Spring Security Oauth2 Jwt 详细应用

最新推荐文章于 2025-04-14 10:55:41 发布
最新推荐文章于 2025-04-14 10:55:41 发布
阅读量385 收藏 2
点赞数
分类专栏: j2ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32238203/article/details/108244355
版权

Spring Security 基础登录查看这篇:Spring Security 简单应用

  • Maven 加上 Oauth2 的依赖

   <dependency>
       <groupId>org.springframework.security.oauth.boot</groupId>
       <artifactId>spring-security-oauth2-autoconfigure</artifactId>
   </dependency>
  • 编写 Oauth2 的配置类
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private ClientDetailsService clientDetailsService;
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;

    /**
     * 用来配置客户端详情服务(ClientDetailsService),
     * 客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("provider1")//客户端ID
                .secret(new BCryptPasswordEncoder().encode("provider1"))//客户端密钥
                .resourceIds("provider1")//资源列表
                .authorizedGrantTypes("authorization_code","password","client_credentials","implicit","refresh_token")//
                .scopes("all")//允许授权范围
                .autoApprove(false)// false 跳转到授权页面
                .redirectUris("http://localhost:7092/");//回调url
    }

    /**
     * 用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)。
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .authenticationManager(authenticationManager)//密码模式需要
                .authorizationCodeServices(authorizationCodeServices)//授权码模式需要
                .tokenServices(tokenServices())//令牌管理服务
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);//支持post提交
    }

    /**
     * 用来配置令牌端点(Token Endpoint)的安全约束.
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
                .tokenKeyAccess("permitAll()")//oauth/token_key公开
                .checkTokenAccess("permitAll()")//oauth/check_token公开
                .allowFormAuthenticationForClients();//表单认证,申请令牌
    }

    /**
     * 令牌服务:授权码模式
     * @return
     */
    @Bean
    public AuthorizationServerTokenServices tokenServices(){
        DefaultTokenServices services = new DefaultTokenServices();
        services.setClientDetailsService(clientDetailsService);//客户端信息服务
        services.setSupportRefreshToken(true);//是否产生刷新令牌
        services.setTokenStore(tokenStore);//令牌存储策略
        services.setAccessTokenValiditySeconds(7200);//令牌默认有效期2小时
        services.setRefreshTokenValiditySeconds(259200);//刷新令牌默认有效期3天
        return services;
    }

}

在 Spring Security Configuration 配置 Bean authenticationManager 和 authorizationCodeServices 不然会报找不到

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public AuthorizationCodeServices authorizationCodeServices(){
        return new InMemoryAuthorizationCodeServices();
    }

测试:启动服务

回调uri会携带请求码,例:http://localhost:7092/?code=O5NGRR

授权码模式是四种模式更最安全的一种模式。一般用于client是Web服务器端应用或第三方的原生App调用资源服务的时候。因为在这种模式中access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险。

  • 简化模式,把响应类型改成Token(response_type=token)

直接访问:http://localhost:7902/oauth/authorize?client_id=provider1&response_type=token&scope=all&redirect_uri=http://localhost:7092/

回调:http://localhost:7092/#access_token=d8fd8cdc-6daa-499b-899f-38c71b39b349&token_type=bearer&expires_in=7199

一般来说,简化模式用于没有服务器端的第三方单页面应用,因为没有服务器端就无法接收授权码。

  • 密码模式

这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了cient,因此这就说明这种模式只能用于client是我们自己开发的情况下。因此密码模式一般用于我们自己开发的,第一方原生App或第一方单页面应用。

访问提供用户名密码:http://localhost:7902/oauth/token?redirect_uri=http://localhost:7092/&client_id=provider1&client_secret=provider1&grant_type=password&username=admin&password=admin

  • 客户端模式

这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。因此这种模式一般用来提供给我们完全信任的服务器端服务。比如,合作方系统对接,拉取一组用户信息。

  • 资源服务器配置
  • Maven 依赖
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
        </dependency>
  • 资源服务器配置(ResourceServerConfigurer)
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("provider1")
                .tokenServices(tokenServices())
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").access("#oauth2.hasAnyScope('all')")
                .and().csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    /**
     * 远程调用令牌服务
     * @return
     */
    @Bean
    public RemoteTokenServices tokenServices(){
        RemoteTokenServices services = new RemoteTokenServices();
        services.setCheckTokenEndpointUrl("http://localhost:7902/oauth/check_token");
        services.setClientId("provider1");
        services.setClientSecret("provider1");
        return services;
    }

}

到此为此可以获取token令牌,但是可以访问所有的权限,@PreAuthorize("hasAuthority('list')") 需要生效配置WebSecurityConfigurer

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 安全拦截机制
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/**").authenticated()//所有页面必需认证通过
                .anyRequest().permitAll();//除了/**,其他可以访问
    }
}

但是这种普通停牌比较麻烦,每次访问都需要到认证服务器检验,使用Jwt则解决了这个问题,在认证中心添加代码

    /**
     * 令牌存储
     * @return
     */
    @Bean
    public TokenStore tokenStore(){
        //令牌存储方案
//        return new InMemoryTokenStore();
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter(){
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("cork");//对称秘钥,资源服务器使用该秘钥来验证
        return converter;
    }

在认证服务配置里做令牌增强

    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;

    /**
     * 令牌服务
     * @return
     */
    @Bean
    public AuthorizationServerTokenServices tokenServices(){
        DefaultTokenServices services = new DefaultTokenServices();
        services.setClientDetailsService(clientDetailsService);//客户端信息服务
        services.setSupportRefreshToken(true);//是否产生刷新令牌
        services.setTokenStore(tokenStore);//令牌存储策略

        //令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        services.setTokenEnhancer(tokenEnhancerChain);

        services.setAccessTokenValiditySeconds(7200);//令牌默认有效期2小时
        services.setRefreshTokenValiditySeconds(259200);//刷新令牌默认有效期3天
        return services;
    }

在生产者项目对资源服务配置也添加令牌服务进行解码,这样就可以实现令牌检验了

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("provider1")
//                .tokenServices(tokenServices())
                .tokenStore(tokenStore())
                .stateless(true);
    }

    /**
     * 远程调用令牌服务
     * @return
     */
//    @Bean
//    public RemoteTokenServices tokenServices(){
//        RemoteTokenServices services = new RemoteTokenServices();
//        services.setCheckTokenEndpointUrl("http://localhost:7902/oauth/check_token");
//        services.setClientId("provider1");
//        services.setClientSecret("provider1");
//        return services;
//    }

    /**
     * 令牌存储
     * @return
     */
    @Bean
    public TokenStore tokenStore(){
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter(){
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("cork");//对称秘钥,资源服务器使用该秘钥来验证
        return converter;
    }

}

到此单点登录已经完成了,接下来就是资源服务的优化了,毕竟不止是一个服务需要认证,配置起来还是比较麻烦。

 

 

 

 

 

 

 

SpringCloudGateway-Consider .... security.oauth2.jwt.ReactiveJwtDecoder‘ in your configuration.
Eistert
08-17 3791
报错信息: 2021-08-17 15:39:39.004 WARN 29619 --- [ main] onfigReactiveWebServerApplicationContext : Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: E
使用spring-security-oauth2spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案
Ead_Y的博客
03-18 2619
关于早些时候的Spring Security版本中,可以使用和依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代作为授权服务器。本文为复现通过和实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。
Spring Security OAuth2实现使用JWT
竹林幽深
09-12 1531
https://blog.csdn.net/AaronSimon/article/details/84071811 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/AaronSimon/article/details/84071811 在Spring Security Oauth2-授...
SpringBoot安全框架三剑客:SpringSecurity+JWT+OAuth2整合
最新发布
梵心白莲的博客
04-14 1049
在现代Web应用开发中,安全性是至关重要的一个方面。Spring Boot作为一个流行的Java开发框架,提供了丰富的安全解决方案。其中,Spring SecurityJWT(JSON Web Token)和OAuth 2是三个非常强大的安全工具,将它们整合在一起可以构建出高度安全且灵活的Web应用。本文将详细介绍如何在Spring Boot项目中整合这三个安全框架。
Spring Security Oauth2 JWT
m0_73282829的博客
03-11 332
小白型复制粘贴用Spring Security Oauth2 JWT登录认证模块样板
spring-security-oauth2集成jwt
u013008898的博客
06-12 870
JwtTokenStoreConfig: AuthorizationServerConfig:
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurity OAuth2 JWT微服务集成若干问题
luolai的专栏
05-25 1140
注意对下面://.antMatchers("/r/**","/course/**").authenticated()//所有/r/**的请求必须认证通过 的设置。.antMatchers("/**","/ap**/**").authenticated()//所有/r/**的请求必须认证通过。.antMatchers("/**").authenticated()//访问/r开始的请求需要认证通过。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
整合SpringSecurity OAuth2 JWT (附原因)一步步来如此简单
qq_18537055的博客
11-14 856
梳理整合 SpringCloud 和 SpringSecurity OAuth2 的搭建流程,网上看了一些,感觉都很差强人意,所以决定梳理下,不多说了开鲁吧。 ...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一终端的唯一性登录。 OAuth2 是一种身份验证协议,通过将客户端、资源服务器和授权服务器分离,实现了灵活...
Spring OAuth2 JWT
专栏
05-18 611
授权服务器配置:创建JwtAccessTokenConverterpackage com.oleka; import java.security.KeyPair; import org.springframework.boot.Banner; import org.springframework.boot.SpringApplication; import org.springframewor...
基于security-oauth2-autoconfigure实现的OAuth2迁移到更现代的解决方案,Spring Security 5中使用OAuth2配合JWT实现安全认证
Ead_Y的博客
03-19 1994
Spring Security 5中使用OAuth2配合JWT实现安全认证,可以通过资源服务器和客户端的方式来配置。这里,我将分别说明如何配置OAuth2资源服务器和客户端,以及如何结合JWT使用。
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 9704
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT...
12. spring security oauth2JWT (2刷)
qq120631157的博客
08-25 489
JWT json web token 紧凑 且自包含的标准 HMAC算法 或 RSA(非对称加密)对 JWT进行签名 紧凑形 自包含 JWT 构成,3部分, 分别 . 分隔 Header Payload 有效荷载 Signature 签名 xx.yy.zzz header 两部分构成:令牌类型 和 使用的算法类型 令牌类型:HMAC,SHA256,RSA { "alg":"HS256", "typ":"JWT" } 使用 Base64 Payload 用户信息 和 Claim (声明,权利) 有
springsecurity+oauth2.0分布式认证授权案例 JWT令牌服务配置5
健康平安的活着的专栏
08-29 2523
jwt 1.1 jwt? JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 1.2 解决问题 当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权 服务验证token,如果访问量较大将会影响系统的性能 。 解决上边问题: 令牌采用J
springCloud如果遇到网关问题Consider defining a bean of type 'org.springframework.http.codec.ServerCodec
热门推荐
wenhao24725的博客
01-14 2万+
把 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> <dependency> 修改成 ...
SpringSecurity OAuth2.0认证授权-part3
qq_45441466的博客
02-22 1070
从0到1构建oauth2 微服务权限认证
Spring Security Oauth2 JWT 完整教程与资源下载
从提供的文件信息中,可以提取出相关的知识点,主要集中在Spring SecurityOAuth2JWT(Json Web Tokens)这三个技术领域。以下是对这些知识点的详细介绍: ### Spring Security Spring Security是一个功能强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值