Spring Authorization Server实战

于 2024-07-20 17:52:40 发布
阅读量390 收藏 6
点赞数 7
分类专栏: 认证和授权 文章标签: spring java 后端 springboot Authorization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsb_2526/article/details/140534789
版权

Spring Authorization Server实战

Spring Authorizatin Server

Spring Authorizatin Server是一个框架,它提供了OAuth2.1和OpenID Connect 1.0规范以及其它相关规范的实现,它是基于Spring Security构建的

OAuth2.0协议介绍

OAuth是一个开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(比如用户和密码)分享给第三方应用。

OAuth2.0协议的流程如下:
在这里插入图片描述
这个流程翻译后如下:

  1. 用户打开客户端后,客户端要求用户给与授权;
  2. 用户同意给客户端授权;
  3. 客户端使用上一步获得授权,向服务器申请令牌;
  4. 授权服务器对客户端认证后,向客户端发放令牌;
  5. 客户端使用令牌,向资源服务器申请获取资源;
  6. 资源服务器确认令牌有效后,向客户端开发资源;

授权流程案例

我们以阿里云盘使用支付宝授权登录来说明这个流程:

  1. 在阿里云盘登录界面,选择支付宝登录;
    在这里插入图片描述

  2. 接着会跳转到支付宝授权的页面,让用户给阿里云盘授权获取用户在支付宝中的信息;
    在这里插入图片描述

  3. 当用户点击同意后,会返回阿里云盘登录界面;

  4. 阿里云盘会使用获得的授权,向支付宝申请token,拿到token后,使用token去支付宝服务器获取用户信息;如果是第一次登录,会根据获取到的信息给用户创建一个阿里云盘的账号,并把支付宝上用户的信息和阿里云盘中创建的账号做一个映射,这样用户下次再登录,直接找到已有的账号登录即可;(这个步骤不需要用户做任何操作,只会在登录界面停留很短的时间,接着就跳转到阿里云盘主界面了)

OAuth2协议的应用场景

OAuth2协议的应用场景非常广泛,只要是涉及到第三方应用程序访问用户数据和资源的场景都可以使用

授权模式

OAuth2有四种授权模式,每种授权模式有不同的应用场景。四种模式如下:

  • 授权码模式:使用最为广泛的模式;比如上面的阿里云盘登录使用的就是授权码模式;
  • 密码模式(Password):密码模式是一种安全级别较低且要求资源拥有者(用户)完全信任服务器的模式。在OAuth2.1中该模式已经被废除,在第三方平台上使用密码模式是一种非常不安全的行为,假设某平台支持QQ登录,如果用户直接使用QQ账号、密码登录,则该平台就获取了用户的QQ账号、密码;

密码模式的流程如下:
在这里插入图片描述

  • 客户端模式(Client Credentials Grant):客户端模式是指客户端以自己的名义进行授权,而不经过用户授权。客户端模式是安全级别最低且要求授权服务器对客户端高度信任的模式。因为客户端向服务器请求认证授权的过程中没有用户的参与,客户端通过提供自己在授权服务器上的信息即可在授权服务器完成认证授权,而客户端获取授权后即可向服务器请求资源。这种模式一般用于对接接口,比如对接北森之类系统的接口;

客户端模式的流程如下:
在这里插入图片描述

  • 令牌刷新模式:如果令牌的有效期到了,如果让客户端重复之前的流程再去获取token,比较麻烦;OAuth2允许用户自动更新令牌。令牌刷新模式是对access_token过期的一种补办操作,OAuth2在给客户端颁发令牌的时候同时给客户端颁发了refresh_token,当access_token过期后,客户端拿refresh_token再去申请新的access_token即可

令牌刷新模式流程如下:
-

OAuth2.1协议

OAuth2.1协议主要是对OAuth2.0的改进,OAuth 2.1去掉了OAuth2.0中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了PKCE扩展。
点击查看OAuth2.1的内容

OpenID Connect 1.0协议

OpenID Connect 1.0 是 OAuth 2.0 协议之上的一个简单的身份层。其实就是客户端向认证服务器请求认证授权的时候,多返回一个 id_token,该 id_token 是一串使用 jwt 加密过的字符串。
OpenID Connect 1.0协议详细内容

OAuth实战

授权服务器

引入依赖

    <properties>
        <java.version>17</java.version>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <spring-boot.version>3.1.4</spring-boot.version>
    </properties>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
        </dependency>

相关配置


@Configuration
@EnableWebSecurity
public class SecurityConfig {


    /**
     *  Spring Authorization Server 相关配置
     *  主要配置OAuth 2.1和OpenID Connect 1.0
     */
    @Bean
    @Order(1)
    public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http)
            throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
                //开启OpenID Connect 1.0(其中oidc为OpenID Connect的缩写)
                .oidc(Customizer.withDefaults());
        http
                //将需要认证的请求,重定向到login进行登录认证。
                .exceptionHandling((exceptions) -> exceptions
                        .defaultAuthenticationEntryPointFor(
                                new LoginUrlAuthenticationEntryPoint("/login"),
                                new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
                        )
                )
                // 使用jwt处理接收到的access token
                .oauth2ResourceServer((resourceServer) -> resourceServer
                        .jwt(Customizer.withDefaults()));

        return http.build();
    }

    /**
     *  Spring Security 过滤链配置(此处是纯Spring Security相关配置)
     */
    @Bean
    @Order(2)
    public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
            throws Exception {
        http
                .authorizeHttpRequests((authorize) -> authorize
                        //设置所有请求都需要认证,未认证的请求都被重定向到login页面进行登录
                        .anyRequest().authenticated()
                )
                // 由Spring Security过滤链中UsernamePasswordAuthenticationFilter过滤器拦截处理“login”页面提交的登录信息。
                .formLogin(Customizer.withDefaults());

        return http.build();
    }

    /**
     * 设置用户信息,校验用户名、密码
     */
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails userDetails = User.withDefaultPasswordEncoder()
                .username("test")
                .password("123456")
                .roles("USER")
                .build();
        //基于内存的用户数据校验
        return new InMemoryUserDetailsManager(userDetails);
    }

    /**
     * 注册客户端信息
     *
     * 查询认证服务器信息
     * http://127.0.0.1:9000/.well-known/openid-configuration
     *
     * 获取授权码
     * http://localhost:9000/oauth2/authorize?response_type=code&client_id=oidc-client&scope=profile openid&redirect_uri=http://www.baidu.com
     *
     */
    @Bean
    public RegisteredClientRepository registeredClientRepository() {
        RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("oidc-client")
                //{noop}开头,表示“secret”以明文存储
                .clientSecret("{noop}secret")
           .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
                // 配置授权码模式,刷新令牌,客户端模式
                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
                .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
                .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
                //认证回调地址,接收认证服务器回传的code,需要和客户端配置的一致
                .redirectUri("http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc")
                //没有客户端时使用
                .redirectUri("http://www.baidu.com")
                .postLogoutRedirectUri("http://127.0.0.1:8080/")
                .clientName("web-client")
                //设置客户端权限范围
                .scope(OidcScopes.OPENID)
                .scope(OidcScopes.PROFILE)
                //客户端设置用户需要确认授权
                .clientSettings(ClientSettings.builder().requireAuthorizationConsent(true).build())
                .build();

        //配置基于内存的客户端信息
        return new InMemoryRegisteredClientRepository(oidcClient);
    }

    /**
     * 配置 JWK,为JWT(id_token)提供加密密钥,用于加密/解密或签名/验签
     * JWK详细见:https://datatracker.ietf.org/doc/html/draft-ietf-jose-json-web-key-41
     */
    @Bean
    public JWKSource<SecurityContext> jwkSource() {
        KeyPair keyPair = generateRsaKey();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        RSAKey rsaKey = new RSAKey.Builder(publicKey)
                .privateKey(privateKey)
                .keyID(UUID.randomUUID().toString())
                .build();
        JWKSet jwkSet = new JWKSet(rsaKey);
        return new ImmutableJWKSet<>(jwkSet);
    }

    /**
     *  生成RSA密钥对,给上面jwkSource() 方法的提供密钥对
     */
    private static KeyPair generateRsaKey() {
        KeyPair keyPair;
        try {
            KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
            keyPairGenerator.initialize(2048);
            keyPair = keyPairGenerator.generateKeyPair();
        }
        catch (Exception ex) {
            throw new IllegalStateException(ex);
        }
        return keyPair;
    }

    /**
     * 配置jwt解析器
     */
    @Bean
    public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
        return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
    }

    /**
     * 配置授权服务器请求地址
     */
    @Bean
    public AuthorizationServerSettings authorizationServerSettings() {
        //什么都不配置,则使用默认地址
        return AuthorizationServerSettings.builder().build();
    }
}

客户端

引入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>

yml文件配置

logging:
  level:
    org.springframework.security: trace

spring:
  application:
    name: auth-client
  security:
    oauth2:
      client:
        provider:
          #认证服务器信息
          oauth-server:
            issuer-uri: http://spring-oauth-server:9000   #授权地址
            authorizationUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/authorize  #OAuth2认证服务器的授权端点地址
            tokenUri: ${spring.security.oauth2.client.provider.oauth-server.issuer-uri}/oauth2/token    #令牌获取地址
        registration:
          messaging-client-oidc:
            provider: oauth-server  #认证提供者,标识由哪个认证服务器进行认证,和上面的oauth-server进行关联
            client-name: web-client      #客户端名称
            client-id: oidc-client    #客户端id,从认证平台申请的客户端id
            client-secret: secret      #客户端秘钥
            client-authentication-method: client_secret_basic  #客户端认证方式,除了client_secret_basic还有client_secret_post、client_secret_jwt、private_key_jwt等
            authorization-grant-type: authorization_code     #使用授权码模式获取令牌(token)
            redirect-uri: http://spring-oauth-client:9001/login/oauth2/code/messaging-client-oidc   #回调地址,接收认证服务器回传code的接口地址
            scope:      #OAuth2客户端的权限范围
              - profile  #允许客户端获取用户的个人资料信息
              - openid   #penid 是一个特定的 scope 值,它用于 OpenID Connect 协议中。当客户端应用请求 openid 范围时,它表明应用想要验证用户的身份

资源服务器

引入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
        </dependency>

配置

@Configuration
@EnableWebSecurity
@EnableMethodSecurity(jsr250Enabled = true, securedEnabled = true)
public class ResourceServerConfig {

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
                        //所有的访问都需要通过身份认证
                        .anyRequest().authenticated())
                .oauth2ResourceServer((oauth2ResourceServer) -> oauth2ResourceServer
                        .jwt(Customizer.withDefaults()));
        return http.build();
    }

}

配置文件

server:
  port: 9002

logging:
  level:
    org.springframework.security: trace

spring:
  application:
    name: spring-oauth-resource
  security:
    oauth2:
      resource-server:
        jwt:
          issuer-uri: http://spring-oauth-server:9000

测试

直接访问资源服务器中的资源,不代码token
在这里插入图片描述
使用http://spring-oauth-client:9001/token地址,向客户端发起请求,获取token
在这里插入图片描述

携带token访问资源服务器上的资源
在这里插入图片描述

参考

  1. 理解OAuth 2.0
  2. OAuth 2.0
  3. Spring Authorization Server
wmxz520
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全新的Spring Authorization Server快速入门
2301_76225404的博客
04-19 715
总的来说,面试是有套路的,一面基础,二面架构,三面个人。最后,小编这里收集整理了一些资料,其中包括面试题(含答案)、书籍、视频等。希望也能帮助想进大厂的朋友《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取![外链图片转存中…(img-RRdMgEjg-1713527934330)]《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
spring_security.zip
09-07
2. **角色**:OAuth2 中有四个主要角色:资源所有者(Resource Owner,用户)、客户端(Client,请求访问资源的应用)、资源服务器(Resource Server,存储并提供受保护资源)和授权服务器(Authorization Server,...
Spring Authorization Server 1.1 扩展实现 OAuth2 密码模式与 Spring Cloud 的整合实战
有来技术
10-24 8037
本文基于开源微服务商城项目 youlai-mall、Spring Boot 3 和 Spring Authorization Server 1.1 版本,演示了如何扩展密码模式,以及如何将其应用于 Spring Cloud 微服务实战
一、简单的Spring Authorization Server示例代码
admin_15082037343的博客
07-11 1263
需要有一定的OAuth2的基础 需要有一定的Spring Security基础 Spring Authorization Server 官方简介:Spring Authorization Server is a framework that provides implementations of the OAuth 2.1 and OpenID Connect 1.0 个人理解为OAuth 2.1 and OpenID Connect 1.0的实现。 关于OAuth2有很多的版本,Spring Author
Spring新的授权服务器Spring Authorization Server入门
码农小胖哥
11-09 3366
11月8日Spring官方已经强烈建议使用Spring Authorization Server替换已经过时的Spring Security OAuth2.0[1],距离Spring Se...
Spring Authorization Server入门 (三) 集成流程说明、细节补充和各种方式获取token测试
云逸的博客
06-05 4231
至此oauth2.1的所有流程基本都测试了一遍,设备码因为需要在原有基础上进行扩展,也留到下一章的扩展篇一块儿测试,在以后的文章会有设备码流程、登录添加图形验证码、自定义token生成和解析、自定义响应体和去除权限前缀等内容。
spring authorization server 1.0.1与阿里nacos2.2.2微服务学习笔记(一)
菜鸟的学习笔记
12-02 1785
虽然spring authorization server学起来比较困难,但是我会坚持下去的。希望我这个小菜鸟能成功学会oauth2
spring authorization server使用示例
weixin_43931625的博客
10-03 1221
spring authorization server使用示例
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
热门推荐
凡的博客
04-19 1万+
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
Spring Security OAuth2.0
06-19
OAuth2.0 主要包含四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器(Authorization Server)。 - 资源所有者:即用户,拥有需要保护的资源。 - 客户端:需要...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
OAuth2的角色包括资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源服务器(Resource Server)。通过授权码流程、密码模式、客户端凭据模式等多种授权类型,OAuth2提供了...
oauth2-client-springsecurity5.zip
08-24
OAuth2的基本工作流程包括四个主要角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源服务器(Resource Server)。在这个项目中,客户端是我们的应用,它通过用户...
http-basic-security eureka-server .rar
08-22
三、Eureka ServerSpringCloud的整合 1. 修改Eureka Server配置 在Eureka Server的配置文件(application.yml或application.properties)中,需要关闭默认的匿名访问权限,如下所示: ```yaml eureka: client:...
springboot start.aliyun.com java8
JavaUpgrade
07-15 144
springboot 2.3.12.RELEASE alibaba cloud RDS alibaba cloud Redis alibaba cloud oss alibaba cloud sms alibaba cloud schedulerX spring cloud alibaba
springboot基于协同过滤算法的黔醉酒业白酒销售系统lw源码调试讲解
u014445459的博客
07-16 807
本章开始先是介绍了系统进行测试目的及方法,然后简单地阐述了系统测试中常见的黑命、白盒和灰盒测试方法,以及它们各自的特征,随后围绕本系统的注册登录、删除分类、修改密码、等功能进行了功能测试,并将测试用例和测试结果呈现出来,此外,还对实现的系统进行了关于登录和功能模块的压力测试。本系统开发之前的所有调研基本都是本人独立完成,需求设计,功能开发等也都是自己及指导老师的帮助下完成,通过自己的努力解决掉开发过程中所遇到的问题经济支出可以忽略不计,固黔醉酒业白酒销售系统在经济可行性上完全可行可以开发。
JavaSpringBoot 中的设计模式 详解
最新发布
weixin_68074170的博客
07-19 441
假如有一结果api结果返回值的类Person,其在代码中频繁被使用。这两种使用方法的弊端有:(1):当只需要部分参数的时候需要再定义个构造函数(比如失败的情况只需要code和message,结果肯定是空,因此不需要data),且一旦参数较多,则;(2);Lombok插件的@Builder注解。
手写简易版Spring IOC容器02【学习】
weixin_44794897的博客
07-19 362
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
Spring-使用
weixin_61094678的博客
07-17 288
众所周知,Spring是一个包含了众多工具的IoC容器。既然是容器就必然包含两个最基本的功能:将对象存储到容器中,从容器中将对象取出来故本篇文章 将讲述如何在Spring中,如何创建,存储,获取并使用Bean对象。
spring authorization server是什么
09-07
### 回答1: Spring Authorization Server是一个基于OAuth 2.0和OpenID Connect(OIDC)协议的身份验证和授权服务器,它提供了一个工具集来构建安全的、可伸缩的和互操作的身份验证和授权解决方案。它可以通过Java Spring框架进行集成,是Java开发人员用于保护Web应用程序的最佳选择。 ### 回答2: Spring Authorization Server是一个基于Spring框架构建的授权服务器。授权服务器是OAuth 2.0授权框架的一部分,用于控制和管理资源的访问权限。通过Spring Authorization Server,用户可以验证和授权第三方应用程序来访问其资源。 Spring Authorization Server 提供了一种安全可靠的方式,用于管理用户的身份验证和授权请求。它使得开发人员能够轻松地构建和定制一个符合其需求的授权服务器。 Spring Authorization Server实现了OAuth 2.0授权框架中的各种授权流程,包括客户端模式、授权码模式、隐式模式和密码模式等。开发者可以根据应用程序的需求来选择和配置适当的授权流程。 Spring Authorization Server还提供了丰富的扩展机制,使得开发者能够对其进行定制和扩展。它与Spring Security和Spring Boot等框架紧密集成,使得开发者能够使用这些强大的工具来增强授权服务器的安全性和功能。 总之,Spring Authorization Server 是一个用于构建和定制授权服务器的框架,通过它可以实现OAuth 2.0授权框架中各种授权流程。它为开发者提供了简单、安全和可扩展的解决方案,使得他们能够轻松地控制和管理应用程序的资源访问权限。 ### 回答3: Spring Authorization Server是一个基于Spring框架开发的认证和授权服务器。它提供了一套全面而灵活的身份验证和授权解决方案,旨在帮助开发者构建安全可靠的应用程序。 首先,Spring Authorization Server支持多种认证方式,包括常见的用户名密码认证、基于OAuth2的授权码认证、密码授权和客户端凭证授权等。开发者可以根据实际需求选择合适的认证方式,确保用户身份验证的安全性。 其次,Spring Authorization Server还支持灵活的授权管理。开发者可以通过定义不同的权限范围和角色来限制用户对资源的访问权限,保护敏感数据的安全。同时,它提供了可扩展的授权策略和自定义认证逻辑的能力,使开发者能够根据具体业务需求进行灵活配置。 另外,Spring Authorization Server支持分布式部署,可以轻松处理高并发的请求。它基于Spring框架的优势,具有良好的扩展性和可维护性,可以与其他Spring生态系统组件无缝集成,如Spring Security、Spring Boot等。 总之,Spring Authorization Server是一个功能强大、安全可靠的认证和授权服务器,为开发者提供了完善的解决方案来保护应用程序的安全性和用户隐私。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值