集成 Spring Security OAuth2.0

最新推荐文章于 2024-10-12 23:30:09 发布
最新推荐文章于 2024-10-12 23:30:09 发布
阅读量247 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 python java
原文链接:https://my.oschina.net/taoyuanping/blog/806601

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最近想在之前的系统里加入oauth2.0服务,于是找到spring security oauth项目主页,发现只有例子和开发人员指南可以参考,例子用的是java config的方式,与现在的系统用xml的方式有点不一致。便自己研究了下,系统里已经集成了spring security,并且用户的认证授权是由CAS提供的。

1、理解 OAuth2.0

1.1 相关引用

理解OAuth2.0 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

开发人员指南 https://www.oschina.net/translate/oauth-2-developers-guide

1.2 理解 Spring Security 的几个概念:
  1. 认证与授权    认证是对访问主体进行合法化认证,不管用的是CAS用户还是JDBC查询出来的用户还是接下来要说的client,我们都需要进行认证,只是CAS这种方式,用户的认证由CAS确定,授权同样也是可以由CAS确定的。授权是对已经认证的主体赋予相应的权限,使之可以访问对于的资源。
  2. 权限校验    主体请求访问被保护资源时,将被保护资源所需的权限和主体所拥护的权限二者进行比对,如果校验通过则用户可以访问被保护资源,否则拒绝访问。
1.3 for example 

用户 admin 需要访问 /admin/user ,这个资源我们需要用户具备 ROLE_ADMIN 这样的角色才能访问,那么 admin 就要具备这样的角色,如果用户 admin 只是具有 ROLE_USER 角色,他密码用户名正确,我们称他是合法用户,也就是 检查 他的票据(用户名密码或者是CAS的票据)是可以认同的,但你不具备访问/admin/user的权限。这个时候返回的应该是403,而不是401。

2、准备工作

2.1 添加依赖

这里加入的是2.0.12.RELEASE,因为parent里有platform-bom的Athens-SR1版本。

<dependency>
	<groupId>org.springframework.security.oauth</groupId>
	<artifactId>spring-security-oauth2</artifactId>
</dependency>
2.2 引入命名空间
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:util="http://www.springframework.org/schema/util"
	xmlns:oauth2="http://www.springframework.org/schema/security/oauth2"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
		http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/util
		http://www.springframework.org/schema/util/spring-util.xsd
		http://www.springframework.org/schema/security
		http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/security/oauth2
		http://www.springframework.org/schema/security/spring-security-oauth2.xsd">

 

3、开始配置

3.1 配置client的认证服务器

这里由于之前集成了CAS,增加 provider 即可。

<authentication-manager alias="authenticationManager">
	<authentication-provider ref="casAuthenticationProvider" />
	<authentication-provider user-service-ref="clientDetailsUserDetailsService" />
</authentication-manager>

这样的方式会生成一个ProviderManager 的 authenticationManager ,ProviderManager 会得到所有的 provider 进行遍历,直到最后没有异常。这里增加的 provider 会对 client 的 id 和 scret进行校验,之前的 provider  处理CAS返回来的信息,一个是对普通用户的认证,一个是对客户端的认证,这两种对于 spring security 来说 都是需要认证的用户。

3.2 client 信息

当然需要知道有什么 有 client 吧。所以 下一步  配置 ClientDetailsUserDetailsService,这里把client当作系统的用户来处理。

<beans:bean id="clientDetailsUserDetailsService"
	class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
	<beans:constructor-arg ref="clientDetailsService" />
</beans:bean>

<oauth2:client-details-service id="clientDetailsService">
	<oauth2:client client-id="123" secret="456" scope="read,write,trust"
		redirect-uri="https://www.baidu.com" authorities="ROLE_CLIENT"
		authorized-grant-types="authorization_code,refresh_token,implicit,client_credentials" />
</oauth2:client-details-service>

这里使用的内存的配置,后期可以修改成 JDBC。建表文件在 github 上  oauth 项目里有。

3.3 配置 TokenServices

既然是rest ,那么就应该是一个无状态的连接。如何确定访问的权限呢,这就通过 token 来识别。配置 TokenServices 、token 的 保存、过期、删除 就由这管理。


<beans:bean id="defaultTokenServices"
	class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
	<beans:property name="tokenStore" ref="tokenStore" />
	<beans:property name="supportRefreshToken" value="true" />
</beans:bean>

<beans:bean id="tokenStore"
	class="org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore" />

这里使用的也是内存保存,后期同样需要 修改成 jdbc 的方式。不然重启之后client 又需要用户授权了。

3.4 配置一些默认的处理
<beans:bean id="defaultUserApprovalHandler"
	class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" />

<beans:bean id="oAuth2AuthenticationEntryPoint"
	class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />

<beans:bean id="oAuth2AccessDeniedHandler"
	class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />
3.5 配置 client 的授权服务器
<oauth2:authorization-server
	token-services-ref="defaultTokenServices" client-details-service-ref="clientDetailsService"
	user-approval-handler-ref="defaultUserApprovalHandler">
	<oauth2:authorization-code />
	<oauth2:implicit />
	<oauth2:refresh-token />
	<oauth2:client-credentials />
	<oauth2:password disabled="true" />
</oauth2:authorization-server>

这里禁用了 password 的方式,因为 用户信息是从CAS那里获取的,使用这种方式这样的没有办法认证的,如果一定需要,还要开发一个与CAS服务交互,或者远程调用,或者直接连接数据库,我的另一篇博客里有替代的方式 https://my.oschina.net/taoyuanping/blog/809157

3.6 配置 资源服务器
<oauth2:resource-server id="apiResourceServer"
	resource-id="api-Resource" token-services-ref="defaultTokenServices" />
3.7 配置 http 标签

<http pattern="/oauth/token" create-session="stateless"
	entry-point-ref="oAuth2AuthenticationEntryPoint">
	<csrf disabled="true" />
	<anonymous enabled="false" />
	<intercept-url pattern="/oauth/token" access="hasRole('CLIENT')" />
	<custom-filter ref="clientCredentialsTokenEndpointFilter"
		before="BASIC_AUTH_FILTER" />
	<access-denied-handler ref="oAuth2AccessDeniedHandler" />
</http>

开启client 授权服务器后,框架会自动配置 几个 url ,包括 授权、获取令牌。这里需要对 获取令牌的 请求做认证

加入过滤器 clientCredentialsTokenEndpointFilter

<beans:bean id="clientCredentialsTokenEndpointFilter"
	class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
	<beans:property name="authenticationManager" ref="authenticationManager" />
</beans:bean>

这个过滤器可以对client 进行合法认证,总不能随随便便发个client_id我就发个令牌给你吧。需要关闭 csrf ,用不着的。只有具备 ROLE_CLIENT 的角色才能使用。

3.8 配置资源访问权限

client 的认证服务  授权服务 资源服务 都有了,还需要什么 ,还需要一个 可以对访问资源服务器的入口,或者说对  token 的校验。

<http pattern="/api/**" create-session="stateless"
	entry-point-ref="oAuth2AuthenticationEntryPoint">
	<csrf disabled="true" />
	<anonymous enabled="false" />
	<intercept-url pattern="/api/**" access="hasRole('USER')" />
	<custom-filter ref="apiResourceServer" before="PRE_AUTH_FILTER" />
	<access-denied-handler ref="oAuth2AccessDeniedHandler" />
</http>
  1. 这里的 hasRole('USER') 其实角色 资源的所有着具备的角色,资源的所有者授权给client,client 是不是就具备了这样的角色。还有一种oauth的scope的认证。需要 配置 expression-handler。
  2. <custom-filter ref="apiResourceServer" before="PRE_AUTH_FILTER" /> 会生成一个 OAuth2AuthenticationProcessingFilter 的过滤器,这个过滤器负责认证accass_token的有效性。

4、配置MVC


@Controller
@RequestMapping("/api")
public class UserApi {

	@Autowired
	private UserService userService;

	@ResponseBody
	@RequestMapping(value = "/user", method = RequestMethod.POST)
	public User getUser(Principal principal) {
		User user = userService.findByUsername(principal.getName());
		return user;
	}

}

5、 测试

5.1 获取 code

http://www.yakee.net:8080/framework/oauth/authorize?client_id=123&response_type=code

没有登陆,需要用户登陆

 

登陆用户  admin /123456   cas 返回信息 用户具备  user 角色。

<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>
    <cas:authenticationSuccess>
        <cas:user>admin</cas:user>
        <cas:attributes> 
            <cas:isFromNewLogin>true</cas:isFromNewLogin>
            <cas:authenticationDate>2016-12-15T19:10:18.258+08:00</cas:authenticationDate>
            <cas:longTermAuthenticationRequestTokenUsed>false</cas:longTermAuthenticationRequestTokenUsed>
            <cas:authorities>ROLE_REST_SERVICE</cas:authorities>
            <cas:authorities>ROLE_ADMIN</cas:authorities>
            <cas:authorities>ROLE_USER</cas:authorities>
        </cas:attributes>
    </cas:authenticationSuccess>
</cas:serviceResponse>

 

5.2 admin 用户授权客户端 123

页面难看是难看了,但是功能一个不落。

5.3 返回 授权码 code

返回code 参数  NhSB8O

5.4 使用授权码 获取 token

@Test
public void getToken() {
	Map<String, String> params = new HashMap<String, String>();
	params.put("redirect_uri", "https://www.baidu.com");
	params.put("grant_type", "authorization_code");
	params.put("client_secret", "456");
	params.put("client_id", "123");
	params.put("code", "NhSB8O");

	String rsp = null;

	try {
		rsp = WebUtils.doPost("http://www.yakee.net:8080/framework/oauth/token", params, 3000, 15000);

		System.out.println(rsp);

	} catch (Exception e) {
		e.printStackTrace();
	}

}

返回

{
    "additionalInformation":{},
    "expiration":"2016-12-16 07:17:39",
    "expired":false,
    "expiresIn":43199,
    "refreshToken":{
        "expiration":"2017-01-14 19:17:39",
        "value":"58c44eee-67bb-46b0-b98f-5226d2c81214"
    },
    "scope":["read","write","trust"],
    "tokenType":"bearer",
    "value":"eb7cb64d-02b8-4208-9d01-6ec77265f8a2"
}

过期时间真短。

5.5 使用 access_token  获取用户

@Test
public void getUser() {
	Map<String, String> params = new HashMap<String, String>();
	params.put("access_token", "eb7cb64d-02b8-4208-9d01-6ec77265f8a2");

	String rsp = null;

	try {
		rsp = WebUtils.doPost("http://www.yakee.net:8080/framework/api/user", params, 3000, 15000);

		System.out.println(rsp);

	} catch (Exception e) {
		e.printStackTrace();
	}

}

 

发起请求后 过滤链情况

Request received for POST '/api/user':

org.apache.catalina.connector.RequestFacade@1a793b92

servletPath:/api/user
pathInfo:null
headers: 
accept: text/xml,text/javascript,text/html
user-agent: aop-sdk-java
content-type: application/x-www-form-urlencoded;charset=UTF-8
host: www.yakee.net:8080
connection: keep-alive
content-length: 49


Security filter chain: [
  SecurityContextPersistenceFilter
  WebAsyncManagerIntegrationFilter
  HeaderWriterFilter
  OAuth2AuthenticationProcessingFilter
  SecurityContextHolderAwareRequestFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************

返回

{
    "createDate":"2016-12-12 01:42:38",
    "department":"软件研发部",
    "email":"taoyuanping@yakee.net",
    "enabled":true,
    "id":2,
    "modifyDate":"2016-12-12 01:42:38",
    "name":"陶远平",
    "password":"$2a$10$lH8n4sStC44KjG7GPsrgneBcZp.trl9U8WCH06BERpN6DAx4U30HK",
    "phone":"15220176365",
    "username":"admin"
}

6、后续配置

开发 client 的管理,将信息保存到数据库。将token保存到数据库并且增加过期时间,优化用户授权页面,错误信息等,配置expression-handler,支持oauth的scope权限认证。最后配置https,使用OpenSSL生成自签证书即可,使用http调用rest服务可不是明智之举。

 

转载于:https://my.oschina.net/taoyuanping/blog/806601

spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
java spring oauth2.0_spring-security oauth2.0简单集成
weixin_34784025的博客
02-16 440
需要2个服务,一个认证授权服务,一个资源服务认证授权服务为客户端颁发令牌,资源服务用于客户端获取用户信息。1. 总体架构:2.认证授权服务pom文件:4.0.0org.springframework.bootspring-boot-starter-parent2.2.6.RELEASEcom.intfishauth-server0.0.1-SNAPSHOTauth-serverDemo proje...
Spring Security 集成 OAuth 2.0 认证(一)
Authing的博客
09-14 1230
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth 在全世界得到广泛应用,目前的版本是 2.0 版。协议特点简单:不管是 OAuth 服务提供者还是应用开发者,都很易于理解与使用。安全:没有涉及到用户密钥等信息,更安全更灵活。
SpringSecurity整合OAuth2.0
玩转Java
12-10 1万+
springsecurity整合aoth2.0
SpringSecurity集成oauth2(jwt)
chinoukin的博客
12-11 1078
版本 springboot版本:2.2.7.RELEASE spring-security-oauth2版本:2.3.6.RELEASE 主要依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
这个压缩包文件"视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar"包含了对这一主题的详细解释和实例代码,旨在帮助开发者深入理解和应用OAuth2.0Spring Security集成。 首先,Spring SecuritySpring...
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 具有良好的扩展性,可以与其他Spring生态组件如Spring Boot、Spring Cloud Security等无缝集成,同时支持多种认证协议,如OpenID Connect。 **8. 客户端库支持** Spring Security OAuth...
springsecurity OAuth2.0springboot集成springsecurity 以及springcloud集成springsecurity
qq_73182976的博客
03-12 2597
用户认证通过后,为了避免用户的每次操作都进行认证,将用户的信息保存在会话中。会话就是系统为了保持当前登录的用户的登录状态锁提供的机制。
spring-security-oauth2集成jwt
u013008898的博客
06-12 876
JwtTokenStoreConfig: AuthorizationServerConfig:
Spring SecurityOAuth 2.0 登录实现指南
最新发布
Takumilove的博客
10-12 1567
本项目旨在实现一个简单的Web应用,允许用户通过GitHub进行登录。我们将使用Spring Boot和Spring Security进行快速开发。本文详细介绍了如何使用Spring Security实现OAuth 2.0登录,并展示了用户信息。希望通过这些步骤,你能够顺利地实现GitHub登录功能,提升你的应用安全性和用户体验。
(二)SpringCloud+Security+Oauth2 微服务初步集成
Instanceztt的博客
12-05 2074
本文主要好介绍了SpringCloud+Security+Oauth2 的初步集成,项目源码地址oauth2.0集成案例,以下案例主要是核心源码的解释,案例源码请查看案例源码 oauth认证中心 oauth客户端 注册中心和配置中心 公用组件Oauth2提供了适配器类来作为认证授权服务的配置,其中有三个方法源码如下: 配置详解: 配置详解: 配置类上贴注解开启授权服务配置,继承实现配置的增强配置 客户端详情配置 默认会去找数据库中的 名字为 表中的数据作为客户端详情的配置,见 JdbcClientD
spring-security-oauth2(授权模式入门简单使用)
IABQL的博客
08-13 3094
当前应用需要实现第三方登入,那么第三方是如何进行授权认证的?这就是oauth2协议。模拟实现微信端是如何进行授权认证登入。举例:豆瓣就是客户应用,授权服务器、资源服务器就是微信端持有。豆瓣需要向微信的授权服务器获取授权,获取到授权后再向资源服务器获取用户信息。那么我们就需要1.需要配置一个授权服务器(发放授权码)2.配置一个资源服务器(获取用户信息接口需要令牌才能访问)3.配置一个接口(获取返回用户信息)4.还要实现模拟用户的登入(因为授权服务器需要向用户发起是否允许授权的请求)......
Spring Security + OAuth2 - 黑马程序员(5. 资源服务搭建与测试)学习笔记
圆的博客
03-15 1013
上一篇:Spring Security + OAuth2(4. OAuth 的四种模式) 文章目录
Spinrg Security原理 ------OAuth原理(一)
RainSun
04-24 728
目录认证服务器主要类 认证服务器 主要类 OAuth2AutoConfiguration: 自动配置 AuthorizationServerConfigurer:OAuth认证服务器配置,OAuth2AuthorizationServerConfiguration实现AuthorizationServerConfigurer AuthorizationServerSecurityConfigur...
详细介绍OAuth2.0及实现和SpringSecurity的整合应用
热门推荐
波波烤鸭的博客
12-12 1万+
一、OAuth2.0介绍 GitHub地址案例代码地址 1.概念说明   先说OAuthOAuth是Open Authorization的简写。   OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全...
OAuth2.0集成SpringSecurity加JWT实现单点登录
Nicky's blog
06-03 8592
单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统。也就是说只要登录一次单体系统就可以
SpringBoot集成Spring Security OAuth2.0案例分析
综上所述,文件“spring-security-demo.zip”描述了一个使用Java语言开发的Spring Boot项目,该项目集成Spring Security OAuth2.0框架来实现安全的用户认证和授权。在该项目中,资源服务和认证服务是分离的,遵循了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值