springboot+oauth2.0+JWT+springSecurity项目实战

已于 2023-10-26 17:39:01 修改
阅读量376 收藏
点赞数 1
文章标签: spring boot
于 2023-10-25 16:01:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwyhj/article/details/134036817
版权

1、springboot项目引入依赖

org.springframework.boot
spring-boot-starter-security


org.springframework.security.oauth
spring-security-oauth2
2.5.2.RELEASE


org.springframework.security
spring-security-jwt
1.1.1.RELEASE


io.jsonwebtoken
jjwt
0.9.1

2、新建WebSecurityConfig类
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
}


@Bean
public PasswordEncoder passwordEncoder() {
    //密码为明文方式
    //return NoOpPasswordEncoder.getInstance();
    return new BCryptPasswordEncoder();
}


//配置安全拦截机制
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers("/r/**").authenticated()//访问/r开始的请求需要认证通过
            .anyRequest().permitAll()//其它请求全部放行
            .and()
            .formLogin().successForwardUrl("/login-success");//登录成功跳转到/login-success
    http.logout().logoutUrl("/logout");//退出地址
}

}

3、新建AuthorizationServer类
@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

@Resource(name="authorizationServerTokenServicesCustom")
private AuthorizationServerTokenServices authorizationServerTokenServices;

@Autowired
private AuthenticationManager authenticationManager;

@Resource
private DataSource dataSource;

@Autowired
private PasswordEncoder passwordEncoder;

@Bean
public ClientDetailsService jdbcClientDetailsService() {
    JdbcClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource);
    clientDetailsService.setPasswordEncoder(passwordEncoder);
    return clientDetailsService;
}


//客户端详情服务
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.withClientDetails(jdbcClientDetailsService());

}


//令牌端点的访问配置
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
    endpoints
            .authenticationManager(authenticationManager)//认证管理器
            .tokenServices(authorizationServerTokenServices)//令牌管理服务
            .allowedTokenEndpointRequestMethods(HttpMethod.POST);
}

//令牌端点的安全配置
@Override
public void configure(AuthorizationServerSecurityConfigurer security){
    security
            .tokenKeyAccess("permitAll()")                    //oauth/token_key是公开
            .checkTokenAccess("permitAll()")                  //oauth/check_token公开
            .allowFormAuthenticationForClients()				//表单认证(申请令牌)
    ;
}

}

4、新建TokenConfig类
@Configuration
public class TokenConfig {
//密钥
private String SIGNING_KEY = “test”;

@Autowired
TokenStore tokenStore;


@Autowired
private JwtAccessTokenConverter accessTokenConverter;


@Bean
public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter());
}

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setSigningKey(SIGNING_KEY);
    return converter;
}

//令牌管理服务
@Bean(name="authorizationServerTokenServicesCustom")
public AuthorizationServerTokenServices tokenService() {
    DefaultTokenServices service=new DefaultTokenServices();
    service.setSupportRefreshToken(true);//支持刷新令牌
    service.setTokenStore(tokenStore);//令牌存储策略

    TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
    tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
    service.setTokenEnhancer(tokenEnhancerChain);

    service.setAccessTokenValiditySeconds(7200); // 令牌默认有效期2小时
    service.setRefreshTokenValiditySeconds(259200); // 刷新令牌默认有效期3天

    return service;
}

}

5、新建UserDetailsServiceImpl类
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

@Autowired
private SysUserService sysUserService;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

    SysUser user = sysUserService.findByName(username);
    if (user == null) {
        return null;
    }
    String[] authorities = {"test"};
    Set<String> permissions = sysUserService.findPermissions(username);
    //List<GrantedAuthority> grantedAuthorities = permissions.stream().map(GrantedAuthorityImpl::new).collect(Collectors.toList());
    String passwd = user.getPassword();
    user.setPassword(null);
    String jsonstr = JSON.toJSONString(user);
    UserDetails userDetails = User.withUsername(jsonstr).password(passwd).authorities(authorities).build();
    return userDetails;
}

}

6、微服务集成资源管理
引入依赖:

org.springframework.boot
spring-boot-starter-security


org.springframework.security.oauth
spring-security-oauth2
2.5.2.RELEASE

新建ResouceServerConfig:
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {

//资源服务标识
public static final String RESOURCE_ID = "rid";

@Autowired
TokenStore tokenStore;
@Autowired
private MyAccessDeniedHandler myAccessDeniedHandler;

@Override
public void configure(ResourceServerSecurityConfigurer resources) {
    resources.resourceId(RESOURCE_ID)//资源 id
            .tokenStore(tokenStore)
            .accessDeniedHandler(myAccessDeniedHandler)
            .stateless(true);
}

@Override
public void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/r/**","/api/drs-api/v1/workflow/**").authenticated()//请求必须认证通过
            .anyRequest().permitAll() //其余的全部放行
    ;
}

}

新建TokenConfig:
@Configuration
public class TokenConfig {

//jwt签名密钥,与认证服务保持一致
private String SIGNING_KEY = "test";



@Bean
public TokenStore tokenStore() {
    //JWT令牌存储方案
    return new JwtTokenStore(accessTokenConverter());
}
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setSigningKey(SIGNING_KEY);
    return converter;
}

}

新建MyAccessDeniedHandler:
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
//设置响应状态码
httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
httpServletResponse.setHeader(“Content-Type”, “application/json;charset=utf-8”);
PrintWriter writer = httpServletResponse.getWriter();
writer.write(“{“status”:“error”,“msg”:“权限不足,请联系管理员”}”);
writer.flush();
writer.close();
}
}

zwyhj
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Springboot 实践(8)springboot集成Oauth2.0授权包,对接spring security接口
qq_37647812的博客
08-18 1260
springboot集成Oauth2.0授权包,对接spring security接口 1、修改醒目pom.xml文件,引入Oauth2.0 jar包,添加如下依赖: 2、开启@EnableAuthorizationServer注解 3、开启@EnableResourceServer注解,在服务中声明资源服务器 4、获取服务令牌
SpringBoot整合OAuth2
xwnxwn的专栏
10-03 2059
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到黑马程序员的网站。完全是A服务与B服务内部的交互,与用户无关了。第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
Springboot整合OAuth2
qq_41566980的博客
08-28 6506
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
Spring Boot携手OAuth2.0,轻松实现微信扫码登录!
最新发布
Yaml4的博客
04-26 1381
✌️大厂全栈码农|毕设实战开发,专注于大学生项目实战开发、讲解和毕业答疑辅导。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
基于SpringbootOauth2.0JWT、封装登录签名基本业务模型
testTop的博客
09-19 197
基于SpringbootOauth2.0JWT、Mysql、Redis封装登录签名基本业务模型,方便项目搭建和项目扩展
SpringBoot Oauth2.0认证授权使用 集成第三方账号
Saber__Love的博客
05-07 2209
前言 第一次看到oauth2.0的时候说实话心里是迷茫且惧怕的,自己也有下去小小的了解过,对用户信息反复交互的情况自我感觉掌握度很差。但是在真实完整地去接触学习开发一套涉及完整oauth2.0认证流程之后,我对它又有了新的理解。怎么说呢,由浅入深吧。 oauth2.0认证流程介绍 在真正开始开发之前,我们得先了解oauth2.0整体的运行流程,为什么我们要使用这套流程?我们要用这个流程去做什么内容,这些内容应该怎样去实现。 首先,什么是oauth2.0? 这是本人百度找到的图片,看着蛮简单易...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9117
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
springboot整合oauth2(一)
zsx18273117003的博客
07-16 2602
项目背景:win10,Intellij IDEA, java11 官方地址:https://docs.spring.io/spring-boot/docs/2.1.6.RELEASE/reference/html/boot-features-security.html#boot-features-security-oauth2 https://www.oauth.com/ GitHub地址:...
SpringBoot教程(三)——集成Spring Security OAuth2 JWT
zlx
03-18 3797
前言 关于Oauth2的名词概念说明和可以移步理解OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。本文主要实现SpeingBoot2.x+Outh2+JWT对微服务进行认证授权、权限校验。本文仅涉及password模式,因为公司项目不涉及第三方登录,其他模式逻辑相似,可自行完善。源码已上传github,可留言获取。 一、核心依赖 <!-- spring security --> <dependency> <groupId>or...
springboot-安全认证security+jwt+OAuth2.0关系梳理
帅哥趣谈
12-22 5715
目录 背景 正文 一、Security的职责: 二、OAuth2.0的流程 三、Jwt是什么 四、总结 背景 前面写过一篇springboot+security+jwt的实战篇,并没有把来龙去脉说清楚,所以想再写一篇把安全认证的前世今生彻底弄清楚。主要从security干什么,OAuth2.0的流程,Jwt是什么来阐述。 正文 一、Security的职责: Spring SecuritySpring提供的一个安全框架,提供认证和授权功能,最主要的是它提供了简单的使用方...
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7225
springsecurity整合oauth2+JWT,数据库配置客户端
Spring Security OAuth2.0 授权码模式和使用JWT例子
qq_39376487的博客
09-25 1319
OAuth2.0概念: https://www.ruanyifeng.com/blog/2019/04/oauth_design.html 关于Spring Security不多说明了,百度很多,这里只是实操一下。 OAuth 2.0 规定了四种获得令牌的模式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 这里演示就用授权码模式 案例 创建maven工程oauth2-demo pom.xml添
通过springboot框架,自己动手实现oauth2.0授权码模式认证
七和
08-16 5269
前言 随着几大社交平台霸主地位的确立,各个小型网站越来越倾向于通过平台认证来简化申请和登录帐号的流程,以增加用户量。这种授权认证方式一般和oauth2.0协议脱不了关系。因为我是在接入qq登录时第一次看到这个标准,所以参考qq登录的官方模版来实现这一过程。(我之前已经写过一篇接入qq登录的博客:网站实现qq登录(springboot后台)) 什么是oauth2.0 阅读理解OAut...
spring security+jwt+oauth2.0 pdf
07-13
Spring Security可以与JWTOAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header中。服务端可以使用JWT中的信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zwyhj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值