spring security oauth2记录

最新推荐文章于 2023-04-15 16:36:08 发布
最新推荐文章于 2023-04-15 16:36:08 发布
阅读量299 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiao_Ray/article/details/111309263
版权

实例: https://blog.csdn.net/xyjcfucdi128/article/details/87163388   --转载

demo是下载的, 上面是原博主的博客, 记录一下使用demo过程的一些问题

依赖:

由于 Spring Boot 中的 OAuth 协议是在 Spring Security 基础上完成的。因此首先编辑 pom.xml,添加 Spring Security 以及 OAuth 依赖。

 

认证服务器的配置有哪些?

主要集中在资源的获取源配置、缓存配置

oauth认证服务器还需要提供一个返回Principal对象的接口,具体作用会在下文中详解

@RestController
@RequestMapping("/api")
public class MemberController {

    @GetMapping("/member")
    public Principal user(Principal member) {
        //获取当前用户信息
        return member;
    }
}

 

如何实现对请求的拦截?

微服务架构需要在每个服务配置spring security的拦截规则,使用@Configuration和@EnableWebSecurity注解 ,如下图

.antMatchers("/api/**").authenticated()  //对所有api/**请求拦截

 

拦截的请求返回401, 需要请求token:

/oauth/token的接口是框架提供的, 选择Basic Auth填写客户端信息

客户端信息来源: 内存或者数据库

选择数据库来源, 需要存储在表oauth_client_details

token请求后的存储: 

在认证服务器中会配置redisToken存储, 同时redis的过期时间很适合token设置有效时间。

 

权限资源又是怎么获取到的?

用户请求token时会调用loadUserByUsername()方法,返回user对象,该对象包含用户的权限资源。

/**
 * 〈自定义UserDetailService〉
 * 自定义认证逻辑
 * @author wangmx
 * @since 1.0.0
 */
@Service//("userDetailService")
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private MemberDao memberDao;

    @Override
    public UserDetails loadUserByUsername(String memberName) throws UsernameNotFoundException {
        Member member = memberDao.findByMemberName(memberName);
        if (member == null) {
            throw new UsernameNotFoundException(memberName);
        }
        Set<GrantedAuthority> grantedAuthorities = new HashSet<>();
        // 可用性 :true:可用 false:不可用
        boolean enabled = true;
        // 过期性 :true:没过期 false:过期
        boolean accountNonExpired = true;
        // 有效性 :true:凭证有效 false:凭证无效
        boolean credentialsNonExpired = true;
        // 锁定性 :true:未锁定 false:已锁定
        boolean accountNonLocked = true;
        for (Role role : member.getRoles()) {
            //角色必须是ROLE_开头,可以在数据库中设置
            GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role.getRoleName());
            grantedAuthorities.add(grantedAuthority);
            //获取权限
            for (Permission permission : role.getPermissions()) {
                GrantedAuthority authority = new SimpleGrantedAuthority(permission.getUri());
                grantedAuthorities.add(authority);
            }
        }
        User user = new User(member.getMemberName(), member.getPassword(),
                enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, grantedAuthorities);
        return user;
    }

}

请求资源服务器api,怎么判断用户是否有该api访问权限?

请求/api/current接口,成功返回结果

断点看一下访问流程,发现会调用oauth认证服务器的接口/member

由此可以知道,用户在访问权限控制的接口时,需要通过认证服务器提供的接口返回principal对象,进行资源的匹配,有权限则成功访问。

 

那资源服务器又是怎么找到认证服务器提供的接口呢?

答案就是在bootstrap.yml文件中配置认证服务器的接口地址

 

ResourceServerConfig配置中可以不拦截请求,通过@PreAuthorize注解需要权限控制的接口

当使用hasRole权限时,需要加前缀ROLE_,否则会拒绝访问

数据库修改成

其他表达式:

 

参考: https://blog.csdn.net/qq_22172133/article/details/86503223  --springSecurity

https://blog.csdn.net/qq_41948525/article/details/106589811 --.关于SpringSecurity安全拦截请求.authenticated()未起作用

关于oauth的概念,参考上一节 oauth

 

十一的猫d
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
构建一个安全可靠的身份认证中心和资源服务中心:SpringSecurity+OAuth2.0的完美结合(一)
凛鼕将至的博客
01-24 1050
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
OAuth 2.0 授权码请求
weixin_34227447的博客
06-26 170
关于OAuth 2.0,请参见下面这两篇文章(墙裂推荐): 《OAuth 2.0》 《Spring Security OAuth 2.0》   纸上得来终觉浅,绝知此事要躬行。理论知识了解以后,最终还是要动手实践,不亲自做一遍永远不知道里面有多少坑。本节的重点是用Spring Security实现授权码模式。 1. maven依赖 &lt;?xml version="1.0" ...
Spring Security + OAuth2.0 + JWT
qq_42155347的博客
05-06 3178
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Spring Security是什么?1.认证1.1基于Session认证1.2基于Token认证2.授权3.基于角色访问控制二、OAuth2.0是什么?三、JWT是什么?四、代码实现1.创建Spring Boot项目2.Spring Security实现2.1基本使用2.2 前言 基于Spring Boot项目使用Spring Security+OAuth2.0+JWT搭建用户认证中心。 一、Spring Securi
Spring Cloud实战 | 第六篇:Spring Cloud Gateway+ Spring Security OAuth2 + JWT实现微服务统一认证鉴权
有来技术
09-23 9097
一. 前言 本篇实战案例基于 youlai-mall 项目。项目使用的是当前主流和最新版本的技术和解决方案,自己不会太多华丽的言辞去描述,只希望能勾起大家对编程的一点喜欢。所以有兴趣的朋友可以进入 github | 码云了解下项目明细 ,有兴趣也可以一起研发。 微服务通过整合 Spirng Cloud Gateway、Spring Security OAuth2、JWT 实现微服务的统一认证授权。其中Spring Cloud Gateway作为OAuth2客户端,其他微服务提供资源服务给网关,交由网关来做
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6101
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
springSecurity+oauth2认证记录(仅记录
俗语的博客
02-14 1465
1 整体大致流程。   ★★★★★端口8888为资源(认证服务器),端口8081为客户端。需要授权8081可以获取8888端口信息,通过授权码模式获取token进行获取。简而言之也是通过JWT(由头部,载荷,签名生成的取代session的跨域工具)实现单点登录。8081进入8888进行具体授权流程,8888返回code值到8081,在8081进行处理,通过code换取8888的JWT(即toke...
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3026
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
Spring Security OAuth2实现使用JWT
竹林幽深
09-12 1459
https://blog.csdn.net/AaronSimon/article/details/84071811 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/AaronSimon/article/details/84071811 在Spring Security Oauth2-授...
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring security oauth2
01-10
spring security 整合oauth2,进行权限授权管理,例子简单好用。
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\...
Spring Cloud Gateway+Oauth2 实现统一认证和鉴权
const_
03-25 8409
前言 应用架构: 认证服务负责认证,网关负责校验认证和鉴权,其他API服务负责处理自己的业务逻辑。 安全相关的逻辑只存在于认证服务和网关服务中,其他服务只是单纯地提供服务而没有任何安全相关逻辑。 JWT认证流程: 1、用户使用账号和密码发出post请求; 2、服务器使用私钥创建一个jwt; 3、服务器返回这个jwt给浏览器; 4、浏览器将该jwt串在请求头中像服务器发送请求; 5、服务器验证该jwt; 6、返回响应的资源给浏览器。 JWT解析 JWT使用场景: 授权:这是JWT使用最多的场景,一旦用户登
spring cloud gateway整合security实现统一权鉴
本作者:想花
11-06 3941
方法,返回对象包含数据库查询出的用户账号和密码,然后和用户录入的账号密码比较验证。当登录成功后会把token返回给前端,后续的调用业务接口都会把token携带上进行。因为gateway框架使用的是netty的webflux技术,不是springmvc的servlet。上图的是否 2、3是我自定义的角色,在查询数据库用户账户密码时候,也查询了角色,并且一起封装到。security有两个版本,一个是sevlet,一个是webflux。当验证完成账户密码成功后,进行权限验证,判断请求的路径。
微服务连载(一)微服务技术体系和六大组件
10-01 1222
如何学习  学习是一个人的核心竞争力,终生持续学习是别人离不开你的秘诀,如果能分享和教会别人,你的收获可能是双边甚至更多。就技术领域的学习,我还是一个在海边玩耍的小孩,时不时因为捡到一块...
oauth2登录鉴权后的登录及失败日志添加
dou747172348的博客
04-10 1277
oauth2登录鉴权后的登录及失败日志添加
spring security oauth2专栏介绍
最新发布
05-31
Spring Security OAuth2 是 Spring Security 的子项目之一,它添加了 OAuth2 认证协议的支持,使得在 Spring 应用程序中实现 OAuth2 认证变得更加容易。 Spring Security OAuth2 为开发人员提供了一组基本 API 和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值