SpringBoot3.X配置OAuth

最新推荐文章于 2025-04-07 00:42:50 发布
最新推荐文章于 2025-04-07 00:42:50 发布
阅读量1.8k 收藏 13
点赞数 24
文章标签: OAuth2.1 SpringBoot3.X
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_60681411/article/details/142511434
版权

      背景

        之前在学习OAuth2时,我就有一个疑惑,OAuth2中有太多的配置、服务类都标注了@Deprecated,如下:

        显然这些写法已经过时了,那么官方推荐的最新写法是什么样的呢?当时我没有深究这些,我以为我放过了它,它就能放过我,谁曾想不久之后,命运的大手不由分说的攥紧了我,让我不得不直面自己的困惑。

        最近我接了个大活,对公司的Java后端技术框架进行版本升级,将SpringBoot的版本从2.X升到3.X,JDK从1.8升到17,在对框架的父工程中的依赖版本进行升级之后,接下来要做的就是对已有的公共服务/组件进行升级了,比如GateWay, 流程引擎,基础平台,认证服务等。其他的服务升级都还算有惊无险,但是升级认证服务OAuth时,不夸张的说,我真是被折腾得死去活来。

        相比于SpringBoot2.X,3.X对于OAuth的配置几乎是进行了巅覆式的变更,很多之前我们熟知的配置方法,要么是换了形式,要么是换了位置,想要配得和2.X一样的效果太难了。好在经历了一番坎坷后,我终于把它给整理出来了,借着OAuth升版的机会,我也终于弄明白了最版的配置是什么样的。

      代码实践

        伴随着JDK和SpringBoot的版本升级,Spring Security也需要进行相应的升级,这直接导致了适用于SpringBoot2.X的相关OAuth配置变得不可用,甚至我们耳熟能详的配置类如AuthorizationServerConfigurerAdapter, WebSecurityConfigurerAdapter等都被删除了,下面就对比着SpringBoot2.X,详细说下3.X中对于配置做了哪些变更。

      一、依赖包的变化

        在SpringBoot2.X中要实现OAuth服务,需要引入以下依赖:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.3.2.RELEASE</version>
        </dependency>
        
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
            <version>2.2.5.RELEASE</version>
        </dependency>

        而在SpringBoot3.X中,需要引入以下依赖包:

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-oauth2-authorization-server</artifactId>
      <version>1.0.0</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-oauth2-core</artifactId>
    </dependency>

      二、支持模式的变化

        新版的spring-security-oauth2-authorization-server依赖包中,仅实现了授权码模式,要想使用之前的用户名密码模式,客户端模式等,还需要手动扩展,扩展模式需要实现这三个接口:

        AuthenticationConverter (用于将认证请求转换为标准的 Authentication 对象)

        AuthenticationProvider (用于定义如何验证用户的认证信息)

        OAuth2AuthorizationGrantAuthenticationToken(将认证对象转换为系统内部可识别的形式)

      三、数据库表的变化

        SpringBoot2.X版本时,OAuth存储客户信息的表结构如下:

create table oauth_client_details (
    client_id VARCHAR(256) PRIMARY KEY,
	resource_ids VARCHAR(256),
	client_secret VARCHAR(256),
	scope VARCHAR(256),
	authorized_grant_types VARCHAR(256),
	web_server_redirect_uri VARCHAR(256),
	authorities VARCHAR(256),
	access_token_validity INTEGER,
	refresh_token_validity INTEGER,
	additional_information VARCHAR(4096),
	autoapprove VARCHAR(256)
);

        升级为SpringBoot3.X后,客户信息表结构如下:

CREATE TABLE oauth2_registered_client (
    id varchar(100) NOT NULL,
    client_id varchar(100) NOT NULL,
    client_id_issued_at timestamp DEFAULT CURRENT_TIMESTAMP NOT NULL,
    client_secret varchar(200) DEFAULT NULL,
    client_secret_expires_at timestamp DEFAULT NULL,
    client_name varchar(200) NOT NULL,
    client_authentication_methods varchar(1000) NOT NULL,
    authorization_grant_types varchar(1000) NOT NULL,
    redirect_uris varchar(1000) DEFAULT NULL,
    scopes varchar(1000) NOT NULL,
    client_settings varchar(2000) NOT NULL,
    token_settings varchar(2000) NOT NULL,
    PRIMARY KEY (id)
);

        四、链接的变化

           旧版本的OAuth服务中,相关的认证接接口的url都是/oauth/*,如/oauth/token /oauth/authorize,而升级到新版后,所有接口的url都变成了/oauth2/*,在配置客户端时需要格外注意。

      五、配置的变化

        接下来就是重头戏:配置的变化,为了更直观的展示SprinBoot在2.X和3.X对于配置的变化,我将把一套2.X的OAuth配置以及它转换成3.X的配置都贴出来,配置中涉及认证自动审批、内存模式和数据库模式,Token的过期时间,Token的JWT转换,Password的加密,自定义登陆页,客户端的授权方式等。

        1、SpringBoot2.X的配置


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;

import javax.annotation.Resource;
import javax.sql.DataSource;
import java.util.Arrays;

/**
 *
 * @author leixiyueqi
 * @since 2023/12/3 22:00
 */
@EnableAuthorizationServer
@Configuration
public class OAuth2Configuration extends AuthorizationServerConfigurerAdapter {

    @Resource
    private AuthenticationManager manager;

    private final MD5PasswordEncoder encoder = new MD5PasswordEncoder();

    @Resource
    UserDetailsService service;

    @Resource
    private DataSource dataSource;

    @Resource
    TokenStore tokenStore;


    /**
     * 这个方法是对客户端进行配置,比如秘钥,唯一id,,一个验证服务器可以预设很多个客户端,
     * 之后这些指定的客户端就可以按照下面指定的方式进行验证
     * @param clients 客户端配置工具
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    /**
     * 以内存的方式设置客户端方法

     @Override
     public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
         clients
             .inMemory()   //这里我们直接硬编码创建,当然也可以像Security那样自定义或是使用JDBC从数据库读取
             .withClient("client")   //客户端名称,随便起就行
             .secret(encoder.encode("123456"))      //只与客户端分享的secret,随便写,但是注意要加密
             .autoApprove(false)    //自动审批,这里关闭,要的就是一会体验那种感觉
             .scopes("read", "write")     //授权范围,这里我们使用全部all
             .autoApprove(true)    // 这个为true时,可以自动授权。
             .redirectUris("http://127.0.0.1:19210/leixi/login/oauth2/code/leixi-client",
             "http://127.0.0.1:8081/login/oauth2/code/client-id-1",
             "http://127.0.0.1:19210/leixi/callback")
             .authorizedGrantTypes("client_credentials", "password", "implicit", "authorization_code", "refresh_token");
             //授权模式,一共支持5种,除了之前我们介绍的四种之外,还有一个刷新Token的模式
     }

     */

    // 令牌端点的安全配置,比如/oauth/token对哪些开放
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security
                .passwordEncoder(encoder)    //编码器设定为BCryptPasswordEncoder
                .allowFormAuthenticationForClients()  //允许客户端使用表单验证,一会我们POST请求中会携带表单信息
                .checkTokenAccess("permitAll()");     //允许所有的Token查询请求
    }

    //令牌访问端点的配置
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

        endpoints
                .userDetailsService(service)
                .authenticationManager(manager)
                .tokenServices(tokenServices());
        //由于SpringSecurity新版本的一些底层改动,这里需要配置一下authenticationManager,才能正常使用password模式
        endpoints.pathMapping("/oauth/confirm_access","/custom/confirm_access");
    }

    // 设置token的存储,过期时间,添加附加信息等
    @Bean
    public AuthorizationServerTokenServices tokenServices() {
        DefaultTokenServices services = new DefaultTokenServices();
        services.setReuseRefreshToken(true);
        services.setTokenStore(tokenStore);
        services.setAccessTokenValiditySeconds(120);   // 设置令牌有效时间
        services.setRefreshTokenValiditySeconds(60*5);  //设计刷新令牌的有效时间
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(new CustomTokenEnhance
最低0.47元/天 解锁文章
雷袭月启
关注
springboot3.x+springsecurity6.x多种方式登录验证
程序猿的傻白甜
11-24 1920
最新的 Spring Security 5.7 及以上版本,更新了不少内容,之前的 WebSecurityConfigurerAdapter 已经被废弃了,而且,要同时实现用户名密码登录、手机验证码登录、邮箱、微信小程序等登录方式,跟之前的配置方式都会有所不同。
Spring Boot 3 极速搭建OAuth2认证框架
oscar999的专栏
03-22 1867
使用 Spring Authorization Server 的较高版本,简单的状况只需要在 application.yml 配置就可以实现认证服务器, 如果要更详细的配置,也可以定义 SecurityConfig.java 进行配置。Spring Authorization Server支持四种授权方式, 简单起见,这里使用 客户端模式(Client Credentials),这种模式使用在API调用的授权上,这里使用 Postman进行验证。定义一个REST的控制器,并且写一个简单的映射方法。
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务
2301_77463738的博客
06-27 3783
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务。
Spring Boot 3.x + OAuth 2.0:构建认证授权服务与资源服务器
真心喜欢你吖研发工程师,记录学习笔记、问题解决方案、知识总结、知识分享;冲鸭!
11-20 2343
在开始之前,我们需要准备三个服务,分别对应认证授权服务、OAuth客户端以及资源服务。服务端口认证授权服务8080OAuth客户端服务8081资源服务8082
Spring Boot 3整合OAuth2实现第三方登录完整指南
最新发布
MenzilBiz的博客
04-07 1115
Slf4j@Override// 根据不同平台处理用户信息// 添加平台标识// 标准化用户信息= null?@Slf4j@Override// 根据不同的登录来源处理不同逻辑// GitHub特定处理逻辑// 设置默认跳转路径// 实现GitHub用户的特定处理逻辑// 例如保存用户信息到数据库等本文详细介绍了在Spring Boot 3中整合OAuth2实现第三方登录的完整流程。
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务...
Java知音
06-11 4112
前言Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源...
Spring Boot 最新版3.x 集成 OAuth 2.0实现认证授权服务、第三方应用客户端以及资源服务
热门推荐
Java技术栈,分享不断学习、不断超越、不断积累的历程!
02-05 2万+
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务Spring发布了spring-security-oauth2-authorization-se
SpringBoot 3.x Oauth2服务器:安全认证新高度
gitblog_01061的博客
08-16 1070
SpringBoot 3.x Oauth2服务器:安全认证新高度 项目地址:https://gitcode.com/gh_mirrors/oau/oauth2-server 在这个数据敏感的时代,身份验证与授权成为了每个应用不可或缺的一部分。今天,我们来探索一个基于SpringBoot 3.x的强大开源项目——Oauth2 Server,它集成了最新的安全标准,为你的应用提供坚实的访问控制保障。 ...
Springboot3.x测试JWT、OAuth2
rooney84的博客
05-15 3586
OAuth 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。OAuth 在客户端与服务提供者之间,设置了一个授权层(authorization layer)。客户端不能直接访问服务提供者,只能访问授权层,以此将用户与客户端区分开来。客户端携带的令牌(token)用来指定权限范围和有效期,校验通过后,服务提供者根据令牌的权限范围和有效期,向客户端开放对应的资源。
springboot2.x实现oauth2授权码登陆的方法
08-25
Spring Boot 2.x 实现 OAuth2 授权码登录的方法 ...Spring Boot 2.x 实现 OAuth2 授权码登录的方法需要配置授权服务器、客户端和资源服务器,使用授权码流程实现用户登录,并使用访问 token 访问资源服务器的资源。
springboot2.x实现oauth2授权码登陆
V539413949的博客
04-23 3165
一 进行授权页 浏览器输入http://localhost:8081/oauth/authorize?response_type=code&redirect_uri=http://localhost:8081/callback&client_id=android1&scop=all 二 使用资源站用户登陆 自动跨到资源登陆页,先登陆 三 授权资源类型 登陆成功后,去授权你的资源,这些资源是在AuthorizationServerConfig.configure方法里配置的 clie
springboot2.x的oauth2 jwt认证,实现普通用户和微信小程序用户登陆
qq_20280007的博客
08-14 4283
oauth2认证服务 网上很多都是基于是spring原有认证,无法实现小程序认证,于是乎改写了部分代码。当然,也可以添加手机验证码登陆,有兴趣的可以参照现有代码来实现。 基于springbootoauth2 jwt,使用私钥进行加密,token信息保存在redis中。用户密码加密方式SCryptPasswordEncoder。 源码:https://github.com/aLiang-xyl/oauth2 springbootoauth2相关知识可参见:https://docs.spring.io/sp
推荐开源项目:SpringBoot 3.x OAuth2 Server - 安全身份认证解决方案
gitblog_00086的博客
05-22 661
推荐开源项目:SpringBoot 3.x OAuth2 Server - 安全身份认证解决方案 项目地址:https://gitcode.com/gh_mirrors/oau/oauth2-server OAuth2 是一个广泛应用于现代Web服务的身份验证和授权标准,它提供了安全且灵活的方式来控制应用之间的权限访问。而这款基于SpringBoot 3.x开发的OAuth2服务器,旨在为你提供一...
Spring Boot 3+ OAuth2 服务器:单点登录认证解决方案
gitblog_07066的博客
09-13 890
Spring Boot 3+ OAuth2 服务器:单点登录认证解决方案 项目地址:https://gitcode.com/gh_mirrors/oau/oauth2-server 项目基础介绍及编程语言 本项目是一个基于Spring Boot 3+的成熟OAuth2服务器实现,专为构建安全的单点登录(SSO)系统设计。它利用了Java作为主要编程语言,结合Spring Boot的现代特性,提供了...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
竹林幽深
08-11 1783
您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。编写授权服务// }创建两个实体类其一:User// 导入 Lombok 库中的注解import lombok.Builder;
03.SpringBoot3+JDK17+Shiro+OAuth2授权方式+JWT
qq_45145629的博客
01-24 2681
使用Srpingnoot3+JDK17+Shiro+OAuth授权方式+JWT完成认证授权
SpringBoot3集成Spring Authorization Server实现SSO单点登录
liu320yj的博客
08-31 2039
在之前的文章中介绍过SpringBoot集成OAuth2老版本的方案,随着Spring Authorization Server框架的成熟和SpringBoot版本的更新,新项目必然会采用新的技术和框架,本文将使用最新的SpringBoot版本和JDK17实现SSO单点登录
Spring Boot 3.3新特性发布
nanxiaotao的博客
05-26 1828
Spring Boot 3.3 现已正式发布!此版本包含大量更新,包括多项新功能。我们决定进行一些挑选,并查看最重要的变化,其中包括对类数据共享 (CDS) 的支持,以加快应用程序启动速度。
Springboot3.x 继承oauth 客户端模式
07-14
在 Spring Boot 3.x 中继承 OAuth 客户端模式,你可以按照以下步骤进行操作: 1. 首先,确保你已经在你的 Spring Boot 3.x 项目中添加了 Spring Security 和 OAuth2 的依赖。 2. 创建一个配置类,用于配置 OAuth2 的客户端信息。你可以在该类中配置客户端的 ID、密钥、授权类型等信息。示例代码如下: ```java @Configuration @EnableOAuth2Client public class OAuth2ClientConfig { @Value("${oauth2.client.client-id}") private String clientId; @Value("${oauth2.client.client-secret}") private String clientSecret; @Value("${oauth2.client.access-token-uri}") private String accessTokenUri; @Value("${oauth2.client.grant-type}") private String grantType; @Bean public OAuth2ProtectedResourceDetails oauth2ClientCredentials() { ClientCredentialsResourceDetails details = new ClientCredentialsResourceDetails(); details.setClientId(clientId); details.setClientSecret(clientSecret); details.setAccessTokenUri(accessTokenUri); details.setGrantType(grantType); return details; } @Bean public OAuth2RestTemplate oauth2RestTemplate(OAuth2ProtectedResourceDetails resourceDetails) { return new OAuth2RestTemplate(resourceDetails); } } ``` 3. 配置 OAuth2 的授权服务器信息。在 application.properties 或 application.yml 文件中添加以下属性: ``` oauth2.client.client-id=your-client-id oauth2.client.client-secret=your-client-secret oauth2.client.access-token-uri=your-access-token-uri oauth2.client.grant-type=client_credentials ``` 确保将上述属性值替换为你实际的授权服务器信息。 4. 创建一个服务类,用于调用受保护资源。你可以使用 `OAuth2RestTemplate` 类来发送 HTTP 请求并获取受保护资源的响应。示例代码如下: ```java @Service public class ProtectedResourceService { @Autowired private OAuth2RestTemplate restTemplate; public String getProtectedResource() { ResponseEntity<String> response = restTemplate.exchange( "https://api.example.com/resource", HttpMethod.GET, null, String.class); return response.getBody(); } } ``` 在上述代码中,`https://api.example.com/resource` 是你想要获取的受保护资源的 URL。 现在,你可以在其他组件中注入 `ProtectedResourceService` 并调用 `getProtectedResource()` 方法来获取受保护资源了。 请注意,以上代码仅为示例,你需要根据你的实际需求进行相应的配置和修改。希望这能帮助到你!如果有任何疑问,请随时提问。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值