SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (一)

已于 2025-03-03 09:36:29 修改
阅读量1.8k 收藏 24
点赞数 42
分类专栏: Spring Security OAuth2(初级) 文章标签: spring boot 后端 java
于 2024-06-19 16:51:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gandilong/article/details/139802441
版权

OAuth协议

随着互联网的流行,对于提高网民的上网提验,是大厂比较关心的问题。而OAuth协议就是为此而生的。

OAuth协议经过了1.0时代,现在处于2.0时代。确切的说OAuth协议现在是2.1版本。

OAuth2.1相较于OAuth2.0在安全方面和易用方面提高了不少。主要思想是差不多的。但OAuth2和OAuth1是不兼容的。应该说OAuth1.0版本已经被废弃掉了。

早期的Spring团队在Spring Security框架中加入了OAuth2.0模块,但现在已经不在维护了。我之前的公司竟然还有人在用他们快照版。如果没有Spring Security,对于一个java开发人员,再找一个好用+牛逼+安心+oauth2的安全框架,还真有点难。

好消息就是Spring推出了Spring Authorization Server(授权服务),它与Spring Security是两个安全项目。Spring Security相当于一个安全框架思想,有完整的“认证”和“授权”框架思路。Spring Authorization Server(授权服务)要基于Spring Security之上使用。

Spring Authorization Server

可以看到Spring Authorization Server是一个比较新的项目。

 Spring Authorization Server提供OAuth2.1和OpenID Connect 1.0 规范 和 其它相关的安全规范。是一个轻量级框架,开发人员可以在框架中做自己的定义化功能。

最新版本的Spring Boot 已经做了版本匹配。作者当前用的SpringBoot是3.3.0的,算是比较新的版本,在这个版本的依赖列表中,Spring Authorization Server的版本是1.3.0

好了,费话不多说。

OAuth服务

一般搭建分两个服务:认证服务,授权服务

认证服务主要用于给资源服务器用,当有客户端请求资源时,认证服务会进行认证客户端是否有资格获取资源。

授权服务主要用于给客户端授权,只有先获取权限才能请求资源,通俗点讲就是让你登录,给你发token

第一步先搭建授权服务器

配置:Maven,SpringBoot3.3.0,Spring-Security-oauth2-authorization-server 1.3.0(这个在pom中是用starter代替掉了),最后是JDK17,当然jdk版本不是必须的,其它版本也是可以的,只要别太低。

<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>3.3.0</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.oauth.server.demo</groupId>
	<artifactId>oauth_server</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>oauth_server</name>
	<description>OAuth2 Server Demo project for Spring Boot</description>
	<properties>
		<java.version>17</java.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-oauth2-authorization-server</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
    </dependencies>

整体代码结构:

史上代码量最少的OAuth2授权服务器,核心代码只需要一个类:AuthorizationServerConfig

这个类里包含了所有相关授权服务器的构建代码。其它的类是其它功能,和授权服务没直接关系。

下面大家一起看一下类的内容:

package com.oauth.server.demo.config;

import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.util.UUID;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Import;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.core.AuthorizationGrantType;
import org.springframework.security.oauth2.core.ClientAuthenticationMethod;
import org.springframework.security.oauth2.core.oidc.OidcScopes;
import org.springframework.security.oauth2.jwt.JwtDecoder;
import org.springframework.security.oauth2.jwt.JwtEncoder;
import org.springframework.security.oauth2.jwt.NimbusJwtEncoder;
import org.springframework.security.oauth2.server.authorization.client.InMemoryRegisteredClientRepository;
import org.springframework.security.oauth2.server.authorization.client.RegisteredClient;
import org.springframework.security.oauth2.server.authorization.client.RegisteredClientRepository;
import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration;
import org.springframework.security.oauth2.server.authorization.settings.AuthorizationServerSettings;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

import com.nimbusds.jose.jwk.JWKSet;
import com.nimbusds.jose.jwk.RSAKey;
import com.nimbusds.jose.jwk.source.ImmutableJWKSet;
import com.nimbusds.jose.jwk.source.JWKSource;
import com.nimbusds.jose.proc.SecurityContext;

@Configuration
@Import(OAuth2AuthorizationServerConfiguration.class)
public class AuthorizationServerConfig {

	@Bean
    public PasswordEncoder passwordEncoder() throws NoSuchAlgorithmException {
		return new BCryptPasswordEncoder(12,SecureRandom.getInstanceStrong());
    }
	
	/**
	 * 提供登录页面用户名密码的认证
	 * @return
	 */
	@Bean
	public UserDetailsService userDetailsService(PasswordEncoder passwdEncoder) {
        UserDetails user= User.builder()
                .username("user")
                //.password(passwdEncoder.encode("123")) // 使用 {noop} 前缀表示密码不会被编码
                .password("{noop}123") // 使用 {noop} 前缀表示密码不会被编码
                .accountExpired(false)
                .credentialsExpired(false)
                .accountLocked(false)
                .authorities("ROLE_USER") // 用户的权限
                .build();

		return new InMemoryUserDetailsManager(user);
	}
	
	/**
	 * 应用注册仓库
	 * @return
	 */
	@Bean
	public RegisteredClientRepository registeredClientRepository(PasswordEncoder passwdEncoder) {
		
		RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
				.clientId("clientid")
				.clientSecret(passwdEncoder.encode("client_secret"))如果是CLIENT_SECRET_POST才会用到
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
				.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_POST)
				.clientAuthenticationMethod(ClientAuthenticationMethod.NONE)
				.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
				.authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
				.authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
				.redirectUri("http://localhost:8080/login/oauth2/code/clientid")
				.postLogoutRedirectUri("http://localhost:8080/")
				.scope(OidcScopes.OPENID)
				.scope(OidcScopes.PROFILE)
				.build();

		return new InMemoryRegisteredClientRepository(oidcClient);
	}
	
	/**
	 * 生成jwk,用在jwt编码和jwt解码器上
	 * @return
	 */
	@Bean
	public JWKSource<SecurityContext> jwkSource() {
		KeyPair keyPair = generateRsaKey();
		RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
		RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
		RSAKey rsaKey = new RSAKey.Builder(publicKey)
				.privateKey(privateKey)
				.keyID(UUID.randomUUID().toString())
				.build();
		JWKSet jwkSet = new JWKSet(rsaKey);
		return new ImmutableJWKSet<>(jwkSet);
	}

	/**
	 * 生成RSA256非对称的秘钥对:公钥和私钥,其中公钥会出布出去。
	 * @return
	 */
	private static KeyPair generateRsaKey() {
		KeyPair keyPair;
		try {
			KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
			keyPairGenerator.initialize(2048);
			keyPair = keyPairGenerator.generateKeyPair();
		}
		catch (Exception ex) {
			throw new IllegalStateException(ex);
		}
		return keyPair;
	}

	/**
	 * jwt 解码器,给资源服务器用
	 * @param jwkSource
	 * @return
	 */
	@Bean
	public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
		return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
	}
	
	/**
	 * jwt 编码器,给授权服务器用
	 * @param jwkSource
	 * @return
	 */
	@Bean
	public JwtEncoder jwtEncoder(JWKSource<SecurityContext> jwkSource) {
		return new NimbusJwtEncoder(jwkSource);
	}

	/**
	 * 默认授权服务器配置
	 * @return
	 */
	@Bean
	public AuthorizationServerSettings authorizationServerSettings() {
		return AuthorizationServerSettings.builder().build();
	}
}

这样一个简单的授权服务器就诞生了。但想要用的话,还需要有用的地方。比如说授权服务现在是可以给你授权,但你拿到授权后,请求哪些资源呢?

所以现在咱们要建一个简单的资源:UserController

package com.oauth.server.demo.web;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class UserController {

	@GetMapping
	public String hello() {
		return "hello";
	}
	
}

 这个接口简单到令人发指!

这样一个接口,咱们得让它被资源服务器管理,当它被资源服务器管理后,客户端就必须按照资源服务器的规定请求接口。按什么规定呢? 当然就是 oauth2 的规定了,要有 jwt token喽!

第二步构建资源服务器
package com.oauth.server.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;


@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	@Order(1)
	public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
			throws Exception {
		http
		.authorizeHttpRequests((authorize) -> authorize.anyRequest().authenticated())
		.oauth2ResourceServer(resourceServer -> resourceServer.jwt(Customizer.withDefaults()));
		return http.build();
	}

}

 这么几行代码就完事儿了,关键代码就是oauth2ResourceServer方法,它会检查token是否有效。

这里非常确定的告诉大家,资源服务器的代码和授权服务代码是写在一个项目中的。因为是第一个demo,不想讲太多费话。写一个项目中比较方便。它们都用到同一个jwk bean对象。

同时大家可能注意到了,这个资源服务器拦截所有请求,所以想要请求hello接口,就必须获取token !

代码Git地址:Demo_01

下一篇文章讲一下怎么获取token,并请求接口。

SpringSecurity-2Springboot + SpringSecurity + Oauth2授权码模式
dabing9的博客
10-30 1343
本篇接上篇内容,拿到授权码后,客户端往授权服务器发送请求,携带拿到的授权码,获取对应的access_token,然后可以拿着授权服务器颁发的access_token访问资源服务器。到目前为止,我们暂时只搭建个授权服务器,我们通过手动调用接口默认客户端,后续,我们逐步完善。本篇主要完成的三个任务:(1)通过获取到的授权码获取access_token(2)如何搭建个资源服务器?(3)通过拿到的access_token如何去访问资源服务器? (2)获取access_token 成功获取acces
SpringBoot搭建OAuth2
m0_60681411的博客
05-28 3269
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
spring-security-oauth2-authorization-serverSpringBoot3.1.3整合
weixin_42229668的博客
09-16 9324
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
SpringBoot3集成Spring Authorization Server搭建服务认证中心
liu320yj的博客
08-31 1547
OAuth 是描述授权过程的开放标准,它可用于授权用户访问 API,OAuth 授权服务器负责对用户进行身份验证并颁发包含用户数据和适当访问策略的访问令牌
Spring Boot 3整合OAuth2实现第三方登录完整指南
最新发布
MenzilBiz的博客
04-07 1029
Slf4j@Override// 根据不同平台处理用户信息// 添加平台标识// 标准化用户信息= null?@Slf4j@Override// 根据不同的登录来源处理不同逻辑// GitHub特定处理逻辑// 设置默认跳转路径// 实现GitHub用户的特定处理逻辑// 例如保存用户信息到数据库等本文详细介绍了在Spring Boot 3中整合OAuth2实现第三方登录的完整流程。
Spring Boot 3.3新特性发布
nanxiaotao的博客
05-26 1815
Spring Boot 3.3 现已正式发布!此版本包含大量更新,包括多项新功能。我们决定进行些挑选,并查看最重要的变化,其中包括对类数据共享 (CDS) 的支持,以加快应用程序启动速度。
SpringBoot3集成Spring Authorization Server实现SSO单点登录
liu320yj的博客
08-31 1995
在之前的文章中介绍过SpringBoot集成OAuth2老版本的方案,随着Spring Authorization Server框架的成熟和SpringBoot版本的更新,新项目必然会采用新的技术和框架,本文将使用最新的SpringBoot版本和JDK17实现SSO单点登录
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (二)
06-20 993
OAuth2 整体分三总分:OAuth授权服务Authorization),OAuth资源服务(Authentication),客户端服务(Client Service 其实就是个web服务,它是来用OAuth)Spring Security 轻松的就搞定了所有配置。Nice当然想玩转Spring Security OAuth 还有很乐子在里面。下篇文章再深入讲下,其它玩儿法。
Spring搭建SpringBoot + OAuth2认证授权服务
一个不断前行的程序者
09-12 3493
在这篇博客中,我们成功搭建个基于Spring BootOAuth2认证授权服务。我们配置了用户存储、安全配置、OAuth2授权服务器和资源服务器,并创建了些基本的控制器和前端页面来演示登录和访问受保护资源的过程。请注意,这只是个简单的示例,用于演示基本的OAuth2流程。在生产环境中,你需要考虑更多的安全性和配置选项,例如使用JWT令牌、配置数据库、添加错误处理、日志记录等。
spring boot oauth2服务搭建
qq_39049011的博客
11-19 1055
spring boot oauth2服务搭建
SpringBoot实战(三十五)微服务集成OAuth2.0(UAA)
ACGkaka的博客
03-07 1290
SpringBoot实战(三十五)微服务集成OAuth2.0(UAA)
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
主要介绍了Springboot Oauth2 Server 搭建Oauth2认证服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。起跟随小编过来看看吧
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务认证授权
2401_84008985的博客
04-18 584
金三银四到了,送上个小福利!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!配置文件server:port: 1202自我介绍下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
SpringBoot+SpringSecurity+JWT+Redis实现认证授权 整体思路: 基于汇客CRM项目
isiywang的博客
08-01 1393
前端提交用户名和密码到后端接口方法中,被springsecurity拦截,需要进行用户认证,首先将用户名和密码通过AuthenticationManager接口中的authenticate方法封装成个Authentication对象但是Authentication是个接口,要用Authentication的实现类UsernamePasswordAuthenticationToken传入用户名和密码参数封装成Authentication对象。............
SpringBoot集成SpringSecurity5和OAuth23、基于数据库的OAuth2认证服务器_springboot oauth 客户端模式使用数据库
2401_84263208的博客
04-18 415
/允许客户端使用表单方式发送请求token的认证(因为表单般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便请求过来验token是不验的)//默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()//如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同个工程中。//“oauth/check_token"是校验token的地址。alibaba 数据连接池。
SpringBoot安全实战:整合SpringSecurity实现OAuth2认证与授权
梵心白莲的博客
03-12 1477
在当今数字化的时代,应用程序的安全性至关重要。OAuth2 作为种开放标准的授权协议,被广泛应用于第三方应用授权和用户认证场景。Spring Security 是 Spring 生态系统中强大的安全框架,而 Spring Boot 则为开发者提供了快速搭建应用的便捷方式。本文将详细介绍如何在 Spring Boot 项目中整合 Spring Security 实现 OAuth2 认证与授权。
SpringBoot3 构建Spring Authorization Server认证服务
wjianwei666的专栏
09-13 1396
OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息通过个叫ID Token 的东西传递给客户端,ID Token使用JWT格式来包装,使得ID Token可以安全的传递给第三方客户端程序并且容易被验证。在 这段代码中我们基于内存模式(InMemory)构建了个oidc-client客户端,客户端通过请求头的形式进行认证,并支持授权码、刷新码、客户端三种认证方式,通过tokenSettings将access_token的有效期设置成2小时。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

觉自性本然

您的鼓励与支持是我最大的动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值