Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践

最新推荐文章于 2024-05-28 20:08:11 发布
最新推荐文章于 2024-05-28 20:08:11 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: spring spring boot 后端
原文链接:https://mp.weixin.qq.com/s/ifqygoQ9BmaSQoNSi6SauA
版权

Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践

当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。

开发环境

应该基于:

  • SpringBoot 3.x版本

  • JDK 17

添加依赖

<dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-security</artifactId>    </dependency><dependency>        <groupId>org.springframework.security</groupId>        <artifactId>spring-security-oauth2-authorization-server</artifactId>        <version>1.0.2</version></dependency><dependency>        <groupId>org.projectlombok</groupId>        <artifactId>lombok</artifactId>        <optional>true</optional></dependency>

基本启动

在浏览器访问默认8080端口可以得到默认授权页面:

图片

用户名为user,密码在控制台中自动生成:

图片

写一个测试api:

@RestController@RequestMapping("/api")public class testController {    @GetMapping("/hello")    public ResponseEntity hello(){        return ResponseEntity.ok("hello,this is my api");    }}

登录后即可正常访问:

图片

也可以退出登录:

图片

Basic Auth授权流程

一个最基础的授权流程图:

图片

新建一个SecurityConfig类:

// 使用@EnableWebSecurity注解开启Spring Security功能@EnableWebSecuritypublic class SecurityConfig {
    // 定义一个SecurityFilterChain bean,用于配置安全过滤器链    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http                // 配置授权请求规则                .authorizeRequests()                // 任何请求都需要认证                .anyRequest()                .authenticated()                // 使用and()方法连接多个配置                .and()                // 开启HTTP基本认证功能                .httpBasic();        return http.build();    }}

JWT身份验证过滤器

图片

添加依赖

<dependency>        <groupId>io.jsonwebtoken</groupId>        <artifactId>jjwt</artifactId>        <version>0.9.1</version></dependency><dependency>        <groupId>javax.xml.bind</groupId>        <artifactId>jaxb-api</artifactId>        <version>2.4.0-b180830.0359</version></dependency>

  1. io.jsonwebtoken:jjwt依赖是Java JWT(JSON Web Token)库,它提供了一种方便的方法来生成、解析和验证JWT。在本例中,该依赖项用于生成和解析JWT,并提供了一些常用的JWT功能,如设置JWT的过期时间、签名和验证等。

  2. javax.xml.bind:jaxb-api依赖是Java体系结构与XML绑定(Java Architecture for XML Binding,JAXB)API的一部分,它提供了一种将Java对象与XML文档相互转换的方法。在本例中,jjwt库依赖了javax.xml.bind包,因此需要将其添加到项目中以解决可能的编译错误。

新建一个JwtUtils,帮助我们进行Jwt令牌生成与解析

import io.jsonwebtoken.Claims;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.stereotype.Component;
import java.util.Date;import java.util.HashMap;import java.util.Map;import java.util.concurrent.TimeUnit;import java.util.function.Function;
@Componentpublic class JwtUtils {    private String jwtSigningKey = "secret";
    /**     * 从JWT中提取用户名     */    public String extractUsername(String token){        return extractClaim(token,Claims::getSubject);    }
    /**     * 从JWT中提取过期时间     */    public Date extractExpiration(String token){        return extractClaim(token,Claims::getExpiration);    }
    /**     * 检查JWT是否包含指定的声明     */    public boolean hasClaim(String token,String claimName){        final Claims claims = extractAllClaims(token);        return claims.get(claimName) !=null;    }
    /**     * 从JWT中提取指定声明     */    public <T> T extractClaim(String token, Function<Claims,T> claimsResolver){        final Claims claims = extractAllClaims(token);        return claimsResolver.apply(claims);    }
    /**     * 从JWT中提取所有声明     */    public Claims extractAllClaims(String token){        try {            return Jwts.parser().setSigningKey(jwtSigningKey).parseClaimsJws(token).getBody();        } catch (Exception e) {            e.printStackTrace();            // return a default Claims object or null        }        return null;    }
    /**     * 检查JWT是否已过期     */    public Boolean isTokenExpired(String token){        Date expirationDate = extractExpiration(token);        if (expirationDate == null) {            return true; // or false based on your requirements        }        return expirationDate.before(new Date());    }
    /**     * 生成JWT     */    public String generateToken(UserDetails userDetails){        Map<String,Object> claims = new HashMap<>();        return createToken(claims,userDetails);    }
    /**     * 生成带有指定声明的JWT     */    public String generateToken(UserDetails userDetails,Map<String,Object>claims){        return createToken(claims,userDetails);    }
    /**     * 创建JWT     */    public String createToken(Map<String, Object> claims, UserDetails userDetails){        return Jwts.builder().setClaims(claims)                .setSubject(userDetails.getUsername())                .claim("authorities",userDetails.getAuthorities())                .setIssuedAt(new Date(System.currentTimeMillis()))                .setExpiration(new Date(System.currentTimeMillis() + TimeUnit.HOURS.toMillis(24)))                .signWith(SignatureAlgorithm.HS256,jwtSigningKey).compact();    }
    /**     * 验证JWT是否有效     */    public Boolean isTokenValid(String token,UserDetails userDetails){        final String username = extractUsername(token);        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));    }}

generateToken()和createToken()是生成JWT的核心方法,它们使用了Jwts.builder()来构建JWT,并设置了一些常用的JWT功能,如设置JWT的过期时间、签名和验证等。isTokenValid()方法用于验证JWT是否有效,它检查JWT的用户名是否与用户详细信息中的用户名匹配,并检查JWT是否已过期。其他方法都是用于辅助功能的方法,用于从JWT中提取相关信息或检查JWT是否包含指定的声明。

创建Dao,并配合Security一起使用。理论上,此处可以配合MySQL与Redis一起使用,但这并非本文重点

import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.stereotype.Repository;
import java.util.Arrays;import java.util.Collections;import java.util.List;
@Repositorypublic class UserDao {
    // 在内存中存储应用程序的用户信息,这里只有一个用户    private final static List<UserDetails> APPLICATION_USERS = Arrays.asList(            new User(                    "harukisea0@gmail.com", // 用户名                    "password", // 密码                    Collections.singleton(new SimpleGrantedAuthority("ROLE_USER")) // 用户角色            )    );
    // 根据用户邮箱查找用户    public UserDetails findUserByEmail(String email){        return APPLICATION_USERS                .stream()                .filter(u-> u.getUsername().equals(email)) // 使用 Lambda 表达式过滤用户                .findFirst() // 返回第一个匹配的用户                .orElseThrow(()->new UsernameNotFoundException("No user was found")); // 如果没有匹配的用户,则抛出异常    }}

创建JWT身份认证过滤器

@Component@RequiredArgsConstructorpublic class JwtAthFilter extends OncePerRequestFilter {
    private final UserDao userDao;    private final JwtUtils jwtUtils;
    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取 HTTP 请求头部中的 Authorization 字段        final String authHeader = request.getHeader(AUTHORIZATION);        final String userEmail;        final String jwtToken;
        // 如果 Authorization 字段不存在或者不符合 Bearer Token 的格式,则跳过该过滤器        if (authHeader == null || !authHeader.startsWith("Bearer ")) {            filterChain.doFilter(request, response);            return;        }
        // 提取 JWT Token,并从中获取用户邮箱        jwtToken = authHeader.substring(7);        userEmail = jwtUtils.extractUsername(jwtToken);
        // 如果用户邮箱不为空且未进行身份验证        if (userEmail != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            // 根据用户邮箱从 UserDao 中查找用户            UserDetails userDetails = userDao.findUserByEmail(userEmail);
            // 如果 JWT Token 有效,则进行身份验证            if (jwtUtils.isTokenValid(jwtToken, userDetails)) {                UsernamePasswordAuthenticationToken authToken =                        new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());                authToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));                SecurityContextHolder.getContext().setAuthentication(authToken);            }        }
        // 继续处理请求        filterChain.doFilter(request, response);    }}

该过滤器用于检查 HTTP 请求头部中是否包含 JWT Token,如果存在则从中提取出用户邮箱并进行身份验证。具体而言,该过滤器首先提取 HTTP 请求头部中的 Authorization 字段,检查其是否符合 Bearer Token 的格式。如果不符合,该过滤器将直接跳过,继续处理请求。如果 Authorization 字段符合 Bearer Token 的格式,则该过滤器将提取 JWT Token,并从中获取用户邮箱。如果用户邮箱不为空且未进行身份验证,则该过滤器将从 UserDao 中查找该用户,并使用 JwtUtils 类的 isTokenValid 方法验证 JWT Token 是否有效。如果 JWT Token 有效,则该过滤器将创建一个 UsernamePasswordAuthenticationToken 对象,并将其添加到 SecurityContextHolder 中,以进行身份验证。最后,该过滤器将继续处理请求。

配置安全过滤链

Q:为什么不使用antMatchers?

A:可参考这篇官方文档,Security5.8以上版本删除了过往常用的大量写法。

@Configuration@EnableWebSecurity@RequiredArgsConstructorpublic class SecurityConfig {
    private final JwtAthFilter jwtAthFilter;    private final UserDao userDao;
    // 定义一个 SecurityFilterChain bean,用于配置安全过滤器链    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http                // 配置授权请求规则                .csrf().disable()                .authorizeRequests()              //认证请求无需授权                .requestMatchers("/api/auth/**")                .permitAll()                // 任何请求都需要授权                .anyRequest()                .authenticated()                // 使用 and() 方法连接多个配置                .and()                .sessionManagement()                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)                .and()                .authenticationProvider(authenticationProvider())                .addFilterBefore(jwtAthFilter, UsernamePasswordAuthenticationFilter.class);        return http.build();    }
    // 配置 AuthenticationProvider bean    @Bean    public AuthenticationProvider authenticationProvider() {        final DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();        authenticationProvider.setUserDetailsService(userDetailsService());        authenticationProvider.setPasswordEncoder(passwordEncoder());        return authenticationProvider;    }
    // 配置 AuthenticationManager bean    @Bean    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {        return config.getAuthenticationManager();    }
    // 配置密码编码器 bean    @Bean    public PasswordEncoder passwordEncoder() {        //return new BCryptPasswordEncoder();        return NoOpPasswordEncoder.getInstance();    }
    // 配置 UserDetailsService bean    @Bean    public UserDetailsService userDetailsService() {        return new UserDetailsService() {            @Override            public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {                return userDao.findUserByEmail(email);            }        };    }}

创建一个测试用实体类

@Getter@Setter@NoArgsConstructorpublic class AuthenticationRequest {
    private String email;    private String password;}

创建一个测试用授权认证控制器

@RestController@RequestMapping("/api/auth")@RequiredArgsConstructorpublic class AuthenticationController {    private final AuthenticationManager authenticationManager;    private final UserDao userDao;    private final JwtUtils jwtUtils;
    @PostMapping("/login")    public ResponseEntity<String> authenticate(            @RequestBody AuthenticationRequest request    ){        authenticationManager.authenticate(                new UsernamePasswordAuthenticationToken(request.getEmail(),request.getPassword())        );        final UserDetails user = userDao.findUserByEmail(request.getEmail());        if (user != null){            return ResponseEntity.ok(jwtUtils.generateToken(user));        }        return ResponseEntity.status(400).body("Some error has occurred");    }}

一例测试:

图片

令牌解析:

图片

Github作为授权服务器

可以使用第三方服务作为授权服务器。Spring Security 6 内置了Github、Google、FaceBook、OKTA的支持。

您可以选择在此处获取Github的支持,以注册一个属于您自身的全新OAuth应用程序。

创建一个基于OAuth授权认证的客户端程序

一如既往,该程序基于Springboot 3.x版本。

需要在此基础上添加由Springboot管理的如下核心依赖:

<dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-oauth2-client</artifactId></dependency><dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-security</artifactId></dependency>

在您的配置文件进行如下基本配置:

server:  port: 8080spring:  security:    oauth2:      client:        registration:          github:            clientId: 515419724890eea8f1be            clientSecret: ***************7128f77d

您应该将客户端ID及其密钥替换为您自身在Github上创建OAuth应用程序所获取的。

然后,我们可以创建并配置一个基本的安全过滤链:

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;
@Configuration@EnableWebSecuritypublic class SecurityConfig {
    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http                .csrf()                .disable()                .authorizeHttpRequests()                .anyRequest()                .authenticated()                .and()                .oauth2Login()        ;        return http.build();    }}

作为开发环境的测试,这个安全过滤链实现了CSRF攻击防护的禁用、对应用程序的每一个URL进行身份验证,启用OAuth2登录。

可以考虑写一个测试用http端点:

@GetMapping("/hello")    public String loginResult(){        return "hello,this is my api";    }

启动该客户端程序,您将会得到如下授权界面:

图片

授权登录后请求我们刚刚编写的http端点,可以在浏览器得到:

hello,this is my api

通常,您可以考虑在Github中删除授权token。

自定义授权服务器

您也可以使用您所创建的授权服务器来处理您所创建的客户端进行授权认证。

首先,创建一个auth-service模块,该模块基于Springboot 3.x版本,用于创建授权服务器

您应该在此基础之上添加核心依赖:

<dependencies>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-security</artifactId>    </dependency>    <dependency>        <groupId>org.springframework.security</groupId>        <artifactId>spring-security-oauth2-authorization-server</artifactId>        <version>1.0.2</version>    </dependency></dependencies>

编写授权服务器的安全过滤链:

import static org.springframework.security.config.Customizer.withDefaults;
import java.security.KeyPair;import java.security.KeyPairGenerator;import java.security.interfaces.RSAPrivateKey;import java.security.interfaces.RSAPublicKey;import java.util.UUID;
import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.core.annotation.Order;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configurers.oauth2.server.resource.OAuth2ResourceServerConfigurer;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.crypto.password.NoOpPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.oauth2.core.AuthorizationGrantType;import org.springframework.security.oauth2.core.ClientAuthenticationMethod;import org.springframework.security.oauth2.core.oidc.OidcScopes;import org.springframework.security.oauth2.jwt.JwtDecoder;import org.springframework.security.oauth2.server.authorization.client.InMemoryRegisteredClientRepository;import org.springframework.security.oauth2.server.authorization.client.RegisteredClient;import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer;import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;import org.springframework.security.provisioning.InMemoryUserDetailsManager;import org.springframework.security.web.SecurityFilterChain;import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
import com.nimbusds.jose.jwk.JWKSet;import com.nimbusds.jose.jwk.RSAKey;import com.nimbusds.jose.jwk.source.JWKSource;import com.nimbusds.jose.proc.SecurityContext;
@SuppressWarnings("deprecation")//忽略过时警告@Configurationpublic class SecurityConfig {
    @Bean    @Order(1)//指定执行优先级    public SecurityFilterChain asSecurityFilterChain(HttpSecurity http) throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        return http                //为 OAuth2 认证服务器添加 OIDC 支持                .getConfigurer(OAuth2AuthorizationServerConfigurer.class).oidc(withDefaults())                .and()                .exceptionHandling(e -> e                        .authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")))                        //当未经身份验证的用户尝试访问受保护的资源时,将用户重定向到Security的默认登录页面                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)                //配置 OAuth2 资源服务器以使用 JWT 令牌进行身份验证                .build();
    }
    @Bean    @Order(2)    //表单登录与身份验证的请求授权    public SecurityFilterChain appSecurityFilterChain(HttpSecurity http) throws Exception {        return http                .formLogin(withDefaults())                //授权任何已认证的用户可以访问任何请求                .authorizeHttpRequests(authorize ->authorize.anyRequest().authenticated())                .build();
    }
    //该 Bean 提供了一个存储在内存中的用户    @Bean    public UserDetailsService userDetailsService() {        var user1 = User.withUsername("user")                .password("password")                .authorities("read")                .build();        return new InMemoryUserDetailsManager(user1);    }
    //以纯文本形式保存密码,实际开发应该实现 BCryptPasswordEncoder()    @Bean    public PasswordEncoder passwordEncoder() {        return NoOpPasswordEncoder.getInstance();    }
    /*        向OAuth2认证服务器注册一个客户端应用程序进行授权        该 Bean 提供了一个内存中的注册客户端存储,用于 OAuth2 认证服务器的客户端授权        客户端应使用此处设置的值作为配置项    */    @Bean    public RegisteredClientRepository registeredClientRepository() {        //生成随机UUID作为客户端唯一标识,避免多个客户端时ID冲突        RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())                .clientId("client") //设置授权客户端ID                .clientSecret("secret") //设置客户端密钥                .scope(OidcScopes.OPENID)   //设置客户端的范围,这里使用了 OpenID Connect 的标准范围                /*                    设置客户端的重定向 URI,当用户授权后,OAuth2 认证服务器将重定向到该 URI                    由于OAuth2认证服务器的安全性设置,此处必须使用127.0.0.1                    使用localhost会导致拒绝重定向                 */                .redirectUri("http://127.0.0.1:8080/login/oauth2/code/myoauth2")                //设置客户端的身份验证方法,这里使用了基本身份验证方法                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)                //设置客户端的授权类型,这里使用了授权码授权类型                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)                .build();
        return new InMemoryRegisteredClientRepository(registeredClient);    }
    //该Bean用于配置OAuth2认证服务器,该例中我们无需配置    @Bean    public AuthorizationServerSettings authorizationServerSettings() {        return AuthorizationServerSettings.builder().build();    }
    //解码Jwt令牌    @Bean    public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {        return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);    }
    //提供Jwt令牌    @Bean    public JWKSource<SecurityContext> jwkSource() {        RSAKey rsaKey = generateRsa();        JWKSet jwkSet = new JWKSet(rsaKey);        return (jwkSelector, securityContext) -> jwkSelector.select(jwkSet);    }
    //固定写法,生成RSA密钥对    public static RSAKey generateRsa() {        KeyPair keyPair = generateRsaKey();        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();        return new RSAKey.Builder(publicKey).privateKey(privateKey).keyID(UUID.randomUUID().toString()).build();    }
    static KeyPair generateRsaKey() {        KeyPair keyPair;        try {            KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");            keyPairGenerator.initialize(2048);            keyPair = keyPairGenerator.generateKeyPair();        } catch (Exception ex) {            throw new IllegalStateException(ex);        }        return keyPair;    }}

在配置文件中可以指定9090端口便于测试:

server:  port: 9090

然后,创建client-service模块,用于创建我们的客户端。

同样,它基于 Springboot 3.x 版本,在此基础上,我们还需添加核心依赖:

<dependencies>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-oauth2-client</artifactId>    </dependency>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-security</artifactId>    </dependency></dependencies>

配置安全过滤链:

import static org.springframework.security.config.Customizer.withDefaults;
import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.web.SecurityFilterChain;
@Configurationpublic class SecurityConfig {
    @Bean    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http                //所有请求都需经过授权认证                .authorizeHttpRequests(authorize -> authorize                        .anyRequest().authenticated())                //配置登录URL                .oauth2Login(oauth2Login ->                        oauth2Login.loginPage("/oauth2/authorization/myoauth2"))                //使用默认客户端配置                .oauth2Client(withDefaults());        return http.build();    }}

可以创建一个控制器,写一个http端点用于测试:

@GetMapping("/")    public String welcome() {
        return "<h1>Welcome!</h1>";    }

在配置文件中编写配置项:

server:  port: 8080spring:  security:    oauth2:      client:        registration:          myoauth2:            provider: spring            client-id: client            client-secret: secret            scope:              - openid            authorization-grant-type: authorization_code            redirect-uri: http://127.0.0.1:8080/login/oauth2/code/myoauth2        provider:          spring:            issuer-uri: http://localhost:9090

运行授权服务器,然后运行客户端。

尝试在浏览器地址栏输入http://localhost:8080

图片

尝试登录:

图片

Authorization Server - Resource Server and OAuth2 Client

现在,我们可以尝试将资源服务纳入授权管理。

创建Authorization Server

<dependencies>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-security</artifactId>    </dependency>    <dependency>        <groupId>org.springframework.security</groupId>        <artifactId>spring-security-oauth2-authorization-server</artifactId>        <version>1.0.2</version>    </dependency></dependencies>

配置安全过滤链:

import static org.springframework.security.config.Customizer.withDefaults;
import java.security.KeyPair;import java.security.KeyPairGenerator;import java.security.interfaces.RSAPrivateKey;import java.security.interfaces.RSAPublicKey;import java.util.UUID;
import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.core.annotation.Order;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configurers.oauth2.server.resource.OAuth2ResourceServerConfigurer;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.crypto.password.NoOpPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.oauth2.core.AuthorizationGrantType;import org.springframework.security.oauth2.core.ClientAuthenticationMethod;import org.springframework.security.oauth2.core.oidc.OidcScopes;import org.springframework.security.oauth2.jwt.JwtDecoder;import org.springframework.security.oauth2.server.authorization.client.InMemoryRegisteredClientRepository;import org.springframework.security.oauth2.server.authorization.client.RegisteredClient;import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer;import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;import org.springframework.security.provisioning.InMemoryUserDetailsManager;import org.springframework.security.web.SecurityFilterChain;import org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint;
import com.nimbusds.jose.jwk.JWKSet;import com.nimbusds.jose.jwk.RSAKey;import com.nimbusds.jose.jwk.source.JWKSource;import com.nimbusds.jose.proc.SecurityContext;
@SuppressWarnings("deprecation")@Configurationpublic class SecurityConfig {
    @Bean    @Order(1)    public SecurityFilterChain asSecurityFilterChain(HttpSecurity http) throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        return http                .getConfigurer(OAuth2AuthorizationServerConfigurer.class).oidc(withDefaults())                .and()                .exceptionHandling(e -> e                        .authenticationEntryPoint(new LoginUrlAuthenticationEntryPoint("/login")))                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)                .build();
    }
    @Bean    @Order(2)    public SecurityFilterChain appSecurityFilterChain(HttpSecurity http) throws Exception {        return http                .formLogin(withDefaults())                .authorizeHttpRequests(authorize ->authorize.anyRequest().authenticated())                .build();
    }
    @Bean    public UserDetailsService userDetailsService() {        var user1 = User.withUsername("user")                .password("password")                .authorities("read")                .build();        return new InMemoryUserDetailsManager(user1);    }
    @Bean    public PasswordEncoder passwordEncoder() {        return NoOpPasswordEncoder.getInstance();    }
    @Bean    public RegisteredClientRepository registeredClientRepository() {        RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())                .clientId("client")                .clientSecret("secret")                .scope("read")                .scope(OidcScopes.OPENID)                .scope(OidcScopes.PROFILE)                .redirectUri("http://127.0.0.1:8080/login/oauth2/code/myoauth2")                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)                .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)                .build();
        return new InMemoryRegisteredClientRepository(registeredClient);    }
    @Bean    public AuthorizationServerSettings authorizationServerSettings() {        return AuthorizationServerSettings.builder().build();    }
    @Bean    public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {        return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);    }
    @Bean    public JWKSource<SecurityContext> jwkSource() {        RSAKey rsaKey = generateRsa();        JWKSet jwkSet = new JWKSet(rsaKey);        return (jwkSelector, securityContext) -> jwkSelector.select(jwkSet);    }
    public static RSAKey generateRsa() {        KeyPair keyPair = generateRsaKey();        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();        return new RSAKey.Builder(publicKey).privateKey(privateKey).keyID(UUID.randomUUID().toString()).build();    }
    static KeyPair generateRsaKey() {        KeyPair keyPair;        try {            KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");            keyPairGenerator.initialize(2048);            keyPair = keyPairGenerator.generateKeyPair();        } catch (Exception ex) {            throw new IllegalStateException(ex);        }        return keyPair;    }}

编写配置文件:

server:  port: 9090

创建Resource Server

<dependencies>    <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-security</artifactId>    </dependency>    <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>    </dependency></dependencies>

编写配置文件:

server:  port: 8090
spring:  security:    oauth2:      resourceserver:        jwt:          issuer-uri: http://localhost:9090

编写安全过滤链:

import org.springframework.beans.factory.annotation.Value;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.oauth2.jwt.JwtDecoders;import org.springframework.security.web.SecurityFilterChain;
@Configurationpublic class SecurityConfig {
    //从配置文件中获取OAuth2 Jwt令牌签发者的uri    @Value("${spring.security.oauth2.resourceserver.jwt.issuer-uri}")    String issuerUri;
    @Bean    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        return http                .authorizeHttpRequests(auth -> auth                        .anyRequest().authenticated())                .oauth2ResourceServer(oauth2 -> oauth2                        .jwt(jwt -> jwt.decoder(JwtDecoders.fromIssuerLocation(issuerUri))))                .build();    }}

可以写一个测试用http端点,表示该资源服务的资源:

@GetMapping("/")public String home() {    LocalDateTime time = LocalDateTime.now();    return "Welcome Resource Server! - " + time;}

创建OAuth2 Client

引入核心依赖:

<dependencies>    <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-oauth2-client</artifactId>        </dependency>        <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-security</artifactId>        </dependency>        <dependency>            <groupId>org.springframework.boot</groupId>            <artifactId>spring-boot-starter-webflux</artifactId>        </dependency></dependencies>

此处引入了 SpringBoot 3 的新特性,替换了常用的OpenFeign调用其它服务的方式,转而使用Spring自身的声明式HTTP接口。webflux可以让你在调用其它服务时像写控制器一样轻松。

编写配置文件:

server:  port: 8080spring:  security:    oauth2:      client:        registration:          myoauth2:            provider: spring            client-id: client            client-secret: secret            scope:              - openid            authorization-grant-type: authorization_code            redirect-uri: http://127.0.0.1:8080/login/oauth2/code/myoauth2        provider:          spring:            issuer-uri: http://localhost:9090

编写一个Client类,用以调用资源服务的资源:

import org.springframework.web.service.annotation.GetExchange;import org.springframework.web.service.annotation.HttpExchange;

@HttpExchange("http://localhost:8090")public interface WelcomeClient {
    @GetExchange("/")    String getWelcome();

}

编写该Client的配置类,配置使用 OAuth2 认证的 WebClient,并将其转换为代理对象,以便于进行远程调用。通过 OAuth2AuthorizedClientManager 接口管理 OAuth2 授权客户端的生命周期,确保 WebClient 的安全性和可靠性:

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.oauth2.client.OAuth2AuthorizedClientManager;import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProvider;import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProviderBuilder;import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository;import org.springframework.security.oauth2.client.web.DefaultOAuth2AuthorizedClientManager;import org.springframework.security.oauth2.client.web.OAuth2AuthorizedClientRepository;import org.springframework.security.oauth2.client.web.reactive.function.client.ServletOAuth2AuthorizedClientExchangeFilterFunction;import org.springframework.web.reactive.function.client.WebClient;import org.springframework.web.reactive.function.client.support.WebClientAdapter;import org.springframework.web.service.invoker.HttpServiceProxyFactory;
@Configurationpublic class WebClientConfig {
    /**     * 创建名为 welcomeClient 的 bean,类型为 WelcomeClient。     * 使用 OAuth2AuthorizedClientManager 作为参数创建 HttpServiceProxyFactory,然后使用它创建客户端。     *     * @param authorizedClientManager 用于创建 HttpServiceProxyFactory 的 OAuth2AuthorizedClientManager 实例     * @return WelcomeClient 实例     * @throws Exception 如果创建客户端时发生错误,则抛出异常     */    @Bean    public WelcomeClient welcomeClient(OAuth2AuthorizedClientManager authorizedClientManager) throws Exception {        return httpServiceProxyFactory(authorizedClientManager).createClient(WelcomeClient.class);    }
    /**     * 创建 HttpServiceProxyFactory,以便在创建客户端时使用。     *     * @param authorizedClientManager 用于创建 HttpServiceProxyFactory 的 OAuth2AuthorizedClientManager 实例     * @return 创建的 HttpServiceProxyFactory 实例     */    private HttpServiceProxyFactory httpServiceProxyFactory(OAuth2AuthorizedClientManager authorizedClientManager) {        // 创建 ServletOAuth2AuthorizedClientExchangeFilterFunction,使用它来处理 OAuth2 认证        ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2Client =                new ServletOAuth2AuthorizedClientExchangeFilterFunction(authorizedClientManager);
        // 设置默认的 OAuth2 授权客户端        oauth2Client.setDefaultOAuth2AuthorizedClient(true);
        // 创建 WebClient,应用 OAuth2 认证配置        WebClient webClient = WebClient.builder()                .apply(oauth2Client.oauth2Configuration())                .build();
        // 创建 WebClientAdapter,它允许我们在创建客户端时使用 WebClient        WebClientAdapter client = WebClientAdapter.forClient(webClient);
        // 创建 HttpServiceProxyFactory,它可用于创建客户端        return HttpServiceProxyFactory.builder(client).build();    }
    /**     * 创建 OAuth2AuthorizedClientManager 的 bean。     *     * @param clientRegistrationRepository 用于管理客户端注册信息的 ClientRegistrationRepository 实例     * @param authorizedClientRepository   用于管理授权客户端信息的 OAuth2AuthorizedClientRepository 实例     * @return OAuth2AuthorizedClientManager 实例     */    @Bean    public OAuth2AuthorizedClientManager authorizedClientManager(            ClientRegistrationRepository clientRegistrationRepository,            OAuth2AuthorizedClientRepository authorizedClientRepository) {
        // 创建 OAuth2AuthorizedClientProvider,用于获取授权客户端        OAuth2AuthorizedClientProvider authorizedClientProvider =                OAuth2AuthorizedClientProviderBuilder.builder()                        .authorizationCode()                        .refreshToken()                        .build();
        // 创建 DefaultOAuth2AuthorizedClientManager,使用它来管理授权客户端        DefaultOAuth2AuthorizedClientManager authorizedClientManager =                new DefaultOAuth2AuthorizedClientManager(                        clientRegistrationRepository, authorizedClientRepository);
        // 设置授权客户端提供程序        authorizedClientManager.setAuthorizedClientProvider(authorizedClientProvider);
        // 返回 OAuth2AuthorizedClientManager        return authorizedClientManager;    }
}

写一个测试用http端点:

@GetMapping("/")public String welcome() {
    String welcome = welcomeClient.getWelcome();    return "<h1>" +  welcome + "</h1>";}

然后运行授权服务、资源服务和客户端

如果你尝试访问资源服务,即 http://localhost:8090 ,会得到:

当前无法使用此页面如果问题仍然存在,请联系网站所有者。HTTP ERROR 401

这是因为资源服务的调用应通过客户端进行,而客户端获取资源服务,则需通过OAuth2认证授权。

接着,我们尝试访问客户端:

图片

这将自动跳转至默认的授权页面,我们可以在这里进行登录,即可跳转至8080端口,通过客户端获取到资源服务:

Welcome Resource Server! - 2023-05-03T14:29:20.723645200

实现 BCryptPasswordEncoder密码加密

密码加密是一个常见应用。以刚刚创建的授权服务为例,一般来说,您可以在其基础上修改与增加如下代码:

//    @Bean//    public PasswordEncoder passwordEncoder() {//        return NoOpPasswordEncoder.getInstance();//    }    @Bean    public PasswordEncoder passwordEncoder(){        return new BCryptPasswordEncoder();    }

@Beanpublic UserDetailsService userDetailsService() {    var user1 = User.withUsername("user")            .password(passwordEncoder().encode("password"))//修改此处            .authorities("read")            .build();    return new InMemoryUserDetailsManager(user1);}

@Beanpublic RegisteredClientRepository registeredClientRepository() {    RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())            .clientId("client")            .clientSecret(passwordEncoder().encode("secret"))//修改此处            .scope("read")            .scope(OidcScopes.OPENID)            .scope(OidcScopes.PROFILE)            .redirectUri("http://127.0.0.1:8080/login/oauth2/code/myoauth2")            .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)            .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)            .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)            .build();
    return new InMemoryRegisteredClientRepository(registeredClient);}

在数据库中自定义用户信息

您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:

 

延续上面写好的Demo,向您的授权服务添加如下依赖:

<dependency>    <groupId>com.baomidou</groupId>    <artifactId>mybatis-plus-boot-starter</artifactId></dependency><dependency>    <groupId>com.alibaba</groupId>    <artifactId>druid-spring-boot-starter</artifactId></dependency>

当然,我们需要在配置文件中配置数据库,如果您愿意观察授权服务运行情况,可以像我一样打开监控日志:

server:  port: 9090spring:  datasource:    type: com.alibaba.druid.pool.DruidDataSource    driver-class-name: com.mysql.cj.jdbc.Driver    url: jdbc:mysql://localhost:3306/database?useSSL=false    username: root    password: 123456  mybatis-plus:    configuration:      log-impl: org.apache.ibatis.logging.stdout.StdOutImpllogging:  level:    org:      springframework:        security: TRACE

提供如下由Navicat导出的三个SQL文件供您建表参考:

SET NAMES utf8mb4;SET FOREIGN_KEY_CHECKS = 0;
-- ------------------------------ Table structure for user-- ----------------------------DROP TABLE IF EXISTS `user`;CREATE TABLE `user`  (  `id` int NOT NULL AUTO_INCREMENT,  `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
-- ------------------------------ Records of user-- ----------------------------INSERT INTO `user` VALUES (1, 'root', '$2a$12$.b6oalHafQC/beQaqXnwdeLY7M5KxL..is7kEguwQbHX3FPXfgRKW');
SET FOREIGN_KEY_CHECKS = 1;

我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。此处定义的用户信息为:

图片

SET NAMES utf8mb4;SET FOREIGN_KEY_CHECKS = 0;
-- ------------------------------ Table structure for authority-- ----------------------------DROP TABLE IF EXISTS `authority`;CREATE TABLE `authority`  (  `id` int NOT NULL AUTO_INCREMENT,  `authority` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
-- ------------------------------ Records of authority-- ----------------------------INSERT INTO `authority` VALUES (1, 'ROLE_USER');INSERT INTO `authority` VALUES (2, 'ROLE_ADMIN');INSERT INTO `authority` VALUES (3, 'ROLE_DEVELOPER');
SET FOREIGN_KEY_CHECKS = 1;

authority.sql

SET NAMES utf8mb4;SET FOREIGN_KEY_CHECKS = 0;
-- ------------------------------ Table structure for user_authority-- ----------------------------DROP TABLE IF EXISTS `user_authority`;CREATE TABLE `user_authority`  (  `id` int NOT NULL AUTO_INCREMENT,  `user_id` int NOT NULL,  `authority_id` int NOT NULL,  PRIMARY KEY (`id`) USING BTREE) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
-- ------------------------------ Records of user_authority-- ----------------------------INSERT INTO `user_authority` VALUES (1, 1, 1);
SET FOREIGN_KEY_CHECKS = 1;

编写授权服务

我们将注释安全过滤链中的以下代码,因为我们不再需要在内存中创建用户:

//    @Bean//    public UserDetailsService userDetailsService() {//        var user1 = User.withUsername("user")//                .password(passwordEncoder().encode("password"))//                .authorities("read")//                .build();//        return new InMemoryUserDetailsManager(user1);//    }

创建两个实体类其一:User

import lombok.AllArgsConstructor; // 导入 Lombok 库中的注解import lombok.Builder;import lombok.Data;import lombok.NoArgsConstructor;
import java.util.List;
@Data // 自动生成 getter 和 setter 方法@NoArgsConstructor // 自动生成无参构造函数@AllArgsConstructor // 自动生成所有参数的构造函数@Builder // 自动生成 Builder 类public class User {    private Integer id; // 用户 ID    private String name; // 用户名    private String password; // 密码
    // 使用 @Builder.Default 指定默认值    @Builder.Default    private Boolean accountNonExpired = true; // 账号是否未过期,默认为 true    @Builder.Default    private Boolean accountNonLocked = true; // 账号是否未锁定,默认为 true    @Builder.Default    private Boolean credentialsNonExpired = true; // 凭证是否未过期,默认为 true    @Builder.Default    private Boolean enabled = true; // 账号是否可用,默认为 true}

创建两个实体类其二:Authority

import lombok.AllArgsConstructor;import lombok.Builder;import lombok.Data;import lombok.NoArgsConstructor;import lombok.NonNull;
@Data@NoArgsConstructor@AllArgsConstructor@Builderpublic class Authority {
    private Integer id;    @NonNull    private String authority;}

创建两个Mapper接口其一:UserMapper

import com.baomidou.mybatisplus.core.mapper.BaseMapper;import com.weather.entity.User;import org.apache.ibatis.annotations.Mapper;
@Mapperpublic interface UserMapper extends BaseMapper<User> {
}

创建两个Mapper接口其二:AuthorityMapper

import com.baomidou.mybatisplus.core.mapper.BaseMapper;import com.weather.entity.Authority;import org.apache.ibatis.annotations.Mapper;
@Mapperpublic interface AuthorityMapper extends BaseMapper<Authority> {}

现在,我们应该定义一个表示用户信息的类,并实现了 UserDetails 接口中的方法,以便于在 Spring Security 框架中对用户进行认证和授权:

import java.util.Collection;import java.util.List;import java.util.stream.Collectors;
import com.weather.entity.Authority;import com.weather.entity.User;import lombok.Data;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;
import lombok.RequiredArgsConstructor;
@Data // 自动生成 getter、setter、equals、hashCode 等方法@RequiredArgsConstructor // 为 final 属性生成带参构造函数public class MyUserDetails implements UserDetails {
    private static final long serialVersionUID = 1L;
    private final User user; // 用户信息    private final List<Authority> authority; // 用户权限列表
    // 实现 UserDetails 接口中的方法    @Override    public Collection<? extends GrantedAuthority> getAuthorities() {        return authority.stream() // 将权限列表转换为流                .map(auth -> new SimpleGrantedAuthority(auth.getAuthority())) // 将 Authority 对象转换为 GrantedAuthority 对象                .collect(Collectors.toSet()); // 将转换后的对象集合转换为 Set 类型并返回    }
    @Override    public String getPassword() {        return user.getPassword();     }
    @Override    public String getUsername() {        return user.getName();     }
    @Override    public boolean isAccountNonExpired() {        return user.getAccountNonExpired();     }
    @Override    public boolean isAccountNonLocked() {        return user.getAccountNonLocked();     }
    @Override    public boolean isCredentialsNonExpired() {        return user.getCredentialsNonExpired();     }
    @Override    public boolean isEnabled() {        return user.getEnabled();     }
}

现在我们需要创建一个用户信息存储库类,以存储来自数据库的用户信息。首先实现一个UserRepository接口:

import com.weather.entity.Authority;import com.weather.entity.User;
import java.util.List;

public interface UserRepository {    User getUserByName(String name);    List<Authority> getAuthoritiesByUserId(int userID);}

接下来,您需要写一个该存储库的实现类:

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;import com.weather.entity.Authority;import com.weather.entity.User;import com.weather.mapper.AuthorityMapper;import com.weather.mapper.UserMapper;import lombok.RequiredArgsConstructor;import org.springframework.stereotype.Service;
import java.util.List;
@Service@RequiredArgsConstructorpublic class UserRepositoryImpl implements UserRepository {    private final UserMapper userMapper;    private final AuthorityMapper authorityMapper;

    @Override    public User getUserByName(String name) {        return userMapper.selectOne(new QueryWrapper<User>()                .eq("name",name)                .select("id","name","password"));    }
    @Override    public List<Authority> getAuthoritiesByUserId(int userID) {        return authorityMapper.selectList(new QueryWrapper<Authority>()                .inSql("id","select authority_id from user_authority where user_id = " + userID)                .select("id","authority"));    }
}

最终,我们需要将数据库中获取的用户信息传入UserDetails:

import com.weather.entity.Authority;import com.weather.entity.User;import com.weather.model.MyUserDetails;import com.weather.repository.UserRepository;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.stereotype.Service;
import lombok.RequiredArgsConstructor;
import java.util.List;import java.util.Optional;

@Service@RequiredArgsConstructorpublic class MyUserDetailService implements UserDetailsService {    private final UserRepository userRepository;

    @Override    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {        User user = userRepository.getUserByName(username);        List<Authority> authorities = userRepository.getAuthoritiesByUserId(user.getId());        return Optional.ofNullable(user)                .map(u -> new MyUserDetails(u, authorities))                .orElseThrow(() -> new UsernameNotFoundException("User not found"));    }}

现在,我们就可以使用数据库所定义的用户进行登录。

自定义OAuth2令牌:

在授权服务的安全过滤链上增加如下代码:

@BeanOAuth2TokenCustomizer<JwtEncodingContext> tokenCustomizer() {    return context -> {        Authentication principal = context.getPrincipal();        if (context.getTokenType().getValue().equals("id_token")) {            context.getClaims().claim("Test", "Test Id Token");        }        if (context.getTokenType().getValue().equals("access_token")) {            context.getClaims().claim("Test", "Test Access Token");            Set<String> authorities = principal.getAuthorities().stream()                    .map(GrantedAuthority::getAuthority).collect(Collectors.toSet());            context.getClaims().claim("authorities", authorities)                    .claim("user", principal.getName());        }
    };}

Jwt令牌身份验证转换器

我们现在可以考虑实现将JWT令牌转换为身份验证对象,以便在Spring Security中进行身份验证和授权。

首先,我们在资源服务器的安全过滤链中编写如下代码,返回一个身份验证转换对象:

@BeanJwtAuthenticationConverter jwtAuthenticationConverter() {  //用于从JWT令牌中提取授权信息并将其转换为GrantedAuthority对象的集合    JwtGrantedAuthoritiesConverter grantedAuthoritiesConverter = new JwtGrantedAuthoritiesConverter();    //JWT令牌中的授权信息在名为"authorities"的声明中    grantedAuthoritiesConverter.setAuthoritiesClaimName("authorities");    //授权信息中不包含前缀    grantedAuthoritiesConverter.setAuthorityPrefix("");
    JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();    jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(grantedAuthoritiesConverter);    return jwtAuthenticationConverter;}

这将使Jwt令牌中的身份写入Authentication对象中,进而可供调用。

写一个测试用http端点:

@GetMapping("/")    public String home(Authentication authentication) {        LocalDateTime time = LocalDateTime.now();        return "Welcome ResourceServer! - " + time + "<br>" + authentication.getName() + " - " + authentication.getAuthorities();    }

身份验证通过后,您将得到如下结果:

Welcome ResourceServer! - 2023-05-03T19:47:27.225993700root - [ROLE_USER]

实现客户端登录后获取权限信息

在客户端的安全过滤链中编写以下代码:

private OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService() {        final OidcUserService delegate = new OidcUserService();
        return (userRequest) -> {            OidcUser oidcUser = delegate.loadUser(userRequest);            OAuth2AccessToken accessToken = userRequest.getAccessToken();            Set<GrantedAuthority> mappedAuthorities = new HashSet<>();            try {                JWT jwt = JWTParser.parse(accessToken.getTokenValue());                JWTClaimsSet claimSet = jwt.getJWTClaimsSet();                Collection<String> userAuthorities = claimSet.getStringListClaim("authorities");                mappedAuthorities.addAll(userAuthorities.stream()                        .map(SimpleGrantedAuthority::new)                        .toList());            } catch (ParseException e) {                System.err.println("Error OAuth2UserService: " + e.getMessage());            }            oidcUser = new DefaultOidcUser(mappedAuthorities, oidcUser.getIdToken(), oidcUser.getUserInfo());            return oidcUser;        };    }

该方法首先使用 delegate 对象(即 OidcUserService)来加载用户信息。然后从 userRequest 对象中获取到 OAuth2AccessToken 并解析出其中的 JWT,从中提取出用户的权限信息。最后,将用户信息和权限信息封装成一个新的 OidcUser 对象,用于后续的认证和授权。

OidcUser是Spring Security框架中的一个接口,用于表示OpenID Connect(OIDC)认证成功后的用户信息。在OAuth 2.0和OIDC授权流程中,用户通过认证服务器进行身份验证,并在认证成功后,认证服务器会返回一个包含用户信息的JWT令牌。OidcUser接口用于表示这个JWT令牌中包含的用户信息。

这里同样会将用户信息存入Authentication对象中。因为用户信息是在 oauth2UserService() 方法中被处理的,最终会被封装成一个 OidcUser 对象。OidcUser 实现了 Spring Security 的 Authentication 接口,因此可以将其作为认证信息存储在 SecurityContext 中,用于后续的授权访问。

@BeanSecurityFilterChain securityFilterChain(HttpSecurity http,ClientRegistrationRepository clientRegistrationRepository) throws Exception {
    String base_uri = OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI;    DefaultOAuth2AuthorizationRequestResolver resolver = new DefaultOAuth2AuthorizationRequestResolver(clientRegistrationRepository, base_uri);    resolver.setAuthorizationRequestCustomizer(OAuth2AuthorizationRequestCustomizers.withPkce());
    http            //所有请求都需经过授权认证            .authorizeHttpRequests(authorize -> authorize                    .anyRequest().authenticated())            //配置登录URL            .oauth2Login(oauth2Login ->{                        oauth2Login.loginPage("/oauth2/authorization/myoauth2");                        oauth2Login.authorizationEndpoint().authorizationRequestResolver(resolver);                        oauth2Login.userInfoEndpoint(userInfo -> userInfo                        .oidcUserService(this.oidcUserService()));                    })
            //使用默认客户端配置            .oauth2Client(withDefaults());    return http.build();}

这个方法接收一个HttpSecurity对象,用于定义HTTP请求的安全配置,以及一个ClientRegistrationRepository对象,用于存储第三方认证服务的客户端配置。

这个方法主要完成以下配置:

  • 对所有请求进行授权认证,要求用户登录。

  • 设置OAuth 2.0登录的URL。

  • 配置OAuth 2.0的授权端点,使用客户端的PKCE(Proof Key for Code Exchange)来增加安全性。

  • 设置OIDC(OpenID Connect)用户服务,用于获取用户权限信息。

  • 使用默认的OAuth 2.0客户端配置。

写一个测试用http端点:

@GetMapping("/")public String welcome(Authentication authentication) {    String authorities = authentication.getName() + " - " + authentication.getAuthorities().toString();    String welcome = welcomeClient.getWelcome();    return "<h1>" +  welcome + "</h1><h2>" + authorities + "</h2>";}

授权认证成功后,将得到如下内容:

Welcome ResourceServer! - 2023-05-03T19:59:44.575374root - [ROLE_USER]root - [ROLE_USER]

获取刷新令牌

一般来说,用户登录后会得到一个令牌,这个令牌在某种情况下过期或销毁后,用户需要重新登录以获取令牌。而刷新令牌的设计弥补了这一点。您可以通过刷新令牌,在旧令牌过期或销毁后获得新的令牌,以维持您的登录状态,并保持安全性,而无需重新登录获取令牌。这在手机A应用(您会发现大多数手机应用在登录一次后会始终保持着登录状态)非常常见。一些第三方授权服务也会使用刷新令牌以延长用户访问令牌的有效期。

编写客户端的控制器

可以在控制器中编写下列代码:

  private final WelcomeClient welcomeClient;  private final OAuth2AuthorizedClientService oAuth2AuthorizedClientService;    @GetMapping("/")  public String welcome(Authentication authentication) {        String authorities = authentication.getName() + " - " + authentication.getAuthorities().toString();    String welcome = welcomeClient.getWelcome();          return "<h1>" +  welcome + "</h1><h2>" + authorities + "</h2>";  }    @GetMapping("/token")  public String token(Authentication authentication) {        //Authentication authentication = SecurityContextHolder.getContext().getAuthentication();        OAuth2AuthenticationToken oAuth2AuthenticationToken = (OAuth2AuthenticationToken) authentication;    OAuth2AuthorizedClient oAuth2AuthorizedClient = oAuth2AuthorizedClientService        .loadAuthorizedClient(oAuth2AuthenticationToken.getAuthorizedClientRegistrationId(), oAuth2AuthenticationToken.getName());    String jwtAccessToken = oAuth2AuthorizedClient.getAccessToken().getTokenValue();    String jwtRefrechToken = oAuth2AuthorizedClient.getRefreshToken().getTokenValue();    return "<b>JWT Access Token: </b>" + jwtAccessToken + "<br/><br/><b>JWT Refresh Token:  </b>" + jwtRefrechToken;  }    @GetMapping("idtoken")  public String idtoken(@AuthenticationPrincipal OidcUser oidcUser) {    OidcIdToken oidcIdToken = oidcUser.getIdToken();    String idTokenValue = oidcIdToken.getTokenValue();    return "<b>Id Token: </b>" + idTokenValue;  }

 

竹林幽深
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2 概念及实战:OAuth2 是一种用于授权第三方应用访问某些受保护
禅与计算机程序设计艺术
08-05 1414
OAuth(开放授权)是一个开放标准,它允许用户提供一个标识符让应用得以安全地请求特定的服务(如照片,视频或联系人数据)。该标准由 IETF 管理,并得到了行业的广泛支持。OAuth 允许用户直接授权给第三方应用其需要的权限,而无需将用户名和密码等敏感信息暴露给这些应用。OAuth2 是 OAuth 的最新版本,具有更好的安全性、更强的可伸缩性和易用性。它允许第三方应用获得仅限特定资源的访问权,并且不会向资源所有者授予超过所需的权限。
Spring Boot 3 极速搭建OAuth2认证框架
oscar999的专栏
03-22 1025
使用 Spring Authorization Server 的较高版本,简单的状况只需要在 application.yml 配置就可以实现认证服务器, 如果要更详细的配置,也可以定义 SecurityConfig.java 进行配置。Spring Authorization Server支持四种授权方式, 简单起见,这里使用 客户端模式(Client Credentials),这种模式使用在API调用的授权上,这里使用 Postman进行验证。定义一个REST的控制器,并且写一个简单的映射方法。
SpringSecurity6的配置使用
最新发布
qq_63728578的博客
05-28 1341
认证 1. 首先引入SpringSecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>3.2.5</version> </dependency> 引入依赖后所有的请求都会被Se
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
热门推荐
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践
Spring Security 6
Elcker
07-21 717
Spring Security6
SpringBoot3整合Spring Security6
qq_40907295的博客
08-16 1145
1.配置类不再实现WebSecurityConfigurerAdapter接口。记录学习的SpringBoot3使用SpringSecurity6的新方式。4.认证失败处理、token过滤器、认证失败处理还是使用原来的方式。
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1174
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9255
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud,认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
Spring Security OAuth2.0
06-19
JWT是一种轻量级的身份验证机制,Spring Security OAuth2.0 可以与JWT结合,生成和验证包含用户信息和过期时间的令牌,减少服务器间的通信成本。 **7. 扩展性** Spring Security OAuth2.0 具有良好的扩展性,可以与...
springboot集成oauth2.0
07-27
springboot 集成oauth2.0服务器,基于oauth2.0授权码形式集成
Spring Security 新手入门级maven实例
07-02
**Spring Security新手入门级Maven实例详解** Spring Security是一个强大且高度可定制的身份验证和访问控制框架,用于Java和Java EE应用。它为应用程序提供了全面的安全解决方案,包括用户认证、授权以及安全配置。...
spring security 入门demo
08-11
你可以扩展Spring Security的默认行为,根据项目需求定制认证流程,如使用自定义Token或OAuth2。 4. **OpenID集成**: - `spring-security-openid` 文件可能包含了一个OpenID身份验证的示例,这允许用户使用第三方...
spring-security3 入门篇
03-27
- **OAuth2集成**: 如何使用Spring SecurityOAuth2结合,实现第三方登录功能。 - **CORS支持**: 设置跨域请求的安全策略,允许不同源的Web应用进行交互。 - **国际化的错误处理**: 如何定制Spring Security的...
SpringBoot集成OAuth2技术
禅与计算机程序设计艺术
01-28 1678
1.背景介绍 1. 背景介绍 OAuth2 是一种授权协议,它允许用户授予第三方应用程序访问他们的资源,而无需将他们的凭据(如密码)传递给这些应用程序。这种授权协议在现代互联网应用程序中广泛使用,例如在社交网络、单点登录(SSO)和其他云服务中。 Spring Boot 是一个用于构建新 Spring 应用程序的快速开始搭建平台。它提供了一种简单的方法来配置 Spring 应用程序,使其易于...
Spring Security 6.x 系列【58】授权服务器篇之Oauth 2.0 PKCE规范
记录知识、锤炼自我
06-18 1216
PKCE全称是Proof Key for Code Exchange,翻译过来是交换授权码时的证明秘钥,官方读音为pixy。PKCE规范于2015年发布,收录在RFC 7636文件中。 OAuth 2.0公共客户端在使用授权码模式时,很容发生授权码拦截攻击,PKCE规范描述了该攻击以及如何防范。
6.Spring Security OAuth2 授权模式
Lambda
01-19 643
客户端授权模式 概述 客户端必须得到用户的授权(authorization grant),才能获取令牌(access_token)。OAuth2.0定义了四种授权方式: implicit:简化模式,不推荐使用 authorization code:授权码模式 resource owner password credentials: 密码模式 client credentials:...
Spring Security(十八)--OAuth2:实现授权服务器(上)--环境准备以及骨架代码搭建
学习不止境的博客
11-28 1296
本节大家如果一直从一开始看过来的话,就会巧妙发现我们将之前的实践代码全部连接起来,本节将会使用到之前的短信/验证码登录相关的逻辑代码,如果大家没有看的感兴趣可以回到https://editor.csdn.net/md/?articleId=127617691先将这部分逻辑代码看一看,尝试自己完成。然后本节仍然以实践为主,大家要完全吸收前几节关于OAuth2内容再来学习本节会更好点,然后当时再讲解搭建单点应用程序时,我们讲到过ClientRegistrationRepository这个类,讲到可以通过数据库去
springboot 3 + spring security 6 + oauth2 +vue
12-27
Spring Boot 3是一个用于构建基于Spring框架的快速应用程序的工具,它提供了自动配置和快速启动的特性,使开发者可以更加快速地搭建项目,并且集成了大量常用的功能模块。 Spring Security 6是Spring框架提供的用于处理应用程序安全性的模块,它能够对用户进行身份认证和授权管理,保护应用程序的安全,同时也提供了对各种认证方式的支持,包括基于表单、HTTP基本认证、OAuth2等。 OAuth2是一个开放标准的授权协议,它可以让第三方应用程序通过用户的授权访问他们存储在另外的服务提供者上的信息,从而实现用户资源的共享与安全。在Spring框架中,OAuth2通常和Spring Security一起使用,来实现用户的认证和授权管理。 Vue是一款流行的轻量级前端开发框架,它能够帮助开发者构建用户友好的、响应式的Web应用程序。Vue可以和Spring BootSpring SecurityOAuth2等后端框架无缝集成,通过RESTful API来实现前后端之间的数据交互和通信。 综上所述,Spring Boot 3、Spring Security 6、OAuth2和Vue是一组强大的技术栈,通过它们的集成和配合使用,开发者可以快速构建出安全可靠的前后端分离的Web应用程序。由于它们具有良好的兼容性和灵活性,可以满足各种不同类型的应用程序开发需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值