spring security oauth2 使用说明

最新推荐文章于 2025-10-01 15:14:52 发布
原创 最新推荐文章于 2025-10-01 15:14:52 发布 · 4.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

spring security oauth2 使用说明

 

spring security oauth2实现了oauth2协议,可搭建client(客户端)resource server(资源服务器)authorization server(认证服务器)

其中client(客户端)可用来实现三方登陆,spring-security-oauth2-client默认集成了githubgooglefacebookokta,也提供了一些接口,可实现支付宝qq微信等三方授权登录

 

 

**************************

相关 jar 包

 

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.2.6.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-client</artifactId>
            <version>5.3.1.RELEASE</version>
        </dependency>

 

 

**************************

配置类

 

OAuth2ClientAutoConfiguration:客户端自动配置类

@Configuration(
    proxyBeanMethods = false
)
@AutoConfigureBefore({SecurityAutoConfiguration.class})
@ConditionalOnClass({EnableWebSecurity.class, ClientRegistration.class})
@ConditionalOnWebApplication(
    type = Type.SERVLET
)
@Import({OAuth2ClientRegistrationRepositoryConfiguration.class, OAuth2WebSecurityConfiguration.class})
public class OAuth2ClientAutoConfiguration {
    public OAuth2ClientAutoConfiguration() {
    }
}

说明:该自动配置类导入OAuth2ClientRegistrationRepositoryConfigurationOAuth2WebSecurityConfiguration

 

 

OAuth2ClientRegistrationRepositoryConfiguration:客户端配置类

@Configuration(
    proxyBeanMethods = false
)
@EnableConfigurationProperties({OAuth2ClientProperties.class})
@Conditional({ClientsConfiguredCondition.class})
class OAuth2ClientRegistrationRepositoryConfiguration {
    OAuth2ClientRegistrationRepositoryConfiguration() {
    }

    @Bean
    @ConditionalOnMissingBean({ClientRegistrationRepository.class})
    InMemoryClientRegistrationRepository clientRegistrationRepository(OAuth2ClientProperties properties) {
        List<ClientRegistration> registrations = new ArrayList(OAuth2ClientPropertiesRegistrationAdapter.getClientRegistrations(properties).values());
        return new InMemoryClientRegistrationRepository(registrations);
    }//如果不存在ClientRegistrationRepository实例,则创建InMemoryClientRegistrationRepository实例
}

 

OAuth2ClientProperties:自动配置属性

@ConfigurationProperties(
    prefix = "spring.security.oauth2.client"
)
public class OAuth2ClientProperties {
    private final Map<String, OAuth2ClientProperties.Provider> provider = new HashMap();
    private final Map<String, OAuth2ClientProperties.Registration> registration = new HashMap();


*****************
内部类

    public static class Provider {
        private String authorizationUri;
        private String tokenUri;
        private String userInfoUri;
        private String userInfoAuthenticationMethod;
        private String userNameAttribute;
        private String jwkSetUri;
        private String issuerUri;


*****************
内部类

    public static class Registration {
        private String provider;
        private String clientId;
        private String clientSecret;
        private String clientAuthenticationMethod;
        private String authorizationGrantType;
        private String redirectUri;
        private Set<String> scope;
        private String clientName;

 

ClientRegistrationRepository:根据registrationId查找ClientRegistration类

public interface ClientRegistrationRepository {
    ClientRegistration findByRegistrationId(String var1);
}

 

InMemoryClientRegistrationRepository:使用内存保存客户端配置

public final class InMemoryClientRegistrationRepository implements ClientRegistrationRepository, Iterable<ClientRegistration> {
    private final Map<String, ClientRegistration> registrations;

    public InMemoryClientRegistrationRepository(ClientRegistration... registrations) {
        this(Arrays.asList(registrations));
    }

    public InMemoryClientRegistrationRepository(List<ClientRegistration> registrations) {
        this(createRegistrationsMap(registrations));
    }

    private static Map<String, ClientRegistration> createRegistrationsMap(List<ClientRegistration> registrations) {
        Assert.notEmpty(registrations, "registrations cannot be empty");
        return toUnmodifiableConcurrentMap(registrations);
    }

    private static Map<String, ClientRegistration> toUnmodifiableConcurrentMap(List<ClientRegistration> registrations) {
        ConcurrentHashMap<String, ClientRegistration> result = new ConcurrentHashMap();
        Iterator var2 = registrations.iterator();

        while(var2.hasNext()) {
            ClientRegistration registration = (ClientRegistration)var2.next();
            if (result.containsKey(registration.getRegistrationId())) {
                throw new IllegalStateException(String.format("Duplicate key %s", registration.getRegistrationId()));
            }

            result.put(registration.getRegistrationId(), registration);
        }

        return Collections.unmodifiableMap(result);
    }

    public InMemoryClientRegistrationRepository(Map<String, ClientRegistration> registrations) {
        Assert.notNull(registrations, "registrations cannot be null");
        this.registrations = registrations;
    }

    public ClientRegistration findByRegistrationId(String registrationId) {
        Assert.hasText(registrationId, "registrationId cannot be empty");
        return (ClientRegistration)this.registrations.get(registrationId);
    }

    public Iterator<ClientRegistration> iterator() {
        return this.registrations.values().iterator();
    }
}

 

 

OAuth2WebSecurityConfiguration:oauth2客户端安全配置

@Configuration(
    proxyBeanMethods = false
)
@ConditionalOnBean({ClientRegistrationRepository.class})
class OAuth2WebSecurityConfiguration {
    OAuth2WebSecurityConfiguration() {
    }

    @Bean
    @ConditionalOnMissingBean
    OAuth2AuthorizedClientService authorizedClientService(ClientRegistrationRepository clientRegistrationRepository) {
        return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository);
    }//不存在 OAuth2AuthorizedClientService,则创建该类

    @Bean
    @ConditionalOnMissingBean
    OAuth2AuthorizedClientRepository authorizedClientRepository(OAuth2AuthorizedClientService authorizedClientService) {
        return new AuthenticatedPrincipalOAuth2AuthorizedClientRepository(authorizedClientService);
    }//不存在授权客户端,则创建AuthenticatedPrincipalOAuth2AuthorizedClientRepository

    @Configuration(
        proxyBeanMethods = false
    )
    @ConditionalOnMissingBean({WebSecurityConfigurerAdapter.class})
    static class OAuth2WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
        OAuth2WebSecurityConfigurerAdapter() {
        }

        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests((requests) -> {
                ((AuthorizedUrl)requests.anyRequest()).authenticated();
            });
            http.oauth2Login(Customizer.withDefaults());
            http.oauth2Client();
        }//配置默认的安全策略
    }
}

 

OAuth2AuthorizedClientService:授权客户端操作接口

public interface OAuth2AuthorizedClientService {
    <T extends OAuth2AuthorizedClient> T loadAuthorizedClient(String var1, String var2);  //加载授权客户端

    void saveAuthorizedClient(OAuth2AuthorizedClient var1, Authentication var2);          //保存授权客户端

    void removeAuthorizedClient(String var1, String var2);                                //删除授权客户端
}

 

InMemoryOAuth2AuthorizedClientService:授权客户端操作类

public final class InMemoryOAuth2AuthorizedClientService implements OAuth2AuthorizedClientService {
    private final Map<OAuth2AuthorizedClientId, OAuth2AuthorizedClient> authorizedClients;   //保存授权客户端
    private final ClientRegistrationRepository clientRegistrationRepository;

    public InMemoryOAuth2AuthorizedClientService(ClientRegistrationRepository clientRegistrationRepository) {
        Assert.notNull(clientRegistrationRepository, "clientRegistrationRepository cannot be null");
        this.clientRegistrationRepository = clientRegistrationRepository;
        this.authorizedClients = new ConcurrentHashMap();
    }

    public InMemoryOAuth2AuthorizedClientService(ClientRegistrationRepository clientRegistrationRepository, Map<OAuth2AuthorizedClientId, OAuth2AuthorizedClient> authorizedClients) {
        Assert.notNull(clientRegistrationRepository, "clientRegistrationRepository cannot be null");
        Assert.notEmpty(authorizedClients, "authorizedClients cannot be empty");
        this.clientRegistrationRepository = clientRegistrationRepository;
        this.authorizedClients = new ConcurrentHashMap(authorizedClients);
    }

    public <T extends OAuth2AuthorizedClient> T loadAuthorizedClient(String clientRegistrationId, String principalName) {
        Assert.hasText(clientRegistrationId, "clientRegistrationId cannot be empty");
        Assert.hasText(principalName, "principalName cannot be empty");
        ClientRegistration registration = this.clientRegistrationRepository.findByRegistrationId(clientRegistrationId);
        return registration == null ? null : (OAuth2AuthorizedClient)this.authorizedClients.get(new OAuth2AuthorizedClient
最低0.47元/天 解锁文章
oauth2 spring-authorization-server OAuth2AuthorizationService支持redis
。。。。。。。
10-21 2480
oauth2 spring-authorization-server OAuth2AuthorizationService redis
久等|全面拥抱Spring全新OAuth解决方案
m0_67645544的博客
06-06 1107
Spring 团队正式宣布 Spring Security OAuth 停止维护,该项目将不会再进行任何的迭代目前 Spring 生态中的 OAuth2 授权服务器是 Spring Authorization Server 已经可以正式生产使用作为 SpringBoot 3.0 的过渡版本 SpringBoot 2.7.0 过期了大量关于 SpringSecurity 的配置类,如沿用旧版本过期配置无法向上升级。目前最新的 SAS 0.3 基于 Java 11 构建,低版本 Java 无法使用经过和 Spr
Spring-Security-Oauth2第一篇之授权认证
Little_fxc的博客
03-27 1958
Spring-Security-Oauth2第一篇 文章目录Spring-Security-Oauth2第一篇1. Oauth 介绍2. Spring Security Oauth2使用2.1. 使用MySQL存储 access_token 和 client 信息2.2. 数据结构脚本2.3. 相关的接口2.4. 服务类型2.5. 项目结构和 maven 依赖2.5.1. 配置授权认证服务2....
spring authorization server使用说明
weixin_43931625的博客
10-02 1500
spring authorization server使用说明
基于SAML与OAuth2的单点登录系统设计与实现(含完整验证机制)
最新发布
weixin_42613017的博客
10-01 1179
htmltable {th, td {th {pre {简介:单点登录(SSO)是一种高效的网络身份验证机制,允许用户一次登录后访问多个应用系统,提升用户体验并简化账户管理。本文详细介绍SSO的核心原理,包括认证服务器、服务提供者、安全令牌和共享通信机制,并深入解析SAML和OAuth2/OIDC两种主流实现协议。同时探讨SSO系统的优缺点及在安全性、互操作性、性能和合规性方面的实际应用考量。本系统经过完整设计与验证,适用于企业级身份统一管理场景。
Spring Security OAuth2的基本使用
积跬步,至千里。
10-20 4886
Spring Security OAuth2Oauth2进行了实现,主要包含认证服务器和资源服务器两大块的实现。本介绍Spring Security OAuth2的基本使用
一、SpringSecurity + oauth2的配置与使用
m0_46645068的博客
09-04 1263
一、SpringSecurity 1、springsecurity的配置 1SecurityConfig @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource;
Spring Security OAuth2 实现登录互踢的示例代码
08-19
在示例代码中,我们使用Spring Security OAuth2 提供的 TokenEndpoint、TokenGranter、TokenServices 和 TokenStore 等组件,实现了用户单一终端的唯一性登录。通过重写 TokenServices 的 createAccessToken 方法...
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8913
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
oAuthClient:使用Spring实现基本的OAuth2客户端
05-19
oAuthClient 使用Spring实现基本的OAuth2客户端
spring seciruty oauth2 client配置
路过君的博客
01-05 1799
版本 spring boot 3.2.1 spring seciruty 6.2.1 配置 OAuth2 客户端配置文件 application.yml spring: security: oauth2: client: registration: auth-client: provider: auth-server # 授权服务器(如果不配置,则provider需要使用auth-client作为key)
spring Oauth2 client
u011202334的专栏
10-24 1124
package com.fuwo.headline; import org.apache.http.client.config.RequestConfig; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClientBuilder; import org
Spring Security OAuth2 Client】基本介绍以及定制开发
Java技术栈,分享不断学习、不断超越、不断积累的历程!
04-29 8752
开头的配置项可以参考这个类OAuth2协议响应的标准参数字段可以参考这个类重定向到,并且会携带client_idscopestatenonce参数和会对回调地址(携带了code和state)进行处理,调用进行认证背后会进行连续token-uri请求,最后返回完全填充的缓存跳转登录前的请求由于类是final,不能继承,所以我们创建一个,然后把源码copy过来,主要修改accessTokenType为空的情况@Override。
Spring Cloud Gateway作为OAuth2 Client
罗小爬的技术宝书
06-22 3674
本文主要介绍了Spring Cloud Gateway作为OAuth2 Client的设计方案、适用场景以及集成过程中遇到的问题及解决方案,文末附有具体示例代码仓库地址。
7. Spring Security 5.1之OAuth 2.0 Client
热门推荐
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
Spring Authorization-Spring Boot引入Security OAuth2 Client对接认证服务
qq_33240556的博客
07-18 731
在需要保护的资源(通常是REST API或视图控制器)上使用注解或者通过配置全局的访问规则来要求用户必须经过认证才能访问。Spring Security会自动处理认证流程,一旦用户通过OAuth2服务提供商认证,他们的信息将被用来创建Spring Security的Principal对象,并且可以被应用程序使用。如果您需要更精细的控制,比如自定义登录页面样式、处理特定的认证失败场景或添加额外的认证逻辑,可以通过实现自定义的或配置和来完成。
Spring OAuth2.0客户端源码解析
onePlus5T的博客
08-22 1973
介绍OAuth2.0授权码模式下Spring Boot OAuth2客户端的源码运行流程
快速体验Spring Security OAuth2示例工程
在了解“oauth2的示例工程源代码spring-security-oauth-samples(含war包)”的知识点之前,我们需要先理解OAuth 2.0协议、Spring Security OAuth项目以及WAR包的作用。 OAuth 2.0是一个开放标准,允许用户授权第三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值