Spring Security 自定义资源服务器实践

最新推荐文章于 2025-09-13 06:49:35 发布
原创 最新推荐文章于 2025-09-13 06:49:35 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis #spring boot #java

本文介绍了如何在Spring Boot项目中实现自定义的Spring Security资源服务器。首先,新建Spring Boot项目并引入相关依赖,配置application.yml以指定授权服务器地址。接着,创建配置类以配置资源服务器并启用JWT令牌验证。此外,还创建了一个资源接口用于获取资源所有者信息。在客户端配置中,主要修改了user-name-attribute以匹配授权服务器返回的属性。完成这些步骤后,启动授权服务器和资源服务器,通过浏览器访问资源接口,可以看到整个OAuth2流程的运行效果,尤其强调了授权码模式的重要性。

安装资源服务器

1、 新建一个Spring Boot项目,命名为 spring-security-resource-server
2、引入pom.xml依赖

<pre class="prettyprint hljs xml" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;"><dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

其中与授权服务器依赖不同的是,资源服务器有spring boot版本,版本号会有spring boot进行管理,不需要显示声明。

配置资源服务器

1、配置application.yml 文件

<pre class="prettyprint hljs less" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: http://localhost:9000

该配置用于指定授权服务器地址,资源服务器将从该地址获取JWT令牌,并根据JWT中的属性进一步自我配置,发现授权服务器的公钥、验证JWT令牌。

2、创建配置类

<pre class="prettyprint hljs less" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">@EnableWebSecurity(debug = true)
public class ResoruceServerConfig { 

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { 
        http
                .authorizeRequests()
                .mvcMatchers("/userinfo/**").hasAuthority("SCOPE_userinfo")
                .and()
                .oauth2ResourceServer()
                .jwt();
        return http.build();
    }

}

.mvcMatchers("/userinfo/**").hasAuthority("SCOPE_userinfo") 匹配 /userinfo/** 地址,允许访问范围是 SCOPE_userinfo

oauth2ResourceServer() 定义为资源服务器

jwt() 使用JWT令牌

3、 创建一个资源接口

/userinfo/ 用来获取资源所有者基本信息

<pre class="prettyprint hljs kotlin" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">@Data
public class  UserInfoRes  { 

    private String username;
}

创建Rest接口

<pre class="prettyprint hljs kotlin" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">@RestController
public class  UserInfoController  { 

    @GetMapping("/userinfo")
    public UserInfoRes getUserInfo() { 
        UserInfoRes userInfoRes = new UserInfoRes();
        userInfoRes.setUsername("阿提说说");
        return userInfoRes;
    }
}

配置客户端

目前我们客户端的配置是这样的:

<pre class="prettyprint hljs less" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">spring:
  security:
    oauth2:
      client:
        registration:
          gitee:
            client-id: gitee_clientId
            client-secret: gitee_secret
            authorization-grant-type: authorization_code
            redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
            client-name: Gitee
          github:
            client-id: github_clientId
            client-secret: github_secret
          # 自定义
          customize:
            client-id: testClientId
            client-secret: testClientSecret
            authorization-grant-type: authorization_code
            redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
            client-name: Customize
            scope:
              - userinfo
        provider:
          gitee:
            authorization-uri: https://gitee.com/oauth/authorize
            token-uri: https://gitee.com/oauth/token
            user-info-uri: https://gitee.com/api/v5/user
            user-name-attribute: name
          # 自定义
          customize:
            authorization-uri: http://localhost:9000/oauth2/authorize
            token-uri: http://localhost:9000/oauth2/token
            user-info-uri: http://localhost:9000/userinfo
            user-name-attribute: username

这里我们只需要修改 customize 部分的 user-info-uri 和 user-name-attribute
调整后配置如下,其他部分跟原来是一样的。

<pre class="prettyprint hljs less" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">customize:
            authorization-uri: http://localhost:9000/oauth2/authorize
            token-uri: http://localhost:9000/oauth2/token
            user-info-uri: http://localhost:8090/userinfo
            user-name-attribute: username

:exclamation: user-name-attribute的名字,必须在user-info-uri返回的属性名中存在

整流程体验

在如上三部分配置完成后,就可以体验了,启动 spring-security-resource-server 、 spring-security-authorization-server 、 spring-security-oauth2-client

浏览器访问地址: http://127.0.0.1:8080/hello ,在授权完成后,即跳转回并显示结果。

ResourceServer下能看到带着token的 /userinfo 请求日志。

<pre class="prettyprint hljs markdown" style="padding: 0.5em; font-family: Menlo, Monaco, Consolas, &quot;Courier New&quot;, monospace; color: rgb(68, 68, 68); border-radius: 4px; display: block; margin: 0px 0px 1.5em; font-size: 14px; line-height: 1.5em; word-break: break-all; overflow-wrap: break-word; white-space: pre; background-color: rgb(246, 246, 246); border: none; overflow-x: auto;">************************************************************

Request received for GET '/userinfo':

org.apache.catalina.connector.RequestFacade@3418bfc9

servletPath:/userinfo
pathInfo:null
headers: 
accept: application/json
authorization: Bearer eyJraWQiOiI5YjZjZWMzNi05ZDYyLTRkMWMtOWRiNi0wMWM1ODQzMDc1N2UiLCJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyIiwiYXVkIjoidGVzdENsaWVudElkIiwibmJmIjoxNjYwOTU1ODQyLCJzY29wZSI6WyJ1c2VyaW5mbyJdLCJpc3MiOiJodHRwOlwvXC9sb2NhbGhvc3Q6OTAwMCIsImV4cCI6MTY2MDk1NjE0MiwiaWF0IjoxNjYwOTU1ODQyfQ.gVWwwfzB-xNuWWUBpgGokIOy5xwV9Wkd05k3rqpk1h92b-TWENB4ZArEL--zpngSyE8iuml0vG3veCv647FDx_EY56ClM-UxH-3Wq0D2f3b6WTgFO5RpCCwRLCHahBlV5g9plr7hWYY5uX2cQ4MsC4-ltZSR6wga5LSLDB-bIK46ZmJ3DOaQFwTTCpWB4OgOuq1j59i9XkgDUc_I8WUsHB4eEDEbBJeOmdimDn5O1Ux6nDhPgLMLcpnrt3lHLmXDTk8Q7hX7YBynO2VBm6wkTeYP4a2rfinfhW-LtF1o3hm8QAY0hn1QKSEeWU5K5qiIOVeSJ5FqrYJ_VQPadT1qAQ
user-agent: Java/11
host: localhost:8090
connection: keep-alive

Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  BearerTokenAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

到此,我们通过自己搭建的授权服务器和资源服务器,完整体验了OAuth2流程。

在整个流程中,我们使用的是最严密的授权码模式,它将用户引导到授权服务器进行身份验证,授权服务器将发放的访问令牌传递给客户端,目前主流都是使用该模式, 因此特别重要,要好好体会 。

Java_ttcd
关注
20-BearerTokenAuthenticationFilter
码农小胖哥
03-17 3632
BearerTokenAuthenticationFilter是Spring Security资源服务器的核心过滤器。负责对请求中携带的Token进行校验,提取认证信息,以确定当前请求是否有权限访问对应的资源。 BearerTokenAuthenticationFilter 以下是BearerTokenAuthenticationFilter的大致结构: 成员属性都在上一文中进行了说明,这里就不再赘述了。 核心逻辑 作为一个OncePerRequestFilter核心的逻辑还在doFilterIntern
SpringBoot整合SpringSecurityOauth2实现鉴权-动态权限
JavaShark的博客
06-21 3265
写在前面思考:为什么需要鉴权呢?系统开发好上线后,API接口会暴露在互联网上会存在一定的安全风险,例如:爬虫、恶意访问等。因此,我们需要对非开放API接口进行用户鉴权,鉴权通过之后再允许调用。准备spring-boot2.1.4.RELEASEspring-security-oauth22.3.3.RELEASE(如果要使用源码,不要随意改动这个版本号,因为2.4往上的写法不一样了)mysql:5.7效果展示这边只用了postman做测试,暂时未使用前端页面来对接,下个版本角色菜单权限分配的会有页面的展
5、oauth2之资源服务配置类EnableResourceServer
u012153127的博客
07-03 7573
简介 资源服务器会对所有的请求进行拦截认证,当然除了oauth相关的请求之外。同时会创建一个拦截器OAuth2AuthenticationProcessingFilter,该拦截器会对请求头Authorization中的值进行相关验证。 使用方式: 1、添加注解@EnableResourceServer 2、继承ResourceServerConfigurerAdapter @Configuration @EnableResourceServer public static class Reso
Spring Security代码实现:OAuth2资源服务器配置
最新发布
gitblog_00028的博客
09-13 660
OAuth2资源服务器Resource Server)是保护API资源的关键组件,负责验证访问令牌(Access Token)并授予相应权限。在Spring Security中,资源服务器通过解析JWT(JSON Web Token)或内省令牌(Introspection)实现认证与授权,典型应用场景包括微服务API保护、第三方授权集成等。 ### 1.1 核心功能 - 令牌验证(JWT签名验...
Spring SecurityOAuth2(资源服务器
chucan4529的博客
01-26 943
Spring SecurityOAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Spring OAuth2 Resource Server 配置
semicolon_hello的专栏
03-29 3193
Spring OAuth2 Resource ServerSpring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。
Spring Security 自定义授权服务器实践
2401_85015477的博客
05-17 1030
❗ 在配置授权服务器uri的时候,请勿依旧使用127.0.0.1,由于是在本地测试,授权服务器的session和客户端的session会互相覆盖,导致莫名其妙的问题。这里我们要使用自己的搭建授权服务器,需要自定义一个客户端,还是使用前面集成GitHub的示例,只要在配置文件中扩展就可以。如上是最小化授权服务器的配置,这里我们将授权主体和客户端都存储在内存中,当然也可以持久化到数据库中,分别使用。(img-LeWEJC5t-1715905749295)]请区分回调地址,和授权服务器端点uri的地址。
SpringSecurity自定义认证授权过滤器
几许的博客
10-19 1025
SpringSecurity内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的,那如何接收前端Json异步提交的数据据实现认证操作呢?​ 显然,我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器并实现认证过滤逻辑;/***//*** 设置构造,传入自定义登录url地址*/@Override//判断请求方法必须是post提交,且提交的数据的内容必须是application/json格式的数据。
Springsecurity 自定义AuthenticationManager
冬阳
08-24 2012
一旦通过configure 方法自定义 AuthenticationManager实现 需要在实现中指定认证数据源对象UserDetailService/*** 配置自定义数据源,覆盖系统默认的数据源
SpringSecurity自定义成功失败处理器的示例代码
09-07
通过以上步骤,我们就完成了Spring Security自定义登录成功处理器的配置。在`onAuthenticationSuccess`方法中,你可以添加任何需要的业务逻辑,如记录日志、发送通知、更新用户状态等。同样,你也可以自定义登录失败...
SpringSecurity资源服务器OAuth2ResourceServer配置
程序媛学姐的博客
04-21 1498
在实际应用中,通常需要从JWT令牌中提取额外的信息,如用户角色、权限等,并将其转换为Spring Security认可的Authentication对象。Spring Security提供了JwtAuthenticationConverter接口,可以自定义JWT到Authentication的转换逻辑。@Component// 设置权限声明的key,默认是scope或scp// 设置权限前缀,默认是SCOPE_@Override。
spring-security:授权+资源服务器
02-09
Spring安全 授权+资源服务器。 使用oauth2实现了简单的授权+资源服务器。 授权服务器: 为用户,角色,客户端定义实体,存储库,服务。 将数据存储在内存H2数据库中。 定义UserDetails,UserDetailsS​​ervice,ClientDetails,ClientDetails服务以起誓。 使服务器可以用作授权和资源服务器,并提供必要的配置类来创建和注册所需作用域所需的每个bean。 生成可用于访问资源服务器中的其余端点的jwt身份验证令牌。 提供端点以添加新用户并获取除令牌中存储的内容以外的有关已登录用户的其他数据。 在启动时,授权服务器在数据库中添加两个角色(“ ADMIN”,“ USER”)和一个用户名:admin,密码:admin,角色:ADMIN的用户。 在启动时,授权服务器会使用clientId:client和clientSecret:
使用spring-cloud-security-oauth2来实现oauth serverresource server
02-28
使用spring-cloud-security-oauth2来实现oauth serverresource serveroauth Serverresource Server分开,resource Server实现了两种方式
spring-security-oauth2-authorization-server.zip
08-25
本文以最简配置搭建一个授权服务,让大家初步了解授权服务及相关表。 token 存于数据库中 例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库
Spring Security Resource Server的使用
huan的学习记录
07-17 2858
一、背景 在前一节我们学习了 Spring Authorization Server的使用,此处我们简单的记录下 Spring 资源服务器的使用。 二、需求 资源服务器提供2个资源 ,userInfo 和 hello。 userInfo:资源是受保护的资源,需要user.userInfo权限才可以访问。 hello:资源是公开资源,不要权限即可访问。 三、分析 1、如何验证资源服务器中访问的令牌是有效的? 此处只考虑JWT的令牌。 令牌是授权服务器颁发的,且进行了签名操作,因此资源服务器对令牌的验证,就
带有JWT的Spring SecurityOAuth 2资源服务器
专业的开发者“讨论”
04-23 3136
Since version 5.2, Spring has introduced a new library, OAuth 2.0 Resource &#23567;&#21495;ever, handling JWT so that we no longer need to manually add a Filter to extract claims from JWT to...
Spring Security OAuth 2.0 资源服务器— JWT
深圳市多克创新科技有限公司
11-04 2203
Spring Security OAuth 2.0 资源服务器— JWT
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer
虚幻私塾
01-12 4547
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 一、前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。 (关于总体流程,若对SS实在不熟悉可以简单理解为:Filte
SpringSecurity自定义JWT认证过滤器源码学习
标题“学习SpringSecurity自定义认证过滤器的项目源码文件”明确指出了该资源的核心目标:通过实际项目代码来学习如何在 Spring Security 框架中实现自定义的认证过滤器。描述内容与标题一致,进一步强调了该项目是...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值