SpringSecurity+Oauth2+Jwt的配置

最新推荐文章于 2024-07-05 10:13:26 发布
最新推荐文章于 2024-07-05 10:13:26 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 服务器 文章标签: spring security oauth jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzmde007/article/details/97615976
版权

前言

文章搭建工程基于Idea。
SpringSecurity+Oauth2+Jwt实现了什么功能?

SpringSecurity主要的工作就是拦截请求,只有满足基于springSecurity你定义的规则,才允许继续访问相应的资源或接口。可以说是一套权限管理的框架。能非常方便细致的帮助我们管理接口和资源的权限。
比如一个apicontroller里定义了多个接口,admin可以访问所有接口,角色1可以访问查询接口,角色2可以访问查询,添加接口,我们可以通过springsecurity的注解来区分权限。

这里要区分前后端权限的概念,比如说前端展示增加和查看按钮,但是没有删除按钮,但并不代表用户不能删除这条信息,只是用户没有操作界面去执行这个删除操作,假如用户知道删除接口地址,是同样可以删除这条消息的。所以后台接口这块也需要设置删除的权限验证。这样是最严谨的。

这里加上我自己的理解:springsecurity 建议用在后台管理对权限要求比较严的场景上,而针对app的接口服务,权限单一,还是尽量少用,主要是学习和使用成本太高。接手的人梳理代码逻辑就好久,这套框架是jsp时代的产物,还是尽量少用。不要被网络文章洗脑,感觉高大上,其实比较坑。

Oauth2负责请求权限token的颁发和验证规则,oauth主要是形成了一套规范的协议流程。用于实现第三方应用登录,假如没有这方面的需求,也不必费劲使用这套框架。

jwt就是具体的token形式 可以参考我的另外一篇文章。jwt的使用场景

什么情况下使用这套框架呢?

在开发类似微信的这种应用时,可以使用搞这套框架,因为许多其他的第三方应用都类似微信的授权登陆。

配置工程

初始化工程

New-->Project-->Spring Initializr-->下一步-->填写工程基本信息-->Web-->勾选Spring Web Starter--> Finish

导入pom

将pom.xml中的dependencies替换如下:

 <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>Finchley.SR1</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-security</artifactId>
            <version>2.1.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
            <version>2.1.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.3.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.46</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.2</version>
        </dependency>
    </dependencies>

导入5个类,2个resource文件

具体文件如截图,

以上文件是最基础的配置,可以不用理解。以后直接复制到对应的工程里就可以。具体代码参见oauth2的git。

配置数据库

项目设置的默认数据库如下:

jdbc:mysql://localhost:3306/authtest

 在authtest数据库中,新建一个表,表名为oauth_client_details。插入语句如下:

DROP TABLE IF EXISTS `oauth_client_details`;
CREATE TABLE `oauth_client_details` (
  `client_id` varchar(48) NOT NULL,
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL,
  `scope` varchar(256) DEFAULT NULL,
  `authorized_grant_types` varchar(256) DEFAULT NULL,
  `web_server_redirect_uri` varchar(256) DEFAULT NULL,
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of oauth_client_details
-- ----------------------------
INSERT INTO `oauth_client_details` VALUES ('app', null, 'app', 'app', 'password,refresh_token', 'http://localhost', null, null, null, null, null);
INSERT INTO `oauth_client_details` VALUES ('XcWebApp', null, '$2a$10$9bEpZ/hWRQxyr5hn5wHUj.jxFpIrnOmBcWlE/g/0Zp3uNxt9QTh/S', 'app', 'authorization_code,password,refresh_token,client_credentials', 'http://localhost', null, '43200', '43200', null, null);

 这个表的名称以及结构都是官方要求,也就是springsecurity源码中要访问的固定表名以及结构。

这个表的内容,可以理解为,这个授权服务器就是微信服务器,表里的数据,就是微信用户的用户名及密码等信息。

启动工程

现在就可以启动工程了,打开SpringBootApplication,运行main方法。然后访问http://localhost:8080/login。提示输入用户名及密码,在这里输入用户名XcWebApp和密码XcWebApp就可以登陆了。

到此我们基本搭建了一个springsecurity的服务器,怎么使用呢?需要继续往下看。

Oauth2的四种授权模式

  • 密码模式(resource owner password credentials)

  • 授权码模式(authorization code)

  • 简化模式(implicit)

  • 客户端模式(client credentials

一般使用的是前两种模式,后这两种使用在这里不做介绍,如果感兴趣可以去搜索下相关的使用配置

密码模式

授权码模式

 流程

先通过get请求获取授权码,然后通过post请求携带授权码获取token

获取授权码

http://localhost:8080/oauth/authorize?client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost

上边get请求,附带几个参数参见数据库的几个字段,只有response_type是固定的code,其他的参数参考数据库表的内容。redirect_uri就是请求成功后重定向的地址。

通过访问这个地址,首先会提示你登陆,用户名密码都是XcWebApp(这块的用户名密码,你可以想象成你的应用接入微信平台的用户名密码)。输入完成后会进入授权页面(这个页面可以理解为微信弹出的授权框),点击授权按钮后,浏览器地址最后会附带一个code,这个code后边的值就是授权码

http://localhost/?code=A1YRMz

获取token

通过post请求获取token,这块使用postman提交post请求。

具体参数如下:

配置好参数后点击send,就会返回结果:

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJjb21wYW55SWQiOiIxMjMyMjIiLCJ1c2VycGljIjoic2Rmc2RmIiwidXNlcl9uYW1lIjoiWGNXZWJBcHAiLCJzY29wZSI6WyJhcHAiXSwibmFtZSI6Im1ydCIsInV0eXBlIjoiYWRtaW4iLCJpZCI6IjIiLCJleHAiOjE1NjQzNDgxNzUsImp0aSI6IjkxNGZiOWExLTliMTgtNDljMC05YWE3LTNmZDdlNGVkMjNjNiIsImNsaWVudF9pZCI6IlhjV2ViQXBwIn0.bNhTFlGu3TldICkcMCK0q1rzzmQJL2M4pi6maP0eYyU_ZTCEcLpbSV3CkS_NjHLOUjnJKw5WP40lVTxZKFBFxV_7k_2Cr7R5BDseRDTPuVCDWBnd0XdGYpwQuXOPc9X6G3z1TQu9m6d3sTZpdVdq34XRrKWcdBkHIpaF_RjCgf13dH4f89aKKff03FA9OGUM_qeSx88XmnP6xns43_ZPN-ErhmhWIofczh1O2LyUaqYOCrRt17v0q0-k3cMqiZhtETHyZWn06H_gMUYgUVNJpG7U3JCE92I0v1TCQIBhYNPrIN9VjIAT6Lm0QO_yTCC5adG8Di1L1nLbmxo3sO0DnQ",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJjb21wYW55SWQiOiIxMjMyMjIiLCJ1c2VycGljIjoic2Rmc2RmIiwidXNlcl9uYW1lIjoiWGNXZWJBcHAiLCJzY29wZSI6WyJhcHAiXSwiYXRpIjoiOTE0ZmI5YTEtOWIxOC00OWMwLTlhYTctM2ZkN2U0ZWQyM2M2IiwibmFtZSI6Im1ydCIsInV0eXBlIjoiYWRtaW4iLCJpZCI6IjIiLCJleHAiOjE1NjQzNDgxNzUsImp0aSI6ImE5NjFlODAwLTVjMWQtNGZiMS05YmUwLTIyZDlkYWJmOTJlMCIsImNsaWVudF9pZCI6IlhjV2ViQXBwIn0.LHt4tvTrb319SpSXOmWTENdAlROPx2ooOsnK7DL98w8nzh3s3FuoPMR0ioCsmBPU4xyKamY1L5XnX8uc8hGkgf3rIzJLpW7qzy59jAJALXL_Owt8t-go3QUBsYJxK9JQrIPf3GE1tDc0EVXloBivxGhgj5GeXJdRSlITq7zMOkj3xCqxpAZeRA5Kl0Dqz9C5sRIbkcjEJTKtmkKymEJKPEbOJc8jRm61NUDCg6hH-hzDdqthrUvBud3sIfXF64b5nEYMlyWBSL_mtjiZsvwA3ejz2C1n3S4v_xzqbfHsWgWibuQ2pzIx6qrPUguGbx3dgv0UjfGpnKfHdrj6uwaHvQ",
    "expires_in": 43199,
    "scope": "app",
    "jti": "914fb9a1-9b18-49c0-9aa7-3fd7e4ed23c6"
}

 获得token后,以后访问其他网站资源,就可以通过springsecurity得认证了。否则会拦截你得请求。

 校验token

光顾着生成了,我们也是需要学会如何加密加密的token,springsecurity自带的校验地址:

http://localhost:8080/oauth/check_token?token=

校验后的结果如下:

{
	"companyId": "123222",
	"userpic": "sdfsdf",
	"user_name": "XcWebApp",
	"scope": ["app"],
	"name": "mrt",
	"utype": "admin",
	"active": true,
	"id": "2",
	"exp": 1564952248,
	"jti": "fbf07a90-890a-4899-b700-babf40816a8b",
	"client_id": "XcWebApp"
}

刷新token

就是将授权码中的grant_type字段的value设置为refresh_token即可,具体操作可百度搜索。这里不详细介绍。这个用处,假如app登陆token是3天有效期,如果用户每天都打开app,则token自动往后顺延3天,如果用户3天没有打开app,三天后token就失效。这块就用到刷新令牌。具体操作就是每次打开app都刷新下令牌即可。

其他文章参考

oauth流程原理详解

https://www.ruanyifeng.com/blog/2019/04/oauth_design.html

其实代码中很大一部分都是spring security的处理,所以明白spring security的流程和原理很重要

流程图参考

https://www.processon.com/view/5ec53844e401fd16f44be69a?fromnew=1

核心类详解 参考

https://blog.csdn.net/weixin_38982591/category_10048535.html

最简单的github demo,帮助理解

https://github.com/lansinuote/Spring-Oauth2-Toturials 

安迪爸爸
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5392
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
【安全框架】Spring SecurityOauth2、JWT 这一篇就够了
小源同学的博客
01-17 7460
文章目录Spring Security1. 安全框架概述2. Spring Security 简述3.Spring Security3.1 创建项目3.2 项目依赖3.3 页面3.3.1 login.html3.3.2 main.html3.4 测试3.4.1 启动项目3.4.2 打开浏览器3.5 自定义登录逻辑3.5.1 Security配置类3.5.2 UserDetailsService 的实现类3.5.3 重启测试3.6 自定义登陆页面3.6.1 login.html3.6.2 Security
Spring_Security+JWT+oauth2.0
最新发布
柊泓迅的博客
07-05 990
引入sercurity依赖之后,当访问后台资源,security都会判断你是否登录,没有登录就跳到登陆页面。(除了你放行的请求) 账户密码是security默认给的,user , 密码是随机生成的。SpringSecurity 本质是一个过滤器链: 从启动是可以获取到过滤器链:遇到相关请求就会执行相关拦截判断 代码底层流程:重点看三个过滤器: FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。 super.beforeInvocation(fi) 表示
Spring Security Oauth2 JWT
chinusyan的专栏
12-14 5217
1 用户认证分析 1.1 认证与授权 身份认证 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。说通俗点,就相当于校验用户账号密码是否正确。 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 1.2 单点登录 用户访问的项目中,至少有3个微服 务需要识别用户身份,如果用户访问每个微服务都登录一次就太麻烦了,
SpringSecurity+JWT+OAuth2
m0_46219348的博客
12-28 3484
一个简洁的博客网站:http://lss-coding.top,欢迎大家来访 学习娱乐导航页:http://miss123.top/ 1. Spring Security 简介 1.1 概述 什么是安全框架?解决系统安全问题的框架,如果没有安全框架。我们需要手动处理每个资源的访问控制,非常麻烦,使用安全框架,我们可以通过配置的方式实现对资源的访问控制。 1.2 常用安全框架 Spring SecuritySpring 家族的成员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解.
SpringSecurity+Oauth2+JWT
m0_54765221的博客
07-03 728
SpringSecurity+Oauth2+JWTSpringSecurity+Oauth2+JWT快速入门自定义登入自定义登入成功失败处理器权限判断自定义异常返回自定义方法实现权限控制注解实现权限控制记住我实现退出登入CSRFOauth2认证Oauth2入门授权码模式Oauth2密码模式Jwt入门Oauth2整合JwtJwt扩展存储内容Jwt解析SpringSecurityOauth2整合SSOSecurity+Jwt SpringSecurity+Oauth2+JWT 快速入门 1. 创建基础项目 fi
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
SpringSecurity+oauth2+jwt.docx
01-25
Spring Security + OAuth2 + JWT 实现Web安全认证》 在现代Web开发中,安全认证是不可或缺的一部分。Spring Security作为Java领域中强大的安全框架,配合OAuth2和JWT(JSON Web Token),可以构建出高效且安全的...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
Spring Security + OAuth2 + JWT 基本使用
weixin_48967543的博客
05-20 1616
Spring Security + OAuth2 + JWT 基本使用优惠券网站 https://www.cps3.cn/ 前面学习了 Spring Security 入门,现在搭配 oauth2 + JWT 进行测试。 1、什么是 OAuth2 OAuth 是一个关于授权(authorization)的开放网络标准,使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。在全世界得到广泛应用,目前的版本是2.0版。 1.1、关于 OAuth2 的几个重要概念: resource owner: 拥.
SpringSecurityOauth2、JWT
weixin_49385823的博客
08-15 918
SpringSecurity 一、SpringSecurity简介 1.1.安全框架概述 ​ 什么是安全框架?解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2.常用安全框架 Spring Security: Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5188
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 2104
Spring Security OAuth2.0(四)-----OAuth2+JWT
11 | 实战案例:使用Spring Security搭建一套基于JWTOAuth 2.0架构
qq_37756660的博客
12-01 1368
今天这一节,我们完整演示了如何使用 Spring Cloud 的 OAuth 2.0 组件基于三个程序角色(授权服务器、受保护资源服务器和客户端)实现三种 OAuth 2.0 的授权许可类型(资源拥有者凭据许可、客户端凭据许可和授权码许可)。我们先演示了三种授权许可类型的手动流程,然后也演示了如何实现权限控制和单点登录,以及如何使用客户端程序来实现自动的 OAuth 2.0 流程。今天用到的所有代码都放到了 GitHub 上,可以点击这个链接查看。
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7360
springsecurity整合oauth2+JWT,数据库配置客户端
SpringSecurity+Jwt+Autho2整合(一)
https://juejin.cn/user/4248168663101239/posts
08-08 1735
SpringSecurity+JWT+Autho2整合一. SpringSecurity简介二. SpringSecurity快速入门①. 导入依赖②. 登录页面③. 访问页面④. UserDetailsService详解⑤. UserDetails详解⑥. PasswordEncoder 密码解析器详解⑦. 自定义登录逻辑_修改配置类1. 登录页面配置2. 失败跳转3. 添加控制器的方法4. 设置请求账户和密码的参数名5. 自定义登录成功处理器6. 自定义登录失败处理器7. 访问控制url匹配8. 内置访
SpringSecurity整合JWT+Oauth2认证
Mr_Jin的博客
06-21 3046
上一篇文章中基于SpringSecurity已经有了完整的详解,今天这篇文章基于SpringSecurityOauth2整合进去。项目依赖: 一:创建所需要的User类,Menu权限类,WebUtils响应工具类(用于异常处理器中),SysResult响应数据工具类 代码如下:User类 权限类 SysResult类 WebUtils工具类 二:实现UserDetailsService类,进行实现自己数据库获取用户信息和权限 创建Mapper,编译xml进行获取用户的信息和权限:
Spring Security 详解与实操第五节 JWTOauth2
fegus的博客
05-01 858
令牌扩展:如何使用 JWT 实现定制化 Token? 上一讲我们详细介绍了在微服务架构中如何使用 Token 对微服务的访问过程进行权限控制,这里的 Token 是类似“b7c2c7e0-0223-40e2-911d-eff82d125b80”的一种字符串结构。显然,这种格式的 Token 包含的内容应该是很有限的,那么是否有办法实现更为丰富的 Token 呢?答案是肯定的。 事实上,在 OAuth2 协议中并没有明确规定 Token 具体的组成结构,而在现实应用中,我也不太建议你使用上一讲中我们用到的 T
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值