Spring Authorization Server (二)配置分离优化

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量148 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38559971/article/details/129680585
版权

Spring Authorization Server (二)配置优化

上一节我们配置启动了 Spring Authorization Server ,当时我们使用的大部分是默认配置,并且所有的配置都在一个配置文件中,接下来将 Spring Security 的配置和 Spring Authorization 的配置分离,并且创建一些工具类。

创建 tools 包

在这里插入图片描述

创建 KeyGeneratorTools 工具类,用来创建RSA密钥对。

import java.security.KeyPair;
import java.security.KeyPairGenerator;

/**
 * @author Gnerv LiGen
 */
public final class KeyGeneratorTools {

	private KeyGeneratorTools() {
	}

	public static KeyPair generateRsaKey() {
		KeyPair keyPair;
		try {
			KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
			keyPairGenerator.initialize(2048);
			keyPair = keyPairGenerator.generateKeyPair();
		} catch (Exception ex) {
			throw new IllegalStateException(ex);
		}
		return keyPair;
	}

}

创建 Jwks ,用来生成 jwk 模式RAS密钥

import java.security.KeyPair;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.util.UUID;

import com.nimbusds.jose.jwk.RSAKey;

import com.gnerv.spring.authorization.server.tools.KeyGeneratorTools;

public final class Jwks {

	private Jwks() {
	}

	public static RSAKey generateRsa() {
		KeyPair keyPair = KeyGeneratorTools.generateRsaKey();
		RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
		RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
		return new RSAKey.Builder(publicKey)
				.privateKey(privateKey)
				.keyID(UUID.randomUUID().toString())
				.build();
	}

}

创建 SpringSecurityConfig 配置类,用来配置SpringSecurity相关属性。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.session.HttpSessionEventPublisher;

import static org.springframework.security.config.Customizer.withDefaults;


@EnableWebSecurity
@Configuration(proxyBeanMethods = false)
public class SpringSecurityConfig {

    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        // 配置 spring security 过滤器链
        http
                // 关闭跨域
                .cors().disable()
                // 所有请求都要认证
                .authorizeHttpRequests(authorize ->
                        authorize.anyRequest().authenticated()
                )
                // 开启表单登录
                .formLogin(withDefaults());
        return http.build();
    }

    @Bean
    UserDetailsService users() {
        // 创建一个 admin 用户
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("admin")
                .password("123456")
                .roles("admin")
                .build();
        // 使用内存用户管理器
        return new InMemoryUserDetailsManager(user);
    }

    @Bean
    SessionRegistry sessionRegistry() {
        // 会话注册管理器
        return new SessionRegistryImpl();
    }

    @Bean
    HttpSessionEventPublisher httpSessionEventPublisher() {
        // 会话时间发布管理器
        return new HttpSessionEventPublisher();
    }

}

创建 SpringAuthorizationServerConfig 配置类,用来配置SpringSecurity相关属性。

import java.time.Instant;
import java.time.temporal.ChronoUnit;
import java.util.ArrayList;
import java.util.List;
import java.util.UUID;

import com.gnerv.spring.authorization.server.pojo.Jwks;
import com.nimbusds.jose.jwk.JWKSet;
import com.nimbusds.jose.jwk.RSAKey;
import com.nimbusds.jose.jwk.source.JWKSource;
import com.nimbusds.jose.proc.SecurityContext;

import lombok.SneakyThrows;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.oauth2.server.resource.OAuth2ResourceServerConfigurer;
import org.springframework.security.oauth2.core.AuthorizationGrantType;
import org.springframework.security.oauth2.core.ClientAuthenticationMethod;
import org.springframework.security.oauth2.core.oidc.OidcScopes;
import org.springframework.security.oauth2.core.oidc.endpoint.OidcParameterNames;
import org.springframework.security.oauth2.jwt.JwsHeader;
import org.springframework.security.oauth2.jwt.JwtClaimsSet;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtEncoder;
import org.springframework.security.oauth2.jwt.NimbusJwtEncoder;
import org.springframework.security.oauth2.server.authorization.InMemoryOAuth2AuthorizationConsentService;
import org.springframework.security.oauth2.server.authorization.InMemoryOAuth2AuthorizationService;
import org.springframework.security.oauth2.server.authorization.OAuth2AuthorizationConsentService;
import org.springframework.security.oauth2.server.authorization.OAuth2AuthorizationService;
import org.springframework.security.oauth2.server.authorization.OAuth2TokenType;
import org.springframework.security.oauth2.server.authorization.client.InMemoryRegisteredClientRepository;
import org.springframework.security.oauth2.server.authorization.client.RegisteredClient;
import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;
import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;
import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer;
import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;
import org.springframework.security.oauth2.server.authorization.settings.ClientSettings;
import org.springframework.security.oauth2.server.authorization.token.DelegatingOAuth2TokenGenerator;
import org.springframework.security.oauth2.server.authorization.token.JwtEncodingContext;
import org.springframework.security.oauth2.server.authorization.token.JwtGenerator;
import org.springframework.security.oauth2.server.authorization.token.OAuth2AccessTokenGenerator;
import org.springframework.security.oauth2.server.authorization.token.OAuth2RefreshTokenGenerator;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenCustomizer;
import org.springframework.security.oauth2.server.authorization.token.OAuth2TokenGenerator;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

/**
 * @author Gnerv LiGen
 * @since 0.0.1
 */
@Configuration(proxyBeanMethods = false)
public class SpringAuthorizationServerConfig {

	@Bean
	@Order(Ordered.HIGHEST_PRECEDENCE)
	public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http, CorsConfigurationSource corsConfigurationSource) throws Exception {
		OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
		// 跨域配置
        http.cors().configurationSource(corsConfigurationSource);
		http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
				// 开启 OpenID Connect 1.0
				.oidc(Customizer.withDefaults());
		http
			.exceptionHandling(exceptions ->
					// 认证失败跳转到指定地址
				exceptions.authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login"))
			)
			.oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt);
		return http.build();
	}

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
		// 跨域配置
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("POST");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return source;
    }

    @Bean
	public RegisteredClientRepository registeredClientRepository() {
		// 注册一个客户端
		RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())
				.clientId("messaging-client")
				.clientSecret("{noop}secret")
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_POST)
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
				.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
				.authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
				.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
				.redirectUri("http://127.0.0.1:8080/login/oauth2/code/messaging-client-oidc")
				.redirectUri("http://127.0.0.1:8080/authorized")
				.scope(OidcScopes.OPENID)
				.scope(OidcScopes.PROFILE)
				.scope("message.read")
				.scope("message.write")
				.clientSettings(ClientSettings.builder().requireAuthorizationConsent(true).build())
				.build();
		return new InMemoryRegisteredClientRepository(registeredClient);
	}

	@Bean
	public OAuth2AuthorizationService authorizationService() {
		// 使用内存 oauth2 认证服务
		return new InMemoryOAuth2AuthorizationService();
	}

	@Bean
	public OAuth2AuthorizationConsentService authorizationConsentService() {
		// 使用内存 oauth2 授权服务
		return new InMemoryOAuth2AuthorizationConsentService();
	}

	@SneakyThrows
	@Bean
	public JWKSource<SecurityContext> jwkSource() {
		RSAKey rsaKey = Jwks.generateRsa();
		JWKSet jwkSet = new JWKSet(rsaKey);
		return (jwkSelector, securityContext) -> jwkSelector.select(jwkSet);
	}

	@Bean
	public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
		// jwt 解码
		return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
	}

    @Bean
    public AuthorizationServerSettings authorizationServerSettings() {
		// Oauth 认证服务配置 默认配置
        return AuthorizationServerSettings.builder().build();
    }

	@Bean
	public OAuth2TokenGenerator<?> tokenGenerator(JWKSource<SecurityContext> jwkSource, OAuth2TokenCustomizer<JwtEncodingContext> jwtCustomizer) {
		// token 生成器
		JwtEncoder jwtEncoder = new NimbusJwtEncoder(jwkSource);
		JwtGenerator jwtGenerator = new JwtGenerator(jwtEncoder);
		jwtGenerator.setJwtCustomizer(jwtCustomizer);
		OAuth2AccessTokenGenerator accessTokenGenerator = new OAuth2AccessTokenGenerator();
		OAuth2RefreshTokenGenerator refreshTokenGenerator = new OAuth2RefreshTokenGenerator();
		return new DelegatingOAuth2TokenGenerator(
				jwtGenerator, accessTokenGenerator, refreshTokenGenerator);
	}

	@Bean
	public OAuth2TokenCustomizer<JwtEncodingContext> jwtCustomizer() {
		// jwt token 内存自定义
		return context -> {
			JwsHeader.Builder headers = context.getJwsHeader();
			JwtClaimsSet.Builder claims = context.getClaims();
			// 设置 30 分钟过期
			claims.expiresAt(Instant.now().plus(30, ChronoUnit.MINUTES));
			if (context.getTokenType().equals(OAuth2TokenType.ACCESS_TOKEN)) {
				headers.header("author", "Gnerv LiGen 自定义");
                claims.claim("author", "Gnerv LiGen 自定义");
			} else if (context.getTokenType().getValue().equals(OidcParameterNames.ID_TOKEN)) {
				// Customize headers/claims for id_token
			}
		};
	}

}
不知名酸奶糖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Authorization Server版本升级总结 + 功能点扩展
tof
06-10 2549
Spring Authorization Server版本升级总结 + 功能点扩展
springcloud + 前后端分离实现 Oauth2
04-07
"Spring Cloud + 前后端分离实现OAuth2"是一个典型的微服务架构下的安全认证方案。在这个项目中,我们将主要关注后端的实现,也就是如何使用Spring Cloud构建一个支持OAuth2授权的微服务系统。 首先,Spring Cloud...
spring authorization server 0.3.1 sso
何虎军
11-20 1242
技术栈spring Authorization server、arco、midway、redis等,前后端分离客户端、纯前端客户端实现的sso示例
Spring Authorization Server入门 (十五) 分离授权确认与设备码校验页面
云逸的博客
08-01 1594
在之前的文章(实现授权码模式使用前后端分离的登录页面)中实现了前后端分离的登录页面,但这篇文章中只分离了登录页面,鉴于部分读者好奇授权确认页面分离的实现,就实现一下授权确认页面的分离,同时设备码流程的授权确认页面与授权码流程的授权确认页面是同一个,这里也需要兼容一下,还有就是设备码流程中有一个校验设备码的页面,这里也需要分离出来。
Spring Authorization Server入门 (十二) 实现授权码模式使用前后端分离的登录页面
云逸的博客
07-10 7072
今天的主题就是使用单独部署的登录页面替换认证服务器默认的登录页面(前后端分离时使用前端的登录页面),目前在网上能搜到的很多都是理论,没有很好的一个示例,我就按照我自己的想法写了一个实现,给大家提供一个思路,如果有什么问题或者更好的想法可以在评论区提出,谢谢。
Spring Authorization Server自定义登录与授权页面
岁月 メ 不及时光长
01-23 4462
基于该篇文章修改。 目前官方文档并不完善,便做此记录。 置方式来源于官方仓库issues oauth2-server模块pom添加thymeleaf依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> .
Spring Authorization Server常见问题解答(FAQ)
云逸的博客
09-17 1483
文章会记录可能遇到的问题,并给出一个解决方案,目前框架异常提示信息不完善,所以出现问题后很难排查,这里给出一些解决方案,让大家少走一些弯路;本篇文章持续更新中,欢迎各位读者指正、补充和完善,谢谢大家
Spring Authorization Server入门 (二十) 实现二维码扫码登录
云逸的博客
01-22 1700
全局根据二维码id将整个流程串联起来,前端轮询、app端扫码和登录确认都是通过二维码id来的,中间借助redis来缓存二维码的信息,以确保每个端都可以获取到二维码信息,这样就算集群部署也不影响。
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —客户端凭证模式
qjyn1314的博客
11-09 2288
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —客户端凭证模式
Spring Authorization Server入门 (十四) 联合身份认证添加微信登录
云逸的博客
07-29 1772
虽然这次是用测试号对接的,但是实际上开放平台提供的扫码登录也是这个流程,直接替换appid和app secret为开放平台申请的应该能直接使用;另外需要注意的是获取access_token时可能会返回unionid,这是在同一个微信开放平台账号下拥有多个移动应用、网站应用和公众账号,获取用户信息后用户信息中的openid可能不同,但是unionid是相同的,可以通过unionid区分用户。所以可以在三方用户表中多加一个字段来存放unionid或者openid。
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Spring 登录、注册
09-05
至于文件"spring2",这可能是项目源代码的一部分,包含了Spring MVC的配置、控制器类、服务类以及可能的视图模板。具体的内容分析需要查看文件内容才能详述,但这些文件通常会包括`spring-config.xml`(Spring配置...
Spring Security整合Oauth2实现流程详解
09-07
为了实现OAuth2的password模式,我们需要创建一个授权服务器(Authorization Server)和一个资源服务器(Resource Server)。在同一个应用中,这通常不是最佳实践,但在本例中我们将它们合并在一起。 1. **授权...
springcloud脚手架项目
07-24
- **Authorization Server**:授权服务器,负责颁发令牌,处理用户的登录认证请求。 - **Client**:客户端,需要访问资源的应用,需要通过授权服务器获取令牌。 3. **Vue.js**: - 前端框架,提供了组件化开发...
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 378
zookeeper安装并成功运行。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 324
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 675
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
Java面试八股之Spring容器的启动流程
u012151345的博客
07-23 1023
在整个过程中,Spring遵循了IoC(控制反转)和DI(依赖注入)原则,确保Bean的创建、配置、组装和管理都在容器的统一控制之下,实现了松耦合和可扩展的软件架构。创建BeanDefinition:解析配置信息的过程中,Spring会为每个Bean生成对应的BeanDefinition对象,它包含了Bean的类型、构造方法参数、属性值、初始化方法、依赖关系、作用域、生命周期回调方法等所有相关信息。Spring容器的启动流程涉及一系列有序的操作,以确保容器正确初始化并准备好管理应用程序中的Bean。
spring authorization server 配置匿名路径
06-10
配置 Spring Authorization Server 的匿名路径,可以使用 `permitAll()` 方法来放行指定路径。在 Spring Security 配置类中,可以在 `configure(HttpSecurity http)` 方法中添加 `.antMatchers("/**").permitAll()...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值