oauth2授权认证----授权码模式

最新推荐文章于 2024-01-31 00:27:53 发布
最新推荐文章于 2024-01-31 00:27:53 发布
阅读量506 收藏 2
点赞数
分类专栏: oauth2 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43829936/article/details/118244137
版权

oauth2授权认证----授权码模式

直接上代码

搭建授权服务器

授权服务器的作用就是用来生成token,下面的代码主要是用来生成token,配置客户端信息,配置token生成方式

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private MyBatisClientDetailsService myBatisClientDetailsService;

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;

    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;
    
    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    /**
     * 1.用来配置客户端信息,即请求令牌的一方,需要颁发客户端标识或客户端秘钥。
     * 查询数据库获取,配置好之后会自动查询客户端信息
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        System.out.println("第三步:配置客户端管理,根据client_id查询");
        clients.withClientDetails(myBatisClientDetailsService);
    }

    /**
     * 2.客户端要来配置令牌,需要配置申请的访问端点(即要访问的URL)和令牌服务(包括令牌如何生成,如何存储。。。)
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .authenticationManager(authenticationManager)//密码模式必须要配置认证管理器
                .authorizationCodeServices(authorizationCodeServices())//授权码必须要配
                .userDetailsService(userDetailsService)
                .tokenServices(tokenService())//令牌管理服务
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);
    }

    /**
     * 3.配置令牌端点的安全约束,即什么情况下可以访问该端点
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        System.out.println("第四步:发放令牌 isAuthenticated()");
        security.tokenKeyAccess("permitAll()") //允许所有人请求令牌
                .checkTokenAccess("permitAll()") //已验证的客户端才能请求check_token端点
                .allowFormAuthenticationForClients();
    }

    //令牌管理服务
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service = new DefaultTokenServices();
        service.setClientDetailsService(myBatisClientDetailsService);//客户端详情服务
        service.setSupportRefreshToken(true);//支持刷新令牌
        service.setTokenStore(tokenStore);
        service.setReuseRefreshToken(false);//刷新token的同时刷新refresh_token
//        service.setTokenEnhancer(accessTokenConverter);
        //令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        service.setTokenEnhancer(tokenEnhancerChain);
        service.setAccessTokenValiditySeconds(600); // token有效期
        service.setRefreshTokenValiditySeconds(1200); // refresh_token有效期
        return service;
    }

    //授权码模式专用对象
    @Bean
    public AuthorizationCodeServices authorizationCodeServices() {
        return new JdbcAuthorizationCodeServices(dataSource);
    }

}

配置token相关信息,包括秘钥,使用jwt生成token,并且token增强(就是把相关用户信息放到token中)。

@Configuration
public class TokenConfig {

    private final String SIGNING_KEY = "123456";
    @Autowired
    private ZWUserAuthenticationConverter zwUserAuthenticationConverter;


    @Bean
    public TokenStore tokenStore() {
        //JWT令牌存储方案
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {

        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter() {
            /**
             * 重写增强token的方法
             * 自定义返回相应的信息
             *
             */
            @Override
            public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
                // 与登录时候放进去的UserDetail实现类一致
                ZWUser userInfo = (ZWUser) authentication.getUserAuthentication().getPrincipal();
                /* 自定义一些token属性 ***/
                final Map<String, Object> additionalInformation = new HashMap<>(18);        
                Long userId = userInfo.getUser_id();
                additionalInformation.put("name", name);
                additionalInformation.put("userId", userId);
                ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInformation);
                return super.enhance(accessToken, authentication);
            }
        };
        accessTokenConverter.setSigningKey(SIGNING_KEY);
        ((DefaultAccessTokenConverter) accessTokenConverter.getAccessTokenConverter()).setUserTokenConverter(zwUserAuthenticationConverter);
        return accessTokenConverter;
    }
}

用户实体类,要继承security中的user类,用户信息可以通过security拿到,放到token中

/**
 * 扩展用户信息
 * 认证后转换的用户信息
 *
 * @author zhuowen
 * @since 2019/6/21
 */
public class ZWUser extends User  {
    /**
     * 用户ID
     */
    @Getter
    private Long user_id;


    /**
     * 用户姓名
     */
    @Getter
    private String name;

    /**
     * Construct the <code>User</code> with the details required by
     * {@link DaoAuthenticationProvider}.
     *
     * @param username              the username presented to the
     *                              <code>DaoAuthenticationProvider</code>
     * @param password              the password that should be presented to the
     *                              <code>DaoAuthenticationProvider</code>
     * @param enabled               set to <code>true</code> if the user is enabled
     * @param accountNonExpired     set to <code>true</code> if the account has not expired
     * @param credentialsNonExpired set to <code>true</code> if the credentials have not
     *                              expired
     * @param accountNonLocked      set to <code>true</code> if the account is not locked
     * @param authorities           the authorities that should be granted to the caller if they
     *                              presented the correct username and password and the user is enabled. Not null.
     * @throws IllegalArgumentException if a <code>null</code> value was passed either as
     *                                  a parameter or as an element in the <code>GrantedAuthority</code> collection
     */
    public ZWUser( Long user_id,  String username, String name, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
        this.user_id = user_id;
        this.name = name;
    }
}

配置用户信息转换器,主要是为了解决refresh_token后,生成的新token没有用户信息的问题,重写extractAuthentication方法,把用户信息重新返回,刷新refresh_token后,新的token中也会包含用户信息,如果不重写,新的token用户信息会变成用户名

/**
 * 用户认证转化器
 * /根据 oauth/check_token 的结果转化用户信息
 *
 * @author zhuowen
 * @since 2019/06/21
 */
@Component
public class ZWUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
    private static final String USER_ID = "user_id";
    private static final String DEPT_ID = "dept_id";
    private static final String ROLE_ID = "role_id";
    private static final String NAME = "name";
    private static final String TENANT_ID = "tenant_id";
    private static final String N_A = "N/A";

    /**
     * Extract information about the user to be used in an access token (i.e. for resource servers).
     *
     * @param authentication an authentication representing a user
     * @return a map of key values representing the unique information about the user
     */
    @Override
    public Map<String, ?> convertUserAuthentication(Authentication authentication) {
        Map<String, Object> response = new LinkedHashMap<>();
        response.put(USERNAME, authentication.getName());
        if (authentication.getAuthorities() != null && !authentication.getAuthorities().isEmpty()) {
            response.put(AUTHORITIES, AuthorityUtils.authorityListToSet(authentication.getAuthorities()));
        }
        return response;
    }

    /**
     * Inverse of {@link #convertUserAuthentication(Authentication)}. Extracts an Authentication from a map.
     *
     * @param map a map of user information
     * @return an Authentication representing the user or null if there is none
     */
    @Override
    public Authentication extractAuthentication(Map<String, ?> map) {
        if (map.containsKey(USERNAME)) {
            Collection<? extends GrantedAuthority> authorities = getAuthorities(map);
            String username = (String) map.get(USERNAME);
            String name = (String) map.get(NAME);
            Integer userId = (Integer) map.get("userId");
            ZWUser zwUser = new ZWUser(userId.longValue(),username,name,"N/A",true,true,true,true,authorities);
//            String userStr =  (String)map.get("userInfo");
//            System.out.println("userObj=========="+userStr);
//            ObjectMapper objectMapper = new ObjectMapper();
//            ZWUser user = objectMapper.convertValue(userObj, ZWUser.class);
//            System.out.println("user=========="+user.toString());
//            System.out.println(jsonObject.toJSONString());
//            SysUser user = JSON.parseObject(jsonObject.toJSONString(), SysUser.class);
            return new UsernamePasswordAuthenticationToken(zwUser, N_A, authorities);
        }
        return null;
    }

    private Collection<? extends GrantedAuthority> getAuthorities(Map<String, ?> map) {
        Object authorities = map.get(AUTHORITIES);
        if (authorities instanceof String) {
            return AuthorityUtils.commaSeparatedStringToAuthorityList((String) authorities);
        }
        if (authorities instanceof Collection) {
            return AuthorityUtils.commaSeparatedStringToAuthorityList(StringUtils
                    .collectionToCommaDelimitedString((Collection<?>) authorities));
        }
        throw new IllegalArgumentException("Authorities must be either a String or a Collection");
    }

授权类就完成了,主要是设置token生成方式,使用jwt方式存储,配置token增强,从数据库查询客户端信息,重写extractAuthentication方法

接下来我们写资源管理类,说的通俗点就是生成token后,每次访问接口都需要验证token,网关只是进行一些过滤(也有把token验证放在网关的),并不会验证token,我的验证token的方式写在各个微服务中,如果token验证通过了,就可以访问接口

搭建资源服务器

资源服务器比较简单,把生成token的方式移到资源服务器就OK了,生成token的方式我们用jwt,解析当然也用jwt,所以注入TokenStore ,tokenStore(tokenStore)就是用jwt的方式解析token。

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {
    @Autowired
    private TokenStore tokenStore;


    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources//该客户端拥有的资源id
//                .tokenServices(tokenService()) //验证客户端的令牌
//                .authenticationEntryPoint(new LLGAuthenticationEntryPoint())
                .tokenStore(tokenStore)
                .stateless(true);
        System.out.println("资源管理:令牌验证2");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http
                .authorizeRequests()
                .antMatchers("/get/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

token配置类,生成token的秘钥要和解析token的秘钥一样

@Configuration
public class TokenConfig {

    private final String SIGNING_KEY = "12342";
    @Autowired
    private ZWUserAuthenticationConverter zwUserAuthenticationConverter;

    @Bean
    public TokenStore tokenStore() {
        //JWT令牌存储方案
        return new JwtTokenStore(accessTokenConverter());
    }
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {

        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter() {
            /**
             * 重写增强token的方法
             * 自定义返回相应的信息
             *
             */
            @Override
            public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
                // 与登录时候放进去的UserDetail实现类一直查看link{SecurityConfiguration}
                ZWUser userInfo = (ZWUser) authentication.getUserAuthentication().getPrincipal();
                /* 自定义一些token属性 ***/
                final Map<String, Object> additionalInformation = new HashMap<>(18);
                Long userId = userInfo.getUser_id();
                additionalInformation.put("userId", userId);
                ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInformation);
                return super.enhance(accessToken, authentication);
            }
        };
        accessTokenConverter.setSigningKey(SIGNING_KEY);
        ((DefaultAccessTokenConverter) accessTokenConverter.getAccessTokenConverter()).setUserTokenConverter(zwUserAuthenticationConverter);
        return accessTokenConverter;
    }
}

这样资源服务器也搭建完成,我的是授权和资源是放在两个不同的服务,也可以放在同一个服务下,看你们自己怎么设计了。

快叫姥爷
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权模式
05-10
springboot-security-oauth2 此SpringBoot项目集成Spring Security、OAuth2实现资源访问授权认证。 支持client credentials、password、authorization code认证模式。 项目默认最为复杂的authorization code授权认证模式,已经实现自定义登录页、授权页、错误页,以及第三方用户登录。 1.支持/oauth/authorize,/oauth/token,/oauth/refresh_token,/oauth/error; 2.用户认证的accessToken使用RedisTokenStore保存在Redis中(但是代码也已经支持JDBC持久化存储Token,目前处于注释状态)。 注:如果需要使用JDBCTokenStore可以使用一下SQL语句创建响应的数据表: USE `iot_boss
oauth-apigateway-python-demo
03-20
oauth-apigateway-python-demo 操作步骤 步骤一:认证服务器和授权服务器的建造(以flask demo为例) 1.在API网关官方仓库中下载Flask演示。本演示包含四个API: /login :用于登陆,过渡到登陆页面进行用户名密认证 /code :用于验证用户名密,提交授权 /generate :用于验证授权,提交令牌 /verify :用于验证令牌是否有效 2.生成RSA公钥和私钥。使用python3运行produce_key.py,生成public_pem,priv_pem和pulic 3.使用sf部署Flask应用程序,部署成功后,会生成云函数和对应的API网关访问地址(即认证服务器地址)。 步骤二:配置API网关的授权API 在已创建的服务中,创建授权API,前端配置时,鉴权类型选择OAuth2.0,OAuth模式选择授权API。 初始配
OAuth2的四种授权方式
最新发布
qq_46073180的博客
01-31 1062
OAuth2四种授权方式
Spring Security OAuth2.0(一)-----前言-授权模式代码实例
qq_42264638的博客
04-21 2610
Spring Security OAuth2.0(一)-----前言-授权模式代码实例
Spring Security Oauth2 (二) 代码 授权模式
Claroja
03-08 278
└─java └─claroja │ Springsecurityoauth2DemoApplication.java │ ├─config │ AuthorizationServerConfig.java │ ResourceServerConfig.java │ SecurityConfig.java │ ├─controller
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4586
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
手把手OAuth2授权模式(Authorization Code)
xuejianxinokok的专栏
04-30 5738
手把手入门OAuth2授权模式(Authorization Code) 1.简单介绍 OAuth2 授权模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
利用Spring Boot Oauth2 来熟悉oauth2 之 - Authorization Code Grant
热门推荐
云淡风轻
07-06 2万+
参考文献 rfc 文档: RFC 6749 - The OAuth 2.0 Authorization Framework Spring boot oauth2 示例 Tutorial · Spring Boot and OAuth2 代码:https://github.com/choelea/tut-spring-boot-oauth2流程图从RFC文档复制过来的流程图, 来辅助我们理解oauth
OAuth2.0授权协议与客户端授权模式详解
wh柒八九的博客
10-12 2226
本文来重点讲解下OAuth2.0授权协议与客户端授权模式 文章目录什么是OAuth协议 什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和标准的规定实现.
OAuth2.0之授权讲解与代码实例(以Gitee为例)
lendsomething的博客
03-16 3067
参考文章: http://www.ruanyifeng.com/blog/2019/04/oauth_design.html http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html http://www.ruanyifeng.com/blog/2019/04/github-oauth.html
hope-oauth:最精简的oauth2授权认证服务:认证服务,资源服务,授权模式,数据库持久化令牌,客户端
03-24
授权模式(即先登录凭证,再获取令牌)[最常用] 密模式(将用户名,密传过去,直接获取令牌) client_credentials 客户端模式(无用户,用户向客户端注册,然后客户端以自己的名义向'服务端'获取资源)...
springBoot+security+oauth2 资源和认证分离的密模式
08-09
springBoot+security+oauth2 资源和认证分离的密模式
auth-center:具有OAuth 2.0和TOTP的身份验证中心
02-03
认证中心(OAuth2.0 + TOTP)安装// 全局安装npm i auth-center -g// 非全局安装npm i auth-center -S功能列表配置方便,简单,UI简洁多数据库支持:MySQL,Postgres,sqlite,mariadb 会议支持redis等OAuth2.0授权...
Oauth2系列2:授权模式
weigeshikebi的博客
05-22 8819
Oauth2系列2:授权模式
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 7494
Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信扫登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式
Spring Security OAuth2 Demo —— 授权模式 (Authorization Code)
CHIKA2333的博客
07-29 1406
redirectUris校验是否同一个客户端这个,可能说的不是很准确,说下大体流程,我们在授权服务器上配置了这个回调地址,授权服务器在用户授权成功后,返回授权的地址就是它,另外我们后续申请token时,也需要传递这个回调地址,所以我的理解是校验是否是同一客户端发来的第二次请求(换token时)除了配置用户,我们需要对服务的资源进行保护,这里将所有的请求都要求通过认证才可以访问,用户登录需要使用httpBasic形式(就是那种网页弹个窗要求登录的那种😄)code=2e6450。
认证授权OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3349
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
OAuth2.0-授权模式
超频化石鱼的博客
01-29 1570
OAuth2.0授权模式主要解决了信任问题:一个第三方网站需要访问我们Github上的数据(例如用户头像),那Github为什么要信任该网站?该对网站信任到什么程度?基于此,如果可以为该网站提供一个专门的,该有专门的权限和过期时间,且Github可随时清除的授权,这样问题就可以解决了。
spring-security-oauth2-authorization-server 框架
06-10
授权服务器中,开发者可以定义客户端授权范围、授权模式、令牌刷新等信息,同时可以对用户进行身份认证授权操作,从而保障资源服务器的安全访问。此外,Spring Security OAuth2 Authorization Server 还提供...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值