spring security oauth2 password模式简单入门

最新推荐文章于 2024-05-22 16:44:30 发布
最新推荐文章于 2024-05-22 16:44:30 发布
阅读量3.9k 收藏 8
点赞数 2
分类专栏: 知识点 文章标签: spring security oauth2 password模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuoyigehaizei/article/details/87863212
版权

1,oauth2需要配置三部分 

(1)配置spring security   因为oauth2是基于security的

用来验证用户名和密码的

(2)配置认证服务器

用来分发token并且存储token,因为本地没有安装redis,所以本文采用数据库的形式存储token

(3)配置资源服务器

保护被需要访问的资源,解析token

导入依赖

<!--spring security oauth-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>RELEASE</version>
</dependency>

<!--数据库依赖-->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>1.3.0</version>
</dependency>

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

一,配置认证服务器

//认证服务器,用来认证用户分发token,并存储
@Configuration
@EnableAuthorizationServer
public class MyAuthorizationServerConfigurer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
//    @Autowired
//    RedisConnectionFactory redisConnectionFactory;

    @Autowired
    private DataSource dataSource;


    @Override
    //配置令牌端点的安全约束
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        //允许表单登录
        security.allowFormAuthenticationForClients();
    }


    @Override
    //配置客户端详情服务 两种客户端模式 password 和 client
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                //clientid
                .withClient("client_2")
                //resourceIds自定义随便起
                .resourceIds("abc")
                //认证模式为password模式
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("select")
                .authorities("client")
                //由于设置的加密方式,所以client密码和用户的password都需要加密
                //client密码
                .secret(new BCryptPasswordEncoder().encode("123456"));
    }

    @Bean
    public TokenStore tokenStore() {
        return new JdbcTokenStore(dataSource);
    }

    //设置token 比如token的有效时长等
    @Bean
    public AuthorizationServerTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setAccessTokenValiditySeconds(1000000);
        defaultTokenServices.setRefreshTokenValiditySeconds(200000);
        defaultTokenServices.setSupportRefreshToken(true);
        defaultTokenServices.setReuseRefreshToken(false);
        defaultTokenServices.setTokenStore(tokenStore());
        return defaultTokenServices;
    }

    @Override
    //配置授权以及令牌的访问端点和令牌服务
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //redis token存储
//        endpoints
                .tokenStore(new RedisTokenStore(redisConnectionFactory))
//                .authenticationManager(authenticationManager);
        //数据库存储
        endpoints.tokenStore(tokenStore())
                .authenticationManager(authenticationManager)
                //设置访问token端点的方法类型,允许get提交
                .allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.GET);
    }
}

二,配置spring security

@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .requestMatchers().anyRequest()
            //设置符合条件的端点通过,不被保护
            .and().authorizeRequests().antMatchers("/oauth/*").permitAll();
    }

    //设置内存用户(本文把用户信息存到内存,也可以采用查询数据库的方式)
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("user_1").password(new BCryptPasswordEncoder().encode("123456")).authorities("USER").build());
        return manager;
    }

    //这一步的配置是必不可少的,否则SpringBoot会自动配置一个AuthenticationManager,覆盖掉内存中的用户
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //设置密码加密规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    //设置不用密码加密   不推荐
//    @Bean
//    public static NoOpPasswordEncoder passwordEncoder() {
//        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
//    }
}

三,配置资源服务器

//资源服务器用来验证token
@Configuration
@EnableResourceServer
public class MyResourceServerConfigurer extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("abc").stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .requestMatchers().anyRequest()
                .and()
                .anonymous()
                .and()
                .authorizeRequests()
                .antMatchers("/abc/**").authenticated();//配置abc访问控制,必须认证过后才可以访问
    }
}

四,编写需要收保护的资源

@RestController
public class CeShiapi {

    Logger logger = LoggerFactory.getLogger(CeShiapi.class);

    @GetMapping("/abc")
    public String testSwagger() {
        logger.info("我是日志");
        System.out.println("aaaaaa");
        return "bbbbb";
    }
}

数据库存储token的表结构一共是两张表

DROP TABLE IF EXISTS `oauth_access_token`;
CREATE TABLE `oauth_access_token` (
        `token_id` varchar(256) DEFAULT NULL,
`token` blob,
        `authentication_id` varchar(256) DEFAULT NULL,
`user_name` varchar(256) DEFAULT NULL,
`client_id` varchar(256) DEFAULT NULL,
`authentication` blob,
        `refresh_token` varchar(256) DEFAULT NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8;


DROP TABLE IF EXISTS `oauth_refresh_token`;
CREATE TABLE `oauth_refresh_token` (
        `token_id` varchar(256) DEFAULT NULL,
`token` blob,
        `authentication` blob
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

启动项目

访问http://localhost:8111/oauth/token?username=user_1&password=123456&grant_type=password&scope=select&client_id=client_2&client_secret=123456

结果

访问资源http://localhost:8111/abc   受保护

加上token   http://localhost:8111/abc?access_token=cd43d91f-c222-4db1-84df-a2dcb312f029

访问成功!

做一个海贼
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
oauth password模式_Spring Boot Security Oauth2之客户端模式及密码模式实现
weixin_39936310的博客
12-22 485
Spring Boot Security Oauth2之客户端模式及密码模式实现示例主要内容1.多认证模式(密码模式、客户端模式)2.token存到redis支持3.资源保护4.密码模式用户及权限存到数据库5.使用说明介绍oauth2 client credentials 客户端模式获取access_token流程客户端模式(Client Credentials Grant)指客户端以自己的名义,...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
SpringBoot2.x版本整合SpringSecurityOauth2进行password认证
weixin_30740581的博客
06-03 884
很多人在进行项目开发时都会用到Oauth2.0结合SpringSecurity或者Shiro进行权限拦截以及用户验证,网上也有很多的案例,前几天项目里边需要用到,顺便整合了进来,特此写篇博客,记录下过程。 项目结构如下: 首先准备pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://...
spring security oauth2.0-密码式password
点点滴滴
05-26 1327
密码式(password)授权模式#简介如果你高度信任对方应用,密码式授权模式也是被允许的.密码模式,顾名思义,就是使用账号+密码的形式在授权服务器上获取授权令牌, 但是这种令牌是不支持刷新令牌的.这种方式一般是不建议使用的,因为它的高风险性, 但是如果只是两家应用之间的授信,我觉得是能被接受的,这里是指应用于应用之间的授信,使用固定账号或者定期更改的账号.非针对不同用户使用不同账号的情况.
Spring Security + OAuth2】OAuth2
最新发布
weixin_43676950的博客
05-22 882
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
聊聊spring security oauth2的password方式的认证
weixin_33895475的博客
12-11 675
序 本文主要来聊聊spring security oauth2的password方式的认证 /oauth/token 这个主要见上一篇文章,讲了是怎么拦截处理/oauth/token的,其中有个点还需要强调一下,就是支持password授权模式的话,还需要额外支持用户登录认证。 password模式 这个模式需要额外处理,首先经过filter认证通过,然后进入endpoint spring-sec...
oauth password模式_Spring Security OAuth2 Demo —— 密码模式Password
weixin_39863759的博客
12-22 276
前情回顾前几节分享了OAuth2的流程与授权码模式和隐式授权模式两种的Demo,我们了解到授权码模式OAuth2四种模式流程最复杂模式,复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式其中密码模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户的用户名、密码、客户端的id和密钥的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全...
Spring Security Oauth2 认证流程(password模式
穷水叮咚的博客
07-08 1万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、password ...
Oauth2 BCryptPasswordEncoder加密算法问题求大佬解惑
weixin_38431146的博客
06-29 2501
oauth2使用BCryptPasswordEncoder 进行加密,但是就此算法而言保留的只有密码原文和哈希值,一个密码例如“123456”每次都会得到不同的hash值,那如何判断加密前后是否相等呢。 本菜鸟在加密时单元测试可以匹配,但是存入数据库中后再拿出来匹配则匹配失败,为啥嘞,就很难受? 相关代码如下: ...
Spring Boot OAuth2 整合(授权码和password的数据库配置方式)
Janche的博客
04-27 9542
教程由来:项目需要为第三方客户端提供授权和资源访问,无疑OAuth2现在是最好的方式,如果OAuth2相关知识大家还不够了解,请移步到阮一峰的理解OAuth2.0,本文实战为主,理论方面请自行查阅相关资料。 1. OAuth2的四种模式 授权码模式(authorization code)(最正统的方式,也是目前绝大多数系统所采用的)(支持refresh token) (用在服务端应用之间) ...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
oauth2密码模式分离
08-09
oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring SecurityOAuth2,以实现基于password模式的认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的...
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在Spring Security中,OAuth2的四种标准授权模式包括: 1. 授权码模式(Authorization Code):适用于有后台服务器...
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
oauth2-server:基于Spring Security OAuth的统一账号管理平台
03-27
Spring安全OAuth2 Mybatis 环境依赖: JRE1.8 的Mysql5.7 配置说明 配置数据库 spring : datasource : driver-class-name : com.mysql.cj.jdbc.Driver username : root password : root url : jdbc:mysql://...
基于oauth2的password授权模式
Addison
06-29 1万+
前不久研究了一下oauth2框架的各种模式,今天主要分享一下password模式。第一次分享博客,大神勿喷,多多指教!做完有一段时间,记忆不是很犹新,简单讲一下我理解的原理。事例写在两个项目里最下面有git连接,开箱即用讲一下我理解的原理,很多client可能都需要访问我的很多resource,这时候我们需要通过oauthserver负责验证client信息,赋给client访问resource权...
Spring Security OAuth2登录
new_ord的博客
07-25 3886
OAuth 2.0 进行扩展,使得授权服务器和受保护资源发出的信息能够传达与用户以及他们的身份认证上下文有关的信息,我们就可以为客户端提供用于用户安全登录的所有信息。
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3856
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
spring security oauth2 密码模式自定义登录路径
06-03
要自定义Spring Security OAuth2密码模式的登录路径,你可以使用以下步骤: 1. 创建自定义登录页面和控制器,例如/login/custom。 2. 在Spring Security配置类中,使用formLogin()方法启用表单登录,并使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值