从零开始的Spring Security Oauth2(一)

OAuth2实战
最新推荐文章于 2025-09-07 21:49:21 发布
转载 最新推荐文章于 2025-09-07 21:49:21 发布 · 380 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://blog.youkuaiyun.com/u013815546/article/details/76977239

本文通过实战演示了OAuth2的配置过程,包括资源服务器、认证服务器的设置及Spring Security的整合,详细解析了密码模式和客户端模式的使用场景。

使用配置

1.简易的分为三个步骤

  • 配置资源服务器

  • 配置认证服务器

  • 配置spring security

2.oauth2根据使用场景不同,分成了4种模式

  • 授权码模式(authorization code)

  • 简化模式(implicit)

  • 密码模式(resource owner password credentials)

  • 客户端模式(client credentials)

以下重点讲解接口对接中常使用的密码模式(以下简称password模式)和客户端模式(以下简称client模式)。授权码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。

项目准备

主要的maven依赖如下

 

  1. <!-- 注意是starter,自动配置 -->

  2. <dependency>

  3. <groupId>org.springframework.boot</groupId>

  4. <artifactId>spring-boot-starter-security</artifactId>

  5. </dependency>

  6. <!-- 不是starter,手动配置 -->

  7. <dependency>

  8. <groupId>org.springframework.security.oauth</groupId>

  9. <artifactId>spring-security-oauth2</artifactId>

  10. </dependency>

  11. <dependency>

  12. <groupId>org.springframework.boot</groupId>

  13. <artifactId>spring-boot-starter-web</artifactId>

  14. </dependency>

  15. <!-- 将token存储在redis中 -->

  16. <dependency>

  17. <groupId>org.springframework.boot</groupId>

  18. <artifactId>spring-boot-starter-data-redis</artifactId>

  19. </dependency>

我们给自己先定个目标,要干什么事?既然说到保护应用,那必须得先有一些资源,我们创建一个endpoint作为提供给外部的接口:

 

  1. @RestController

  2. public class TestEndpoints {

  3.  

  4. @GetMapping("/product/{id}")

  5. public String getProduct(@PathVariable String id) {

  6. //for debug

  7. Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

  8. return "product id : " + id;

  9. }

  10.  

  11. @GetMapping("/order/{id}")

  12. public String getOrder(@PathVariable String id) {

  13. //for debug

  14. Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

  15. return "order id : " + id;

  16. }

  17.  

  18. }

暴露一个商品查询接口,后续不做安全限制,一个订单查询接口,后续添加访问控制。

配置资源服务器和授权服务器

由于是两个oauth2的核心配置,我们放到一个配置类中。 为了方便下载代码直接运行,我这里将客户端信息放到了内存中,生产中可以配置到数据库中。token的存储一般选择使用Redis,一是性能比较好,二是自动过期的机制,符合token的特性。

 

  1. @Configuration

  2. public class OAuth2ServerConfig {

  3.  

  4. private static final String DEMO_RESOURCE_ID = "order";

  5.  

  6. @Configuration

  7. @EnableResourceServer

  8. protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

  9.  

  10. @Override

  11. public void configure(ResourceServerSecurityConfigurer resources) {

  12. resources.resourceId(DEMO_RESOURCE_ID).stateless(true);

  13. }

  14.  

  15. @Override

  16. public void configure(HttpSecurity http) throws Exception {

  17. // @formatter:off

  18. http

  19. // Since we want the protected resources to be accessible in the UI as well we need

  20. // session creation to be allowed (it's disabled by default in 2.0.6)

  21. .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)

  22. .and()

  23. .requestMatchers().anyRequest()

  24. .and()

  25. .anonymous()

  26. .and()

  27. .authorizeRequests()

  28. // .antMatchers("/product/**").access("#oauth2.hasScope('select') and hasRole('ROLE_USER')")

  29. .antMatchers("/order/**").authenticated();//配置order访问控制,必须认证过后才可以访问

  30. // @formatter:on

  31. }

  32. }

  33.  

  34. @Configuration

  35. @EnableAuthorizationServer

  36. protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

  37.  

  38. @Autowired

  39. AuthenticationManager authenticationManager;

  40. @Autowired

  41. RedisConnectionFactory redisConnectionFactory;

  42.  

  43. @Override

  44. public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

  45. //配置两个客户端,一个用于password认证一个用于client认证

  46. clients.inMemory().withClient("client_1")

  47. .resourceIds(DEMO_RESOURCE_ID)

  48. .authorizedGrantTypes("client_credentials", "refresh_token")

  49. .scopes("select")

  50. .authorities("client")

  51. .secret("123456")

  52. .and().withClient("client_2")

  53. .resourceIds(DEMO_RESOURCE_ID)

  54. .authorizedGrantTypes("password", "refresh_token")

  55. .scopes("select")

  56. .authorities("client")

  57. .secret("123456");

  58. }

  59.  

  60. @Override

  61. public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

  62. endpoints

  63. .tokenStore(new RedisTokenStore(redisConnectionFactory))

  64. .authenticationManager(authenticationManager);

  65. }

  66.  

  67. @Override

  68. public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

  69. //允许表单认证

  70. oauthServer.allowFormAuthenticationForClients();

  71. }

  72.  

  73. }

  74.  

  75. }

spring security oauth2的认证思路

  • client模式,没有用户的概念,直接与认证服务器交互,用配置中的客户端信息去申请accessToken,客户端有自己的client_id,client_secret对应于用户的username,password,而客户端也拥有自己的authorities,当采取client模式认证时,对应的权限也就是客户端自己的authorities。

  • password模式,自己本身有一套用户体系,在认证时需要带上自己的用户名和密码,以及客户端的client_id,client_secret。此时,accessToken所包含的权限是用户本身的权限,而不是客户端的权限。

我对于两种模式的理解便是,如果你的系统已经有了一套用户体系,每个用户也有了一定的权限,可以采用password模式;如果仅仅是接口的对接,不考虑用户,则可以使用client模式。

配置spring security

在spring security的版本迭代中,产生了多种配置方式,建造者模式,适配器模式等等设计模式的使用,spring security内部的认证flow也是错综复杂,在我一开始学习ss也产生了不少困惑,总结了一下配置经验:使用了springboot之后,spring security其实是有不少自动配置的,我们可以仅仅修改自己需要的那一部分,并且遵循一个原则,直接覆盖最需要的那一部分。这一说法比较抽象,举个例子。比如配置内存中的用户认证器。有两种配置方式

planA:

 

  1. @Bean

  2. protected UserDetailsService userDetailsService(){

  3. InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

  4. manager.createUser(User.withUsername("user_1").password("123456").authorities("USER").build());

  5. manager.createUser(User.withUsername("user_2").password("123456").authorities("USER").build());

  6. return manager;

  7. }

planB:

 

  1. @Configuration

  2. @EnableWebSecurity

  3. public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

  4.  

  5. @Override

  6. protected void configure(AuthenticationManagerBuilder auth) throws Exception {

  7. auth.inMemoryAuthentication()

  8. .withUser("user_1").password("123456").authorities("USER")

  9. .and()

  10. .withUser("user_2").password("123456").authorities("USER");

  11. }

  12.  

  13. @Bean

  14. @Override

  15. public AuthenticationManager authenticationManagerBean() throws Exception {

  16. AuthenticationManager manager = super.authenticationManagerBean();

  17. return manager;

  18. }

  19. }

你最终都能得到配置在内存中的两个用户,前者是直接替换掉了容器中的UserDetailsService,这么做比较直观;后者是替换了AuthenticationManager,当然你还会在SecurityConfiguration 复写其他配置,这么配置最终会由一个委托者去认证。如果你熟悉spring security,会知道AuthenticationManager和AuthenticationProvider以及UserDetailsService的关系,他们都是顶级的接口,实现类之间错综复杂的聚合关系…配置方式千差万别,但理解清楚认证流程,知道各个实现类对应的职责才是掌握spring security的关键。

下面给出我最终的配置:

 

  1. @Configuration

  2. @EnableWebSecurity

  3. public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

  4.  

  5. @Bean

  6. @Override

  7. protected UserDetailsService userDetailsService(){

  8. InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

  9. manager.createUser(User.withUsername("user_1").password("123456").authorities("USER").build());

  10. manager.createUser(User.withUsername("user_2").password("123456").authorities("USER").build());

  11. return manager;

  12. }

  13.  

  14. @Override

  15. protected void configure(HttpSecurity http) throws Exception {

  16. // @formatter:off

  17. http

  18. .requestMatchers().anyRequest()

  19. .and()

  20. .authorizeRequests()

  21. .antMatchers("/oauth/*").permitAll();

  22. // @formatter:on

  23. }

  24. }

重点就是配置了一个UserDetailsService,和ClientDetailsService一样,为了方便运行,使用内存中的用户,实际项目中,一般使用的是数据库保存用户,具体的实现类可以使用JdbcDaoImpl或者JdbcUserDetailsManager。

获取token

进行如上配置之后,启动springboot应用就可以发现多了一些自动创建的endpoints:

 

  1. {[/oauth/authorize]}

  2. {[/oauth/authorize],methods=[POST]

  3. {[/oauth/token],methods=[GET]}

  4. {[/oauth/token],methods=[POST]}

  5. {[/oauth/check_token]}

  6. {[/oauth/error]}

重点关注一下/oauth/token,它是获取的token的endpoint。启动springboot应用之后,使用http工具访问 :

  • password模式:http://localhost:8080/oauth/token? username=user_1&password=123456& grant_type=password&scope=select& client_id=client_2&client_secret=123456,响应如下:
 

  1. {

  2. "access_token":"950a7cc9-5a8a-42c9-a693-40e817b1a4b0",

  3. "token_type":"bearer",

  4. "refresh_token":"773a0fcd-6023-45f8-8848-e141296cb3cb",

  5. "expires_in":27036,

  6. "scope":"select"

  7. }

  • client模式:http://localhost:8080/oauth/token? grant_type=client_credentials& scope=select& client_id=client_1& client_secret=123456,响应如下:
 

  1. {

  2. "access_token":"56465b41-429d-436c-ad8d-613d476ff322",

  3. "token_type":"bearer",

  4. "expires_in":25074,

  5. "scope":"select"

  6. }

在配置中,我们已经配置了对order资源的保护,如果直接访问:http://localhost:8080/order/1,会得到这样的响应:

 

  1. "error":"unauthorized",

  2. "error_description":"Full authentication is required to access this resource"

  3. }

(这样的错误响应可以通过重写配置来修改) 而对于未受保护的product资源 http://localhost:8080/product/1 则可以直接访问,得到响应 product id : 1

携带accessToken参数访问受保护的资源: 使用password模式获得的token: http://localhost:8080/order/1?access_token=950a7cc9-5a8a-42c9-a693-40e817b1a4b0 得到了之前匿名访问无法获取的资源: order id : 1

使用client模式获得的token: http://localhost:8080/order/1?access_token=56465b41-429d-436c-ad8d-613d476ff322 同上的响应 order id : 1

我们重点关注一下debug后,对资源访问时系统记录的用户认证信息,可以看到如下的debug信息

password模式:

password模式

client模式:

client模式

和我们的配置是一致的,仔细看可以发现两者的身份有些许的不同。想要查看更多的debug信息,可以选择下载demo代码自己查看,为了方便读者调试和验证,我去除了很多复杂的特性,基本实现了一个最简配置,涉及到数据库的地方也尽量配置到了内存中,这点记住在实际使用时一定要修改。

到这儿,一个简单的oauth2入门示例就完成了,一个简单的配置教程。token的工作原理是什么,它包含了哪些信息?spring内部如何对身份信息进行验证?以及上述的配置到底影响了什么?这些内容会放到后面的文章中去分析。

 

springBoot-springSecurity-OAuth2
子笙的博客
01-16 2815
springBoot整合OAuth2示例及其代码
OAuth2 集成:通过 Spring Security 实现单点登录与第三方登录!
**My Coding Family**
06-04 1111
🏆本文收录于「滚雪球学SpringBoot」专栏,手把手带你零基础入门Spring Boot,从入门到就业,助你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
Spring Security OAuth2)基础SpringBoot整合OAuth
zzzZhou1997的博客
10-06 871
今天简单记录SpringBoot整合OAuth2的代码步骤 SpringBoot的1.5.21版本同SpringBoot 2.x版本有区别 本文记录的是密码式的授权方式 1、导入依赖 <!-- 以下是安全相关 --> <!-- spring security --> <dependency> <groupId>org.springframework.boot</grou
使用 Spring Security 实现 OAuth2步的操作指南
最新发布
weixin_47905944的博客
09-07 1334
本文介绍了如何在Spring Boot应用中集成OAuth2授权框架,通过Spring Security实现安全登录。文章首先解释了OAuth2的基本概念和四种授权流程,重点介绍了授权码模式的工作原理。随后详细展示了实现步骤:创建Spring Boot项目、添加依赖、配置应用属性、定义用户模型和服务类,最后通过SecurityConfig类完成安全配置。该方案允许用户通过Google或GitHub等OAuth2提供商安全登录,无需直接共享密码凭证,既保障了账户安全又简化了登录流程。
Oauth2.0Spring-security-oauth2 非常简单
适应现实
01-27 2468
 上周,我想开发OAuth 2.0个实例。我检查了Spring-security-Oauth2.0的样例,OAuth 2提供商sparklr2OAuth 2客户端TONR 。我探索在互联网上了下,整理相关文档。编译并运行了OAuth 2提供商sparklr2OAuth 2客户端TONR,并检查所有的授权上。现在,我在这里从实用的角度讲解的OAuth 2.0的不同方面来理解Spring-...
Spring Security中的OAuth2
qq_33240556的博客
08-27 1416
Spring Security 中的OAuth2支持使得集成OAuth2变得更加简单和直观。无论是作为OAuth2客户端还是授权服务器,Spring Security都提供了丰富的API和配置选项来满足您的需求。希望这些信息对您有所帮助!如果您有任何具体的问题或需要进步的帮助,请随时告诉我。
Spring Security OAuth2 入门篇()-- 简介
dazhong2012的专栏
06-24 532
授权码模式(Authorization Code):适用于服务器端应用,通过临时授权码换取访问令牌。隐式许可模式(Implicit):适用于纯前端应用,直接在浏览器中获取访问令牌。密码模式(Resource Owner Password Credentials):用户直接向客户端提供用户名和密码,适用于高度信任的应用。客户端凭证模式(Client Credentials):用于无用户参与的客户端间通信,常用于服务间认证。
oauth2-demo:回复:从零开始Spring Security Oauth2
02-24
2018-7-16日更新 新增授权码(authorization_code)模式使用说明 尝试直接访问qq信息 ...< oauth> Full authentication is required to access this resource unauthorized </ oauth> 尝试获取授权码 ...
Re:从零开始Spring Security Oauth2
热门推荐
徐靖峰的专栏
08-08 8万+
前言今天来聊聊个接口对接的场景,A厂家有套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有套安全机制保障,这个时候oauth2就可以作为个方案。关于oauth2,其实是个规范,本文重点讲解spring对他进行的实现,如果你还不清楚授权服务器,资源服务器,认证授权等基础概念,可以移步理解OAuth 2.0 - 阮峰,这是篇对于oauth2很好的科普文章。 需要对spring
深入浅出SpringSecurityOAuth2)—— 初识SpringSecurity
你要悄悄的拔尖,然后惊艳所有人
07-27 3330
文章目录前言正文1. 初识SpringSecurity2. Spring Security项目核心jar包介绍3. SpringSecurity核心注解3.1 @EnableWebSecurity3.2 @EnableGlobalMethodSecurity总结参考 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是知半解,也仅仅是实现了某些功能、某些效果而已,
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2773
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0种授权框架,提供了套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Spring Security + OAuth2.0
myli92的博客
03-03 2041
协议为用户资源的授权提供了个安全的、开放而又简易的标准(开放授权标准)。它允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。
OAuth2.0
Jesse_cool的博客
10-26 387
前言 看到spring security OAuth 不太理解,所以查了很多资料 例子: 有个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。 般来说,总不可能让云冲印拿到自己的密码吧,由此,OAuth诞生了(密码模式的话也是要提供账号密码 的) OAuth运行流程 客户端的授权模式 客户...
Spring Security——OAuth2.0
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
Spring Security Oauth2
m0_74907678的博客
03-07 480
Oauth2
SpringSecurity OAuth2
weixin_41695661的博客
07-01 252
1.OAuth2分四种模式目前只了解常用的授权码模式和密码模式 1.授权码模式:授权码模式般用于第三方登录,主要解决了用户登录时密码不会被客户端获取 比较安全. 执行流程: 1;用户打开客户端后,客户端要求用户授权, 具体到实际流程就是登录gitee,点击微信第三方授权登录获取用户授权二维码. 2.用户同意给客户端授权, 具体流程是用户拿微信扫描二维码点击确认授权并用配置好的回调url携带code码跳转到客户端 3.客户端用上步获取的code去授权服务申请Access_token 4.申请完token就
SpringSecurity实现OAuth2
wangxudongx的专栏
10-06 1520
SpringSecurity实现OAuth2OAuth2.0 官方手册摘要四种角色协议的工作流程常用授权类型OAuth2.0实现:SpringSecurity环境准备表结构SpringSecurity官方定义OAuth2.0表结构自定义RBAC表结构测试数据准备项目结构OAuth2.0 授权服务引入依赖配置文件码代码资源服务器应用上下文配置资源服务角色配置类测试获取code换取access_tok...
Spring Security oAuth2.0
qq_41135883的博客
10-22 303
oAuth2.0是授权协议,他的主要作用是为了提供认证和授权的标准 实现方式: Spring Security shiro 自己去实现 角色: 第三方应用程序(客户端) 资源所有者(用户) HTTP 服务提供者 认证服务器 资源服务器 模式: 客户端授权模式 简单模式 授权码模式 密码模式 客户端模式 - 访问令牌: Refresh Token Access Token https://www.f...
Spring Security 从零开始的详细教程
Spring Security 管理手册》这标题所代表的是套系统化的学习资料,旨在帮助开发者从零开始掌握 Spring Security 的使用与配置。以下将围绕该手册的标题、描述及相关文件内容,详细阐述其涵盖的关键知识点。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值