5、oauth2之资源服务配置类EnableResourceServer

最新推荐文章于 2025-02-14 17:18:58 发布
最新推荐文章于 2025-02-14 17:18:58 发布
阅读量7.4k 收藏 9
点赞数
分类专栏: spring security oauth2 文章标签: 资源服务配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012153127/article/details/118443254
版权
这篇博客详细介绍了OAuth2认证在资源服务器中的实现过程,包括如何创建拦截器OAuth2AuthenticationProcessingFilter来验证请求头Authorization的值。通过启用ResourceServer并继承ResourceServerConfigurerAdapter,配置了拦截规则以放行oauth相关请求,并对其他请求进行拦截和认证。配置中还涉及到了HttpSecurity的设置,确保了状态less的会话管理和CSRF保护。此外,博客还提供了一个流程图辅助理解整个认证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

资源服务器会对所有的请求进行拦截认证,当然除了oauth相关的请求之外。同时会创建一个拦截器OAuth2AuthenticationProcessingFilter,该拦截器会对请求头Authorization中的值进行相关验证。

使用方式:

1、添加注解@EnableResourceServer

2、继承ResourceServerConfigurerAdapter

@Configuration
@EnableResourceServer
public static class ResourceServerConfigurer extends ResourceServerConfigurerAdapter {
   
}

@EnableResourceServer导入了ResourceServerConfiguration配置类,该配置类继承了WebSecurityConfigurerAdapter,拥有了http security的相关能力。

@Configuration
public class ResourceServerConfiguration extends WebSecurityConfigurerAdapter implements Ordered {
......

 //请求匹配,对oauth相关请求放行,其他请求拦截
   private static class NotOAuthRequestMatcher implements RequestMatcher {

      private FrameworkEndpointHandlerMapping mapping;

      public NotOAuthRequestMatcher(FrameworkEndpointHandlerMapping mapping) {
         this.mapping = mapping;
      }

      @Override
      public boolean matches(HttpServletRequest request) {
         String requestPath = getRequestPath(request);
         for (String path : mapping.getPaths()) {
            if (requestPath.startsWith(mapping.getPath(path))) {
               return false;
            }
         }
         return true;
      }

      private String getRequestPath(HttpServletRequest request) {
         String url = request.getServletPath();

         if (request.getPathInfo() != null) {
            url += request.getPathInfo();
         }

         return url;
      }

   }

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       //资源服务可配置类,添加了OAuth2AuthenticationProcessingFilter过滤器,对请求头Authorization进行验证
      ResourceServerSecurityConfigurer resources = new ResourceServerSecurityConfigurer();
      ResourceServerTokenServices services = resolveTokenServices();
      if (services != null) {
         resources.tokenServices(services);
      }
      else {
         if (tokenStore != null) {
            resources.tokenStore(tokenStore);
         }
         else if (endpoints != null) {
            resources.tokenStore(endpoints.getEndpointsConfigurer().getTokenStore());
         }
      }
      if (eventPublisher != null) {
         resources.eventPublisher(eventPublisher);
      }
      for (ResourceServerConfigurer configurer : configurers) {
         configurer.configure(resources);
      }
      // @formatter:off
      http.authenticationProvider(new AnonymousAuthenticationProvider("default"))
      // N.B. exceptionHandling is duplicated in resources.configure() so that
      // it works
      .exceptionHandling()
            .accessDeniedHandler(resources.getAccessDeniedHandler()).and()//访问拒绝处理类
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .csrf().disable();
      // @formatter:on
      http.apply(resources);
      if (endpoints != null) {
         // Assume we are in an Authorization Server
         http.requestMatcher(new NotOAuthRequestMatcher(endpoints.oauth2EndpointHandlerMapping()));
      }
      for (ResourceServerConfigurer configurer : configurers) {
         // Delegates can add authorizeRequests() here
         configurer.configure(http);
      }
      if (configurers.isEmpty()) {
         // Add anyRequest() last as a fall back. Spring Security would
         // replace an existing anyRequest() matcher with this one, so to
         // avoid that we only add it if the user hasn't configured anything.
         http.authorizeRequests().anyRequest().authenticated();
      }
   }
......

}

附流程图

Oauth2 resource server入门配置
架构路上的博客
11-02 4150
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency>
@EnableResourceServer资源服务注解源码分析
pscool的博客
06-06 833
@EnableResourceServer用于开启资源服务器,它使用@Import注解引入了`ResourceServerConfiguration`
OAuth2资源服务
Leon_Jinhai_Sun的博客
07-31 1983
OAuth2资源服务
spring-security 简单纪要
最新发布
lliu2004004的博客
02-14 454
spring-security 简单纪要
oauth2-resource-server授权配置介绍
言午玉口才
08-17 4217
也就是授权(token中存放用户名、授权信息),接着资源服务器的token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1785
OAuth2 Resource Server
OAuth2资源服务
Java大数据联盟
03-29 4739
OAuth2资源服务器1 说明2 资源服务器实现2.1 创建工程2.2 资源服务配置类2.3 用户资源请求入口类2.4 用户资源获取服务接口2.5 用户资源获取服务实现类2.6 主启动类2.7 其它配置3 测试3.1 获取令牌3.2 请求资源4 总结 1 说明 授权服务器主要是提供用户认证、授权、颁发令牌等功能,而资源服务器主要是保护用户资源。授权服务器先给合法的用户颁发令牌,用户再使用获得的令...
【Spring】搭建SpringBoot + OAuth2认证授权服务
一个不断前行的程序者
09-12 3480
在这篇博客中,我们成功搭建了一个基于Spring Boot和OAuth2的认证授权服务。我们配置了用户存储、安全配置OAuth2授权服务器和资源服务器,并创建了一些基本的控制器和前端页面来演示登录和访问受保护资源的过程。请注意,这只是一个简单的示例,用于演示基本的OAuth2流程。在生产环境中,你需要考虑更多的安全性和配置选项,例如使用JWT令牌、配置数据库、添加错误处理、日志记录等。
springboot-oauth2-server:一个简单的Oauth2服务器,它使用springboot配置了JWT
02-19
在SpringBoot中,这可以通过在配置类中定义`@EnableAuthorizationServer`和`@EnableResourceServer`注解来完成。 JWT的引入可以简化OAuth2的令牌管理。JWT包含三个部分:头部(Header)、负载(Payload)和签名...
单点登录 Oauth2.0 + jwt + 资源服务配置与授权
weixin_44816511的博客
08-01 825
一、创建认证配置类 1. pom <properties> <java.version>1.8</java.version> <spring-cloud.version>Greenwich.SR1</spring-cloud.version> </properties> <dependencies> <dependency> <groupId>org.spri
spring boot 基于数据库整合OAuth2
08-25
使用`@EnableResourceServer`注解启用资源服务器,并配置所需的资源范围。 8. **测试与调试**:设置完OAuth2后,需要编写测试用例来验证授权流程的正确性。可以使用Postman或curl命令模拟客户端请求,检查授权和...
OAuth2ResourceServer:使用JwkTokenStore保护资源服务器的示例代码
05-19
OAuth2ResourceServer 使用JwkTokenStore保护资源服务器的示例代码
使用spring-cloud-security-oauth2来实现oauth server和resource server
02-28
使用spring-cloud-security-oauth2来实现oauth server和resource server,oauth Server和resource Server分开,resource Server实现了两种方式
Spring Security 与 OAuth2资源服务器)
chucan4529的博客
01-26 909
Spring Security 与 OAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Spring OAuth2 Resource Server 配置
semicolon_hello的专栏
03-29 2657
Spring OAuth2 Resource Server 是 Spring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源
springsecurity03-springsecurity oauth2实现单点登录之-资源服务器(Resource Service)
liaomin416100569的专栏
03-14 1719
文章目录资源文件简介资源文件实战 资源文件简介 文章参考自 https://projects.spring.io/spring-security-oauth/docs/oauth2.html 一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentica...
OAuth2 and Friends Resource Server
来啊 快活啊
06-29 1719
security: oauth2: resource: token-info-uri: http://localhost:8080/uaa/introspect user-info-uri: # jwk: # key-set-uri: http://localhost:8080/uaa/token_keys prefer-...
Security:OAuth2 Resource Server
BLOG域名:programb.blog.youkuaiyun.com
05-27 739
Getting Started Reference Documentation For further reference, please consider the following sections: Official Apache Maven documentation Spring Boot Maven Plugin Reference Guide Create an OCI image Spring Security OAuth2 Client OAuth2 Resource Server G
Spring Cloud(6.3):搭建OAuth2 Resource Server
weixin_30624825的博客
07-25 1695
配置web.xml 添加spring-cloud-starter-security,spring-security-oauth2-autoconfigure2个依赖。 <!-- Spring cloud starter: Security --> <!-- Include: web, actuator, security, zuul, etc. --> <...
Java实现的OAuth2资源服务器演示
OAuth2资源演示是指展示如何配置和使用OAuth2协议来保护资源服务器上的资源资源服务器是指保存受保护资源服务器,它可以是API服务器,也可以是其他类型的服务器,它要求每个请求都必须携带有效的访问令牌...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值