Spring Security oauth2.0 服务端

已于 2022-11-02 09:44:29 修改
阅读量1.5k 收藏 2
点赞数
分类专栏: JAVA security 文章标签: spring java spring boot
于 2022-10-27 14:18:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42555971/article/details/127507385
版权

文章目录


oauth2.0 协议的具体类容就不在这里展开说明了,请自行搜索一下。

本文主要记录如何使用 Spring Security 做授权服务器,简单理解就是颁发 token

引入依赖

pom 文件配置

spring-boot 版本:2.6.4
oauth 版本:2.2.7.RELEASE

注意:spring-boot 2.7 后,oauth service 就不再维护了,下文已此版本进行讨论

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.6.4</version>
    <relativePath/>
</parent>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.2.7.RELEASE</version>
</dependency>

 

查出用户相关数据

实现 UserDetailsService 接口
主要用途:获取用户信息,可从数据库查询
构成参数: 用户名、用户密码、 用户权限,可自定义构造方法

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String userName) {
        User userDetails = new User( userName, "password", new ArrayList<>());
        return userDetails;
    }

}

 

自定义的身份验证逻辑

实现 AuthenticationProvider 接口
主要用途:校验校验账号密码、用户权限等

  • 校验成功后,生成 UserDetails,返回 UsernamePasswordAuthenticationToken
  • 校验失败抛出异常,AccountExpiredException:帐户已过期、LockedException:账号被锁定、CredentialsExpiredException:帐户凭据已过期、DisabledException:帐户被禁用等
  • 也可以自定义异常,需要继承 AuthenticationException
  • supports():多个 Provider 时有用,一个则可以直接返回 true。详解:如果当前的 AuthenticationProvider 支持作为 Authentication 对象而提供的类型,则可以实现此方法以返回true。注意,即使该方法对一个对象返回 true,authenticate()方法仍然有可能通过返回null来拒绝请求。Spring Security这样的设计是较为灵活的,使得我们可以实现一个 AuthenticationProvider,它可以根据请求的详细信息来拒绝身份验证请求,而不仅仅是根据请求的类型来判断。
@Service("userAuthProvider")
@Slf4j
public class UserAuthProvider implements AuthenticationProvider { 
 
    @Autowired
    private UserDetailsServiceImpl iUserDetailsService;
    @Autowired
    private IUserMapper userMapper;
 
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        String userName = authentication.getName();
        String password = (String) authentication.getCredentials();

        UserPO userPO = userMapper.selectByName(userName);
        if (Optional.ofNullable(userPO).isPresent() && password.equals(userPO.getPassword())) {
            UserDetails userDetails = iUserDetailsService.loadUserByUsername(userName);
            log.info("登录成功");
            return new UsernamePasswordAuthenticationToken(userDetails, password, userDetails.getAuthorities());
        
        } else {
            throw new DisabledException("报错");
        }
    }
    
    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

 

WebSecurityConfigurerAdapter

继承 WebSecurityConfigurerAdapter 类,并添加注解 @Configuration、@EnableWebSecurity

  • @EnableWebSecurity:1、加载了WebSecurityConfiguration配置类, 配置安全认证策略;2、 加载了AuthenticationConfiguration, 配置了认证信息
  • authenticationManagerBean():用于将生成 AuthenticationManager 对象
  • AuthenticationManagerBuilder:引入 provider,下面例子引入了自定义的 userAuthProvider。详解:AuthenticationManager 的实现 ProviderManager 管理了众多的 AuthenticationProvider。每一个AuthenticationProvider 都只支持特定类型的 Authentication,如果不支持将会跳过。另一个作用就是对适配的 Authentication 进行认证,只要有一个认证成功,那么就认为认证成功
  • WebSecurity:可以过滤一些不需要权限校验的资源
  • **HttpSecurity.formLogin **:加载默认登录页面,没有过滤的接口或资源需要先通过校验后才能访问
  • HttpSecurity.authorizeRequests:配置资源需要权限才能访问
  • HttpSecurity.csrf:配置允许跨域
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    @Qualifier("userAuthProvider")
    private UserAuthProvider userAuthProvider;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception { 
        auth.authenticationProvider(userAuthProvider);
    }

    @Override
    public void configure(WebSecurity web) {
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .permitAll()

                .and()
                .authorizeRequests()
                .antMatchers("/test/**" ).permitAll()
                .anyRequest()
                .authenticated()

                .and()
                .csrf()
                .disable()
                .cors()
        ;
    }
}

 

AuthorizationServerConfigurerAdapter

oauth2.0 服务点配置

  • 继承 AuthorizationServerConfigurerAdapter
  • 添加注解 @EnableAuthorizationServer
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    UserDetailsServiceImpl userDetailsService;

	...
}

 

配置 token 校验方式

对应于配置 AuthorizationServer 安全认证的相关信息,创建 ClientCredentialsTokenEndpointFilter 核心过滤器

  • allowFormAuthenticationForClients:允许客户表单认证,详解:使 /oauth/token 接口支持 client_id 和 client_secret 做登陆认证
  • checkTokenAccess: 开放 /oauth/check_token?token=xxx 接口。此接口可以判断 token 是否有效
@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
    security
            .allowFormAuthenticationForClients()
            .checkTokenAccess("permitAll()");
}

 

配置客户端

初始化客户端详情信息,注意:不建议同时使用多种模式

  • jdbc:从数据库读取
  • inMemory:从内存读取
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.jdbc(dataSource);
    
    clients
    .inMemory()
    .withClient(CLIENT_ID)
                     .authorizedGrantTypes("password", "refresh_token")
                     .scopes("read", "write", "trust")
                     .resourceIds(RESOURCE_ID)
                     .secret() 
                     .accessTokenValiditySeconds(Math.toIntExact(TimeUnit.DAYS.toSeconds(30)))
                     .refreshTokenValiditySeconds(Math.toIntExact(TimeUnit.DAYS.toSeconds(30)));
            
}

一般来说,建议使用 jdbc 模式,方便增删改 client 信息

数据库添加表 oauth_client_details

CREATE TABLE `oauth_client_details` (
	`client_id` VARCHAR ( 256 ) CHARACTER 
	SET utf8 NOT NULL,
	`resource_ids` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`client_secret` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`scope` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`authorized_grant_types` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`web_server_redirect_uri` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`authorities` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`access_token_validity` INT ( 11 ) DEFAULT NULL,
	`refresh_token_validity` INT ( 11 ) DEFAULT NULL,
	`additional_information` VARCHAR ( 4096 ) CHARACTER 
	SET utf8 DEFAULT NULL,
	`autoapprove` VARCHAR ( 256 ) CHARACTER 
	SET utf8 DEFAULT NULL,
PRIMARY KEY ( `client_id` ) 
) ENGINE = INNODB DEFAULT CHARSET = utf8;
  • client_id:主键,必须唯一,不能为空.
  • resource_ids:设置 client 可以访问哪些资源服务,如果没设置,则可以访问所有,多个资源时用逗号(,)分隔
  • client_secret:指定客户端(client)的访问密匙,加上 {noop} 表示不加密,如 {noop}123
  • scope:指定客户端申请的权限范围,可选值包括read、write,、rust;若有多个权限范围用逗号(,)
  • authorized_grant_types:指定客户端支持的 grant_type,可选值包括authorization_code、password,refresh_token、implicit、client_credentials, 若支持多个grant_type用逗号(,)分隔
  • web_server_redirect_uri:客户端的重定向URI,可为空,多个则用逗号隔开
  • authorities:客户端所拥有的 Spring Security 的权限值,类似于角色,若有多个权限值用逗号(,)分隔
  • access_token_validity 设定客户端的 access_token 的有效时间值(单位:秒),若不设定值则使用默认的有效时间值(60 * 60 * 12, 12小时)
  • refresh_token_validity:设定客户端的refresh_token的有效时间值(单位:秒),若不设定值则使用默认的有效时间值(60 * 60 * 24 * 30, 30天);若客户端的 grant_type 不包括 refresh_token,则不用关心该字段
  • additional_information:这是一个预留的字段,在 Oauth 的流程中没有实际的使用,但若设置值,必须是JSON格式的数据
  • autoapprove:设置用户是否自动 Approval 操作,默认值为 ‘false’,可选值包括 ‘true’,‘false’, ‘read’,‘write’.
    该字段只适用于 grant_type=“authorization_code” 即授权码的情况,当用户登录成功后,若该值为’true’或支持的scope值,则会跳过用户 Approve 的页面, 直接授权.

 

配置 JWT 转换器

JWT 有多种生产策略,以下介绍两种

关键字加密

  • SigningKey:只是用来验签,不是用来加密的,jwt里不要放敏感信息
private static final String SIGNING_KEY = "fat";
    
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
    JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
    jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);
    return jwtAccessTokenConverter;
}

对称加密

  • KeyPair:密钥对
  • jwt.jks:此文件放在 resources 文件夹下,生成策略不在这里详述
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    KeyPair keyPair = new KeyStoreKeyFactory(
            new ClassPathResource("jwt.jks"), "key".toCharArray())
            .getKeyPair("auth-server");
    converter.setKeyPair(keyPair);
    return converter;
}

 

Token存储管理

定义 Token 的存储方式

  • InMemoryTokenStore:存储在内存
  • JdbcTokenStore:存储在持久层数据库
  • RedisTokenStore:存储在 Redis
  • JwtTokenStore:不存储 token,使用算数方式验证 token
@Bean
public TokenStore tokenStore() {
    InMemoryTokenStore tokenStore = new InMemoryTokenStore();
    return tokenStore;
}

若使用数据库方式存储即 JdbcTokenStore 时,需要创建 oauth_access_token、oauth_refresh_token 两个表,分别存储 access_token 和 refresh_token

oauth_access_token

  • create_time:数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成(扩展字段)
  • token_id:该字段的值是将 access_token 的值通过MD5加密后存储的
  • token:存储将 OAuth2AccessToken.java 对象序列化后的二进制数据,是真实的 AccessToken 的数据值.
  • authentication_id:该字段具有唯一性,其值是根据当前的username(如果有),client_id 与 scope 通过 MD5 加密生成的
  • user_name:登录时的用户名,若客户端没有用户名(如grant_type=“client_credentials”),则该值等于空
  • client_id:用于唯一标识每一个客户端
  • authentication:存储将 OAuth2Authentication.java 对象序列化后的二进制数据.
  • refresh_token:该字段的值是将 refresh_token 的值通过MD5加密后存储的.
CREATE TABLE oauth_access_token (
   create_time TIMESTAMP DEFAULT now(),
   token_id VARCHAR ( 255 ),
   token BLOB,
   authentication_id VARCHAR ( 255 ) UNIQUE,
   user_name VARCHAR ( 255 ),
   client_id VARCHAR ( 255 ),
   authentication BLOB,
refresh_token VARCHAR ( 255 ) 
) ENGINE = INNODB DEFAULT CHARSET = utf8;

oauth_refresh_token

如果客户端的 grant_type 不支持 refresh_token,则不会使用该表

  • oauth_refresh_token:create_time 数据的创建时间,精确到秒,由数据库在插入数据时取当前系统时间自动生成
  • token_id:该字段的值是将 refresh_token 的值通过MD5加密后存储的
  • token:存储将OAuth2RefreshToken.java 对象序列化后的二进制数据
  • authentication:存储将 OAuth2Authentication.java 对象序列化后的二进制数据.
CREATE TABLE oauth_refresh_token ( 
   create_time TIMESTAMP DEFAULT now(), 
   token_id VARCHAR ( 255 ), 
   token BLOB, 
   authentication BLOB 
) ENGINE = INNODB DEFAULT CHARSET = utf8;

 

配置授权端点

配置授权服务器端点的属性和增强功能,主要用来来配置令牌(token)的访问端点和令牌服务(token services)

  • 密码模式必须配置 authenticationManager,authenticationManager 在 WebSecurityConfigurerAdapter 已创建
  • 默认 token 使用 UUID
  • 自定义的主要扩展点使用 TokenEnhancer
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
    DefaultTokenServices tokenServices = new DefaultTokenServices();
    tokenServices.setTokenStore(tokenStore());
    endpoints
            .authenticationManager(authenticationManager)
            .tokenServices(tokenServices)
    ;
}

 
JWT 配置

  • 创建 jwtAccessTokenConverter,实现 TokenEnhancer 接口
  • TokenEnhancerChain 添加 jwtAccessTokenConverter,注意:TokenEnhancerChain 添加需要穿 List
  • tokenServices 添加 TokenEnhancerChain
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        enhancerChain.setTokenEnhancers(Arrays.asList(jwtAccessTokenConverter()));

        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenEnhancer(enhancerChain);
        tokenServices.setTokenStore(tokenStore());

        endpoints
                .authenticationManager(authenticationManager)
                 .tokenServices(tokenServices)
        ;
}

refreshToken 配置

  • support:默认为 false,设置为 true 后,可以使用 refresh_token 来换取新 token
  • reuse:默认为 true,refreshToken 过期前都可以换取新的 accessToken;修改为 false,refreshToken 只能使用一次
tokenServices.setSupportRefreshToken(true);
tokenServices.setReuseRefreshToken(false);
我有一只肥螳螂
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
spring security oauth2.0 实现
weixin_33726943的博客
04-05 167
  oauth应该属于security的一部分。关于oauth的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 一、目标   现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ账号等登陆自己的系统,我们现在就是要模拟这种登陆的方式,很多大的公...
OAuth2.0客户端和服务端Java实现
最新发布
qq_41124175的博客
04-08 1086
本部分将开发过程中遇到的难点记录下来,具体源码参考此repo 👍。
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
springsecurity oauth2.0
warrah 南极狼
02-08 3650
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
SpringSecurity+OAuth2.0
weixin_46301906的博客
07-07 5944
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth 在全世界得到广泛应用,目前的版本是 2.0 版。简单:不管是 OAuth 服务提供者还是应用开发者,都很易于理解与使用。安全:没有涉及到用户密钥等信息,更安全更灵活。开放:任何服务提供商都可以实现 OAuth,任何软件开发商都可以使用 OAuth。Resour
Oauth2.0:SpringsecurityOauth2.0实现样例
05-14
Oauth2.0 该项目是SpringSecurityOauth2.0的实现,包含三个服务:认证授权服务端、客户端、资源服务端(可选)
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID Connect(OIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring-security-oauth的实现源码
04-11
spring-securityOAuth 2.0的服务端、资源服务器和客户端说明,如果没有积分,可以去github下载,本资源记录了基层测试和样例进行了记录。
enjoy-oauth2-parent:Spring Cloud Security OAuth SSO
04-28
enjoy-oauth2-authorization:授权服务 , 继承spring security验证用户合法性,暴露OAuth2.0接口 enjoy-oauth2-client: OAuth2.0 服务使用方(客户端) ,使用授权方提供的用户信息,访问OAuth2.0保护的资源服务端 ...
SpringSecurity实现Oauth2.0
llwhlee的博客
08-08 608
SpringSecurity实现Oauth2.0
Spring securityoauth2.0介绍
u014416842的博客
05-05 1920
OAuth2.0介绍 OAuth 2.0是用于授权的行业标准协议,允许用户让第三方应用访问该用户在某一网站受保护的资源(比如user API),而无需将用户名和密码提供给第三方应用。OAuth 2.0专注于简化客户端开发,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。 角色划分 resource owner:资源所有者,能够授予第三方应用访问特定保护资源的权限。 当资源所有者是个人时,它是被称为最终用户。 resource server: 资源服务器,受保护的资源一般通过..
浅谈spring security Oauth2.0
qq_18684463的博客
02-10 461
写这篇文章主要从springboot集成oauth2.0的角度来谈谈oauth2.0
SpringSecurity整合OAuth2.0
玩转Java
12-10 9404
springsecurity整合aoth2.0
SpringSecurity 实现 OAuth 2.0
RawChen · Blog
10-09 1186
OAuth2.0 小了来说作为前后端分离项目来讲经常需要传递数据。专业上来说也就是客户端想要访问资源服务器的数据,那么就能通过资源服务器内部提供的api来访问数据,那么问题就来了,这安全吗?当然不安全,因为客户端可以伪装和伪造请求资源。所以我们需要权限验证。 那么怎么做嘞,OAuth2.0协议就是用来做这个的。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源
Spring Security OAuth2.0
你好啊cbw
04-24 793
什么是 OAuth 2 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),而在这个过程中无须将用户名和密码提供给第三方应用。实现这功能是通过提供令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。 这样,OAuth 让用户可以授权 第三方网站灵活地访问存储在另外一些资源服务器的特定信息,而非所有内容。目前主流的 qq, 微信等第三方授权登录方式都是基于 OAuth2 实现的 传统的 Web 开发登录认证一般都
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2045
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Spring Security + OAuth2.0
zk86547462的博客
02-17 4759
授权服务器 授权服务器中有4个端点。说明如下: Authorize Endpoint :授权端点,进行授权。 Token Endpoint :令牌端点,经过授权拿到对应的Token。 lntrospection Endpoint :校验端点,校验Token的合法性。 Revocation Endpoint :撤销端点,撤销授权。 Spring Security Oauth2架构 说明如下: 用户访问,此时没有Token。Oauth2RestTemplate会报错,这个报错信息会被Oauth2Cli
java实现oauth2.0服务端代码下载
07-08
2. 接下来,可以从GitHub等代码托管平台上搜索并下载OAuth 2.0的相关库,如Spring Security OAuth或其他第三方库来快速实现OAuth 2.0服务端功能。 3. 下载所需的库后,可以将其导入Java开发环境中,创建一个新的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值