【Spring Security】Spring Security 与 OAuth2 之资源服务授权

最新推荐文章于 2023-04-13 10:49:46 发布
原创 最新推荐文章于 2023-04-13 10:49:46 发布 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt

本文详细介绍了资源服务授权的流程,包括客户端如何通过令牌访问资源服务,以及资源服务如何验证令牌的有效性。文中还提供了资源服务授权的具体配置步骤,如公钥配置、依赖添加和Http安全配置等。

在这里插入图片描述

1.资源服务授权

1.1资源服务授权流程

资源服务拥有要访问的受保护资源,客户端携带令牌访问资源服务,如果令牌合法则可成功访问资源服务中的资
源,如下图:
在这里插入图片描述
上图的业务流程如下:

  1. 客户端请求认证服务申请令牌
  2. 认证服务生成令牌认证服务采用非对称加密算法,使用私钥生成令牌。
  3. 客户端携带令牌访问资源服务客户端在Http header 中添Authorization:Bearer 令牌。
  4. 资源服务请求认证服务校验令牌的有效性资源服务接收到令牌,使用公钥校验令牌的合法性。
  5. 令牌有效,资源服务向客户端响应资源信息

1.2 资源服务授权配置

  1. 配置公钥

认证服务生成令牌采用非对称加密算法,认证服务采用私钥加密生成令牌,对外向资源服务提供公钥,资源服务使用公钥 来校验令牌的合法性。

将公钥拷贝到 publickey.txt文件中,将此文件拷贝到资源服务工程的classpath下

  1. 添加依赖
<dependency>
	<groupId>org.springframework.cloud</groupId>
	<artifactId>spring‐cloud‐starter‐oauth2</artifactId>
</dependency>
  1. 在config包下创建ResourceServerConfig类
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的PreAuthorize注解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    //公钥
    private static final String PUBLIC_KEY = "publickey.txt";

    //定义JwtTokenStore,使用jwt令牌
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    //定义JJwtAccessTokenConverter,使用jwt令牌
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(getPubKey());
        return converter;
    }

    /**
     * 获取非对称加密公钥 Key
     *
     * @return 公钥 Key
     */
    private String getPubKey() {
        Resource resource = new ClassPathResource(PUBLIC_KEY);
        try {
            InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
            BufferedReader br = new BufferedReader(inputStreamReader);
            return br.lines().collect(Collectors.joining("\n"));
        } catch (IOException ioe) {
            return null;
        }
    }

    //Http安全配置,对每个到达系统的http请求链接进行校验
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //所有请求必须认证通过
        http.authorizeRequests()
                //下边的路径放行
                .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui",
                        "/swagger-resources", "/swagger-resources/configuration/security",
                        "/swagger-ui.html", "/webjars/**").permitAll()
                .anyRequest().authenticated();
    }
}

1.3 资源服务授权测试

  • 发送请求 http://localhost:8888/security/hello
    在这里插入图片描述

  • 请求时携带令牌,在http header中添加 Authorization: Bearer 令牌

在这里插入图片描述

  • 将令牌填错

在这里插入图片描述

github地址:https://github.com/fafeidou/fast-cloud-nacos/tree/master/fast-cloud-nacos-examples/spring-security-examples/security-provider

Spring BootSpring Security实现OAuth2认证:基于令牌的认证授权
**My Coding Family**
07-27 1518
🏆本文收录于《滚雪球学Spring Boot》,专门攻坚指数提升,2025 年国内最系统+最强(更新中)。    本专栏致力打造最硬核 Spring Boot 从零基础到进阶系列学习内容,🚀均为全网独家首发,打造精品专栏,专栏持续更新中…欢迎大家订阅持续学习。 如果想快速定位学习,可以看这篇【SpringBoot教程导航帖】,你想学习的都被收集在内,快速投入学习!!两不误。
四、SpringSecurity OAuth2统一授权服务
时间海绵
06-02 1518
OAuth是一个关于授权(authorization)的开放网络标准,2.0版本在全世界得到广泛应用,SpringSecurity OAuth2提供了相关实现
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
Spring Cloud Security OAuth2授权模式和资源服务
热门推荐
学习记录和总结
05-15 1万+
Spring Cloud Security OAuth2授权模式和资源服务
SpringSecurity资源和权限加入到数据库】
Marvel__Dead 胡艺宝的博客
08-10 1171
Learn-SpringSecurity 学习SpringSecurity时,写的小案例。已达目标:完成了资源权限的数据库持久化。主要功能实现都是归功于该博客:学习博客地址数据库文件下载GitHub代码下载你只需要写一个类,就是下面的类,再把该类配置一下(配置在SpringSecurity.xml里面)就能够实现上面的目标了。 该打注释的地方,我写了的,祝福你能够看懂,谢谢!!!/** * C
搭建spring-security-oauth2授权服务(服务)和资源服务(模块)(一)—— 搭建授权服务
疯子也是猖狂
03-05 1731
之前用的是springsecurity+jwt作为安全验证,现在oauth2版本也可以实现,而且还有对外的token获取方式,所以替换成oauth2版本的springsecurity。 同样是使用jwt管理token,但是会加上redis,因为jwt生成的token是无状态的,所以生成新toekn后,旧token依旧能用,所以使用redis作为中间件来避免旧token还能使用的情况,实现单点登陆。 项目接口,红框里的是没用的,不用管 首先创建一个springboot项目,由于我用的是微服务授权
Spring Security+OAuth2 精讲,打造企业级认证授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring SecuritySpring生态系统中的一个强大安全框架,它提供了...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
Spring Security+OAuth2 精讲,打造企业级认证授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证授权2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 6322
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
Spring SecurityOAuth2的完美结合
m0_49151953的博客
04-13 1991
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权服务器,资源服务器是指存储资源服务器。Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
SpringBoot Spring Security OAuth2 密码模式
csl12919的博客
11-28 1332
SpringBoot Spring Security OAuth2 授权码模式_没有计划。的博客-优快云博客我们可以通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。
oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问
土味儿
05-20 5575
1、概述 上一节中介绍了项目的搭建,并实现了授权码模式的访问。在上一节的基础上,再来实现客户端模式。【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 用户通过客户端访问资源授权码模式 微服务(资源)间的访问客户端模式;客户端模式下,只需要提供注册客户端的ID和密钥,就可以向授权服务器申请令牌,授权服务器核实ID和密钥后,会直接发放令牌,无须再认证/授权,特别适合项目内部模块间的调用。 2授权服务器中注册客户端
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 2159
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
玩转Spring Cloud Security OAuth2资源授权动态权限扩展
iloveoverfly的博客
03-08 8484
Spring Cloud Security OAuth2授权信息,属于一次加载,然后缓存到资源服务。如果在运行时,有两种方式动态获取权限信息。实现AccessDecisionVoter接口,自定义授权逻辑和实现FilterInvocationSecurityMetadataSource自定义url路径需要授权的信息。 方式一:实现AccessDecisionVoter接口 示例中,根据user...
Springsecurity从数据库中动态加载登陆、授权资源鉴权规则(重要)
方木的博客
02-17 2150
五、加载动态数据进行登录授权(重要) 实际的业务系统中,用户权限的对应关系通常是存放在RBAC权限模型的数据库表中的 RBAC的权限模型可以从用户获取为用户分配的一个或多个角色,从用户的角色又可以获取该角色的多种权限。通过关联查询可以获取某个用户的角色信息和权限信息。 如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetailsUserDetailsService接...
理论篇(一) Spring Security+OAuth2 权限服务
qq_42668337的博客
09-26 999
目录 首先什么是OAuth2 SpringSecurity又是什么 为什么用OAuth2 整个流程图 交互过程 第三方接入 Access Token令牌刷新 Refresh Token 客户端授权模式 概述 简化模式 授权码模式 密码模式 客户端模式 总结 声明 首先什么是OAuth2 oAuth2是一种协议,可以理解为是一种标准 特点在不会让第三...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值