- 1【JVM】类加载器_应用程序类加载器
- 2百度王海峰:规模定律未来几年仍有效
- 3基于STM32单片机智能家居安防系统无线APP产品云平台设计133_stm32智能家居系统软件
- 4存内计算路线再获加持,清华存内芯片登Science_吴华强 rram
- 5在linux中如何后台运行java项目(详细)_linux 后台启动java
- 6【C++】C++ QT实现 学生信息管理系统(QT源码)【独一无二】_qt学生管理系统
- 7HTTP Request Status 汇总_invalid response type
- 8WEB应用的组成结构
- 9ElasticSearch的REST APIs 之 索引的mapping管理
- 10spring boot 实现token验证登陆状态
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client_spring.security.oauth2.client.provider
赞
踩
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:
-
交互参与方:
- Client:需要访问
Resource Sever受保护资源的应用; - Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(
Grant Type); - Authorization Server:提供访问授权的应用,
Client使用某种Grant Type向Authorization Server获取Access Token; - Resource Sever:包含受保护资源的应用,
Client使用Access Token访问Resource Server的受保护资源;
- Client:需要访问
-
授权类型 - Grant Type
- Authorization Code:让用户访问Client页面时,页面打向Authorization Server的登录页面,登录后显示授权访问页面,授权成功后Client即可获得Access Token访问Resource Server
- Password:通过提供提供用户名和密码获得Access Token,一般是给应用服务的客户端使用(IOS、Android、Web App)。
- Client Credentials:Client通过Client Id和Client Secret直接向Authorization Server请求Access Token;它主要用于非用户参与的应用,如后台服务。
-
Token
- Access Token:用来访问受保护资源的唯一令牌;
- Refresh Token:当Access Token失效时,我们可以使用Refresh Token来获取一个新的Access Token,它的时效性要远远大于Access Token
- JWT:JSON Web Token,它代表双方之间安全传输的信息;它使用数字签名,传输的信息可以被验证和信任。
3.3 OAuth 2.0 Client
前面我们使用Resource Server和Authorization Server演示Grant Type为password的场景;这节我们结合Client演示Grant Type为Authorization Code。
新建应用,信息如下:
Group:top.wisely
Artifact:client
Dependencies:Spring Security、OAuth2 Client、Spring Web Starter、Lombok
build.gradle文件中的依赖如下:
dependencies {
implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'
implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'org.springframework.boot:spring-boot-starter-web'
compileOnly 'org.projectlombok:lombok'
annotationProcessor 'org.projectlombok:lombok'
//...
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
3.3.1 Spring Boot的自动配置
Spring Boot通过OAuth2ClientAutoConfiguration,通过OAuth2ClientProperties使用spring.security.oauth2.client.*来配置Client;它导入了两个配置:
-
OAuth2ClientRegistrationRepositoryConfiguration:读取外部配置ClientRegistration(Client 注册)集合,并添加到InMemoryClientRegistrationRepository(在内存中存储ClientClientRegistration的库),且将InMemoryClientRegistrationRepository注册成了Bean。注册Client,需要指定Client的Registration以及它对应Client的Provider(Authorization Server)信息-
Registration:通过配置
spring.security.oauth2.client.registration.[registrationId].*来实现; -
Provider:通过配置
spring.security.oauth2.client.provider.[providerId].*来实现;Provider和Client是对应关系,providerId和registrationId相同。
-
-
OAuth2WebSecurityConfiguration:为我们注册了两个Bean并做了相关的Spring Security配置。-
OAuth2AuthorizedClientService:使用其实现类InMemoryOAuth2AuthorizedClientService注册Bean,用来管理被授权的Client(OAuth2AuthorizedClient,可获得用户的Access Token); -
OAuth2AuthorizedClientRepository:使用其实现类AuthenticatedPrincipalOAuth2AuthorizedClientRepository注册Bean,用来在请求间持久化被授权的Client。 -
使用
HttpSecurity配置弃用OAuth 2.0的登录(oauth2Login())和Client(oauth2Client())设置:@Configuration(proxyBeanMethods = false) @ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class) static class OAuth2WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().oauth2Login() .- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
-
