devbox
从前慢现在也慢
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Spring Cloud Security:Oauth2使用入门

作者:从前慢现在也慢 | 2024-03-03 18:25:12

macrozheng oauth

Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。

OAuth2 简介

OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。

OAuth2 相关名词解释

  • Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码;
  • Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源;
  • Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可以是浏览器、移动设备或者服务器;
  • Authorization server(认证服务器):用于认证用户的服务器,如果客户端认证通过,发放访问资源服务器的令牌。

四种授权模式

  • Authorization Code(授权码模式):正宗的OAuth2的授权模式,客户端先将用户导向认证服务器,登录后获取授权码,然后进行授权,最后根据授权码获取访问令牌;
  • Implicit(简化模式):和授权码模式相比,取消了获取授权码的过程,直接获取访问令牌;
  • Resource Owner Password Credentials(密码模式):客户端直接向用户获取用户名和密码,之后向认证服务器获取访问令牌;
  • Client Credentials(客户端模式):客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。

两种常用的授权模式

授权码模式

640?wx_fmt=png
  • (A)客户端将用户导向认证服务器;
  • (B)用户在认证服务器进行登录并授权;
  • (C)认证服务器返回授权码给客户端;
  • (D)客户端通过授权码和跳转地址向认证服务器获取访问令牌;
  • (E)认证服务器发放访问令牌(有需要带上刷新令牌)。

密码模式

640?wx_fmt=png
  • (A)客户端从用户获取用户名和密码;
  • (B)客户端通过用户的用户名和密码访问认证服务器;
  • (C)认证服务器返回访问令牌(有需要带上刷新令牌)。

Oauth2的使用

创建oauth2-server模块

这里我们创建一个oauth2-server模块作为认证服务器来使用。

  • 在pom.xml中添加相关依赖: 
  1. <dependency>
  2.     <groupId>org.springframework.cloud</groupId>
  3.     <artifactId>spring-cloud-starter-oauth2</artifactId>
  4. </dependency>
  5. <dependency>
  6.     <groupId>org.springframework.cloud</groupId>
  7.     <artifactId>spring-cloud-starter-security</artifactId>
  8. </dependency>
  9. <dependency>
  10.     <groupId>org.springframework.boot</groupId>
  11.     <artifactId>spring-boot-starter-web</artifactId>
  12. </dependency>
  • 在application.yml中进行配置: 
  1. server:
  2.   port: 9401
  3. spring:
  4.   application:
  5.     name: oauth2-service
  • 添加UserService实现UserDetailsService接口,用于加载用户信息: 
  1. /**
  2.  * Created by macro on 2019/9/30.
  3.  */
  4. @Service
  5. public class UserService implements UserDetailsService {
  6.     private List<User> userList;
  7.     @Autowired
  8.     private PasswordEncoder passwordEncoder;
  9.  
  10.     @PostConstruct
  11.     public void initData() {
  12.         String password = passwordEncoder.encode("123456");
  13.         userList = new ArrayList<>();
  14.         userList.add(new User("macro", password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));
  15.         userList.add(new User("andy", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
  16.         userList.add(new User("mark", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
  17.     }
  18.  
  19.     @Override
  20.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  21.         List<User> findUserList = userList.stream().filter(user -> user.getUsername().equals(username)).collect(Collectors.toList());
  22.         if (!CollectionUtils.isEmpty(findUserList)) {
  23.             return findUserList.get(0);
  24.         } else {
  25.             throw new UsernameNotFoundException("用户名或密码错误");
  26.         }
  27.     }
  28. }
  • 添加认证服务器配置,使用@EnableAuthorizationServer注解开启: 
  1. /**
  2.  * 认证服务器配置
  3.  * Created by macro on 2019/9/30.
  4.  */
  5. @Configuration
  6. @EnableAuthorizationServer
  7. public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
  8.  
  9.     @Autowired
  10.     private PasswordEncoder passwordEncoder;
  11.  
  12.     @Autowired
  13.     private AuthenticationManager authenticationManager;
  14.  
  15.     @Autowired
  16.     private UserService userService;
  17.  
  18.     /**
  19.      * 使用密码模式需要配置
  20.      */
  21.     @Override
  22.     public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
  23.         endpoints.authenticationManager(authenticationManager)
  24.                 .userDetailsService(userService);
  25.     }
  26.  
  27.     @Override
  28.     public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
  29.         clients.inMemory()
  30.                 .withClient("admin")//配置client_id
  31.                 .secret(passwordEncoder.encode("admin123456"))//配置client_secret
  32.                 .accessTokenValiditySeconds(3600)//配置访问token的有效期
  33.                 .refreshTokenValiditySeconds(864000)//配置刷新token的有效期
  34.                 .redirectUris("http://www.baidu.com")//配置redirect_uri,用于授权成功后跳转
  35.                 .scopes("all")//配置申请的权限范围
  36.                 .authorizedGrantTypes("authorization_code","password");//配置grant_type,表示授权类型
  37.     }
  38. }
  • 添加资源服务器配置,使用@EnableResourceServer注解开启: 
  1. /**
  2.  * 资源服务器配置
  3.  * Created by macro on 2019/9/30.
  4.  */
  5. @Configuration
  6. @EnableResourceServer
  7. public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
  8.  
  9.     @Override
  10.     public void configure(HttpSecurity http) throws Exception {
  11.         http.authorizeRequests()
  12.                 .anyRequest()
  13.                 .authenticated()
  14.                 .and()
  15.                 .requestMatchers()
  16.                 .antMatchers("/user/**");//配置需要保护的资源路径
  17.     }
  18. }
  • 添加SpringSecurity配置,允许认证相关路径的访问及表单登录: 
  1. /**
  2.  * SpringSecurity配置
  3.  * Created by macro on 2019/10/8.
  4.  */
  5. @Configuration
  6. @EnableWebSecurity
  7. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  8.  
  9.     @Bean
  10.     public PasswordEncoder passwordEncoder() {
  11.         return new BCryptPasswordEncoder();
  12.     }
  13.  
  14.     @Bean
  15.     @Override
  16.     public AuthenticationManager authenticationManagerBean() throws Exception {
  17.         return super.authenticationManagerBean();
  18.     }
  19.  
  20.     @Override
  21.     public void configure(HttpSecurity http) throws Exception {
  22.         http.csrf()
  23.                 .disable()
  24.                 .authorizeRequests()
  25.                 .antMatchers("/oauth/**", "/login/**", "/logout/**")
  26.                 .permitAll()
  27.                 .anyRequest()
  28.                 .authenticated()
  29.                 .and()
  30.                 .formLogin()
  31.                 .permitAll();
  32.     }
  33. }
  • 添加需要登录的接口用于测试: 
  1. /**
  2.  * Created by macro on 2019/9/30.
  3.  */
  4. @RestController
  5. @RequestMapping("/user")
  6. public class UserController {
  7.     @GetMapping("/getCurrentUser")
  8.     public Object getCurrentUser(Authentication authentication) {
  9.         return authentication.getPrincipal();
  10.     }
  11. }

授权码模式使用

  • 启动oauth2-server服务;
  • 在浏览器访问该地址进行登录授权:http://localhost:9401/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all&state=normal
  • 输入账号密码进行登录操作:
640?wx_fmt=png
  • 登录后进行授权操作:
640?wx_fmt=png
  • 之后会浏览器会带着授权码跳转到我们指定的路径: 
https://www.baidu.com/?code=eTsADY&state=normal

  • 使用授权码请求该地址获取访问令牌:http://localhost:9401/oauth/token

  • 使用Basic认证通过client_id和client_secret构造一个Authorization头信息;

640?wx_fmt=png
  • 在body中添加以下参数信息,通过POST请求获取访问令牌;
640?wx_fmt=png
  • 在请求头中添加访问令牌,访问需要登录认证的接口进行测试,发现已经可以成功访问:http://localhost:9401/user/getCurrentUser
640?wx_fmt=png

密码模式使用

  • 使用密码请求该地址获取访问令牌:http://localhost:9401/oauth/token

  • 使用Basic认证通过client_id和client_secret构造一个Authorization头信息;

640?wx_fmt=png
  • 在body中添加以下参数信息,通过POST请求获取访问令牌;
640?wx_fmt=png

使用到的模块 

  1. springcloud-learning
  2. └── oauth2-server -- oauth2认证测试服务

项目源码地址

https://github.com/macrozheng/springcloud-learning

推荐阅读

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/185347
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号