Spring Boot 2.x实战83 - Spring Security 7 -OAuth 2.0之Authorization Server(基于JWT)

最新推荐文章于 2024-08-19 09:54:14 发布
最新推荐文章于 2024-08-19 09:54:14 发布
阅读量4.6k 收藏 8
点赞数 2
分类专栏: Spring Boot2.x实战全集 SpringBoot2.x实战-SpringSecurity 文章标签: OAuth2.0 JWT spring boot spring security Auth Server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wiselyman/article/details/106991782
版权
本文详细介绍了如何在Spring Boot 2.x中配置OAuth 2.0 Authorization Server,包括JWT的使用。内容涵盖OAuth 2.0授权流程、Authorization Server的自动配置、用户配置、JWT配置以及Token的获取和刷新。同时,文章提到了新书《从企业级开发到云原生微服务:Spring Boot 实战》,涵盖了Spring Boot开发的多个方面。
摘要由CSDN通过智能技术生成

3 OAuth 2.0

OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:
在这里插入图片描述

  • 交互参与方:

    • Client:需要访问Resource Sever受保护资源的应用;
    • Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);
    • Authorization Server:提供访问授权的应用,Client使用某种Grant TypeAuthorization Server获取Access Token
    • Resource Sever:包含受保护资源的应用,Client使用Access Token访问Resource Server的受保护资源;

  • 授权类型 - Grant Type

    • Authorization Code:让用户访问Client页面时,页面打向Authorization Server的登录页面,登录后显示授权访问页面,授权成功后Client即可获得Access Token访问Resource Server
    • Password:通过提供提供用户名和密码获得Access Token,一般是给应用服务的客户端使用(IOS、Android、Web App)。
    • Client Credentials:Client通过Client Id和Client Secret直接向Authorization Server请求Access Token;它主要用于非用户参与的应用,如后台服务。

  • Token

    • Access Token:用来访问受保护资源的唯一令牌;
    • Refresh Token:当Access Token失效时,我们可以使用Refresh Token来获取一个新的Access Token,它的时效性要远远大于Access Token
    • JWT:JSON Web Token,它代表双方之间安全传输的信息;它使用数字签名,传输的信息可以被验证和信任。
3.1 OAuth 2.0 Authorization Server

新建应用,信息如下:

Group:top.wisely

Artifact:auth-server

Dependencies:Spring SecuritySpring Web StarterSpring Data JPAMySQL DriverLombok

build.gradle文件中的依赖如下:

dependencies {
   implementation 'org.springframework.boot:spring-boot-starter-data-jpa'
   implementation 'org.springframework.boot:spring-boot-starter-security'
   implementation 'org.springframework.boot:spring-boot-starter-web'
   compileOnly 'org.projectlombok:lombok'
   compileOnly 'org.projectlombok:lombok'
   runtimeOnly 'mysql:mysql-connector-java'
   annotationProcessor 'org.projectlombok:lombok'
  //...
}

Spring Security不提供OAuth 2.0 Authorization Server的功能,我们使用spring-security-oauth2-autoconfigure来实现OAuth 2.0 Authorization Server的功能和配置。Spring Boot不提供spring-security-oauth2-autoconfigure版本的维护,需指定它的版本。

implementation 'org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.2.X.RELEASE'
3.1.1 spring-security-oauth2-autoconfigure提供的自动配置

spring-security-oauth2-autoconfigure使用OAuth2AutoConfiguration导入了关于Authorization Server配置OAuth2AuthorizationServerConfiguration,他们通过AuthorizationServerPropertiessecurity.oauth2.authorization.*来进行定制配置。OAuth2AuthorizationServerConfiguration做了下面的配置:

  • AuthorizationServerConfigurerAdapter:继承此类通过重载其方法对进行配置。
    • configure(ClientDetailsServiceConfigurer clients):配置client的信息,可通过security.oauth2.client.*来配置,只支持配置一个。
    • configure(AuthorizationServerEndpointsConfigurer endpoints):配置Authorization Server端点的非安全特性。配置了TokenStoreAccessTokenConverter,若Grant Type为password则需设置AuthenticationManager
    • configure(AuthorizationServerSecurityConfigurer security):配置Authorization Server的安全性。
      • tokenKeyAccess:配置端点/oauth/token_key的访问安全,提供JWT编码的Token;通过security.oauth2.authorization.tokenKeyAccess来配置。
      • checkTokenAccess:配置端点/oauth/check_token的访问安全,解码Access Token用来检查和确认生成的token;通过security.oauth2.authorization.checkTokenAccess来配置。
  • 导入AuthorizationServerTokenServicesConfiguration:配置JWT。
    • TokenStore:用来生成和获取token;自动配置了JwtTokenStore的Bean;
    • AccessTokenConverter:将access token转换成不同的格式;自动配置了JwtAccessTokenConverter转换成JWT格式。
3.1.2 获取用户配置

Authorization Server要获取终端用户,来获取用户相关信息。我们沿用上节的SysAuthoritySysRoleSysUserSysAuthorityRepository
SysRoleRepositorySysUserRepositoryCusotmUserDetailsService。我们的配置如下:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Autowired
    SysUserRepository sysUserRepository;
    @Bean
    protected UserDetailsService userDetailsService() {
   
        return new CusotmUserDetailsService(sysUserRepository);
    }

    @Bean
    PasswordEncoder passwordEncoder(){
   
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override //暴露authenticationManager Bean。
    protected AuthenticationManager authenticationManager() throws Exception
最低0.47元/天 解锁文章
汪云飞记录本
关注
专栏目录
基于Springboot技术开发OAuth2认证授权与资源服务器
ban的博客
12-18 2万+
设计并开发一个开放平台。 一、设计: 网关可以 与认证授权服务合在一起,也可以分开。 二、开发与实现: 用Oauth2技术对访问受保护的资源的客户端进行认证与授权。 Oauth2技术应用的关键是: 1)服务器对OAuth2客户端进行认证与授权。 2)Token的发放。 3)通过access_token访问受OAuth2保护的资源。 选用的关键技术:Springboot, Spring-...
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (六)OAuth2经典场景~授权码模式
06-25 1608
2024 最新 SpringSecurity OAuth2 授权码模式完成示例! JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上修改 C:\Windows\System32\drivers\etc\hosts文件。(如果授权服务器和客户端在不同的域名下,就不用修改了)
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 7318
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
Spring Boot整合Spring Authorization Server
最新发布
code_fly
08-19 191
Spring Boot整合Spring Authorization Server,本篇文章将带大家一步步构建一个简单的认证服务器
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
Oauth2授权服务器(身份验证服务器)的构造 0.概述 关于如何构建SpringBoot提供的Oauth2身份验证服务器的实践 在daddyprogrammer.org上序列化和获取Github注册 1.实习环境 Java 8-11 SpringBoot 2.x SpringOauth2 JPA,H2 Intellij社区 2.练习内容 Spring Boot Oauth2-AuthorizationServer 文档 吉特 Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码实践 代币发行 curl -X POST'http :// localhost:8080 / oauth / token'-H'Authorization:Basic dGVzdENsaWVudElkO
SpringSecurity最新学习,spring-security-oauth2-authorization-serverspring-security-oauth2升级】
小道仙的后宫
07-03 1025
默认获取token是在 header中,还要拼接一个前缀 Bearer, 假如想改为从 url中获取 access_token, 只需要重写BearerTokenResolver// URI 中 Token 的参数名@Override// 从 URI 参数中获取 Token= null &&!上面的流程完成了授权和鉴权,但我们拿不到有用的参数,何为有用的参数比如: 用户的 userId不管是Opaque还是Jwt都可以在里面设置一些我们自己的参数——把参数放到 【claims】Opaque。
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 2312
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
Spring Boot 2 OAuth2 JWT授权服务器 链接到项目 关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相...
Oauth2.0基于Spring Authorization Server模块private_key_jwt模式
Lance
03-18 1142
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 private_key_jwt JwtClientAssertionAuthenticationConverter 基于项目:Sp
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2030
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
springboot+springsecurity+oauth2.zip
07-21
springboot+springsecurity+oauth2,包含数据库sql文件
springboot 集成 spring-security-oauth2-authorization-server,mysql
qq_36740038的博客
09-07 4795
spring-security-oauth2
Spring Securityauthorization server 认证服务器
u014416842的博客
05-12 4124
Spring Security入门到精通
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 1万+
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
springboot JWT 搭建授权服务器
tenc1239的博客
04-23 893
目录0 基本介绍0.1 课程视频0.2 架构逻辑图0.2.1 登录JWT与授权服务器交互0.2.2 登录成功后JWT与gateway-server交互 路由限制1 JWT私钥公钥1.1 安装git ->win系统右键 -> git bash here1.2 生成私钥jks文件1.3 用私钥jks文件解析出公钥1.4 保存 BEGIN PUBLIC KEY到txt文件2 搭建授权服务器 2.1 加依赖2.2 yml配置文件2.3 AuthorizationServerConfig 2.3.1 添加第三方的客户
SpringBoot搭建OAuth2
m0_60681411的博客
05-28 2240
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring SecurityOAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
SpringBoot 如何配置 OAuth2 认证
徐师兄的博客
10-08 2275
OAuth2是一种用于授权的开放标准,用于控制第三方应用程序访问用户数据的权限。OAuth2定义了不同的授权流程,包括授权码流、密码流、客户端凭据流等,以满足不同的应用程序需求。资源所有者(Resource Owner):拥有资源的用户或实体。客户端(Client):访问资源的应用程序。资源服务器(Resource Server):存储和提供资源的服务器。授权服务器(Authorization Server):颁发访问令牌的服务器。
spring-boot-starter-oauth2-authorization-server 3.1.0 简单使用
06-03
`spring-boot-starter-oauth2-authorization-server`是Spring Boot提供的OAuth2认证服务器的Starter,可以用于构建安全的OAuth2认证授权服务器。 以下是使用`spring-boot-starter-oauth2-authorization-server`构建OAuth2认证服务器的简单步骤: 1. 添加依赖 在`pom.xml`文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId> </dependency> ``` 2. 配置认证服务器 在`application.yml`文件中添加以下配置: ``` spring: security: oauth2: authorization: server: jwt: signing-key: mySecretKey client: registration: my-client: client-id: my-client client-secret: mySecret scope: - read - write redirect-uri-template: http://localhost:8080/login/oauth2/code/my-client authorization-grant-type: authorization_code client-name: My Client provider: my-authorization-server: authorization-uri: http://localhost:8080/oauth2/authorize token-uri: http://localhost:8080/oauth2/token user-info-uri: http://localhost:8080/oauth2/userinfo user-name-attribute: name ``` 其中,`jwt.signing-key`是用于签名JWT的密钥,`client.registration`用于配置客户端信息,`client.provider`用于配置认证服务器信息。 3. 启动认证服务器 在Spring Boot应用程序中添加`@EnableAuthorizationServer`注解,启动OAuth2认证服务器: ```java @SpringBootApplication @EnableAuthorizationServer public class OAuth2AuthorizationServerApplication { public static void main(String[] args) { SpringApplication.run(OAuth2AuthorizationServerApplication.class, args); } } ``` 以上就是使用`spring-boot-starter-oauth2-authorization-server`构建OAuth2认证服务器的简单步骤。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值