLE_USER的用户才能访问,注意create-session要设置为stateless,并且配置OAuth服务器连接信息(checkTokenEndpointUrl,clientId和clientSecret) 
    <?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.org/schema/security"
	xmlns:oauth2="http://www.springframework.org/schema/security/oauth2"
	xsi:schemaLocation="
	http://www.springframework.org/schema/beans
	http://www.springframework.org/schema/beans/spring-beans.xsd
	http://www.springframework.org/schema/security   
	http://www.springframework.org/schema/security/spring-security.xsd
	http://www.springframework.org/schema/security/oauth2 
	http://www.springframework.org/schema/security/spring-security-oauth2.xsd">
	
	<security:http pattern="/**" entry-point-ref="oauth2AuthenticationEntryPoint" use-expressions="true" create-session="stateless">
		<security:intercept-url pattern="/*" access="hasAuthority('ROLE_USER')" />
		<security:custom-filter ref="resourceServerFilter" before="PRE_AUTH_FILTER" />
	</security:http>

	<oauth2:resource-server id="resourceServerFilter" token-services-ref="remoteTokenServices" />
	
	<security:authentication-manager />
	
	<bean id="remoteTokenServices" class="org.springframework.security.oauth2.provider.token.RemoteTokenServices">
		<property name="checkTokenEndpointUrl" value="http://localhost:8080/oauth/check_token" />
		<property name="clientId" value="client1" />
		<property name="clientSecret" value="secret1" />
	</bean>

	<bean id="oauth2AuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />

</beans>

     

  4. 编写受保护的Controller,返回结果为用户名 
    @Controller
public class AuthorizedController {

    @RequestMapping(value = "/user", produces = "application/json; charset=UTF-8")
    @ResponseBody
    public Map<String, Object> user(Authentication auth) {
        Map<String, Object> result = new HashMap<String, Object>();
        result.put("username", auth.getPrincipal());
        return result;
    }

}

     

Spring Boot

  1. 在pom.xml中配置依赖项和插件 
    	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security.oauth</groupId>
			<artifactId>spring-security-oauth2</artifactId>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

     

  2. 在application.properties中配置OAuth服务器信息(security.oauth2.resource.token-info-uri,security.oauth2.client.client-id和security.oauth2.client.client-secret) 
    server.port=8081

security.oauth2.resource.token-info-uri=http://localhost:8080/oauth/check_token
security.oauth2.client.client-id=client1
security.oauth2.client.client-secret=secret1

     

  3. 编写主类Application,启用Resource服务器功能 
    @SpringBootApplication
@EnableResourceServer
public class Application {

	public static void main(String[] args) {
		SpringApplication.run(Application.class, args);
	}

}

     

  4. 编写Resource服务器配置类,使所有API只有角色为ROLE_USER的用户才能访问 
    @Configuration
public class ResourceConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**").authorizeRequests().anyRequest().access("hasAuthority('ROLE_USER')");
    }

}

     

测试方法

  1. 启动OAuth服务器
  2. 使用Maven运行Goal:Spring MVC为clean compile tomcat7:run,Spring Boot为clean spring-boot:run
  3. 直接访问http://127.0.0.1:8081/user,会得到如下结果 
    {
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

     

  4. 携带Access Token去访问http://127.0.0.1:8081/user,会得到如下结果,其中user就是申请Access Token时使用的用户名 
    {
    "username": "user"
}

携带Access Token的方法有两种,第一种是使用名为access_token的参数传递过去,如http://127.0.0.1:8081/user?access_token=#ACCESS_TOKEN#,第二种是使用名为Authorization的Header传递过去,Header值的格式为Bearer #ACCESS_TOKEN#,基于安全考虑,推荐使用第二种

注意

使用Spring MVC时,create-session一定要设置为stateless,否则,在第一次访问成功后,短时间内再访问的时候如果不携带Access Token的话也能访问成功,原因是Spring Security会在第一次访问成功后创建一个session来存储授权信息,而使用Spring Boot则没有这个问题

转载于:https://my.oschina.net/u/3707083/blog/1560909

weixin_33720078
关注
Spring Boot 3 极速搭建OAuth2认证框架
oscar999的专栏
03-22 1345
使用 Spring Authorization Server 的较高版本,简单的状况只需要在 application.yml 配置就可以实现认证服务器, 如果要更详细的配置,也可以定义 SecurityConfig.java 进行配置。Spring Authorization Server支持四种授权方式, 简单起见,这里使用 客户端模式(Client Credentials),这种模式使用在API调用的授权上,这里使用 Postman进行验证。定义一个REST的控制器,并且写一个简单的映射方法。
Spring Boot 开发的 OAuth 认证服务器
最新发布
11-05
本教程将深入讲解如何使用Spring Boot来开发一个OAuth 2.0认证服务器。 1. **OAuth 2.0 概述** OAuth 2.0 是一种授权协议,允许第方应用在用户许可的情况下访问其受保护的资源。它主要由四个角色构成:资源所有...
使用Spring Boot构建独立OAuth服务器(一)
weixin_34037515的博客
10-15 143
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring boot --- Spring Oauth()
weixin_34186931的博客
04-02 62
本节将学习 spring security oauth 实现单点登录 概述 首先我们来了解什么是单点登录。看下面两张图就明白了。 很明显,单点登录最重要解决的就是登录和注销的功能,今天的例子,可以用来这样的界面来验证我们实现的单点登录是否成功。 一个是是否登录后可以跳到子服务器,另一个是退出登录,是否需要重新登录才可以再次访问页面...
使用Spring Boot构建独立OAuth服务器(二)
weixin_34417183的博客
10-15 157
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Boot 3.x 构建系统&Starters
laopeng301的专栏
04-24 838
Spring Boot 3.x特性-配置元数据
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
首先,Spring Boot 2.7是Spring框架的一个轻量级版本,它简化了Java应用的开发过程,通过内嵌的Tomcat服务器和自动配置功能,使得开发者可以快速构建独立运行的应用。在2.7版本中,可能会包含性能优化、新特性和对...
spring-boot-oauth2-mybatis:Spring Boot 1.5 + OAuth2 + MyBatis 3
05-09
本项目“spring-boot-oauth2-mybatis”结合了Spring Boot 1.5、OAuth2和MyBatis 3这个强大的工具,构建了一个高效且安全的后端服务。以下将详细阐述这者的核心概念、工作原理以及如何在实际项目中整合应用。 1....
spring-boot spring-security-oauth2 完整demo
11-22
Spring BootSpring Security和OAuth2是Java生态系统中用于构建安全Web应用的大利器。本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这个框架如何协同工作,以及如何通过...
spring-facebook-oauth2:具有Spring Boot的Facebook oauth2
03-03
本篇文章将深入探讨如何使用Spring Boot集成Facebook的OAuth2,帮助开发者实现用户通过Facebook账户登录应用的功能。 一、OAuth2简介 OAuth2是一种授权框架,允许第方应用在用户授权的情况下,访问特定的资源。...
springboot整合oauth2(四)
zsx18273117003的博客
07-21 344
背景:在springboot整合oauth2()的基础上继续进行 一、资源服务器 1. 将认证服务器authorization-server的依赖提取到父项目springboot-oauth2中 <dependency> <groupId>org.springframework.boot</groupId> ...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
Spring Boot 最新版3.x 集成 OAuth 2.0实现认证授权服务、第方应用客户端以及资源服务
太空眼睛的专栏
02-05 1万+
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建个服务,分别对应认证授权服务、OAuth客户端以及资源服务Spring发布了spring-security-oauth2-authorization-se
授权服务器与资源服务器分离-资源服务器验证token是否合法(六)
FAIRYTAIL的博客
08-28 4034
资源服务器校验token的方式
Springsecurity-oauth2之RemoteTokenServices
weixin_34184158的博客
03-12 6140
2019独角兽企业重金招聘Python工程师标准>>> ...
开发中遇到的奇怪的bug
qq_34873006的博客
08-17 97
开发中遇到的奇怪的bug 把配置类中一个属性(checkTokenEndpointUrl)从配置文件中获取: 首先想到@Value({$xx.xx.xx})去拿,发现是null,于是去百度,答案说:@value不能直接注入值给静态属性,spring 不允许/不支持把值注入到静态变量中;spring支持set方法注入,我们可以利用非静态setter 方法注入静态变量,我这里是去掉了static修饰符 去掉static修饰符后发现启动报错 原因分析: 报错信息是因为在创建类时创建了一个多参的构造函数,但
更改tokenendpoint中默认的url
qq_43184345的博客
09-08 2092
更改tokenendpoint中默认的url 一、首先自己写个类AuthServerConfig去继承AuthorizationServerConfigurerAdapter类 二、复写方法configure(AuthorizationServerEndpointsConfigurer endpoints) 、在方法中设置endpoints.pathMapping("/oauth/authorize", urlPrefix+"/oauth/authorize"),前一个路径为默认路径,后一个为你希望替换的
spring bootOAuth2认证服务端
Chocolyte的博客
06-12 6484
由于公司业务需要,现将在springboot中部署OAuth2服务端的做法记录下来。 OAuth2的流程大致如下:(A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值