Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)

最新推荐文章于 2024-08-22 16:21:39 发布
最新推荐文章于 2024-08-22 16:21:39 发布
阅读量1.1w 收藏 23
点赞数 4
分类专栏: Spring Boot2.x实战全集 SpringBoot2.x实战-SpringSecurity 文章标签: spring security oauth 2.0 jwt resource server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wiselyman/article/details/107017518
版权

OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:

  • 交互参与方:

    • Client:需要访问Resource Sever受保护资源的应用;
    • Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);
    • Authorization Server:提供访问授权的应用,Client使用某种Grant TypeAuthorization Server获取Access Token
    • Resource Sever:包含受保护资源的应用,Client使用Access Token访问Resource Server的受保护资源;

  • 授权类型 - Grant Type

    • Authorization Code:让用户访问Client页面时,页面打向Authorization Server的登录页面,登录后显示授权访问页面,授权成功后Client即可获得Access Token访问Resource Server
    • Password:通过提供提供用户名和密码获得Access Token,一般是给应用服务的客户端使用(IOS、Android、Web App)。
    • Client Credentials:Client通过Client Id和Client Secret直接向Authorization Server请求Access Token;它主要用于非用户参与的应用,如后台服务。

  • Token

    • Access Token:用来访问受保护资源的唯一令牌;
    • Refresh Token:当Access Token失效时,我们可以使用Refresh Token来获取一个新的Access Token,它的时效性要远远大于Access Token
    • JWT:JSON Web Token,它代表双方之间安全传输的信息;它使用数字签名,传输的信息可以被验证和信任。
3.2 OAuth 2.0 Resource Server

新建应用,信息如下:

Group:top.wisely

Artifact:resource-server

Dependencies:Spring SecurityOAuth2 Resource ServerSpring Web StarterLombok

build.gradle文件中的依赖如下:

dependencies {
	implementation 'org.springframework.boot:spring-boot-starter-oauth2-resource-server'
	implementation 'org.springframework.boot:spring-boot-starter-security'
	implementation 'org.springframework.boot:spring-boot-starter-web'
	compileOnly 'org.projectlombok:lombok'
	annotationProcessor 'org.projectlombok:lombok'
  //...
}
3.2.1 Spring Boot的自动配置

Spring Boot使用OAuth2ResourceServerJwtConfigurationResource Server做了自动配置,它使用OAuth2ResourceServerProperties通过spring.security.oauth2.resourceserver.*进行配置。OAuth2ResourceServerJwtConfiguration导入了两个配置:

  • OAuth2ResourceServerJwtConfiguration:配置JWT Token解码的JwtDecoder

    • 使用Authorization Server的 JWK Set URI端点进行解码,使用spring.security.oauth2.resourceserver.jwt.jwk-set-uri配置;
    • 使用Authorization Server的keyStore的公钥进行解码,使用spring.security.oauth2.resourceserver.jwt.public-key-location配置;

  • OAuth2ResourceServerWebSecurityConfiguration:常规的Spring Security配置,使用HttpSecurity配置Resource Server和JWT:

    @Configuration(proxyBeanMethods = false)
@ConditionalOnBean(JwtDecoder.class)
static class OAuth2WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
     

   @Override
   protected void configure(HttpSecurity http) throws Exception {
     
      http.authorizeRequests().anyRequest().authenticated().and()
            .oauth2ResourceServer().jwt();
   }

}
3.2.1 方式1:JWK Set路径配置

我们可以通过在Resource Server中设置JWK Set路径解码JWT Token。

3.2.1.1 Authorization Server的修改

我们对JWT的操作依赖于nimbus包,需添加依赖:

implementation 'com.nimbusds:nimbus-jose-jwt:7.0.1'

Resource Server端已通过spring-boot-starter-oauth2-resource-server自动依赖。

使用JWK Set URI需Authorization Server提供支持,我们需要在Authorization Server上添加端点:


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  汪云飞记录本
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Spring Security OAuth2.0自定义资源服务核心配置——ResourceServer

				
			

			

				

					WannaRunning的博客
				

				

					12-10
					
					2626
					
				

			

		

		

			
				
目录

ResourceServerConfigurer

ResourceServerConfigurerAdapter

插曲:WebSecurityConfigurerAdapterResourceServerConfigurerAdapter对比

实现ResourceServerConfigurerAdapter类重写方法自定义资源配置

上一篇写了授权服务器的配置,在Spring Security OAuth2.0可以把授权服务器(AuthorizationServer)和资源服务器(Reso

			
		

	



                

              
                



	

		

			

				
					
带有JWTSpring SecurityOAuth 2资源服务器

				
			

			

				

					专业的开发者“讨论”
				

				

					04-23
					
					3006
					
				

			

		

		

			
				
Since version 5.2, Spring has introduced a new library, OAuth 2.0 Resource 小号ever, handling JWT  so that we no longer need to manually add a Filter to extract claims from JWT to...

			
		

	



                


  
              

                


	

		

			

				
					
Spring Authorization-Spring Boot引入Resource Server对接认证服务

				
			

			

				

					qq_33240556的博客
				

				

					07-18
					
					287
					
				

			

		

		

			
				
利用Spring Security的授权配置来定义哪些资源路径需要哪种类型的访问权限。这通常在Java配置类中完成,或者直接在中定义。@Overridehttp// 或者 .opaquetoken() 如果使用Opaque Tokens。

			
		

	





	

		

			

				
					
Spring OAuth2.0资源服务源码解析

					
最新发布

				
			

			

				

					onePlus5T的博客
				

				

					08-22
					
					727
					
				

			

		

		

			
				
主要分析spring-security-oauth2-resource-server的源码,介绍OAuth2.0授权码模式下Spring Boot OAuth2资源服务的运行流程,分析其是如何对令牌进行认证的,并展示资源服务配置

			
		

	



		

			
		



	

		

			

				
					
Spring SecurityOAuth2(资源服务器)

				
			

			

				

					chucan4529的博客
				

				

					01-26
					
					833
					
				

			

		

		

			
				
Spring SecurityOAuth2
resource-server(资源服务器)
资源服务器

要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得)
客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌
资源服务器通过 @Enable...

			
		

	





	

		

			

				
					
Spring OAuth2 Resource Server 配置

				
			

			

				

					semicolon_hello的专栏
				

				

					03-29
					
					1765
					
				

			

		

		

			
				
Spring OAuth2 Resource ServerSpring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。

			
		

	





	

		

			

				
					
Security——OAuth2 Resource Server

				
			

			

				

					十年梦归尘的专栏
				

				

					12-08
					
					1730
					
				

			

		

		

			
				
OAuth2 Resource Server

			
		

	





	

		

			

				
					
使用spring-cloud-security-oauth2来实现oauth serverresource server

				
			

			

				

					02-28
				

			

		

		

			
				
使用spring-cloud-security-oauth2来实现oauth serverresource serveroauth Serverresource Server分开,resource Server实现了两种方式

			
		

	





	

		

			

				
					
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client

				
			

			

				

					汪云飞记录本
				

				

					06-30
					
					2315
					
				

			

		

		

			
				
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:



交互参与方:

Client:需要访问Resource Sever受保护资源的应用;
Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);
Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token;
Resource Sever:包含受保护资源的应用,

			
		

	





	

		

			

				
					
6spring boot+security+oauth2 第三方登录1

				
			

			

				

					08-08
				

			

		

		

			
				
本篇文章将探讨如何利用Spring BootSpring Security以及OAuth2来实现第三方登录功能,特别是在集成GitHub登录时的实现细节。  OAuth 2.0是一种授权框架,它允许第三方应用在用户授权的情况下访问其存储在另一服务...

			
		

	





	

		

			

				
					
OAuth2-auth-resource-server

				
			

			

				

					02-25
				

			

		

		

			
				
OAuth2-auth-resource-server

			
		

	





	

		

			

				
					
OAuth2ResourceServer:使用JwkTokenStore保护资源服务器的示例代码

				
			

			

				

					05-19
				

			

		

		

			
				
OAuth2ResourceServer
 使用JwkTokenStore保护资源服务器的示例代码

			
		

	





	

		

			

				
					
Spring Security 学习笔记(六)--OAuth2.0

				
			

			

				

					SuperArc1999的博客
				

				

					01-08
					
					1789
					
				

			

		

		

			
				
6.1OAuth2.0介绍

OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。

OAuth2.0已被广泛应用。



下面是OAuth2.0的认证流程

			
		

	





	

		

			

				
					
Spring Security 5.x+OAuth2.0+OIDC1.0

				
			

			

				

					z2008g的专栏
				

				

					05-29
					
					1300
					
				

			

		

		

			
				
5分钟完成Spring Security+OAuth2.0+OIDC1.0集成

			
		

	





	

		

			

				
					
OAuth2 and Friends Resource Server

				
			

			

				

					来啊 快活啊
				

				

					06-29
					
					1656
					
				

			

		

		

			
				
security: 
  oauth2:
    resource:
      token-info-uri: http://localhost:8080/uaa/introspect
      user-info-uri: 
#      jwk:
#        key-set-uri: http://localhost:8080/uaa/token_keys
      prefer-...

			
		

	





	

		

			

				
					
Spring Security OAuth 2.0 资源服务器— JWT

				
			

			

				

					深圳市多克创新科技有限公司
				

				

					11-04
					
					1626
					
				

			

		

		

			
				
Spring Security OAuth 2.0 资源服务器— JWT

			
		

	





	

		

			

				
					
springsecurity03-springsecurity oauth2实现单点登录之-资源服务器(Resource Service)

				
			

			

				

					liaomin416100569的专栏
				

				

					03-14
					
					1611
					
				

			

		

		

			
				
文章目录资源文件简介资源文件实战
资源文件简介
文章参考自 https://projects.spring.io/spring-security-oauth/docs/oauth2.html
一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentica...

			
		

	





	

		

			

				
					
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer

				
			

			

				

					虚幻私塾
				

				

					01-12
					
					4408
					
				

			

		

		

			
				
Python微信订餐小程序课程视频
https://edu.csdn.net/course/detail/36074
Python实战量化交易理财系统
https://edu.csdn.net/course/detail/35475
一、前言
本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。
(关于总体流程,若对SS实在不熟悉可以简单理解为:Filte

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值