org.springframework.security.oauth2.config.annotation.web.configuration下的类详解

最新推荐文章于 2025-05-25 22:42:31 发布
原创 最新推荐文章于 2025-05-25 22:42:31 发布 · 9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#security #oauth2

文章目录

相关类github链接

注解

EnableAuthorizationServer

EnableAuthorizationServer
表明该类用于配置授权服务

EnableOAuth2Client

EnableOAuth2Client
表明该类用于配置资源服务

EnableResourceServer

EnableResourceServer
表明该类用于配置鉴权服务,核心鉴权逻辑

配置类

AuthorizationServerConfigurer

AuthorizationServerConfigurer
配置OAUth2授权服务器的便捷策略。

  • 用来配置令牌端点(Token Endpoint)的安全约束
/**
	 * Configure the security of the Authorization Server, which means in practical terms the /oauth/token endpoint. The
	 * /oauth/authorize endpoint also needs to be secure, but that is a normal user-facing endpoint and should be
	 * secured the same way as the rest of your UI, so is not covered here. The default settings cover the most common
	 * requirements, following recommendations from the OAuth2 spec, so you don't need to do anything here to get a
	 * basic server up and running.
	 * 
	 * @param security a fluent configurer for security features
	 */
	void configure(AuthorizationServerSecurityConfigurer security) throws Exception;
  • 用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息

	/**
	 * Configure the {@link ClientDetailsService}, e.g. declaring individual clients and their properties. Note that
	 * password grant is not enabled (even if some clients are allowed it) unless an {@link AuthenticationManager} is
	 * supplied to the {@link #configure(AuthorizationServerEndpointsConfigurer)}. At least one client, or a fully
	 * formed custom {@link ClientDetailsService} must be declared or the server will not start.
	 * 
	 * @param clients the client details configurer
	 */
	void configure(ClientDetailsServiceConfigurer clients) throws Exception;
  • 用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)
	/**
	 * Configure the non-security features of the Authorization Server endpoints, like token store, token
	 * customizations, user approvals and grant types. You shouldn't need to do anything by default, unless you need
	 * password grants, in which case you need to provide an {@link AuthenticationManager}.
	 * 
	 * @param endpoints the endpoints configurer
	 */
	void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception;

AuthorizationServerConfigurerAdapter

AuthorizationServerConfigurerAdapter
该类实现 AuthorizationServerConfigurer

AuthorizationServerEndpointsConfiguration

AuthorizationServerEndpointsConfiguration

@Configuration
@Import(TokenKeyEndpointRegistrar.class)
public class AuthorizationServerEndpointsConfiguration {
   
   

	private AuthorizationServerEndpointsConfigurer endpoints = new AuthorizationServerEndpointsConfigurer();

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

	@PostConstruct
	public void init() {
   
   
		for (AuthorizationServerConfigurer configurer : configurers) {
   
   
			try {
   
   
				configurer.configure(endpoints);
			} catch (Exception e) {
   
   
				throw new IllegalStateException("Cannot configure enpdoints", e);
			}
		}
		endpoints.setClientDetailsService(clientDetailsService);
	}

	@Bean
	public AuthorizationEndpoint authorizationEndpoint() throws Exception {
   
   
		AuthorizationEndpoint authorizationEndpoint = new AuthorizationEndpoint();
		FrameworkEndpointHandlerMapping mapping = getEndpointsConfigurer().getFrameworkEndpointHandlerMapping();
		authorizationEndpoint.setUserApprovalPage(extractPath(mapping, "/oauth/confirm_access"));
		authorizationEndpoint.setProviderExceptionHandler(exceptionTranslator());
		authorizationEndpoint.setErrorPage(extractPath(mapping, "/oauth/error"));
		authorizationEndpoint.setTokenGranter(tokenGranter());
		authorizationEndpoint.setClientDetailsService(clientDetailsService);
		authorizationEndpoint.setAuthorizationCodeServices(authorizationCodeServices());
		authorizationEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		authorizationEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		authorizationEndpoint.setUserApprovalHandler(userApprovalHandler());
		authorizationEndpoint.setRedirectResolver(redirectResolver());
		return authorizationEndpoint;
	}

	@Bean
	public TokenEndpoint tokenEndpoint() throws Exception {
   
   
		TokenEndpoint tokenEndpoint = new TokenEndpoint();
		tokenEndpoint.setClientDetailsService(clientDetailsService);
		tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
		tokenEndpoint.setTokenGranter(tokenGranter());
		tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
		return tokenEndpoint;
	}

	@Bean
	public CheckTokenEndpoint checkTokenEndpoint() {
   
   
		CheckTokenEndpoint endpoint = new CheckTokenEndpoint(getEndpointsConfigurer().getResourceServerTokenServices());
		endpoint
最低0.47元/天 解锁文章

200万优质内容无限畅学
14. Spring Boot 2.x 最佳实践之 Spring Security 集成
极客星云-优快云博客
11-30 1575
Spring Boot 2.x 最佳实践之 Spring Security 集成
Spring Security 与 JWT、OAuth 2.0 整合详解:构建安全可靠的认证与授权机制
微笑听雨
06-13 5593
将 JWT(JSON Web Token)与 OAuth 2.0 整合到 Spring Security 中可以为应用程序提供强大的认证和授权功能。以下是详细的整合步骤和代码示例。
Spring Security安全框架
weixin_66307949的博客
08-02 1756
创建配置webSecurityConfigureAdapter(去继承它)(1)查询username、password、validate(用户是否有效)config(HttpSecuritr http):设置访问控制。(2)查询username、authority(权限)布尔型的字段:用户是否有效。启动项目,自定义进行安全管理(默认的安全管理模式)密码:必须进行加密操作。授权:确定用户的权限,对用户权限进行管理。认证:确认用户是否登录,对登录进行管控。创建工具config层)......
spring-security-oauth2(授权模式入门简单使用)
IABQL的博客
08-13 3091
当前应用需要实现第三方登入,那么第三方是如何进行授权认证的?这就是oauth2协议。模拟实现微信端是如何进行授权认证登入。举例:豆瓣就是客户应用,授权服务器、资源服务器就是微信端持有。豆瓣需要向微信的授权服务器获取授权,获取到授权后再向资源服务器获取用户信息。那么我们就需要1.需要配置一个授权服务器(发放授权码)2.配置一个资源服务器(获取用户信息接口需要令牌才能访问)3.配置一个接口(获取返回用户信息)4.还要实现模拟用户的登入(因为授权服务器需要向用户发起是否允许授权的请求)......
Spring Security介绍及配置
m0_50982328的博客
05-25 395
Spring Security是一个功能强大的Java安全框架,它提供了全面的安全认证(Authentication)和授权(Authorization)的支持与RBAC模型结合使用时,Spring Security能够实现灵活权限控制。
Spring Security OAuth2-资源模块配置
u013008898的博客
09-26 1663
配置资源服务器 创建一个继承 ResourceServerConfigurerAdapter 并添加相关注解: @Configuration @EnableResourceServer:资源服务器 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true):全局方法拦截 package com.kejin.oauth2.resource.config; impor
Error creating bean with name ‘org.springframework.security.oauth2.config.annotation.web.configurati
Kevinnsm的博客
10-31 4778
出现以下错误主要原因是加入了资源服务器的配置却没有标识该服务为资源服务器。 org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfiguration': Post-processing of merged be
spring security oauth2 授权服务器配置
weixin_33918357的博客
10-29 308
2019独角兽企业重金招聘Python工程师标准>>> ...
package com.security.springsecurityoauth2demo.config; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter; /** * 资源服务器 */ @Configuration public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest() .authenticated() .and() //需要授权服务器授权的请求 .requestMatchers().antMatchers("/user/**"); } } 详细解释一下这段代码
最新发布
08-04
我们正在讨论Spring Security OAuth2的ResourceServerConfig配置。这个用于配置资源服务器的行为,即保护我们的API资源,验证访问令牌。 根据引用[1]和[2],资源服务器通过验证令牌来保护微服务资源。引用[3]和...
Spring Authorization Server 1.4.0 使用及详细配置 搭配Spring Boot3.4.0 + Spring Security6.4.1
m0_74823933的博客
02-06 1534
Spring Authorization Server 是一个提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现的框架。它构建在Spring Security之上,为构建 OpenID Connect 1.0 身份提供商和 OAuth2 授权服务器产品提供安全、轻量级和可定制的基础。
使用spring security实现oauth安全认证
cajan2的专栏
06-25 1351
http://spring-security-oauth.codehaus.org/tutorial.html oauth
spring security oauth2认证中心 ClientDetailsServiceConfiguration自动配置源码
路过君的博客
02-18 1699
org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented // 导入认证服务器端点配置和安全配置 @Import({AuthorizationServerEndpointsConfiguration.class, Auth.
spring security oauth2 资源服务器配置
weixin_34235457的博客
10-29 2238
2019独角兽企业重金招聘Python工程师标准>>> ...
搭建spring-security-oauth2授权服务(服务)和资源服务(模块)(一)—— 搭建授权服务
疯子也是猖狂
03-05 1664
之前用的是springsecurity+jwt作为安全验证,现在oauth2版本也可以实现,而且还有对外的token获取方式,所以替换成oauth2版本的springsecurity。 同样是使用jwt管理token,但是会加上redis,因为jwt生成的token是无状态的,所以生成新toekn后,旧token依旧能用,所以使用redis作为中间件来避免旧token还能使用的情况,实现单点登陆。 项目接口,红框里的是没用的,不用管 首先创建一个springboot项目,由于我用的是微服务,授权服
Spring Security OAuth 项目教程
gitblog_01132的博客
08-08 603
Spring Security OAuth 项目教程 1. 项目的目录结构及介绍 Spring Security OAuth 项目的目录结构遵循典型的 Maven 项目结构。以下是主要目录及其功能的介绍: src/main/java: 包含项目的所有 Java 源代码。 org.springframework.security.oauth: 核心包,包含 OAuth 认证和授权的相关和接口...
【Spring Security OAuth2笔记系列】- 项目结构
代码有毒的博客
08-08 2241
项目结构 整体项目结构与环境搭建,我使用gradle开发,视频中是maven。且我使用的各种jar版本是spring boot2的 刚开始这里项目结构没有认真看视频,在开发完demo项目之后 发现依赖browser项目,定义的安全配置完全不生效。 这里重新来认真学习下分模块。 所以如果在demo里面的笔记有关依赖相关的以这里为主。问题也不大 spring-secu...
SpringSecurity Oauth2
2509_90931430的博客
03-13 288
Spring Security Oauth2
Spring Security OAuth2
qq_60257417的博客
04-01 532
CustomUserAuthenticationConverter。AuthorizationServerConfig。UserDetailsServiceImplconfigure()方法给登录退出接口放行。WebSecurityConfig。AutoServiceImpl。service.impl包。AuthToken
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2655
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
I/O failure while processing configuration class [org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfiguration]
07-12
<think>我们正在处理一个关于Spring Security OAuth2配置的问题,具体是在处理ResourceServerConfiguration时遇到了I/O错误。 这个错误通常与配置错误或依赖问题有关。我们需要逐步排查可能的原因。 常见的I/O错误原因: 1. 配置文件路径错误:可能是在加载资源文件时,路径不正确导致I/O异常。 2. 路径资源不存在:使用`classpath:`引用资源时,资源不存在。 3. 权限问题:应用没有权限读取资源文件。 4. 依赖缺失:缺少必要的依赖,导致加载失败,进而引发I/O错误(例如,在加载时可能触发对资源的读取,如果依赖缺失,加载失败可能会被包装成I/O错误)。 5. 配置错误:在配置ResourceServer时,可能错误地配置了某个需要读取外部资源的属性。 由于错误信息提到的是处理`ResourceServerConfiguration`时发生I/O错误,我们需要关注该配置中可能涉及I/O操作的部分。 在Spring Security OAuth2中,`ResourceServerConfiguration`通常用于配置资源服务器。它可能涉及以下方面: - 配置令牌存储(TokenStore),例如JdbcTokenStore,需要访问数据库。 - 配置远程令牌服务(RemoteTokenServices),需要访问授权服务器来检查令牌。 - 配置JWT(JwtTokenStore),可能需要读取密钥文件(如公钥)。 因此,I/O错误很可能发生在以下情况: 1. 使用JWT并且配置了`JwtAccessTokenConverter`,其中设置了`VerifierKey`(公钥)从某个文件读取,而文件路径错误或文件不存在。 2. 使用`RemoteTokenServices`时,授权服务器的URL配置不正确,导致连接问题(网络I/O错误)。 3. 数据库连接问题(如果使用数据库存储令牌),但通常数据库连接问题会抛出SQL异常,而不是I/O异常,除非是网络层面的问题。 步骤: 1. 检查配置中是否使用了JWT,并且是否从文件系统或路径中读取密钥文件。例如: ```java @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); // 下面这行如果文件不存在,会抛出I/O异常 converter.setVerifierKey(getPublicKeyAsString()); return converter; } private String getPublicKeyAsString() { // 尝试从文件读取,如果文件路径错误,则抛出异常 return new String(Files.readAllBytes(Paths.get("public.key")), StandardCharsets.UTF_8); } ``` 或者使用路径资源: ```java Resource resource = new ClassPathResource("public.key"); // 如果public.key不在路径下,会抛出I/O异常(FileNotFoundException) InputStream inputStream = resource.getInputStream(); ``` 2. 检查`RemoteTokenServices`的配置,确保`checkTokenEndpointUrl`是正确的,并且授权服务器是可访问的。如果网络不通,可能会抛出I/O异常(如连接超时等)。 3. 检查日志,看是否有更详细的错误信息,比如文件未找到、连接拒绝等。 解决方案: 情况1:JWT公钥读取问题 - 确保公钥文件在正确的位置,并且路径正确。 - 如果使用路径,确保文件在`src/main/resources`目录下,然后使用`ClassPathResource`来读取。 情况2:授权服务器连接问题 - 确保授权服务器正在运行且URL正确。 - 检查网络连接,确保资源服务器可以访问授权服务器。 另外,如果使用数据库存储令牌,确保数据库连接配置正确,并且数据库服务可用。 由于问题描述有限,我们只能给出一般性的排查步骤。 下面是一个典型的配置示例(使用JWT),并注意公钥的读取方式: 使用路径资源读取公钥: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/api/**").authenticated(); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); Resource resource = new ClassPathResource("public.txt"); String publicKey = null; try { publicKey = IOUtils.toString(resource.getInputStream(), StandardCharsets.UTF_8); } catch (final IOException e) { throw new RuntimeException(e); } converter.setVerifierKey(publicKey); return converter; } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } } ``` 如果公钥文件`public.txt`不在路径下,`resource.getInputStream()`就会抛出`FileNotFoundException`(属于I/O异常)。 因此,请检查文件是否存在。另外,也可以考虑使用环境变量或配置属性来设置公钥字符串,避免直接读取文件。 如果问题仍然存在,请提供更详细的错误堆栈信息。 相关问题: 1. 如何解决Spring Security OAuth2中资源服务器配置的I/O错误? 2. 在Spring Security OAuth2中如何正确配置JWT公钥? 3. 如何调试Spring Security OAuth2的配置问题?</think>### Spring Security OAuth2 中 ResourceServerConfiguration 的 I/O 错误解决方案 在 Spring Security OAuth2 配置中,处理 `ResourceServerConfiguration` 时遇到 I/O 错误通常由以下原因引起: #### 常见原因及解决方案 1. **公钥文件加载失败(JWT 配置)** 当使用 JWT 令牌时,需从文件系统或路径加载公钥。若路径错误或权限不足会导致 I/O 错误: ```java @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); Resource resource = new ClassPathResource("public-key.pem"); // 文件路径错误或缺失 String publicKey = String.join("", Files.readAllLines(resource.getFile().toPath())); converter.setVerifierKey(publicKey); return converter; } ``` **修复方案**: - 确认文件路径:将公钥文件放在 `src/main/resources` 目录下 - 改用安全读取方式: ```java try (InputStream is = resource.getInputStream()) { String publicKey = new String(is.readAllBytes(), StandardCharsets.UTF_8); converter.setVerifierKey(publicKey); } ``` 2. **远程令牌验证失败** 使用 `RemoteTokenServices` 时,授权服务器不可达或 URL 错误: ```java @Bean public RemoteTokenServices tokenService() { RemoteTokenServices service = new RemoteTokenServices(); service.setCheckTokenEndpointUrl("http://auth-server/oauth/check_token"); // 错误URL或网络问题 service.setClientId("client"); service.setClientSecret("secret"); return service; } ``` **修复方案**: - 检查授权服务器状态和网络连通性 - 验证端点 URL 是否正确 - 添加超时配置: ```java RestTemplate restTemplate = new RestTemplate(); restTemplate.setRequestFactory(new HttpComponentsClientHttpRequestFactory()); ((HttpComponentsClientHttpRequestFactory) restTemplate.getRequestFactory()).setConnectTimeout(5000); service.setRestTemplate(restTemplate); ``` 3. **数据库连接问题(JDBC TokenStore)** 使用 `JdbcTokenStore` 时数据库连接失败: ```java @Bean public TokenStore tokenStore(DataSource dataSource) { return new JdbcTokenStore(dataSource); // 数据源配置错误 } ``` **修复方案**: - 检查 `application.properties` 中的数据库配置: ```properties spring.datasource.url=jdbc:mysql://localhost:3306/oauth?useSSL=false spring.datasource.username=root spring.datasource.password=root ``` - 验证数据库服务是否运行 4. **依赖冲突** Spring Security OAuth2 与其他库版本不兼容: ```xml <!-- 错误示例:同时包含旧版和新版 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.8.RELEASE</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.7.1</version> <!-- 版本冲突 --> </dependency> ``` **修复方案**: - 使用 Maven 检查依赖树:`mvn dependency:tree` - 统一 Spring Boot 和 OAuth2 版本(推荐 Spring Boot 2.7.x + OAuth2 2.3.8.RELEASE) #### 调试步骤 1. 启用详细日志(`application.properties`): ```properties logging.level.org.springframework.security=DEBUG logging.level.org.springframework.web=TRACE ``` 2. 检查堆栈跟踪中的具体 I/O 异常型: - `FileNotFoundException`:文件路径错误 - `ConnectException`:网络连接问题 - `SocketTimeoutException`:请求超时 3. 使用 Postman 测试端点连通性: ```http POST /oauth/check_token Content-Type: application/x-www-form-urlencoded token=xxx&client_id=client&client_secret=secret ``` > **关键提示**:Spring Security OAuth2 已进入维护模式,新项目建议迁移到 Spring Security 5 的 OAuth2 资源服务器支持[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值