Spring Security、OAuth2 + JWT

最新推荐文章于 2025-09-09 09:32:01 发布
原创 最新推荐文章于 2025-09-09 09:32:01 发布 · 1.3k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端 #OAuth2 #JWT

一、技术栈整合流程

Spring Security集成OAuth2和JWT代码示例

1. 安全配置类(SecurityConfig)
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Spring Security核心配置类
 * 负责定义安全规则和密码加密方式
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置密码加密器
     * 使用BCrypt强哈希算法加密密码
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(); // 推荐使用BCrypt加密
    }

    /**
     * 配置HTTP安全规则
     * @param http HTTP安全配置对象
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()  // 禁用CSRF保护(API场景常用)
            .authorizeRequests()
                .antMatchers("/oauth/**", "/login/**", "/logout/**").permitAll()  // 开放OAuth2相关端点
                .anyRequest().authenticated()  // 其他请求需要认证
            .and()
            .formLogin().permitAll();  // 允许表单登录
    }
}
2. JWT令牌配置类(TokenConfig)
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

/**
 * JWT令牌配置类
 * 负责JWT令牌的生成、签名和存储配置
 */
@Configuration
public class TokenConfig {
    
    // JWT签名密钥(生产环境应从安全配置读取)
    private static final String SIGNING_KEY = "your-secret-key-123456";

    /**
     * 配置JWT令牌存储策略
     * @return JWT令牌存储对象
     */
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());  // 使用JWT存储令牌
    }

    /**
     * 配置JWT访问令牌转换器
     * 负责令牌的编码/解码和签名验证
     */
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(SIGNING_KEY);  // 设置JWT签名密钥
        return converter;
    }
}
3. 授权服务器配置(AuthorizationServerConfig)
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

/**
 * OAuth2授权服务器配置
 * 负责颁发访问令牌和刷新令牌
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;  // 认证管理器
    
    @Autowired
    private PasswordEncoder passwordEncoder;  // 密码加密器
    
    @Autowired
    private TokenStore tokenStore;  // 令牌存储
    
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;  // JWT转换器

    /**
     * 配置客户端详情服务
     * @param clients 客户端配置器
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()  // 使用内存存储(生产环境用JDBC)
            .withClient("clientapp")  // 客户端ID
            .secret(passwordEncoder.encode("123456"))  // 客户端密钥(加密存储)
            .authorizedGrantTypes("password", "refresh_token")  // 支持的授权模式
            .scopes("all")  // 授权范围
            .accessTokenValiditySeconds(3600)  // 访问令牌有效期(1小时)
            .refreshTokenValiditySeconds(86400);  // 刷新令牌有效期(24小时)
    }

    /**
     * 配置授权服务器端点
     * @param endpoints 端点配置器
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
            .authenticationManager(authenticationManager)  // 密码模式需要
            .tokenStore(tokenStore)  // 令牌存储方式
            .accessTokenConverter(jwtAccessTokenConverter);  // 使用JWT令牌
    }

    /**
     * 配置授权服务器安全规则
     * @param security 安全配置器
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security
            .tokenKeyAccess("permitAll()")  // 公开/oauth/token_key端点
            .checkTokenAccess("isAuthenticated()")  // 认证后可访问/oauth/check_token
            .allowFormAuthenticationForClients();  // 允许客户端表单认证(解决新版本401问题)
    }
}
4. 资源服务器配置(ResourceServerConfig)
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;

/**
 * 资源服务器配置
 * 负责保护受OAuth2保护的资源
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    /**
     * 配置资源访问规则
     * @param http HTTP安全配置对象
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .anyRequest().authenticated();  // 所有资源需要认证
    }
}

关键组件说明:

  1. 密码加密器
    BCryptPasswordEncoder使用加盐哈希算法,比明文存储更安全

  2. JWT签名机制
    通过JwtAccessTokenConverter设置签名密钥,防止令牌篡改

  3. 客户端认证方式
    allowFormAuthenticationForClients()解决新版本客户端认证问题

  4. 令牌有效期配置
    访问令牌(1小时)和刷新令牌(24小时)的合理时间设置

测试流程:

  1. 获取令牌(密码模式):

    POST /oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=password
&username=admin
&password=admin
&client_id=clientapp
&client_secret=123456

  2. 访问受保护资源

    GET /api/protected
Authorization: Bearer <access_token>

注意事项:

  1. 密钥管理
    生产环境应将SIGNING_KEY存储在安全配置中,避免硬编码

  2. 客户端存储
    内存存储(inMemory())仅适用于测试,生产环境需改用jdbcClientDetailsService()

  3. 令牌刷新
    使用refresh_token授权类型可获取新的访问令牌:

    grant_type=refresh_token
&refresh_token=<refresh_token>

  4. 用户认证
    需实现UserDetailsService加载真实用户数据(示例未展示)

思维导图

在这里插入图片描述

二、OAuth2和JWT的工作原理及核心功能相关源码解读

OAuth2与JWT工作原理及源码解析

一、OAuth2核心工作原理

OAuth2是一种授权框架,允许第三方应用在用户授权下访问受保护资源,而不暴露用户凭证。核心流程如下:

用户(资源所有者)客户端应用授权服务器资源服务器1. 请求访问资源2. 重定向到授权页3. 登录并授权4. 返回授权码5. 用授权码交换令牌6. 返回访问令牌7. 用令牌请求资源8. 返回受保护资源用户(资源所有者)客户端应用授权服务器资源服务器
源码关键接口(Spring Security OAuth2)
// 授权服务器配置入口
@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("webapp") // 客户端ID
            .secret(passwordEncoder.encode("secret")) // 客户端密钥
            .authorizedGrantTypes("authorization_code", "refresh_token")
            .scopes("read");
    }
    
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
            .tokenStore(tokenStore) // 令牌存储策略
            .accessTokenConverter(jwtAccessTokenConverter); // JWT转换器
    }
}

二、JWT结构解析

JWT(JSON Web Token)是无状态令牌,包含三部分:

base64UrlEncode(Header) + "." + 
base64UrlEncode(Payload) + "." + 
Signature
1. Payload结构示例
{
  "sub": "1234567890",      // 主题(用户ID)
  "name": "John Doe",       // 自定义声明
  "iat": 1516239022,        // 签发时间
  "exp": 1516239322,        // 过期时间
  "scope": "read write"     // 权限范围
}
2. 签名生成源码(JwtAccessTokenConverter)
public class JwtAccessTokenConverter implements AccessTokenConverter {
    
    private String signingKey = "secret"; // 签名密钥
    
    protected String encode(OAuth2AccessToken accessToken, 
                            OAuth2Authentication authentication) {
        
        // 1. 构建JWT声明(Claims)
        Map<String, Object> claims = new HashMap<>();
        claims.put("user_name", authentication.getName()); // 添加用户信息
        
        // 2. 生成签名(HS256算法示例)
        String encodedHeader = base64UrlEncode(header);
        String encodedClaims = base64UrlEncode(claims);
        String signature = HMACSHA256(encodedHeader + "." + encodedClaims, signingKey);
        
        return encodedHeader + "." + encodedClaims + "." + signature;
    }
}

三、OAuth2+JWT整合流程

令牌验证时序(资源服务器侧)
客户端资源服务器授权服务器请求携带JWT1. 解析JWT头部2. 验证签名(本地验证)3. 检查过期时间(exp)4. 可选:远程验证令牌(需网络)令牌有效性响应返回资源或错误客户端资源服务器授权服务器
资源服务器配置源码
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/api/public/**").permitAll() // 公开端点
            .antMatchers("/api/private/**").authenticated(); // 需认证
    }
    
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter()); // JWT存储策略
    }
    
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("secret"); // 需与授权服务器一致
        return converter;
    }
}

四、核心安全机制对比

机制OAuth2作用JWT作用
身份验证颁发访问令牌的授权流程携带用户身份的令牌格式
数据完整性依赖HTTPS传输安全通过签名防止篡改
状态管理可支持有状态会话无状态(自包含声明)
权限控制通过scope定义权限范围在claims中携带权限信息

五、最佳实践

  1. 令牌安全
    // 使用RSA非对称加密替代HS256
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setKeyPair(keyStore.getKeyPair("mykey")); // 从密钥库加载
    return converter;
}
  2. 声明扩展
    // 自定义令牌增强器
public class CustomTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, 
                                     OAuth2Authentication authentication) {
        Map<String, Object> info = new HashMap<>();
        info.put("organization", authentication.getName() + "ORG");
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);
        return accessToken;
    }
}

思维导图

在这里插入图片描述

精选资源
springsecurity+oauth2+jwt现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt现的单点登录demo,模式为授权码模式,现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
精选资源
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方登录系统的解决方案。 Spring Security是一个强大的安全框架,它为JavaJava EE应用程序提供了全面的...
Spring Cloud 完整整合 Security + Oauth2 + jwt现权限认证
m0_74824091的博客
12-08 2393
OAuth2是一个开放的标准,协议。即允许用户让第三方应用访问某一个网站上存储的用户私密资源(照片,头像等)。这个过程中无需将用户名和密码提供给第三方应用。在互联网中,我们最常见的OAuth2的应用就是各种第三方通过QQ授权,微信授权,微博授权等登录了。OAuth2协议一共支持4中不同的授权模式。授权码模式:常见的第三方平台登录功能基本上都使用这种模式。简化模式:简化模式不想要客户端服务器(第三方应用服务器)参与,直接在浏览器中向授权服务器申请令牌。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
从登录到微服务:JWTOAuth2 如何守护你的系统安全?
最新发布
果酱 の 博客
09-09 1152
JWTOAuth2是现代数字身份认证与授权的核心技术。JWT是一种自包含的JSON令牌格式,包含头部、载荷和签名三部分,适用于分布式系统身份认证,但需注意令牌无法撤销和载荷未加密的问题。OAuth2是授权框架,定义了资源所有者、客户端、授权服务器和资源服务器四个角色,支持授权码、简化等多种流程,适用于第三方应用授权场景。二者常结合使用:OAuth2负责授权流程,JWT作为令牌格式。最佳践包括使用HTTPS、设置合理过期时间、最小权限原则等。随着微服务发展,JWTOAuth2在零信任架构中的作用日益重要
SpringSecurity OAuth2+JWT+网关现认证授权中心
我神级欧文的博客
02-17 9862
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 2374
Spring Security OAuth2.0(四)-----OAuth2+JWT
SpringSecurity+Oauth2+JWT
m0_54765221的博客
07-03 1044
SpringSecurity+Oauth2+JWTSpringSecurity+Oauth2+JWT快速入门自定义登入自定义登入成功失败处理器权限判断自定义异常返回自定义方法现权限控制注解现权限控制记住我现退出登入CSRFOauth2认证Oauth2入门授权码模式Oauth2密码模式Jwt入门Oauth2整合JwtJwt扩展存储内容Jwt解析SpringSecurityOauth2整合SSOSecurity+Jwt SpringSecurity+Oauth2+JWT 快速入门 1. 创建基础项目 fi
springscrity 单点_学成在线(第16天)Spring Security Oauth2
weixin_39939530的博客
12-19 619
用户认证需求分析用户认证需求分析用户认证与授权什么是用户身份认证?用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。什么是用户授权?用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。单点登录需求单点登录(Sin...
精选资源
SpringSecurity+oauth2+jwt.docx
01-25
Spring Security + OAuth2 + JWT 现Web安全认证》 在现代Web开发中,安全认证是不可或缺的一部分。Spring Security作为Java领域中强大的安全框架,配合OAuth2JWT(JSON Web Token),可以构建出高效且安全的...
SpringSecurityOauth2JWT
weixin_49385823的博客
08-15 1098
SpringSecurity 一、SpringSecurity简介 1.1.安全框架概述 ​ 什么是安全框架?解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式现对资源的访问限制。 1.2.常用安全框架 Spring Security: Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC
spring security oauth2整合的代码汇总,一共包括5个资料
01-26
spring security oauth2整合的代码汇总,一共包括5个资料
Spring Security+Oauth2+JWT权限认证
分享java知识,一起开卷
06-29 1867
spring security+Oauth2.0+JWT
八.SpringSecurity-OAUTH2+JWT
qq_32115993的博客
10-22 472
SpringSecurity-OAUTH2 1.概述 1.1.SpringSecurity-Oauth2介绍 SpingSecurityOauth2现了Oatuh2,SpingSecurityOauth2分为两个大块,一者为认证授权(Authorization Server)服务和资源服务(Resource server),认证授权服务一般负责执行认证逻辑(登录)和加载用户的权限(给用户授权),以及认证成功后的令牌颁发 ,而资源服务器一般指的是我们系统中的微服务(被访问的微服务),在资源服务器需要对用户的
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5474
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
Spring Security + OAuth2.0 + JWT
qq_42155347的博客
05-06 3642
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Spring Security是什么?1.认证1.1基于Session认证1.2基于Token认证2.授权3.基于角色访问控制二、OAuth2.0是什么?三、JWT是什么?四、代码现1.创建Spring Boot项目2.Spring Security2.1基本使用2.2 前言 基于Spring Boot项目使用Spring Security+OAuth2.0+JWT搭建用户认证中心。 一、Spring Securi
SpringSecurity + Oauth2 + jwt现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 3914
本文介绍了使用Spring Security OAuth2 + JWT现单点登录的方案。文章首先分析了传统Redis方式的缺点,包括客户端配置耦合度高、过度依赖认证服务器等问题。然后详细讲解了JWT方式的现步骤,包括认证服务器的配置(WebSecurityJWT仓库、UserDetailsService等)、测试验证、自定义UserUtil增强JWT内容、JWT退出功能等。最后通过学生和教师资源服务器的案例,展示了如何将认证服务器同时作为资源服务器使用。JWT方案相比Redis方式具有更好的解耦性
【安全框架】Spring SecurityOauth2JWT 这一篇就够了
小源同学的博客
01-17 8340
文章目录Spring Security1. 安全框架概述2. Spring Security 简述3.Spring Security3.1 创建项目3.2 项目依赖3.3 页面3.3.1 login.html3.3.2 main.html3.4 测试3.4.1 启动项目3.4.2 打开浏览器3.5 自定义登录逻辑3.5.1 Security 的配置类3.5.2 UserDetailsService 的现类3.5.3 重启测试3.6 自定义登陆页面3.6.1 login.html3.6.2 Security
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值