Spring Security OAuth2实现单点登录

最新推荐文章于 2024-05-29 00:46:29 发布

第一堂课

最新推荐文章于 2024-05-29 00:46:29 发布

阅读量1.8k

点赞数

分类专栏： Oauth2

Oauth2 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

1、概述

在本教程中，我们将讨论如何使用 Spring Security OAuth 和 Spring Boot 实现 SSO（单点登录）。

本示例将使用到三个独立应用

一个授权服务器（中央认证机制）
两个客户端应用（使用到了 SSO 的应用）

简而言之，当用户尝试访问客户端应用的安全页面时，他们首先通过身份验证服务器重定向进行身份验证。

我们将使用 OAuth2 中的 Authorization Code 授权类型来驱动授权。

2、客户端应用

先从客户端应用下手，使用 Spring Boot 来最小化配置：

2.1、Maven 依赖

首先，需要在 pom.xml 中添加以下依赖：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.1.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.example</groupId>
	<artifactId>resource_server_demo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>resource_server_demo</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
		<spring-cloud.version>Greenwich.RC2</spring-cloud.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.cloud</groupId>
			<artifactId>spring-cloud-starter-oauth2</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<dependencyManagement>
		<dependencies>
			<dependency>
				<groupId>org.springframework.cloud</groupId>
				<artifactId>spring-cloud-dependencies</artifactId>
				<version>${spring-cloud.version}</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>
		</dependencies>
	</dependencyManagement>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

	<repositories>
		<repository>
			<id>spring-milestones</id>
			<name>Spring Milestones</name>
			<url>https://repo.spring.io/milestone</url>
		</repository>
	</repositories>

</project>

2.2、安全配置

接下来，最重要的部分就是客户端应用的安全配置：

@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
     
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
          .authorizeRequests()
          .antMatchers("/", "/login**")
          .permitAll()
          .anyRequest()
          .authenticated();
    }
}

当然，该配置的核心部分是 @EnableOAuth2Sso 注解，我们用它来启用单点登录。

请注意，我们需要继承 WebSecurityConfigurerAdapter — 如果没有它，所有路径都将被保护 — 因此用户在尝试访问任何页面时将被重定向到登录页面。在当前这个示例中，索引页面和登录页面可以在没有身份验证的情况下可以访问。

application.yml：

server:
    port: 8082
    context-path: /ui
    session:
      cookie:
        name: UISESSION
security:
  basic:
    enabled: false
  oauth2:
    client:
      clientId: SampleClientId
      clientSecret: secret
      accessTokenUri: http://localhost:8081/auth/oauth/token
      userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
    resource:
      userInfoUri: http://localhost:8081/auth/user/me
spring:
  thymeleaf:
    cache: false

有几点需要说明：

我们禁用了默认的 Basic Authentication
accessTokenUri 是获取访问令牌的 URI
userAuthorizationUri 是用户将被重定向到的授权 URI
用户端点 userInfoUri URI 用于获取当前用户的详细信息

另外需要注意，在本例中，我们使用了自己搭建的授权服务器，当然，我们也可以使用其他第三方提供商的授权服务器，例如 Facebook 或 GitHub。

2.3、前端

现在来看看客户端应用的前端配置。我们不想把太多时间花费在这里，主要是因为之前已经介绍过了。

客户端应用有一个非常简单的前端：

index.html：

<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>

securedPage.html：

<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>

securedPage.html 页面需要用户进行身份验证。如果未经过身份验证的用户尝试访问 securedPage.html，他们将首先被重定向到登录页面。

3、认证服务器

现在让我们开始来讨论授权服务器。

3.1、Maven 依赖

首先，在 pom.xml 中定义依赖： 此依赖可以和客户端完全相同

3.2、OAuth 配置

理解我们为什么要在这里将授权服务器和资源服务器作为一个单独的可部署单元一起运行这一点非常重要。

让我们从配置资源服务器开始探讨：

@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
    public static void main(String[] args) {
        SpringApplication.run(AuthorizationServerApplication.class, args);
    }
}

之后，配置授权服务器：

package com.example.spring_cloud_auth2_resource_server_demo.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired    
    private BCryptPasswordEncoder passwordEncoder;
 
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()")
          .checkTokenAccess("isAuthenticated()");
    }
 
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
        .withClient("SampleClientId").secret(passwordEncoder.encode("secret"))
        .redirectUris("http://localhost:8082/ui/login").authorizedGrantTypes("authorization_code")
        .scopes("myscope").autoApprove(true)//.accessTokenValiditySeconds(30).refreshTokenValiditySeconds(1800)
       /*.and()
        .withClient("SampleClientId").secret("secret")
        .redirectUris("http://localhost:8081/client2/login").authorizedGrantTypes("authorization_code")
        .scopes("myscope").autoApprove(true).accessTokenValiditySeconds(30).refreshTokenValiditySeconds(1800)*/;


    }
 
    
    
}

需要注意的是我们使用 authorization_code 授权类型来开启一个简单的客户端, 涉及密码的必须加密否则会报异常比如太多重定向等。

3.3、安全配置

首先，我们将通过 application.properties ：

server.port: 8081
server.servlet.contextPath: /auth

现在，让我们到配置定义一个安全配置：


package com.example.spring_cloud_auth2_resource_server_demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
   
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // TODO Auto-generated method stub
        http.requestMatchers()
        .antMatchers("/login", "/oauth/authorize")
        .and()
        .authorizeRequests()
        .anyRequest().authenticated()
        .and()
        .formLogin().permitAll();

    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
          .withUser("john").password(encoder().encode("123")).roles("USER");
    }
    @Bean
    public BCryptPasswordEncoder encoder(){
        return new BCryptPasswordEncoder();
    }
   

}

请注意，虽然我们使用了简单的内存认证，但可以很简单地将其替换为自定义的 userDetailsService。

3.4、用户端点

最后，我们将创建之前在配置中使用到的用户端点(客户端校验token信息时使用)：

@RestController
public class UserController {
    @GetMapping("/user/me")
    public Principal user(Principal principal) {
        return principal;
    }
}

用户数据将以 JSON 形式返回。

4、结论

1 . 使用 Spring Security Oauth2 和 Spring Boot 实现了单点登录。

https://download.csdn.net/download/yutianxu1986/10918633

2. 使用Spring cloud oauth2 实现单点登录

3. 带有 jwt , zuul 实现的单点登录

https://download.csdn.net/download/yutianxu1986/10903868

第一堂课

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
Spring Security OAuth2实现单点登录

1、概述在本教程中，我们将讨论如何使用 Spring Security OAuth 和 Spring Boot 实现 SSO（单点登录）。本示例将使用到三个独立应用一个授权服务器（中央认证机制）两个客户端应用（使用到了 SSO 的应用）简而言之，当用户尝试访问客户端应用的安全页面时，他们首先通过身份验证服务器重定向进行身份验证。我们将使用 OAuth2 中的 Authoriz...
复制链接

扫一扫