Spring Boot项目系列(4)集成Spring Security ,Oauth2实现项目级别的权限控制和鉴权管理

最新推荐文章于 2024-07-25 22:33:38 发布
最新推荐文章于 2024-07-25 22:33:38 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: springboot 权限管理 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43704107/article/details/109134140
版权

前言

    项目中出现的,接口权限问题,和第三方鉴权功能的简单实现。技术采用spring boot+spring security+oauth2相关技术,做一个简单的权限管理。本项目,只适合用来学习搭建项目,并不适用于直接用于项目开发。还需要加点改造。本项目github地址:

https://gitee.com/shen_wen_jia/learning-projects/tree/master/springsecurity-oauth2

    
 
 
整体项目架构

在这里插入图片描述

jar包导入

 <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
		<!--spring security实现的相关jar包-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- oauth2.0支持组件 -->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.1.4.RELEASE</version>
        </dependency>
        <!--模板引擎,搭建简单的登录界面-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

        <!--工具包,主要用了一个JSON的功能-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.7</version>
        </dependency>

    </dependencies>

1.spring secutity实现接口的权限访问控制

1)项目搭建

application.yml配置

mvc:
  view:
    suffix: html
    prefix:
server:
  port: 8080
  servlet:
    context-path: /oauth

使用

    首先,使用spring security搭建一个简单的登陆跳转,接口权限验证功能。使用到的代码文件有SecurityConfig.java-用来做spring security的详细配置。MyUserDetailService.java-用来做登陆逻辑。LoginController.java-用来做简单的登陆界面跳转,使用th模板引擎搭建了一个简单的登陆界面。UserController.java-用来做简单的接口权限项目测试。

SecurityConfig.java

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/","/login","/hello","/oauth/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login_p")
                //登录处理接口
                .loginProcessingUrl("/doLogin")
                //定义登录时,用户名的 key,默认为 username
                .usernameParameter("username")
                //定义登录时,用户密码的 key,默认为 password
                .passwordParameter("password")
                //成功/失败登录之后的返回逻辑
                .successHandler(new AuthenticationSuccessHandler() {
                    private Logger logger = LoggerFactory.getLogger(this.getClass());
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        System.out.println(authentication);
                        out.write(JSONUtil.toJsonPrettyStr(authentication));
                        out.flush();
                    }
                })
                .failureHandler(new AuthenticationFailureHandler(){
                    private Logger logger = LoggerFactory.getLogger(this.getClass());

                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        out.write(e.toString());
                        out.flush();
                    }
                })
                .permitAll()
                .and()
                //退出登录的登录接口。
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        out.write("logout success");
                        out.flush();
                    }
                })
                .permitAll();
    }

    /**
     * 密码加密解密的配置
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();
    }

    /**
     * 需要配置这个支持password模式-oauth2的相关配置
     */
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

    配置中调用了前端自己定义的登陆逻辑-index.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
        xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
   <head>
           <title>Spring Security Example </title>
       </head>
   <body>
       <div th:if="${param.error}">
               Invalid username and password.
           </div>
       <div th:if="${param.logout}">
               You have been logged out.
           </div>
       <form th:action="@{/doLogin}" method="post">
               <div><label> User Name : <input type="text" name="username"/> </label></div>
               <div><label> Password: <input type="password" name="password"/> </label></div>
               <div><input type="submit" value="Sign In"/></div>
           </form>
   </body>
</html>

MyUserDetailService.java:用户登陆的判断逻辑在这里实现

    这里的登陆判断逻辑,最好还是根据自己的数据库设计,来加入相应的逻辑判断。

@Component
public class MyUserDetailService implements UserDetailsService {
    Logger logger = LoggerFactory.getLogger(getClass());
    @Autowired
    private PasswordEncoder passwordEncoder;


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        logger.info("登陆用户名:{}",s);
        String password  = "123";
        password = passwordEncoder.encode(password);
        List<SimpleGrantedAuthority> authorities = new ArrayList<>(8);
        //这里加上用户的权限逻辑,这里我使用-来划分资源的细化权限
        SimpleGrantedAuthority authority = new SimpleGrantedAuthority("user-add");
        authorities.add(authority);
        //角色权限,使用角色权限时,需要在加色的前方加上ROLE_,代表一个角色权限
        SimpleGrantedAuthority authority2 = new SimpleGrantedAuthority("ROLE_admin");
        authorities.add(authority2);
        
        return new User(s,password, true, true, true, true,
                authorities);
    }
}

UserController.java :用户的测试,使用注解管理接口的权限

@RestController
@RequestMapping("user")
public class UserController {
    private Logger logger = LoggerFactory.getLogger(PermisssionController.class);

    @GetMapping
    //使用本注解来管理一个接口所应该拥有的权限
    @PreAuthorize("hasPermission('user','add') or hasRole('admin')" )
    public String get(){
        logger.info("访问成功");
        return "success";
    }
}

MyPermissionEvaluator.java:测试所用 的接口的解析逻辑,比对接口的权限,返回boolean,是否能够调用。

@Configuration
public class MyPermissionEvaluator implements PermissionEvaluator {
    private Logger logger = LoggerFactory.getLogger(MyPermissionEvaluator.class);
    @Override
    public boolean hasPermission(Authentication authentication, Object o, Object o1) {
        boolean accessable = false;
        logger.info(authentication.getPrincipal().toString());

        if(authentication.getPrincipal().toString().compareToIgnoreCase("anonymousUser") != 0){
            String privilege = o+"-"+o1;
            for (GrantedAuthority authority : authentication.getAuthorities()) {
                if(privilege.equalsIgnoreCase(authority.getAuthority())){
                    accessable = true;
                    break;
                }
            }
        }
        return accessable;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable serializable, String s, Object o) {
        return false;
    }
}
构建结束

    依靠上述的项目构建结果,可以看出,我们搭建一个简单的用户接口的权限验证框架。相关逻辑如下图所示

在这里插入图片描述

2)项目测试

待跟新

访问接口,自动跳转登录界面

在这里插入图片描述

失败返回

在这里插入图片描述

成功返回

在这里插入图片描述

访问接口:在没有登陆之前,是直接返回404的

在这里插入图片描述

2.spring security 实现oauth2的相关鉴权服务

1)相关配置

    spring security框架提供了对oauth2的支持,这里简单实现一下,oauth2的相关。主要使用到2个配置文件OAuth2ServerConfig-提供相关的oauth2的相关配置,ResourceServerConfig-配置oauth2的资源访问接口(配置哪些接口是需要通过oauth2鉴权之后才能访问的)。PermisssionController-测试controller层

OAuth2ServerConfig

@Configuration
@EnableAuthorizationServer
public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer
                .realm("oauth2-resources")
                //code授权添加
                .tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                //allow check token
                .allowFormAuthenticationForClients();
    }
    /**
     * 注入authenticationManager
     * 来支持 password grant type
     */
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)
                //允许 GET、POST 请求获取 token,即访问端点:oauth/token
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST);
    }
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("demoApp")
                .secret(passwordEncoder.encode("demoAppSecret"))
                .redirectUris("http://baidu.com")//code授权添加
                .authorizedGrantTypes("authorization_code","client_credentials", "password", "refresh_token")
                .scopes("all")
                .resourceIds("oauth2-resource")
                .accessTokenValiditySeconds(1200)
                .refreshTokenValiditySeconds(50000);
    }

ResourceServerConfig:配置了需要的接口服务

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers("/per/**")
                .and()
                .authorizeRequests()
                .antMatchers("/per/**").authenticated();
    }
}

PermisssionController:测试所用的权限层

@RestController
@RequestMapping("per")
public class PermisssionController {
    private Logger logger = LoggerFactory.getLogger(PermisssionController.class);

    @GetMapping
    public String get(){
        logger.info("访问成功");
        return "success";
    }
}
2)测试

第一步:获取token

密码模式

url:

http://localhost:8080/oauth/oauth/token?username=admin&password=123&grant_type=password&client_id=demoApp&client_secret=demoAppSecret

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oHmzBtUr-1602921484289)(C:\Users\swj\AppData\Roaming\Typora\typora-user-images\image-20201017151507918.png)]

客户端模式

url:

http://localhost:8080/oauth/oauth/token?grant_type=client_credentials&client_id=demoApp&client_secret=demoAppSecret

在这里插入图片描述

第二步访问接口

错误情况:

在这里插入图片描述

正确的情况

在这里插入图片描述

结语

路漫漫其修远兮,吾将上下而求索!
孤独的#神
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (四)资源服务器搭建
06-21 649
当客户端带着token去访问接口,资源服务器会进行认证,只有验签没问题才能访问。省下的web包中的Controller都是些简单的接口,可以去git仓库中查看。以上是pom的全部信息。只不过咱们这里所说的资源是网络资源,例如:接口,数据,图片,多媒体等等。资源服务器主要就是管理资源的访问,就像一名仓库管理员。如:/userinfo。它是有一个认证机制的,就像OAuth协议中规定的。,从而构建出Jwt Decoder(解码器)。资源服务器管理服务器上的资源。仓库管理管理仓库中的资源。
Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究
icarusliu的专栏
05-09 1万+
业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。 在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。 关于Spring Security OAuth...
SpringCloud整合spring security+ oauth2+Redis实现认证授权
热门推荐
write less , do more
10-15 2万+
在微服务构建中,我们一般用一个父工程来通知管理依赖的各种版本号信息。父工程pom文件如下: 构建eureka注册中心 在SpringCloud微服务体系中服务注册中心是一个必要的存在,通过注册中心提供服务的注册和发现。具体细节可以查看我之前的博客,这里不再赘述。我们开始构建一个eureka注册中心,对应的yml配置文件如下: 对应的项目启动类代码如下: 至此,一个单体的服务注册中心搭建完成。上文我们已经完成了注册中心的搭建,接下来我们开始搭建认证授权中心。我们同样在父工程下面新建一个子工程,作为认证授权中心
Spring BootSpring SecurityOauth2实现权限控制和认证服务
https://gitee.com/micai-code
02-16 3176
新一代基于Spring BootSpring SecurityOauth2等实现权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等、详情请点击下面的项目地址查看,欢迎大家使用体验,觉得不错的给个star,谢谢
鉴权 OAuth 2.0的实现Spring_Security_Oauth2)
qq_25156781的博客
01-28 2577
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(三)
qq_38658567的博客
01-26 1409
回顾之前文章: 1. 微服务鉴权管理OAuth2原理解析(一), 2. 微服务鉴权管理Spring Security原理解析(二) 前面的部分,我们关注了Spring Security是如何完成认证工作的,接下来将继续讲解接口对接中常使用的密码模式(以下简称password模式)和客户端模式(以下简称client模式)。授权码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。 1、概述 使用oauth2保护你的应用,可以分为简易的分为三个步
Spring Boot整合 Spring SecurityOAuth2
m0_56799642的博客
12-08 1965
OAuth是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式OAuth相关的名词第三方应用程序,比如这里的虎牙直播;HTTP服务提供商,比如这里的QQ(腾讯);资源所有者,就是QQ的所有人,你;User Agent用户代理,这里指浏览器;认证服务器,这里指QQ提供的第三方登录服务;资源服务器,这里指虎牙直播提供的服务,比如高清直播,弹幕发送等(需要认证后才能使用)。认证服务器主要包含了四种授权模式的实现和Token的生成与存储资源服务器。
SpringSecurity + jwt + Oauth2实现动态权限管理(有源码)
qq_44993268的博客
03-31 1216
spring security权限管理
springboot集成springsecurity 使用OAUTH2做权限管理
老专家的博客
04-25 1万+
Spring Security OAuth2 主要配置,注意application.yml最后的配置resource filter顺序配置,不然会能获取token但是访问一直 没有权限 WebSecurityConfigurerAdapter 所在服务器的web配置 AuthorizationServerConfigurerAdapter 认证服务器配置 ...
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
这是一个基于最新技术栈,包括Spring Cloud 2021、Spring Boot 2.7和OAuth2的RBAC(Role-Based Access Control)权限管理系统的源码项目。该项目旨在提供一套高效、安全的后端服务框架,用于实现用户权限的精细化...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring BootSpring SecurityOAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBootSpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
Spring boot 配置文件
最新发布
2301_79547900的博客
07-25 370
properties使用key=value的形式配置键类型的配置文件,而yml使用的是树形结构来配置yml层级之间使⽤换⾏缩进的⽅式配置,key和value,之间使⽤": "(英⽂冒号)加空格的⽅式设置,并且空格不可省略。properties是早期默认的配置文件格式,其配置存在一定的冗余,使用yml可以很好解决这些问题。yml和properties可以共存,但建议只使用一种,可以降低故障率。
Spring boot 2.0 升级到 3.3.1 的相关问题 (五)
飞一站的博客
07-24 514
解决Spring boot 2.0 升级到3.3.1 版本的druid 配置和Redis配置不生效的问题。
1.Spring Boot 简介(Spring MVC+Mybatis-plus)
m0_61086522的博客
07-23 659
SpringBootSpring的子工程(或是spring的脚手架),快速搭建spring项目,自动配置了Spring 应用程序和第三方库(spring+mybaties+web(servlet)+ reids+ 消息中间件),而且使用很少xml配文件,提高开发效率。一款基于mvc模式、请求驱动、轻量级web框架(封装了Servlet)给予MVC模式请求驱动轻量级web框架封装了Servlet程序。
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值