Spring Authorization Server入门 (九) Spring Boot引入Resource Server对接认证服务

原创 已于 2023-06-13 16:37:42 修改
· 3.3k 阅读 · 7 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #java

于 2023-06-13 16:22:30 首次发布
本文介绍了如何构建一个资源服务器,通过注解进行token权限校验。当请求无token或权限不足时,系统会抛出异常并处理。文章详细阐述了资源服务器的配置,包括添加依赖、配置yml文件,以及测试接口的创建和异常处理。最后,通过添加注解使鉴权生效,并展示了测试过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

书接上文,本次来对接一下资源服务,在本篇文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。

流程解析

文档

未携带token访问resource server
没有携带token访问认证信息会抛出AccessDeniedException异常,并且会调用BearerAuthenticationEntryPoint去处理。

resource server解析token过程
请求携带token到达资源服务器后会使用BearerTokenAuthenticationFilter去解析和校验token,成功会将认证信息存入SecurityContextHolder中并继续往下执行,失败则调用AuthenticationEntryPoint返回异常信息。
以上两种异常处理默认都是在响应头中添加,响应头是WWW-Authenticate,值就是具体的异常信息。

整合过程

  1. 创建项目
  2. 添加resource server和web依赖
  3. 添加yml配置

resource server和oauth2 client一样,是一个单独的服务,不需要跟认证服务器的版本保持一致,读者可自选springboot版本,它们之间通过oauth2的协议可以无缝对接。

创建项目

通过IDEA或Spring Initializr创建一个项目,同时选择web和OAuth2 Resource Server依赖。

Spring Initializr创建项目示例
pom.xml如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.1.0</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>resource-server-example</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>resource-server-example</name>
    <description>resource-server-example</description>
    <properties>
        <java.version>17</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

添加yml配置

资源服务器配置文档

server:
  # 设置资源服务器端口
  port: 8100

spring:
  security:
    oauth2:
      # 资源服务器配置
      resourceserver:
        jwt:
          # Jwt中claims的iss属性,也就是jwt的签发地址,即认证服务器的根路径
          # 资源服务器会进一步的配置,通过该地址获取公钥以解析jwt
          issuer-uri: http://192.168.120.33:8080

至此,一个简易的资源服务就搭建完毕了,资源服务比客户端服务的逻辑稍微简单些,就是从认证服务获取公钥,然后解析jwt类型的token。

测试

添加测试接口

照例,从认证服务copy一下TestController

package com.example.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 测试接口
 *
 * @author vains
 */
@RestController
public class TestController {

    @GetMapping("/test01")
    @PreAuthorize("hasAuthority('SCOPE_message.read')")
    public String test01() {
        return "test01";
    }

    @GetMapping("/test02")
    @PreAuthorize("hasAuthority('SCOPE_message.write')")
    public String test02() {
        return "test02";
    }

    @GetMapping("/app")
    @PreAuthorize("hasAuthority('app')")
    public String app() {
        return "app";
    }

}

添加完成后启动认证服务和资源服务

页面访问test01

页面响应401
http状态码401代表尚未认证,可见已经生效,需要携带token访问接口。

Postman访问test01

从认证服务器获取一个access_token,放入请求头中。

postman请求响应401
携带token却依然响应了401,通过异常描述发现是iss属性与代码中配置的不一致;使用在线解析jwt的网站解析一下access token查看一下iss属性

解析access token
jwt中的iss是127.0.0.1:8080,但是资源服务器中配置的是192.168.120.33:8080,如果只是开发阶段则spring.security.oauth2.resourceserver.jwt.issuer-uri配置为127.0.0.1:8080的也没什么问题,但如果认证服务要部署至公网或者其它测试机中,这时候就要设置认证服务的iss属性了。

设置认证服务生成的jwt中的iss属性

更改认证服务中的AuthorizationConfig.java,修改AuthorizationServerSettings的配置,设置jwt签发地址

/**
 * 添加认证服务器配置,设置jwt签发者、默认端点请求地址等
 *
 * @return AuthorizationServerSettings
 */
@Bean
public AuthorizationServerSettings authorizationServerSettings() {
    return AuthorizationServerSettings.builder()
            /*
                设置token签发地址(http(s)://{ip}:{port}/context-path, http(s)://domain.com/context-path)
                如果需要通过ip访问这里就是ip,如果是有域名映射就填域名,通过什么方式访问该服务这里就填什么
             */
            .issuer("http://192.168.120.33:8080")
            .build();
}

重启认证服务与资源服务

重新测试

从认证服务器申请一个token,通过postman对资源服务发起请求。

postman请求成功示例

这时候就没有什么问题,说明资源服务可以正确解析token了,并且提取出了认证信息,来解析一下token看看

解析access token图
大家可以看到这里的iss属性是之前在认证服务中配置的地址。

接下来测试下test02接口

测试test02接口
也请求成功了

添加注解使鉴权注解生效

大家应该也注意到了,测试接口上是有权限校验注解的,请求test01时token中message.read的scope,但是请求test02时token中并没有message.write的scope,请求成功说明注解尚未生效,这时候就需要添加注解了,也就是该系列文章的第三篇中提到的@EnableWebSecurity@EnableMethodSecurity

注解说明

在config包下创建ResourceServerConfig类

package com.example.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

/**
 * OAuth2 Resource Server
 *
 * @author Yu jin xiang 2023/6/13
 */
@Configuration
@EnableWebSecurity
@EnableMethodSecurity(jsr250Enabled = true, securedEnabled = true)
public class ResourceServerConfig {

    @Bean
    public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(authorize -> authorize
                        // 下边一行是放行接口的配置,被放行的接口上不能有权限注解,e.g. @PreAuthorize,否则无效
                        // .requestMatchers("/test02").permitAll()
                        .anyRequest().authenticated()
                )
                .oauth2ResourceServer(oauth2 -> oauth2
                        // 可在此处添加自定义解析设置
                        .jwt(Customizer.withDefaults())
                        // 添加未携带token和权限不足异常处理(已在第五篇文章中说过)
//                        .accessDeniedHandler(SecurityUtils::exceptionHandler)
//                        .authenticationEntryPoint(SecurityUtils::exceptionHandler)
                );
        return http.build();
    }

    // 添加自定义解析token配置,注入一个JwtAuthenticationConverter
    // (已在第六章中说过,这里就不重复实现了)

}

资源服务的异常处理已在第五章讲过,这一章就不详细说了,按照代码中的位置配置即可,第六章中也讲解过如何配置一个JwtAuthenticationConverter去自定义解析token。

测试

申请一个token访问接口test02接口

postman访问test02
权限不足

访问test接口

postman访问test01

这样基本就已经完成了,如果有啥问题请在评论区留言。

代码已提交至Gitee:https://gitee.com/vains-Sofia/authorization-example

Spring Boot集成Elasticsearch 8.12.2客户端
专注于计算机研发知识和资讯分享
03-29 891
Java REST 客户端已被弃用,取而代之的是 Java API client 客户端,ES 8.x 新版本中,Type 概念被弃用,所以新版 JavaAPI 也相应做出了改变,支持lambda,使用更加简便。ElasticSearch 5.0以后,string类型有重大变更,移除了string类型,string字段被拆分成两种新的数据类型: text用于全文搜索的,而keyword用于关键词搜索。如果按照年进行索引存储,判断查询年份,如果没有对应的索引,则提示查询年份超出范围。
Springboot 实践(8)springboot集成Oauth2.0授权包,对接spring security接口
qq_37647812的博客
08-18 1479
springboot集成Oauth2.0授权包,对接spring security接口 1、修改醒目pom.xml文件,引入Oauth2.0 jar包,添加如下依赖: 2、开启@EnableAuthorizationServer注解 3、开启@EnableResourceServer注解,在服务中声明资源服务器 4、获取服务令牌
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
Oauth2授权服务器(身份验证服务器)的构造 0.概述 关于如何构建SpringBoot提供的Oauth2身份验证服务器的实践 在daddyprogrammer.org上序列化和获取Github注册 1.实习环境 Java 8-11 SpringBoot 2.x SpringOauth2 JPA,H2 Intellij社区 2.练习内容 Spring Boot Oauth2-AuthorizationServer 文档 吉特 Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码实践 代币发行 curl -X POST'http :// localhost:8080 / oauth / token'-H'Authorization:Basic dGVzdENsaWVudElkO
Spring Authorization Server入门 () Spring Boot整合Spring Authorization Server
云逸的博客
06-02 1万+
本篇文章从0到1搭建了一个简单认证服务,解释了认证服务的各项配置用意,如何设置自己的登录页和授权确认页,如何让认证服务解析请求时携带的token,文章过长难免有遗漏的地方,如果文章中有遗漏或错误的地方请各位读者在评论区指出。
Spring Authorization Server:OAuth 2.1与OpenID Connect实现
最新发布
程序媛学姐的博客
04-25 1152
Spring Authorization ServerJava开发者提供了一个功能完备的OAuth 2.1和OpenID Connect实现,满足了现代企业对认证授权的严格要求。通过灵活的架构设计和丰富的扩展点,它支持从简单场景到复杂企业环境的各种需求。OAuth 2.1的安全增强特性,如PKCE、刷新令牌轮换和重定向URI验证,提高了授权流程的安全性。OpenID Connect的支持简化了身份验证与授权的集成,使系统能够安全地识别用户并授予适当的访问权限。
Spring Authorization Server 1.4.0 使用及详细配置 搭配Spring Boot3.4.0 + Spring Security6.4.1
qq_44845339的博客
12-04 3148
:::info Spring Authorization Server 是一个提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现的框架。它构建在Spring Security之上,为构建 OpenID Connect 1.0 身份提供商和 OAuth2 授权服务器产品提供安全、轻量级和可定制的基础。:::本篇文章主要讲解常用的授权码模式、客户端模式、令牌刷新这三种模式,以及如何自己扩展授权模式(以账号密码模式为例)本篇文章会讲解两种token的原理,如何使用不同格式的to
Spring OAuth2 Resource Server 配置
semicolon_hello的专栏
03-29 2736
Spring OAuth2 Resource ServerSpring Security 中的一个模块,用于保护资源服务器上的API资源,确保只有持有合法访问令牌(access token)的客户端才能访问受保护的资源。
Spring Authorization Server实战
wsb_2526的博客
07-20 1684
OAuth是一个开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(比如用户和密码)分享给第三方应用。OAuth2.0协议的流程如下:用户打开客户端后,客户端要求用户给与授权;用户同意给客户端授权;客户端使用上一步获得授权,向服务器申请令牌;授权服务器对客户端认证后,向客户端发放令牌;客户端使用令牌,向资源服务器申请获取资源;资源服务器确认令牌有效后,向客户端开发资源;
Spring Boot 整合 Keycloak
rgrgrwfe的博客
01-21 1049
本文介绍了如何如何设置了 Keycloak 服务器,以及如何在 Spring Boot 中使用 Spring Security OAuth2.0 结合 Keycloak 实现认证和授权。
spring boot 基于数据库整合OAuth2
08-25
首先,OAuth2的核心概念包括四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源服务器(Resource Server)。在Spring Boot中,我们可以使用Spring Security ...
spring-authorization-server:由Spring Security团队领导的社区驱动项目,致力于为Spring社区提供Authorization Server支持
03-20
Spring授权服务Spring Authorization Server是由团队领导的社区驱动的项目,致力于向Spring社区提供支持。 该项目将作为独立项目在Spring的实验项目中开始,以便它可以更快地发展。 该项目的最终目标是取代提供的Authorization Server支持。 在我们社区的急需帮助下,该项目将以与原始Spring Security OAuth项目相同的方式增长。 功能规划 该项目使用来确定功能路线图的优先级,并帮助组织项目计划。可以在访问项目板。建议安装ZenHub因为它在GitHub的用户界面中本地集成。 可以在查看已完成和即将发布的功能列表。 入门 首先要阅读的是以深入了解如何构建授权服务器。这是至关重要的第一步,因为实现必须符合OAuth 2.0授权框架中定义的规范以及。 第二个开始是要非常熟悉以下Spring Security模块中的代码库: (
Spring Authorization Server 授权服务
xxxzzzqqq_的博客
03-07 2847
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
Spring Authorization Server OAuth2.1
小趴菜不能喝的博客
11-15 1464
Spring Authorization Server 是一个框架,它提供了和规范以及其他相关规范的实现。因为随着网络和设备的发展,原先的 OAuth 2.0 已经不能满足现今的需求了,OAuth 社区对 OAuth 2.0 中的几种授权模式进行了取舍和优化,并增加一些新的特性, 于是推出了 OAuth 2.1,
使用 Spring Authorization Server
semicolon_hello的专栏
02-20 1631
如果你想要自定义默认配置(无论你是否使用Spring Boot),你可以在一个Spring @Configuration中将最小必需组件定义为@Bean。这些组件可以定义如下:try {} }try {} }KeyPair;
spring authorization server系列教程】()入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 1万+
spring authorization server系列教程】()入门系列,快速构建一个授权服务spring authorization serverspring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
Spring Authorization Server入门(一)
读书人的博客
07-26 351
基于 Spring Framework 的开源项目,用于构建身份验证和授权服务器。
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Authorization Server:实现OAuth2认证服务
m0_64132144的博客
11-13 1526
Spring Authorization Server是一个安全框架,它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关的实现。Spring Authorization Server是在Spring Security的基础上构建的,它为构建OAuth2授权服务和OpenID Connect 1.0身份提供者提供了一个安全、轻量级、可定制的基础。OAuth2协议定义了一系列关于认证授权的标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。
前端采用vue,后端采用springboot+微服务+网关,进行对接时出现以下报错怎么解决Access to XMLHttpRequest at 'http://127.0.0.1:8090/user/admin/register' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.
07-10
在Vue前端和Spring Boot后端中解决CORS问题,你可以尝试以下方法: 1. 后端配置CORS过滤器:在Spring Boot后端的网关服务中,添加一个CORS过滤器,处理跨域请求。你可以创建一个类实现`javax.servlet.Filter`接口,然后在`doFilter()`方法中设置响应头,包括`Access-Control-Allow-Origin`字段。示例代码如下: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @Component public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; httpResponse.setHeader("Access-Control-Allow-Origin", "*"); httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); httpResponse.setHeader("Access-Control-Max-Age", "3600"); httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With"); if ("OPTIONS".equalsIgnoreCase(httpRequest.getMethod())) { httpResponse.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(request, response); } } } ``` 2. 配置Spring Security:如果你在后端使用了Spring Security来进行身份验证和授权,你可以在配置类中添加以下代码来解决CORS问题: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable(); } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS")); configuration.setAllowedHeaders(Arrays.asList("Content-Type", "Authorization", "X-Requested-With")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 这样配置后,Spring Security将允许来自任何源的跨域请求。 3. 使用代理:在开发环境下,你可以在Vue的配置文件中设置代理,将前端请求转发到后端服务,从而避免浏览器的CORS限制。在`vue.config.js`文件中添加以下代码: ```javascript module.exports = { devServer: { proxy: { '/api': { target: 'http://127.0.0.1:8090', // 后端服务地址 changeOrigin: true, pathRewrite: { '^/api': '' } } } } } ``` 然后,在前端代码中使用`/api`作为请求的基础路径,例如:`axios.post('/api/user/admin/register', data)`。 这些方法中的任何一种都可以帮助你解决CORS问题。你可以根据你的具体情况选择适合的方法。
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天玺-vains

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值