java rest api oauth,Spring+Spring Security+OAuth2实现REST API权限控制 | 大道至简

最新推荐文章于 2022-06-06 15:30:00 发布
最新推荐文章于 2022-06-06 15:30:00 发布
阅读量298 收藏
点赞数
文章标签: java rest api oauth

Spring集成Spring Security、OAuth2实现资源访问授权认证。后端主要做的是认证服务器和资源服务。客户端主要是用前端的js请求。因为只是要做一个demo,所以这里的用户信息和授权token都是保存在内存中,后面会根据项目需要将用户信息保存到数据库,授权信息保存到redis。

源码地址:https://github.com/li5454yong/SpringSecurityOAuth2.git

1、首先来看pom依赖

XHTML

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

UTF-8

4.3.1.RELEASE

4.1.4.RELEASE

2.0.12.RELEASE

2.7.5

org.springframework

spring-core

${springframework.version}

org.springframework

spring-web

${springframework.version}

org.springframework

spring-webmvc

${springframework.version}

org.springframework.security

spring-security-web

${springsecurity.version}

org.springframework.security

spring-security-config

${springsecurity.version}

org.springframework.security.oauth

spring-security-oauth2

${springsecurityoauth2.version}

com.fasterxml.jackson.core

jackson-databind

${jackson.library}

com.fasterxml.jackson.dataformat

jackson-dataformat-xml

${jackson.library}

javax.servlet

javax.servlet-api

3.1.0

compile

maven-compiler-plugin

1.7

1.7

UTF-8

SpringSecurityOAuth2

这里需要注意的是:Spring的版本,如果没有特殊需要的话请保持现在的不变,因为我刚开始是使用的是4.0.0,但是项目启动时回报ClassNotFoundException,说找不到org.springframework.web.filter.CorsFilter这个类,后来查看源码,确实没有这个java类。

2、Spring配置

demo中使用的都是java config风格的配置,没有xml,首先来看Spring的配置。

Java

1

2

3

4

5

6

7

@Configuration

@EnableWebMvc

@ComponentScan(basePackages = "com.lxg.spring")

public class SpringConfiguration {

}

这里只需要指定注解扫描的包。

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

public class SpringInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

@Override

protected Class>[] getRootConfigClasses() {//获取Spring应用容器的配置文件

return new Class[] { SpringConfiguration.class };

}

@Override

protected Class>[] getServletConfigClasses() {//获取Spring MVC应用容器

return null;

}

@Override

protected String[] getServletMappings() {//指定需要由DispatcherServlet映射的路径,这里给定的是"/",意思是由DispatcherServlet处理所有向该应用发起的请求。

return new String[] { "/" };

}

@Override

protected Filter[] getServletFilters() {//添加拦截器

Filter [] singleton = { new CORSFilter()};

return singleton;

}

}

配置DispatcherServlet、初始化Spring MVC容器和Spring容器。

可以看到,在这段代码中设置了一下SpringMVC相关的信息,同时还注册了一个拦截器。

下面来看拦截器的代码。

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

public class CORSFilter implements Filter {

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

System.out.println("Filtering on...........................................................");

HttpServletResponse response = (HttpServletResponse) res;

response.setHeader("Access-Control-Allow-Origin", "*");

response.setHeader("Access-Control-Allow-Credentials", "true");

response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");

response.setHeader("Access-Control-Max-Age", "3600");

response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, Authorization, Origin, Accept, Access-Control-Request-Method, Access-Control-Request-Headers");

chain.doFilter(req, res);

}

public void init(FilterConfig filterConfig) {}

public void destroy() {}

}

这里和普通web项目中的拦截器并没有什么区别,都是实现了javax.servlet.Filter接口。设置response的header可以解决POST请求跨域的问题。

3、Spring Security配置

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

@Configuration

@EnableWebSecurity

public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Autowired

private ClientDetailsService clientDetailsService;

/**

* 在内存中创建两个用户

* @param auth

* @throws Exception

*/

@Autowired

public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {

auth.inMemoryAuthentication()

.withUser("bill").password("abc123").roles("admin1").and()

.withUser("bob").password("abc123").roles("USER");

}

/**

* 设置获取token的url

* @param http

* @throws Exception

*/

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.anonymous().disable()

.authorizeRequests()

.antMatchers("/oauth/token").permitAll();

}

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

/**

* 实例化一个TokenStore,他的实现是InMemoryTokenStore,会把OAuth授权的token保存在内存中

* @return

*/

@Bean

public TokenStore tokenStore() {

return new InMemoryTokenStore();

}

@Bean

@Autowired

public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore){

TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();

handler.setTokenStore(tokenStore);

handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));

handler.setClientDetailsService(clientDetailsService);

return handler;

}

@Bean

@Autowired

public ApprovalStore approvalStore(TokenStore tokenStore) throws Exception {

TokenApprovalStore store = new TokenApprovalStore();

store.setTokenStore(tokenStore);

return store;

}

}

在这个配置中,创建了两个用户存储在内存中,指定了token的保存方式为内存存储。

下面,需要开启Spring Security的注解

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

@Configuration

@EnableGlobalMethodSecurity(prePostEnabled = true, proxyTargetClass = true)

public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

@SuppressWarnings("unused")

@Autowired

private OAuth2SecurityConfiguration securityConfig;

@Override

protected MethodSecurityExpressionHandler createExpressionHandler() {

return new OAuth2MethodSecurityExpressionHandler();

}

}

3、OAuth2配置

首先是认证服务配置

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

@Configuration

@EnableAuthorizationServer

public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

private static String REALM="MY_OAUTH_REALM";

@Autowired

private TokenStore tokenStore;

@Autowired

private UserApprovalHandler userApprovalHandler;

@Autowired

@Qualifier("authenticationManagerBean")

private AuthenticationManager authenticationManager;

@Override

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

clients.inMemory()

.withClient("my-trusted-client")//客户端ID

.authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")

.authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")

.scopes("read", "write", "trust")//授权用户的操作权限

.secret("secret")//密码

.accessTokenValiditySeconds(6000);//token有效期为120秒

}

@Override

public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

endpoints.tokenStore(tokenStore).userApprovalHandler(userApprovalHandler)

.authenticationManager(authenticationManager);

}

@Override

public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

oauthServer.realm(REALM+"/client");

}

}

资源服务配置

Java

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

@Configuration

@EnableResourceServer

public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

private static final String RESOURCE_ID = "my_rest_api";

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

resources.resourceId(RESOURCE_ID).stateless(false);

}

@Override

public void configure(HttpSecurity http) throws Exception {

http.

anonymous().disable()

.requestMatchers().antMatchers("/user*/**")

.and().authorizeRequests()

.antMatchers("/user*/**").permitAll()

.and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());

}

}

4、测试

OK,里面还有几个URL,感兴趣的话可以自己去测试,另外,demo中也包含了一个使用Http工具来测试的代码。

这篇文章中,用户信息和token都是保存在内存中,我后面还会发文章,使用spring boot来集成,同时把用户信息保存在MySQL中,token保存在redis,这样会更接近与实际项目场景。

喜欢 (12)or分享 (0)

乡下老农民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot2.0 + Oauth2 实现RESTful API身份验证
wangsdsdfds的博客
05-22 2287
REST全称是Representational State Transfer; REST指的是一组架构约束条件和原则。有兴趣了解的朋友参考RESTful 架构详解; OAuth2 网页翻译后截图 配置授权服务oauth @EnableAuthorizationServer: 用于激活OAuth 2.0授权服务器。 主要配置: 客户端信息, 管理令牌, 授权类型。 实现接...
spring-security-oauth2-rest:使用Spring Security Oauth2保护REST API
05-07
Oauth 2演示 Spring OAuth 2.0演示 Oauth2刷新令牌请求 http : // localhost:8080/oauth2/oauth/token?grant_type=password&client_id=rajith-client-id&client_secret=12345&username=rajith&password=password { ...
REST API权限控制
leledodo的博客
04-18 6710
前言 有人说,每个人都是平等的;也有人说,人生来就是不平等的;在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做;一样物,并不是所有人都能够拥有。每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。有了一个这么有范儿的开头,下面便来谈谈基于REST...
restful项目的权限控制实现技巧
你好小C的博客
05-11 9350
最近的项目在用restful风格在写,果然url都有了意义,功能都可以从url中推测出来,restful的url和非restful的url最大的一个感官区别就是,rest的url可能存在一些变量,比如下面这样:/check/api/user/12345/history,这个url解释起来就是:查看账号为12345的用户的历史资料,而非rest的url是:/check/api/user/history。那么,现在问题就来了,权限控制的核心是判断url,rest的url中却有变量,那么,rest风格的项目如何实
基于RESTful API 怎么设计用户权限控制
weixin_30363817的博客
04-07 112
前言 有人说,每个人都是平等的; 也有人说,人生来就是不平等的; 在人类社会中,并没有绝对的公平, 一件事,并不是所有人都能去做; 一样物,并不是所有人都能够拥有。 每个人都有自己的角色,每种角色都有对某种资源的一定权利,或许是拥有,或许只能是远观而不可亵玩。 把这种人类社会中如此抽象的事实,提取出来,然后写成程序,还原本质的工作,就是我们程序员该做的事了。 有了一个这么有范儿的开头,下面便来谈...
SpringSecurity系列2】基于SpringSecurity实现前后端分离无状态Rest API权限控制原理分析
u011743540的博客
06-06 152
在上一篇,我们实现了基于 SpringSecurity 实现前后端分离无状态 Rest API权限控制,在本篇我们将对其原理进行分析,从而加深对 SpringSecurity 的认识。
Spring Boot+Spring Security+JWT实现RestApi增加认证控制
05-23
新一代基于Spring Boot、Spring SecurityOauth2等实现权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现RestApi增加认证控制
新一代基于Spring Boot+Spring Security+JWT实现RestApi增加权限和认证控制的项目
最新发布
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
spring-boot-security-oauth2-example:使用Spring Security OAuth2保护REST API
05-24
Spring Boot Security OAuth...使用Spring Security OAuth2保护REST API 要运行此仓库,请遵循以下命令: 将此命令粘贴到您的终端 mvn clean spring-boot:run 启动POSTMAN生成令牌 无令牌访问 使用令牌访问资源
SpringBoot-MyBatis:一个REST后端框架,由Spring Boot,MyBatis和Spring Security OAuth集成
01-30
它集成了Spring Boot和MyBatis (后续我又集成了Spring Security OAuth以支持OAuth 2.0),并实现了一个类似的“书籍管理”的模块(支持RESTful API )以供参考,框架简单易懂。完全可以根据自己的需要,修改这个...
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
08-26
主要介绍了SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
Spring Security 权限控制中文API
12-12
非常详细的Spring Security 权限控制中文API
spring boot 开发—第八篇整合OAuth2保证api接口安全
liuweilong07的专栏
05-25 8817
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提...
jax_ws_Java EE 7 / JAX-RS 2.0:具有自定义HTTP标头的简单REST API身份验证和授权
cunfen3485的博客
12-16 227
jax_ws 当使用已经可用的HTTP协议来实现Web服务时,REST带来了很多便利。 通过仅通过指定的URL触发GET,POST和其他HTTP方法,您将确保通过REST服务的响应来完成某些工作。 但是,无论REST开发人员带来了什么便利,安全性和访问控制的主题都应该始终得到解决。 本文将向您展示如何使用HTTP标头和JAX-RS 2.0拦截器来实现基于用户的简单身份验证。 认证者 让我们从一...
java中访问控制权限API
qq_55171059的博客
02-12 499
2021.02.12 第七次记录。今天是春节,大年初一,听了几节课,代码没怎么写。 课堂笔记: /* 访问控制权限 1.1访问控制权限有哪些? 共4个。 public 公开的 protected 受保护的 默认 private 私有的 1.2以上四个访问控制权限控制的范围是什么? public 表示公开的,在任何位置都可以访问 protected 表示受保护的,只能在本类、同包、子类中访问 “默认”只能在本类,以及同包下访问 private,表示私有的,只能在本类中访问 访问控制修饰符 本类
猫头鹰的深夜翻译:对于RestAPI简单的基于身份的权限控制
weixin_33672109的博客
01-29 163
前言 基于角色的权限控制(RBAC)是管理用户对某种资源或操作的权限的通用方法。权限可以明确指定可以访问的资源和操作。基本原理如下:权限将被分配给某个角色,并将该角色分配给某个用户或者是用户组,而不是直接分配给某个用户。 角色与权限捆绑 将权限与单个用户关联起来是一件很复杂的事情,随着更多的用户使用系统,维护用户的权限变得更加困难,且容易...
Spring Boot学习笔记[5]-REST API使用Spring Security+OAuth2做权限控制
04-10 1506
原文链接:http://lxgandlz.cn/404.html 前面有一篇文章Spring+Spring Security+OAuth2实现REST API权限控制,讲了Spring+Spring Security+OAuth2来实现REST API权限控制,出于快速实现的原因,里面的用户...
OAuth2权限控制
Cohen 奕博的博客
12-29 6958
一、Spring Security oAuth2 简介 本节视频 Spring Security oAuth2-简介 1. 概述 本章节的目的是帮助大家快速上手使用 Spring 提供的 Spring Security oAuth2 搭建一套验证授权及资源访问服务,帮助大家在实现企业微服务架构时能够有效的控制多个服务的统一登录、授权及资源保护工作 GitHub源码 2. 什么是 oAuth oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授
spring security+oauth2+jwt
06-06
Spring Security是一个基于Spring框架的安全框架,可以用于保护Web应用程序和REST APIOAuth2是一种授权协议,用于授权第三方应用程序访问受保护的资源。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,用于在客户端和服务器之间传递安全信息。在Spring Security中,可以使用OAuth2和JWT来实现安全认证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值