SpringSecurity:2-Oauth2

阅读量

Oauth2

1.Oauth2认证

1.1、简介

第三方认证技术方案主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。
Oauth协议为用户资源的授权提供了安全、开放、简易的标准。同时任何三方都可以使用Oauth认证服务。
下面分析一个Oauth2认证的例子:网站使用微信认证过程。
加载图片!

1.2、授权模式

OAuth 2.0 的四种授权模式

2.SpringSecurity Oauth2

2.1、授权服务器

加载图片!

2.2、SpringSecurity Oauth2架构

加载图片!
流程:

  1. 用户访问,此时没有Token。Oauth2RestTemplate会报错,这个报错信息会被 Oauth2ClientContextFilter捕获并重定向到认证服务器。
  2. 认证服务器通过Authorization Endpoint进行授权,并通过AuthorizationServerTokenServices生 成授权码并返回给客户端。
  3. 客户端拿到授权码去认证服务器通过Token Endpoint调用AuthorizationServerTokenServices生成 Token并返回给客户端
  4. 客户端拿到Token去资源服务器访问资源,一般会通过Oauth2AuthenticationManager调用 ResourceServerTokenServices进行校验。校验通过可以获取资源。

2.3、授权码模式

1、引入依赖

1
2
3
4
5
6
7
8
9
10
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>

2、登录实现类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
@Service
public class UserServiceImpl implements UserDetailsService{

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 登录逻辑的实现
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws
            UsernameNotFoundException {

        // 1.根据username 查询数据库, 假设查询到的为user(密码解密前为123456)
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户名或密码不存在");
        }

        // 2.根据查询的对像 进行密码比较
        String password = passwordEncoder.encode("123456");

        // 3.返回用户对像(并设置相应权限以及角色)
        // 角色定义:ROLE_角色名
        return new User("admin", password, AuthorityUtils
                .commaSeparatedStringToAuthorityList("vip1,vip2,ROLE_admin"));
    }
}

3、配置spring security

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
// 拦截器:使用aop横切进去,所以不改变原来的代码
@EnableWebSecurity  // 开启WebSecurity模式
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 必须要放行ouath下的所有请求,否则就无法使用ouath2了
                .antMatchers("/ouath/**", "/login.html", "/logout/**").permitAll()
                // 所有请求必须通过认证(登录)才能访问
                .anyRequest().authenticated()
                .and()  // 多个配置之间用and连接
                .formLogin().permitAll()
                .and()
                .csrf().disable();
    }

    //
    @Bean
    public PasswordEncoder pw() {
        return new BCryptPasswordEncoder();
    }
}

4、配置授权服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
/**
 * 授权服务器配置
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 可以用数据库,这里为了简化,用内存
        clients.inMemory()
                //配置client_id
                .withClient("client")
                //配置密码 client-secret
                .secret(passwordEncoder.encode("123123"))
                //配置重定向地址 redirect_uri(目的是获取授权码)
                .redirectUris("http://www.baidu.com")
                //配置申请的范围(all:所有)
                .scopes("all")
                //配置授权类型grant_type(authorization_code:授权码模式)
                .authorizedGrantTypes("authorization_code")
                //配置token有效期
                .accessTokenValiditySeconds(3600)
                //配置刷新token的有效期
                .refreshTokenValiditySeconds(864000);
    }
}

5、配置资源服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
/**
 * 资源服务器配置
 */
@Configuration
@EnableResourceServer
public class ResourceServiceConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
            // 授权
        http.authorizeRequests()
            // 所有请求都需要认证
            .anyRequest().authenticated()
            .and()
             // 放行资源
            .requestMatchers().antMatchers("/user/**");
    }
}

6、测试

  • 获取访问令牌:
    加载中
    加载中
    grant_type :授权类型,填写authorization_code,表示授权码模式
    code :授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
    client_id :客户端标识
    redirect_uri :申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
    scope :授权范围。 认证失败服务端返回 401 Unauthorized

  • 访问资源:根据token去资源服务器获取资源。
    加载中
    或者:
    加载中

2.4、密码模式

1、修改SecurityConfig,增加AuthenticationManager。 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
@EnableWebSecurity  // 开启WebSecurity模式
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    // 授权码模式
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 必须要放行ouath下的所有请求,否则就无法使用ouath2了
                .antMatchers("/ouath/**", "/login.html", "/logout/**").permitAll()
                // 所有请求必须通过认证(登录)才能访问
                .anyRequest().authenticated()
                .and()  // 多个配置之间用and连接
                .formLogin().permitAll()
                .and()
                .csrf().disable();
    }

    //
    @Bean
    public PasswordEncoder pw() {
        return new BCryptPasswordEncoder();
    }

    // 密码模式添加
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

2、修改AuthorizationServerConfig配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserServiceImpl userService;

    @Autowired
    private AuthenticationManager authenticationManager;

    // 密码模式:授权服务器端点配置
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                // 自定义登录逻辑
                .userDetailsService(userService)
                // 用户授权管理器
                .authenticationManager(authenticationManager);
    }

    // 授权码模式
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 可以用数据库,这里为了简化,用内存
        clients.inMemory()
                //配置client_id
                .withClient("client")
                //配置密码 client-secret
                .secret(passwordEncoder.encode("123123"))
                //配置重定向地址 redirect_uri(目的是获取授权码)
                .redirectUris("http://www.baidu.com")
                //配置申请的范围(all:所有)
                .scopes("all")
                //配置授权类型grant_type(authorization_code:授权码模式, password: 密码模式)
                .authorizedGrantTypes("authorization_code", "password")
                //配置token有效期
                .accessTokenValiditySeconds(3600)
                //配置刷新token的有效期
                .refreshTokenValiditySeconds(864000);
    }
}

3、获取令牌
通过PostMan测试,需要配置支持get请求和表单验证
加载中

3、基于redis存储Token

1、引入依赖 

1
2
3
4
5
6
7
8
9
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-pool2</artifactId>
</dependency>

2、编写redis配置类

1
2
3
4
5
6
7
8
9
10
11
@Configuration
public class RedisConfig {

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore redisTokenStore() {
        return new RedisTokenStore(redisConnectionFactory);
    }
}

3、在授权服务器配置中指定令牌的存储策略为Redis(以密码模式为例)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
/**
 * 授权服务器配置
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserServiceImpl userService;

    // 系统提示有多个tokenStore
    // 用@Qualifier指向在RedisConfig里面创建的redisTokenStore
    @Autowired
    @Qualifier("redisTokenStore")
    private TokenStore tokenStore;

    // 密码模式:授权服务器端点配置
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                // 自定义登录逻辑
                .userDetailsService(userService)
                // 用户授权管理器
                .authenticationManager(authenticationManager)
                // 令牌存储位置(数据库、缓存、内存、jwt)
                .tokenStore(tokenStore);
    }
}

失败是成功之母

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

JAVA<br><br>学习永不止步<br>简简单单