SpringSecurityOauth2 应用及分析

最新推荐文章于 2024-06-30 21:16:13 发布
最新推荐文章于 2024-06-30 21:16:13 发布
阅读量1.6k 收藏 7
点赞数 2
分类专栏: SpringCloud 文章标签: SpringSecurityOauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wulianzhazha/article/details/97818845
版权

介绍:Spring Security Oath2是Oath2标准的一种实现,是基于Spring Security框架的封装。

模块一 前提知识:
  1. Oath2.0标准
    Oath是一种标准,它规定了第三方应用访问本应用资源协议方法,目前版本为2.0。
    Oath2 大致流程为:客户端访问应用资源,需先在资源提供方进行认证得到令牌,之后持令牌范文资源提供方的资源信息。认证服务和资源服务可为同一个服务,也可为不同独立服务。
    Oath2 提供了四种获取令牌的模式:授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials)
    具体理解Oath2.0原理可参考阮一峰大神博客
  2. Spring Security应用
    SpringSecurity是基于Filter和AOP来对Spring应用进行保护的一套框架,它可对请求级别和方法级别进行安全保护。
    其应用及分析可参考另一篇博客,SpringSecurity初级应用及分析
模块二 组件使用:
  1. 认证服务器
     a 内存保存访问令牌
        i. 引入Oath2的依赖,SpringBoot版本为最新Greenwich
<properties>
    <java.version>1.8</java.version>
    <spring-cloud.version>Greenwich.SR2</spring-cloud.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>${spring-cloud.version}</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

    II. 配置访问服务的认证,即配置Spring Security(这里登录账号密码为从数据库加载)

/**
 * 根据用户名加载登陆账号信息
 */
@Service
public class SysUserService implements UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser user = userDao.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        if (!StringUtils.isEmpty(user.getRoles())) {
            String[] roles = user.getRoles().split(",");
            for (String role : roles) {
                if (!StringUtils.isEmpty(role)) {
                    authorities.add(new SimpleGrantedAuthority(role.trim()));
                }
            }
        }
        //这里可直接让SysUser继承实现UserDetails接口,或者使用SpringSecurity提供的User类
        return new User(user.getUsername(), user.getPassword(), authorities);
    }
}

/**
 * 配置Spring Security
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SysUserService sysUserService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(sysUserService);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/oauth/check_token");
    }



    @Bean
    public BCryptPasswordEncoder createPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

    III. 配置访问令牌的认证,即配置AuthorizationServerConfigurerAdapter

/**
 * 配置内存存储Token令牌
 */
@Configuration
@EnableAuthorizationServer
public class MemoryAuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    private final String clientId = "sysclientId";

    private final String secretId = "syssecretId";

    private final String authorizedGrantTypes = "authorization_code";

    private final String scopes = "applist";

    private final String redirectUri = "http://localhost:9001/hello";

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient(clientId)
            .secret(createPasswordEncoder().encode(secretId))
            .authorizedGrantTypes(authorizedGrantTypes)
            .scopes(scopes)  //申请的权限列表,会直接展示在申请页面上
            .redirectUris(redirectUri);
    }

    /**
     * 必须显示定义加密编码器
     * @return
     */
    @Bean
    public BCryptPasswordEncoder createPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

    iv. 启动应用程序,spring security oath2 会开放一些endpoints,如下:

/oauth/authorize:授权
/oauth/token:令牌
/oauth/error:授权服务错误信息
/oauth/check_token:令牌解析校验

      首先访问授权endpoint去获取授权码,注意sysclientid替换成自己配置的clientid

http://localhost:8080/oauth/authorize?client_id=sysclientid&response_type=code

      程序默认生成如下授权页面,可以自定义,其中的applist就是上面定义的scopes授权信息。
在这里插入图片描述
      点击Approve授权并Authorize之后,会重定向到定义的redirectUri并在请求参数上新增了参数code=3kTpl3,如下图:
在这里插入图片描述
       v. 接着Post方式访问令牌接口/oauth/token 请求令牌,请求参数为grant_type和code,这里使用Postman模拟请求,地址为如下,注意替换自己的clientId和secretId

http://sysclientId:syssecretId@localhost:8081/oauth/token

       结果如下,可以获取到bearer类型的Token:
在这里插入图片描述 b 数据库保存访问令牌
      I. 由于令牌为数据库保存令牌,所以和内存保存令牌流程区别为配置数据库相关,首先额外引入数据源依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

      II. 配置访问服务的认证,配置同上。
      III. 配置访问令牌的认证,即配置AuthorizationServerConfigurerAdapter,这里需引入数据源,使用的是Hikari数据源。

/**
 * 配置数据库存储令牌
 */
@Configuration
@EnableAuthorizationServer
public class JDBCAuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    /**
     * 配置获取Token令牌为数据库获取
     * @return
     */
    @Bean
    public TokenStore  tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    /**
     * 配置获取Client客户端信息为数据库获取
     * @return
     */
    public ClientDetailsService clientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetailsService());
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore());
    }
}

      IV. 配置数据源信息,注意配置时区信息,mysql 6.0以上都需要配置,这里配置的为北京(东八区)时间。

spring:
  application:
    name: authorization-module

  datasource:
      driver-class-name: com.mysql.cj.jdbc.Driver
      url: jdbc:mysql://IP:端口号/数据库?serverTimezone=GMT%2B8&characterEncoding=utf-8&useSSL=false
      username: ******
      password: ******
      # Hikari数据源配置
      hikari.maximum-pool-size: 20
      hikari.minimum-idle: 5
server:
  port: 8081
logging:
  level=Debug

      V. 新建存储Token相关的数据库,参考官方推荐建表,可直接执行以下SQL:

-- 参考官方推荐建表  https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql
-- 注意替换原来HSQL的LONGVARBINARY类型为MySQL的BLOB类型(注意不是MYSQL的TEXT类型!)
-- used in tests that use HSQL
drop table if exists oauth_client_details; 
create table oauth_client_details (
  client_id VARCHAR(256) PRIMARY KEY,
  resource_ids VARCHAR(256),
  client_secret VARCHAR(256),
  scope VARCHAR(256),
  authorized_grant_types VARCHAR(256),
  web_server_redirect_uri VARCHAR(256),
  authorities VARCHAR(256),
  access_token_validity INTEGER,
  refresh_token_validity INTEGER,
  additional_information VARCHAR(4096),
  autoapprove VARCHAR(256)
);

drop table if exists oauth_client_token;
create table oauth_client_token (
  token_id VARCHAR(256),
  token BLOB,
  authentication_id VARCHAR(256) PRIMARY KEY,
  user_name VARCHAR(256),
  client_id VARCHAR(256)
);

drop table if exists oauth_access_token;
create table oauth_access_token (
  token_id VARCHAR(256),
  token BLOB,
  authentication_id VARCHAR(256) PRIMARY KEY,
  user_name VARCHAR(256),
  client_id VARCHAR(256),
  authentication BLOB,
  refresh_token VARCHAR(256)
);

drop table if exists oauth_refresh_token;
create table oauth_refresh_token (
  token_id VARCHAR(256),
  token BLOB,
  authentication BLOB
);

drop table if exists oauth_code;
create table oauth_code (
  code VARCHAR(256), authentication BLOB
);

drop table if exists oauth_approvals;
create table oauth_approvals (
   userId VARCHAR(256),
   clientId VARCHAR(256),
   scope VARCHAR(256),
   status VARCHAR(10),
   expiresAt TIMESTAMP,
   lastModifiedAt TIMESTAMP
);


-- customized oauth_client_details table
drop table if exists ClientDetails;
create table ClientDetails (
  appId VARCHAR(256) PRIMARY KEY,
  resourceIds VARCHAR(256),
  appSecret VARCHAR(256),
  scope VARCHAR(256),
  grantTypes VARCHAR(256),
  redirectUrl VARCHAR(256),
  authorities VARCHAR(256),
  access_token_validity INTEGER,
  refresh_token_validity INTEGER,
  additionalInformation VARCHAR(4096),
  autoApproveScopes VARCHAR(256)
);

-- 插入数据
INSERT INTO `oauth_client_details` VALUES ('sysclientid', NULL, '$2a$10$tFPqxfJVvGSR/gVm5KDUJeRGswbiE9HSVNMO8NcG5rni5a8fmG6qm', 'UserInfo', 'authorization_code', 'http://www.baidu.com', NULL, NULL, NULL, NULL, NULL)

      VI. 启动程序,访问授权码接口获取授权码,然后根据授权码访问Token接口请求Token,可参考上面【内存保存访问令牌】步骤。访问的clientId和secretId信息存储在oauth_client_details表中,其中的secretId信息是经过BCryptPasswordEncoder加密的,可自定插入数据进行测试。
2. 资源服务器
 a 配置资源服务

/**
 * 配置此服务为资源服务器
 */
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    
}

 b. 配置提供的资源,即相应的Http服务,这里可使用注解@PreAuthorize对方法级别进行权限校验。之后使用Token进行访问时会校验Token对应用户的权限。

@RestController()
@RequestMapping("/api")
public class HelloController {

    @GetMapping("/")
    public String hello() {
        return "Hello, I am /";
    }

    @GetMapping("/hello")
    @PreAuthorize("hasRole('ROLE_SYSTEM')")
    public String getHello(String access_token) {
        return "Hello, I am /hello";
    }
}

 c. 配置认证服务器配置

# 认证服务器配置
security:
  oauth2:
    client:
      client-id: sysclientid
      client-secret: syssecretid    #加密前的
      access-token-uri: http://localhost:8081/oauth/token
      user-authorization-uri: http://localhost:8081/oauth/authorize
    resource:
      token-info-uri: http://localhost:8081/oauth/check_token

 d. 进行Http资源访问,请求是需携带参数Token信息,可直接在请求地址后携带 ?access_token= 参数,也可放到Header中携带。
      I. 使用直接地址携带参数格式例如:

http://localhost:8080/api/?access_token=3cd5e11f-76b1-4ae6-8fb6-38e67da29452

http://localhost:8080/api/hello?access_token=3cd5e11f-76b1-4ae6-8fb6-38e67da29452

            使用Header携带参数格式如下,注意Bearer后有空格分隔!
在这里插入图片描述在这里插入图片描述

      II. 下面使用使用Postman工具演示各种场景:不使用token或者错误token直接访问,结果如下:
在这里插入图片描述
      III. 使用正确token访问,token获取参考上面基于内存或者基于数据库存储令牌,结果如下:
在这里插入图片描述
      IV. 访问权限不够的资源,会返回不允许访问信息,结果如下:
在这里插入图片描述

只因啊
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring securityoauth2整合开发资料汇总
01-26
spring securityoauth2整合开发资料汇总,自己总结收集的。
springSecurityOAuth2例子分析
01-23
在本分析中,我们将深入探讨如何使用Spring Security OAuth2来实现这一功能。 1. **OAuth2的基本概念** - 授权服务器:负责验证用户身份并发放访问令牌。 - 客户端:需要访问受保护资源的应用程序。 - 用户资源...
Spring SecurityOAuth2(介绍)
chucan4529的博客
01-26 338
摘要:使用OAuth2 认证的好处就是你只需要一个账号密码,就能在各个网站进行访问,而面去了在每个网站都进行注册的繁琐过程,如:很多网站都可以使用微信登录,网站作为第三方服务、微信作为服务提供商 OAuth2 角色 resource owner:资源所有者(指用户) resource s...
Spring SecurityOAuth2集成开发
最新发布
技术研究中心
06-30 524
通过将Spring SecurityOAuth2集成,我们可以构建一个安全的、基于令牌的身份认证和授权系统。通过集成Spring SecurityOAuth2,可以构建一个强大且灵活的身份认证和授权系统。希望本文能为您提供有价值的参考,帮助您在项目中成功实现Spring SecurityOAuth2的集成。Spring SecuritySpring框架的一个子项目,提供了全面的安全服务支持,包括身份认证、授权、攻击防护等。确保使用最新版本的Spring Boot,以享受最新的简化配置和增强特性。
OAuth2.0
Jesse_cool的博客
10-26 272
前言 看到spring security OAuth 不太理解,所以查了很多资料 例子: 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。 一般来说,总不可能让云冲印拿到自己的密码吧,由此,OAuth诞生了(密码模式的话也是要提供账号密码 的) OAuth运行流程 客户端的授权模式 客户...
Oauth2与Spring Security
lijinghua的博客
10-24 2796
文章目录Oauth21. Oauth2概念2. OAuth2 授权流程3. OAuth2 角色4 OAuth2 授权模式简介5. Spring Security Oauth2 入门案例5.1 什么是Spring Security5.2 搭建授权服务器5.2.1 POM配置文件5.2.2 编写启动器5.2.3 Application.yml5.2.4 Oauth2配置类5.2.5 Spring Security配置类5.3 搭建资源服务器5.3.1 POM配置文件5.3.2 编写启动器5.3.3 Applic
13 spring securityoauth2学习
生蛋的公鸡的博客
03-14 313
Spring Security 简介 Spring SecuritySpring Resource社区的一个安全组件,为系统提供安全的防护。Spring Security通过注解为每一层(controller、service、dao)都提供安全保护。 Spring Security的主要目标是认证和授权,认证即认证主体的过程,通常指可以在应用程序中执行操作的用户、设备或其他系统。授权即决定是否允许已认证的主体执行某一项操作。 这部分不做说明。(大佬的书中给了一个生动形象的例子,买本书看..
springSecurityOauth2
08-28
Spring Security OAuth2 是一个强大的安全框架,用于保护基于Spring Boot的应用程序。在Spring Boot 2.0.4版本中,这个框架与多个组件一起工作,提供了全面的安全解决方案。以下是关于这些技术及其相互作用的详细...
SpringSecurityOAuth2
06-29
SpringSecurityOAuth2 使用 Spring SecurityOAuth2 保护 Restful Web 服务应用程序的流程将是这样的: 用户向服务器发送 GET 请求,其中包含五个参数:grant_type、用户名、密码、client_id、client_secret;...
SpringSecurityOAuth2.rar
02-01
oauth2的4中认证方式,例子可以直接运行。使用postman提交。oauth2的4中认证方式,例子可以直接运行。使用postman提交。oauth2的4中认证方式,例子可以直接运行。使用postman提交。
SpringSecurityOAuth2:在Spring框架上实现OAuth2的示例
05-09
SpringSecurityOAuth2 Spring框架上OAuth2实现的示例这是一个基于Maven的项目。 您需要将此项目导入到您喜欢的IDE中。 比您需要清理和构建项目。 之后,如果您安装了邮递员。 比请按照下列步骤操作: 键入此URL而...
Spring Security OAuth 介绍
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
06-07 1039
我们之前实现的登录方式,登录成功以后用户信息都是存在服务器Session中,把新建的SESSIONID再写到浏览器的Cookie,然而Cookie是浏览器独有的机制,对于APP或者小程序,Cookie+Session方式的登录流程就不适用了,那这时候该用什么方式呢?
OAuthSpringSecurity
weixin_44674424的博客
02-19 365
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,并且能够对OAuth提供支持。
OAuth2.0的不同的应用场景
m0_37779570的博客
08-24 4681
客户应用类型分类 四种授权码类型分类 授权码Authorization Code 通过前端渠道客户获取授权码 通过后端渠道,客户使用authorization code去交换access Token和可选的refresh Token 假定资源拥有者和客户在不通的设备上 最安全的流程,应为令牌不会传递经过user-agent 简化模式Implicit 适用于公开的浏览器单页应用 ...
Spring Security Oauth2-授权码模式(Finchley版本)
热门推荐
AaronSimon的博客
10-30 2万+
一、授权码模式原理解析(来自理解OAuth 2.0) 授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与&amp;quot;服务提供商&amp;quot;的认证服务器进行互动。其具体的流程如下: 具体步骤: A:用户访问客户端(client),客户端告知浏览器(user-Agent)重定向到授权服务器 B:呈现授权界面给用户,用户选择是否给予客户端授权 C...
深入理解OAuth2协议和使用场景
iloveoverfly的博客
03-15 4254
OAuth2协议概述 生活中,当我们使用滴滴出行或者美团app进行登录时,如果选择微信授权登录,则可以使用微信的头像,昵称,地区和性别信息登录,如图: 在滴滴出行和美团app的系统中,是没有存储微信的用户信息,但是授权过后就可以使用到微信的部分权限。这操作过程就是基于OAuth2协议实现的。OAuth2是当前授权的行业标准,OAuth2中有4种角色 Resource Owner,资源所有...
一文教你OAuth+SpringSecurity搭建分布式安全框架
weixin_38168947的博客jAbP)aWAuNkA
05-31 852
大数据管理系统接口文档 首页 首页图表展示 接口名称 URL 请求方式 备注 是否使用 功能描述 权限标识 leftNumber /project/projecoverview/leftNumber GET 首页左边数据统计 是 首页左边数据 无 CountNumberPieLeft /project/projecoverview/CountNumberPieLeft GET 首页统计饼图大于1000万数据 是 首页统计饼图大于1000万数据 无 CountNumberPieLeft
微服务安全Spring Security Oauth2实战
zzz6583zz的博客
06-25 1174
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Spring Security(二)
m0_49532843的博客
09-09 205
Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,无论使用什么样的认证都不影响授权,这是两个独立的存在,这种独立带来的好处之一,就是Spring Security可以非常方便的整合一些外部的认证方案。在Spring Security中,用户的认证信息主要由Authentication的实现类来保存,Authentication接口定义如下: 当用户使用用户名/密码登录或使用Remember-me登录时,都会对应一个不同的Authe
springsecurityoauth2
03-16
Spring Security OAuth2 是基于 Spring SecurityOAuth2 认证和授权框架,它提供了一种安全的方式来保护 RESTful API 和其他 Web 应用程序。它支持多种 OAuth2 授权流程,包括授权码、密码、客户端凭证和隐式授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值