SpringBoot安全实战：整合SpringSecurity实现OAuth2.0授权

最新推荐文章于 2025-11-14 03:12:05 发布

原创最新推荐文章于 2025-11-14 03:12:05 发布 · 1.5k 阅读

22 ·

CC 4.0 BY-SA版权

文章标签：

#spring boot #安全 #后端

Web 专栏收录该内容

583 篇文章

订阅专栏

🎓博主介绍：Java、Python、js全栈开发 “多面手”，精通多种编程语言和技术，痴迷于人工智能领域。秉持着对技术的热爱与执着，持续探索创新，愿在此分享交流和学习，与大家共进步。
📖DeepSeek-行业融合之万象视界(附实战案例详解100+)
📖全栈开发环境搭建运行攻略：多语言一站式指南(环境搭建+运行+调试+发布+保姆级详解)
👉感兴趣的可以先收藏起来，希望帮助更多的人

SpringBoot安全实战：整合SpringSecurity实现OAuth2.0授权

一、引言

在当今的软件开发中，安全性是至关重要的一环。随着微服务架构的普及，系统之间的交互变得更加频繁，如何确保这些交互的安全性成为了开发者们面临的重要挑战。OAuth2.0 作为一种广泛使用的授权框架，为解决这个问题提供了有效的解决方案。Spring Boot 是一个快速开发的框架，而 Spring Security 则是 Spring 生态中用于实现安全功能的强大工具。本文将详细介绍如何在 Spring Boot 项目中整合 Spring Security 来实现 OAuth2.0 授权。

二、OAuth2.0 基础概念

2.1 OAuth2.0 概述

OAuth2.0 是一种授权框架，它允许第三方应用在用户的授权下访问用户在另一个服务提供商上的资源，而无需将用户的密码提供给第三方应用。它通过颁发令牌（Token）的方式来实现授权，使得用户可以灵活地控制第三方应用对其资源的访问权限。

2.2 OAuth2.0 角色

资源所有者（Resource Owner）：通常是用户，拥有受保护的资源。
资源服务器（Resource Server）：托管受保护资源的服务器，验证访问令牌并提供资源。
客户端（Client）：请求访问受保护资源的第三方应用。
授权服务器（Authorization Server）：验证资源所有者的身份，颁发访问令牌。

2.3 OAuth2.0 授权流程

OAuth2.0 定义了四种授权类型：授权码模式（Authorization Code）、简化模式（Implicit）、密码模式（Resource Owner Password Credentials）和客户端模式（Client Credentials）。其中，授权码模式是最常用的一种，安全性也相对较高。

三、Spring Boot 项目搭建

3.1 创建 Spring Boot 项目

可以使用 Spring Initializr（https://start.spring.io/）来快速创建一个 Spring Boot 项目。在创建项目时，选择以下依赖：

Spring Web
Spring Security
Spring Boot DevTools

3.2 项目结构

创建好项目后，项目的基本结构如下：

src
├── main
│   ├── java
│   │   └── com
│   │       └── example
│   │           └── demo
│   │               ├── DemoApplication.java
│   │               ├── controller
│   │               │   └── HelloController.java
│   │               └── config
│   │                   └── SecurityConfig.java
│   └── resources
│       ├── application.properties
│       └── static
│       └── templates
└── test
    └── java
        └── com
            └── example
                └── demo
                    └── DemoApplicationTests.java

3.3 编写简单的控制器

在 controller 包下创建 HelloController.java，代码如下：

package com.example.demo.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "Hello, World!";
    }
}

四、整合 Spring Security

4.1 配置 Spring Security

在 config 包下创建 SecurityConfig.java，代码如下：

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .anyRequest().authenticated()
               .and()
           .formLogin();
        return http.build();
    }
}

上述代码配置了 Spring Security，要求所有请求都需要进行身份验证，并使用表单登录。

4.2 测试 Spring Security

启动 Spring Boot 项目，访问 http://localhost:8080/hello，会自动跳转到登录页面。输入默认的用户名 user 和控制台输出的密码进行登录，登录成功后即可看到 Hello, World! 信息。

五、实现 OAuth2.0 授权

5.1 添加 OAuth2.0 依赖

在 pom.xml 中添加以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

5.2 配置 OAuth2.0 客户端

在 application.properties 中添加以下配置：

spring.security.oauth2.client.registration.google.client-id=your-client-id
spring.security.oauth2.client.registration.google.client-secret=your-client-secret
spring.security.oauth2.client.registration.google.scope=openid,profile,email
spring.security.oauth2.client.provider.google.issuer-uri=https://accounts.google.com

上述配置使用 Google 作为 OAuth2.0 授权服务器，需要替换 your-client-id 和 your-client-secret 为你自己的客户端 ID 和客户端密钥。

5.3 修改 SecurityConfig.java

修改 SecurityConfig.java 代码如下：

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .anyRequest().authenticated()
               .and()
           .oauth2Login();
        return http.build();
    }
}

上述代码将登录方式修改为 OAuth2.0 登录。

5.4 测试 OAuth2.0 授权

启动 Spring Boot 项目，访问 http://localhost:8080/hello，会自动跳转到 Google 登录页面。使用 Google 账号登录后，即可看到 Hello, World! 信息。

六、资源服务器配置

6.1 配置资源服务器

在 application.properties 中添加以下配置：

spring.security.oauth2.resourceserver.jwt.issuer-uri=https://accounts.google.com

上述配置指定了 JWT 令牌的颁发者。

6.2 修改 SecurityConfig.java

修改 SecurityConfig.java 代码如下：

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
           .authorizeRequests()
               .anyRequest().authenticated()
               .and()
           .oauth2ResourceServer()
               .jwt();
        return http.build();
    }
}

上述代码配置了 Spring Security 作为资源服务器，验证 JWT 令牌。

七、总结

通过本文的介绍，我们详细了解了如何在 Spring Boot 项目中整合 Spring Security 来实现 OAuth2.0 授权。从项目搭建、Spring Security 配置到 OAuth2.0 授权的实现，再到资源服务器的配置，每一步都进行了详细的讲解。希望本文能帮助开发者们更好地掌握 Spring Boot 安全实战中的 OAuth2.0 授权。