Spring Security OAuth2 Provider 之 整合JWT

最新推荐文章于 2025-04-21 06:00:00 发布
最新推荐文章于 2025-04-21 06:00:00 发布 · 578 阅读 · 0
文章标签:

#java #数据库 #json

本文介绍了如何在Spring Security框架中集成OAuth2和JWT(JSON Web Tokens),包括Maven依赖配置、签名证书生成、认证服务端及资源服务端的设置等关键步骤,并提供了确认测试过程。
OAuth2 是认证框架、JWT (JSON Web Tokens) 是认证协议。

相关文章:
[url=http://rensanning.iteye.com/blog/2384996]Spring Security OAuth2 Provider 之 最小实现[/url]
[url=http://rensanning.iteye.com/blog/2385162]Spring Security OAuth2 Provider 之 数据库存储[/url]
[url=http://rensanning.iteye.com/blog/2386309]Spring Security OAuth2 Provider 之 第三方登录简单演示[/url]
[url=http://rensanning.iteye.com/blog/2386553]Spring Security OAuth2 Provider 之 自定义开发[/url]
[url=http://rensanning.iteye.com/blog/2386766]Spring Security OAuth2 Provider 之 整合JWT[/url]

[b](1)Maven依赖[/b]

Authorization Server 和 Resource Server都需要添加依赖。

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-jwt</artifactId>
    <optional>true</optional>
</dependency>


[b](2)生成签名证书[/b]

生成证书
[quote]# keytool -genkeypair -alias jwt-test -keyalg RSA -dname "CN=jwt,OU=ren,O=ren,L=china,S=china,C=CN" -keypass my_pass -keystore jwt-test.jks -storepass my_pass[/quote]
把.jks文件放到Authorization Server 的 src/main/resources/jwt-test.jks

导出公钥
[quote]# keytool -list -rfc --keystore jwt-test.jks | openssl x509 -inform pem -pubkey[/quote]
把PUBLIC KEY部分复制到Resource Server 的 src/main/resources/public.txt

[b](3)认证服务端设置[/b]

@Bean
protected JwtAccessTokenConverter jwtTokenEnhancer() {
    KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("jwt-test.jks"), "my_pass".toCharArray());
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setKeyPair(keyStoreKeyFactory.getKeyPair("jwt-test"));
    return converter;
}

@Bean
public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter());
}


[b](4)资源服务端设置[/b]

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    Resource resource = new ClassPathResource("public.txt");
    String publicKey = null;
    try {
        publicKey = IOUtils.toString(resource.getInputStream());
    } catch (final IOException e) {
        throw new RuntimeException(e);
    }
    converter.setVerifierKey(publicKey);
    return converter;
}

@Bean
public TokenStore tokenStore() {
    return new JwtTokenStore(accessTokenConverter());
}


[b](5)确认测试[/b]

获取Token:
[img]http://dl2.iteye.com/upload/attachment/0126/2337/d424cf2c-c042-3f74-8027-5a454e1e4fd4.png[/img]

通过jwt.io确认Token:
[img]http://dl2.iteye.com/upload/attachment/0126/2339/bc39afcd-2ea9-311c-b207-c5e97735e655.png[/img]

通过access_token访问资源API:
[img]http://dl2.iteye.com/upload/attachment/0126/2341/ea6ee272-4b3b-35ff-a72a-06682c616236.png[/img]

[b](6)算法HS256[/b]
把Authorization Server 和 Resource Server的配置改成:
@Bean
protected JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setSigningKey("rensanning");
    return converter;
}


获取Token:
[img]http://dl2.iteye.com/upload/attachment/0126/2343/28039be9-a2bc-36db-b5ad-3821d884acd4.png[/img]

通过jwt.io确认Token:
[img]http://dl2.iteye.com/upload/attachment/0126/2345/f0d1156f-13ee-3ad8-8a3e-6af901dcde9b.png[/img]

通过access_token访问资源API:
[img]http://dl2.iteye.com/upload/attachment/0126/2347/8e664893-73c0-33f7-9c19-3374a2927424.png[/img]

参考:
http://www.baeldung.com/spring-security-oauth-jwt
https://github.com/dynamind/spring-boot-security-oauth2-minimal
Spring Security OAuth2 JWT (SSO)整合
wjianwei666的专栏
03-10 355
User-Agent相当于你用第三方登录弹出的登录网页)会带上 客户凭证(client Credentials)和重定向的uri去到要认证服务器里面去,认证服务器会让Resource Owner也就是用户去认证,用户同意了,会返回一个授权码给User-Agent再给Client。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个子系统,子系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录方式与单系统的登录方式相同。
Spring Security OAuth2整合JWT
weixin_38927257的博客
11-22 2022
文章目录引言JWT的三个特点自包含:密签:签名:加密:可扩展:JWT组成HeaderClaims (Payload)SignatureJWT流程示意图Spring Security Oauth2 实现JWT配置TokenStoreConfig用于存储TokenMerryyouJwtTokenEnhancer配置认证服务器配置资源服务器解析扩展的Token测试方法刷新令牌: 引言 Json we...
Spring SecurityJWTOAuth 2.0 整合详解:构建安全可靠的认证与授权机制
微笑听雨
06-13 5838
JWTJSON Web Token)与 OAuth 2.0 整合Spring Security 中可以为应用程序提供强大的认证和授权功能。以下是详细的整合步骤和代码示例。
Spring Security OAuth2实现使用JWT的示例代码
08-27
主要介绍了Spring Security OAuth2实现使用JWT的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Cloud SecurityOauth2结合JWT使用
macrozheng的专栏
11-06 1539
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新...
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8962
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
SpringSecurity OAuth2 JWT微服务集成若干问题
luolai的专栏
05-25 1259
注意对下面://.antMatchers("/r/**","/course/**").authenticated()//所有/r/**的请求必须认证通过 的设置。.antMatchers("/**","/ap**/**").authenticated()//所有/r/**的请求必须认证通过。.antMatchers("/**").authenticated()//访问/r开始的请求需要认证通过。
springboot整合springsecurity+oauth2.0授权认证+jwt增强
qq_40741120的博客
01-06 4343
springboot整合springsecurity+oauth2.0授权认证+jwt增强 本文将采用springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
springsecurity_oauth2_jwt整合_推特雪花
窗外有风景,笔下有前途,低头是题海,抬头是未来
07-04 664
微服务授权技术框架整合 1. 整合oauth2+springsecurity+jwt 1.1 创建一个用于认证的服务 创建工程security-auth-server-2001 1.1.1 导入相应的依赖包 <!-- oauth2的依赖包--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oa
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1300
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
SpringSecurityOauth2JWT
phone13144830339的博客
05-28 1864
OAuth2.0 用来授权第三方应用,定义了四种授权方式: 1.授权码方式(authorization code) 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌 2.隐藏式(implicit) 允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit) 3.密码式(reso...
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 3954
本文介绍了使用Spring Security OAuth2 + JWT实现单点登录的方案。文章首先分析了传统Redis方式的缺点,包括客户端配置耦合度高、过度依赖认证服务器等问题。然后详细讲解了JWT方式的实现步骤,包括认证服务器的配置(WebSecurityJWT仓库、UserDetailsService等)、测试验证、自定义UserUtil增强JWT内容、实现JWT退出功能等。最后通过学生和教师资源服务器的案例,展示了如何将认证服务器同时作为资源服务器使用。JWT方案相比Redis方式具有更好的解耦性
使用Spring Security 资源服务器来保护Spring Cloud 微服务
码农小胖哥
10-19 1069
我在上一篇对资源服务器进行了简单的阐述资源服务器改造以Spring Security实战干货所需依赖在Spring Security的基础上,我们需要加入新的依赖来支持OAuth2 Res...
laravel jwt.provider相关
chuluo9869的博客
05-23 318
#动态改动jwt配置 $abstract = 'tymon.jwt.provider.jwt.lcobucci'; $raw = app($abstract); app()->instance($abstract, new \Tymon\JWTAut...
SpringSecurity资源服务器:OAuth2ResourceServer配置
程序媛学姐的博客
04-21 1566
在实际应用中,通常需要从JWT令牌中提取额外的信息,如用户角色、权限等,并将其转换为Spring Security认可的Authentication对象。Spring Security提供了JwtAuthenticationConverter接口,可以自定义JWT到Authentication的转换逻辑。@Component// 设置权限声明的key,默认是scope或scp// 设置权限前缀,默认是SCOPE_@Override。
spring security Oauth2整合JWT
最新发布
04-28
### Spring Security OAuth2 JWT 整合教程 #### 1. 添加依赖 为了在项目中使用 Spring SecurityOAuth2 的功能,需要引入必要的 Maven 或 Gradle 依赖项。以下是基于 Maven 的配置示例: ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值