OAuth2AuthorizationServerWebSecurityConfiguration类介绍、应用场景和示例代码

最新推荐文章于 2025-04-16 17:23:15 发布
原创 最新推荐文章于 2025-04-16 17:23:15 发布 · 390 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端 #微服务 #spring

概述

OAuth2AuthorizationServerWebSecurityConfiguration类是 Spring Boot 自动配置 OAuth2 授权服务器 Web 安全的核心类,负责配置授权服务器的安全过滤链。

类结构分析

类注解

@Configuration(proxyBeanMethods = false)
@ConditionalOnDefaultWebSecurity
@ConditionalOnBean({RegisteredClientRepository.class, AuthorizationServerSettings.class})

  • @Configuration 标记为配置类

  • @ConditionalOnDefaultWebSecurity 表示在默认 Web 安全配置下生效

  • @ConditionalOnBean 要求在 RegisteredClientRepository 和 AuthorizationServerSettings Bean 存在时才生效

核心方法解析

1. authorizationServerSecurityFilterChain 方法

@Bean
@Order(Integer.MIN_VALUE)
SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
    // 应用默认授权服务器安全配置
    OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
    
    // 启用 OpenID Connect 1.0 支持
    http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
        .oidc(Customizer.withDefaults());
    
    // 配置资源服务器 JWT 支持
    http.oauth2ResourceServer(resourceServer -> {
        resourceServer.jwt(Customizer.withDefaults());
    });
    
    // 异常处理配置
    http.exceptionHandling(exceptions -> {
        exceptions.defaultAuthenticationEntryPointFor(
            new LoginUrlAuthenticationEntryPoint("/login"), 
            createRequestMatcher()
        );
    });
    
    return http.build();
}

关键点

  • @Order(Integer.MIN_VALUE) 确保这个过滤器链最先执行

  • 应用了默认的 OAuth2 授权服务器安全配置

  • 启用了 OIDC (OpenID Connect) 支持

  • 配置了 JWT 资源服务器支持

  • 设置了异常处理,将未认证请求重定向到登录页

2. defaultSecurityFilterChain 方法

@Bean
@Order(2147483642)  // 接近Integer.MAX_VALUE的顺序
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests(authorize -> {
        authorize.anyRequest().authenticated();
    }).formLogin(Customizer.withDefaults());
    return http.build();
}

关键点

  • 作为默认安全过滤链,顺序接近最大

  • 要求所有请求必须认证

  • 启用表单登录

3. createRequestMatcher 方法

private static RequestMatcher createRequestMatcher() {
    MediaTypeRequestMatcher requestMatcher = 
        new MediaTypeRequestMatcher(MediaType.TEXT_HTML);
    requestMatcher.setIgnoredMediaTypes(Set.of(MediaType.ALL));
    return requestMatcher;
}

作用:创建匹配 HTML 请求的匹配器,用于区分 API 请求和浏览器请求

安全配置流程

  1. 授权服务器端点保护

    • /oauth2/authorize - 授权端点

    • /oauth2/token - 令牌端点

    • /oauth2/jwks - JWK 端点

    • /oauth2/userinfo - OIDC 用户信息端点

  2. 资源服务器配置

    • 支持 JWT 令牌验证

  3. 认证流程

    • 未认证的 HTML 请求重定向到登录页

    • API 请求返回 401 未授权

自定义扩展点

1. 自定义安全规则

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
    OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
    
    // 自定义授权端点访问规则
    http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
        .authorizationEndpoint(authorizationEndpoint -> 
            authorizationEndpoint.consentPage("/oauth2/consent"));
    
    return http.build();
}

2. 添加自定义安全过滤器

@Bean
@Order(Integer.MIN_VALUE + 1)  // 在授权服务器过滤器之后
SecurityFilterChain customSecurityFilterChain(HttpSecurity http) throws Exception {
    http.securityMatcher("/custom/**")
        .authorizeHttpRequests(authorize -> 
            authorize.anyRequest().hasRole("ADMIN"));
    
    return http.build();
}

生产环境建议

  1. 安全加固

    • 配置 CSRF 保护

    • 设置适当的 CORS 策略

    • 启用 HSTS

  2. 性能优化

    • 缓存 JWK Set

    • 优化令牌验证流程

  3. 监控

    • 记录授权服务器活动

    • 监控异常请求

这个配置类提供了开箱即用的 OAuth2 授权服务器安全配置,同时保留了足够的灵活性供开发者定制。

Spring Security OAuth2.0自定义授权服务核心配置——AuthorizationServer
WannaRunning的博客
12-07 2875
AuthorizationServer是security oauth2的核心配置接口,通过这个接口我们可以自定义配置认证流程中使用哪些组件一些访问权限设置。 从UML图分析,AuthorizationServerConfigurerAdapter这个是框架中提供的AuthorizationServer接口实现。提供了三个方法,但是没有具体的实现。所以要配置AuthorizationServer时可以直接继承AuthorizationServerConfigurerAdapter这个,重写三个方法,
WebSecurityConfigurerAdapter详解
热门推荐
wh柒八九的博客
10-18 7万+
本文来详细说下security中的WebSecurityConfigurerAdapter 文章目录概述 概述
SpringSecurity的OAuth2的授权服务器配置
Xjzzon的博客
08-20 1790
SpringSecurity Oauth2 授权服务器
Oauth2---AuthorizationServer配置
silmeweed的博客
09-28 2万+
AuthorizationServerConfigurerAdapter只是一个提供给开发配置ClientDetailsServiceConfigurer、AuthorizationServerEndpointsConfigurer、AuthorizationServerSecurityConfigurer空壳并没有持有以上三个配置Bean对象。由初始化时调用Authorizati...
OAuth2AuthorizationServerConfiguration介绍应用场景示例代码
最新发布
a_beiyo的博客
04-16 564
这个来自包,是 Spring Boot 自动配置 OAuth2 授权服务器的核心。@Bean作用:提供客户端注册信息的存储仓库条件:当没有其他Bean存在时才创建:只有当配置了注册客户端时才创建实现:使用内存存储 (),适合开发测试环境。
Spring Security OAuth2 实现登录互踢的示例代码
08-19
本文主要介绍Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一终端的唯一性登录。 OAuth2 是一种身份验证协议,通过将客户端、资源服务器授权服务器分离,实现了灵活...
OAuth2-Go:使用Go的OAuth2示例应用
05-17
OAuth2-Go示例应用 已使用Go编程语言编写了此OAuth 2.0示例应用程序,以提供OAuth 2.0概念的有效示例以及如何与Intuit端点集成。 目录 要求 为了成功运行此示例应用程序,您需要做一些事情: 去安装 一个帐户 上的...
Spring Security OAuth2实现使用JWT的示例代码
08-27
Spring Security OAuth2 实现使用 JWT 的示例代码 在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码Spring Security OAuth2 介绍 Spring ...
精选资源
sample-gateway-oauth2login:结合了Spring Cloud GatewaySpring Security OAuth2示例应用程序
01-30
代码层面,我们可以通过Java配置或者YAML/Properties配置来实现OAuth2的安全策略。例如,我们可以创建一个SecurityConfig,使用`@EnableWebFluxSecurity``@Override`方法来自定义安全规则。 总的来说,sample...
Oauth2orizeRecipes:基于OAuth2orize的OAuth2安全性配方示例
02-06
基于OAuth2安全配方示例。 来自的express2示例是Node.js中出色而简单的最小OAuth2服务器。 这是一个示例,您可以用来了解如何在Node.js中编写自己的OAuth2服务器。 这里的食谱是从中构建的,虽然更加完整,但也...
Spring Cloud(6.1):搭建OAuth2 Authorization Server
weixin_30536513的博客
07-25 408
配置web.xml 添加spring-cloud-starter-securityspring-security-oauth2-autoconfigure两个依赖。 </dependency> <!-- Spring cloud starter: Security --> <!-- Include: web, actuator, security, zu...
Spring Authorization Server实现Oauth2
Glory丶笨小孩
06-07 3409
Spring Authorization Server 实现Oauth2认证
Spring OAuth2 授权服务器配置详解
程序员高级码农的博客
03-11 1876
根据上一文对过滤器链的拆解,我们需要在Spring Security的过滤器链中注入一些特定的过滤器。授权服务器本身也提供了一个配置工具来配置其元信息,大多数我们都使用默认配置即可,唯一需要配置的其实只有授权服务器的地址。针对本应用中的两条过滤器链,分别是授权服务器的过滤器链应用安全的过滤器链,它们之间其实互相没有太多联系。授权服务器要求客户端必须是已经注册的,避免非法的客户端发起授权申请。注意上面的配置OAuth2.0客户端应用的配置息息相关。存储的东西还是比较全的,甚至把Java都序列化了。
spring-security-oauth2之AuthorizationServerConfigurerAdapter浅析
ldcaws的专栏
09-01 8174
AuthorizationServerEndpointsConfigurer其实是一个装载,装载Endpoints所有相关的配置,如AuthorizationServer、TokenServices、TokenStore、ClientDetailsService、UserDetailsService,也就是说进行密码验证的一些工具或服务,均在这个地方进行注入。JwtAccessTokenConverter是用来生成token的转换器,而token令牌默认是有签名的,且资源服务器需要验证这个签名。..
oauth2--配置验证服务
qq_42395667的博客
10-30 1522
一、简介 1.1 什么是oauth2 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息, 而不 需要将用户名密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本, 但不向 后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服 务, 这些都足以说明OAUTH标准逐渐成为开放资源授权的标准 具体参考:tools.ietf.org/htm
spring oauth2 authorization server 配置源码解析
路过君的博客
01-05 1351
1.2.1。
springboot2 security-oauth2 搭建认证服务器、修改用户密码加密、修改用户权限认证
u013595395的博客
02-14 2449
一、搭建认证服务器 新建一个springboot2项目,加入以下两个配置就可以启动服务器 1. AuthorizationServerConfiguration 主要有3个配置方法 (1)这边取消两个api的访问限制,以及允许将客户端的id、密码直接写入form表单 -- 客户端不是用户,是指第三方网站。代码中用client来代表客户端 (2)第二个方法,用来指定客户端的信息 (3)第三个方法用来配置token的存储位置 2.WebSecurityCon...
Spring cloud oauth2搭建认证授权服务
weixin_38705082的博客
08-28 799
首先了解一下oauth2 oauth2oauth中我们通常将他分为认证中心资源中心。二者可以放在一起,但是对于微服务来说,每个独自的微服务可能就是一个资源中心。用户想要请求微服务的数据,需要携带认证中心颁发的tocken。 在oauth2中有几种授权模式: 1、授权码模式 2、密码模式 3、客户端模式 4、简易模式 下面将以客户端授权模式举例: auth-server 创建认证中心服务aut...
Oauth2.0基于Spring Authorization Server模块client_secret_basic或者post
Lance
03-15 2910
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 基于项目:Spring Authorization Server 1. maven项目依赖 spring-authorization-server v0.2.2 2.application.yml配置 spring:
快速应用的Spring Cloud OAuth2安全服务示例
描述中指出这是一个“基于oauth2认证的服务示例”,意味着该压缩包包含一个示例应用程序,演示如何使用OAuth 2.0进行认证授权。这个示例可能包括了客户端、资源服务器授权服务器的角色实现,以及用户如何通过这...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值