当前位置:   article > 正文

spring security实现authorization code模式,自定义登录页面,自动授权,自定义密码编码,跳转登录页面http转https_spring authorization server 自定义登录页面

spring authorization server 自定义登录页面

spring security实现authorization code模式# 系列文章目录

SpringSecurity实现OAuth2
JWT和OAuth2在SpringBoot下的实现



摘要

为了将老项目接口安全暴露给第三方,我采取了OAuth 2.0 authorization code技术给接口做了鉴权。以spring security authorization code模式,论述了OAuthServer程序中自定义资源的方法。在项目中采用自定义登录页面替换默认的login页面,来使样式UI与自己系统风格保持一致;采用设置自动授权,省去了登录成功后要点击approve二次确认;采用了自定义密码验证,对接老系统账号数据与老系统密码编码验证保持一致,相应client_secret密码编码替换;采用了跳转登录页面http转https,使登录页链接与服务器https环境一致。


自定义登录页面

自定义登录页面必须放到后端项目里,跟授权接口在一个域里。
如果这是你的登录页html
resources/static/login.html

<form action="./login.html" method="post">
  <div class="input">
    <label for="name">用户名</label>
    <input type="text" name="username" id="username">
    <span class="spin"></span>
  </div>
  <div class="input">
    <label for="pass">密码</label>
    <input type="password" name="password" id="password">
    <span class="spin"></span>
  </div>
  <div class="button login">
    <button type="submit">
      <span>登录</span>
      <i class="fa fa-check"></i>
    </button>
  </div>
</form>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18

需要在HttpSecurity方法里做相应配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http
                .formLogin().loginPage("/login.html")
                .permitAll()
                .and()
                .csrf().disable()
        ;
    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10

在做如上配置后,spring security会自动映射默认的login接口为/login.html,登录页面的表单action也写为form action=“./login.html”。

自动授权

自动授权是在oauth_client_details表里autoapprove配置的。配置之后登录页数据账号密码验证成功就直接跳转到redirect_uri?code=xxxx。
在这里插入图片描述

自定义密码验证

先实现PasswordEncoder接口。
在实现并使用了自己实现的PasswordEncoder之后,client_secret也要用这种编码方式写入数据库。

public class CustomPasswordEncoder implements PasswordEncoder {
    private static Logger log = LoggerFactory.getLogger(CustomPasswordEncoder.class);
    @Override
    public String encode(CharSequence rawPassword) {
        return EncryptUtil.encodePassword(rawPassword.toString());
    }
/**
 rawPassword 数据来自表单输入;
 encodedPassword 数据来自UserDetailsService#loadUserByUsername;
 */
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (encodedPassword == null || encodedPassword.length() == 0) {
            log.warn("Empty encoded password");
            return false;
        }
        
        return encode(rawPassword).equals(encodedPassword);
    }
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20

在WebSecurityConfigurerAdapter中定义Encoder的bean就会使用。

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new CustomPasswordEncoder();
    }
  • 1
  • 2
  • 3
  • 4

记得修改UserDetailsService#loadUserByUsername方法。

跳转登录页面http转https

这里以springboot的tomcat为例。

server:
  tomcat:
    redirect-context-root: true
    remote-ip-header: x-forwarded-for
    protocol-header-https-value: https
    protocol-header: x-forwarded-proto
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

放出refresh token的endpoint

在AuthorizationServerConfigurerAdapter的继承类中配置:

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 设置令牌
        endpoints.tokenStore(tokenStore())
                .userDetailsService(userDetailsService); // 此配置是将refresh token放出来。
    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/84192
推荐阅读
相关标签
  

闽ICP备14008679号