2. 程式人生 > >spring Security4 和 oauth2整合 註解+xml混合使用(授權碼篇)

spring Security4 和 oauth2整合 註解+xml混合使用(授權碼篇)

阿新 發佈:2018-11-27

Spring Security4 和 oauth2整合授權碼模式

上兩篇介紹了環境配置和使用者密碼模式,下面介紹授權碼模式。

git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp

spring Security4 和 oauth2整合 註解+xml混合使用(基礎執行篇)
spring Security4 和 oauth2整合 註解+xml混合使用(進階篇)
spring Security4 和 oauth2整合 註解+xml混合使用(授權碼篇)
spring Security4 和 oauth2整合 註解+xml混合使用(注意事項篇)


spring Security4 和 oauth2整合 註解+xml混合使用(替換6位的授權碼)
spring Security4 和 oauth2整合 註解+xml混合使用(替換使用者名稱密碼認證)
spring Security4 和 oauth2整合 註解+xml混合使用(驗證碼等額外資料驗證)

OAuth2SecurityConfiguration

授權碼模式需要對OAuth2SecurityConfiguration進行一些配置,對跳轉的url做限制。

package com.ump.test.oauth;

import org.springframework.beans
 
.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework
 
.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.approval.ApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler;
import org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint;
import org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("myClientDetailsService")
    private ClientDetailsService clientDetailsService;

//  @Autowired
//  @Qualifier("myUserDetailsService")
//  private UserDetailsService userDetailsService;

    @Autowired
    public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
        //auth.userDetailsService(userDetailsService);
        auth.inMemoryAuthentication()
        .withUser("bill").password("abc123").roles("ADMIN").and()
        .withUser("bob").password("abc123").roles("USER");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
        .csrf().disable()
        .authorizeRequests()
        .antMatchers("/oauth/token")
        .permitAll().and()
        .formLogin().loginPage("/authlogin.jsp")
        .usernameParameter("userName").passwordParameter("userPwd")
        .loginProcessingUrl("/login").failureUrl("/index1.jsp")
        .and().logout().logoutUrl("/logout");

    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

//
//  @Bean
//  public TokenStore tokenStore() {
//      return new InMemoryTokenStore();
//  }

    @Bean
    @Autowired
    public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore){
        TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
        handler.setTokenStore(tokenStore);
        handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
        handler.setClientDetailsService(clientDetailsService);
        return handler;
    }

    @Bean
    @Autowired
    public ApprovalStore approvalStore(TokenStore tokenStore) throws Exception {
        TokenApprovalStore store = new TokenApprovalStore();
        store.setTokenStore(tokenStore);
        return store;
    }

}

authlogin.jsp

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<%@ page language="java" pageEncoding="UTF-8"%> 
<head>
<%
    String baseUrl = request.getContextPath();
%>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<script type="text/javascript" src="<%=baseUrl%>/js/jquery-3.2.1.min.js"></script>
<title>SkyNet</title>
</head>
<script type="text/javascript">
    function ajaxTest() {
        var type = "1";
        $.ajax({
            type : "post",
            url : "<%=baseUrl%>/test/welCome",
            dataType : "json",
            data : {reqType : type} ,
            success : function(data) {
                $("#div1").html(data.uuid + "<br>" + 
                        data.welMsg + "<br>"+
                        data.dateTime);
            },
            error : function(XMLHttpRequest, textStatus, errorThrown) {
                alert(errorThrown);
            }
        });
    }
</script>
<body>
    這裡是htm1 
    <div id="div1"></div>
    <button type="button" onclick="ajaxTest()">Welcome</button>
    <form action="<%=baseUrl%>/login" method="post">
First name:<br>
<input type="text" name="userName">
<br>
Last name:<br>
<input type="text" name="userPwd">
<input type="submit" value="Submit" />
</form>
    <script type="text/javascript">
        $(document).ready(function() {
            $("#div1").html("呵呵");
        });
    </script>
</body>
</html>

加上前面兩篇的測試頁面,這樣授權碼模式就可以了。不過還有個問題,就是授權碼的client_id必須用baseauth的方式去寫,不能直接寫在連結裡,這就很煩人。想寫在連結裡,很簡單,AuthorizationServerConfiguration加上一句oauthServer.allowFormAuthenticationForClients();即可。

package com.ump.test.oauth;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.approval.UserApprovalHandler;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    private static String REALM = "MY_OAUTH_REALM";

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    @Qualifier("myClientDetailsService") 
    private ClientDetailsService clientDetailsService;

    @Autowired
    private UserApprovalHandler userApprovalHandler;

    @Autowired
    @Qualifier("authenticationManagerBean")
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.withClientDetails(clientDetailsService);
//      clients.inMemory().withClient("my-trusted-client")
//              .authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
//              .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT").scopes("read", "write", "trust").secret("secret")
//              .accessTokenValiditySeconds(120)
//              .refreshTokenValiditySeconds(600);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore).userApprovalHandler(userApprovalHandler)
                .authenticationManager(authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.allowFormAuthenticationForClients();
        oauthServer.realm(REALM + "/client");
    }

}

自定義授權頁面

oauth2的授權頁面太醜了,可以考慮改一下,找個最簡單的方案即可。我這裡頁面跟它類似,也很醜,就是copy它的,做個示範。

package com.ump.test.oauth;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.SessionAttributes;

@Controller
@SessionAttributes("authorizationRequest")
public class OAuth2ApprovalController {
    @RequestMapping("/oauth/confirm_access")
    public String getAccessConfirmation(Map<String, Object> model, HttpServletRequest request) throws Exception {

        return "/user/oauth_approval.jsp";
    }
}

oauth_approval.jsp

<%@ page language="java" pageEncoding="UTF-8"%> 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>授權</title>
</head>
<body>
    <h1>自定義 Approval</h1>
    <p>這是我自己的,怎麼樣?</p>
    <form id='confirmationForm' name='confirmationForm'
        action='/oauth/authorize' method='post'>
        <input name='user_oauth_approval' value='true' type='hidden' /><label><input
            name='authorize' value='Authorize' type='submit' /></label>
    </form>
    <form id='denialForm' name='denialForm' action='/oauth/authorize'
        method='post'>
        <input name='user_oauth_approval' value='false' type='hidden' /><label><input
            name='deny' value='Deny' type='submit' /></label>
    </form>
</body>
</html>

可以咯,下一篇寫個注意事項。

相關推薦

spring Security4 oauth2整合 註解+xml混合使用驗證等額外資料驗證

spring Security4 和 oauth2整合(驗證碼等額外資料驗證) 上一篇寫的自定義使用者名稱密碼驗證,這裡寫驗證碼的驗證,或者其他資訊的驗證。 git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp spring Securi

spring Security4 oauth2整合 註解+xml混合使用替換使用者名稱密碼認證

spring Security4 和 oauth2整合 (替換使用者名稱密碼認證) 之前已經寫了註解和xml配合搭建基本認證、頁面認證、授權碼認證、替換6位授權碼方法等,這次在前面的基礎上介紹如何替換使用者名稱密碼認證,下一篇介紹如何增加驗證碼等額外引數驗證方法。 程式碼比較多,這次只

spring Security4 oauth2整合 註解+xml混合使用替換6位的授權

spring Security4 和 oauth2整合替換6位的授權碼 git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp spring Security4 和 oauth2整合 註解+xml混合使用(基礎執行篇) spring Secu

spring Security4 oauth2整合 註解+xml混合使用注意事項

Spring Security4 和 oauth2整合注意事項 git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp spring Security4 和 oauth2整合 註解+xml混合使用(基礎執行篇) spring Security

spring Security4 oauth2整合 註解+xml混合使用授權

Spring Security4 和 oauth2整合授權碼模式 上兩篇介紹了環境配置和使用者密碼模式,下面介紹授權碼模式。 git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp spring Security4 和 oauth2整合 註

spring Security4 oauth2整合 註解+xml混合使用進階

Spring Security4 和 oauth2整合使用者密碼授權模式 上篇已經可以正常運行了,不過拿來測試還不夠,下面介紹如何測試oauth2的使用者密碼模式,授權碼模式下一篇說。 不想看這些亂七八糟的,可以直接把程式碼拉下來。 git地址:https://gitee.com/x

spring Security4 oauth2整合 註解+xml混合使用基礎執行

Spring Security4 和 oauth2整合 最近專案中需要用到oauth2,到網上找了好多資料,全是亂七八糟的,東拼西湊,終於跑出來了一版,xml的方式太亂了,跑不了,還是用註解方式,並把一些關鍵配置提到xml中。 git地址:https://gitee.com/xiao

Spring boot實戰專案整合阿里雲RocketMQ 非開源版訊息佇列實現傳送普通訊息,延時訊息 --附程式碼

一.為什麼選擇RocketMQ訊息佇列? 首先RocketMQ是阿里巴巴自研出來的,也已開源。其效能和穩定性從雙11就能看出來,借用阿里的一句官方介紹:歷年雙 11 購物狂歡節零點千萬級 TPS、萬億級資料洪峰,創造了全球最大的業務訊息併發以及流轉紀錄(日誌類訊息除外);  在始終保證高效能前提下

OAuth2.0詳解授權模式

OAuth2.0有五種授權模式。 (1)授權碼模式(Authorization Code) (2)授權碼簡化模式(Implicit) (3)Pwd模式(Resource Owner Password Credentials) (4)Client模式(Cl

使用Spring SecurityOAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

Spring MvcSpringBoot整合Swagger2

各位同學大家好,最近專案趕進度,沒有鑽研技術的時間,但碰巧今天需要在Spring專案上進行SpringMvc和Swagger的整合,而第一次使用Swagger是在SpringBoot專案上,因此踩了不少的坑,於是想和大家分享一下 :關於Swagger在SpringBoot或者和SpringMvc的整

Spring BootDubbo整合

  程式碼demo http://git.oschina.net/zhangxh20/spring-boot-dubbo 專案共分成4個模組 dubbo-api dubbo-dao dubbo-service dubbo-web dubbo-

Spring Boot學習筆記Spring Boot activeMQ整合

Spring Boot學習筆記使用步驟: Spring Boot:並不是不對 Spring 功能上的增強,而是提供了一種快速使用 Spring 的方式。 使用步驟: 1、起步依賴:pom.xml中配置起步依賴,會自動匯入spring相關的許多jar包 <

輕輕鬆鬆學習SpringBoot2:第二十五Spring BootMongodb整合完整版

今天主要講的是Spring Boot和Mongodb整合我們先來回顧一下前面章節的相關內容前面我們講了SpringBoot和mysql整合,並且講了操作資料庫的幾種方式自動生成表資料庫操作操作篇回到正題,mongodb的安裝在這就不累述了,win版本的去官網下載,然後一直下一

Spring系列之Spring框架SpringAOP整合過程分析(十二)

轉載請註明出處:https://blog.csdn.net/zknxx/article/details/80808447 在這篇文章中我們接著上一篇的文章說。在上一篇文章中我們提到了getAdvicesAndAdvisorsForBean這個方法,這個方法的內

Spring系列之Spring框架SpringAOP整合過程分析(十)

轉載請註明出處:https://blog.csdn.net/zknxx/article/details/80724180 在開始這個系列之前大家先想一下我們是怎麼在專案中使用SpringAOP的(這裡的分析都是基於AspectJ註解的)。我們需要在我們的Spr

spring bootmybatis整合

maven的依賴配置 <!-- spring boot 版本號 --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>

spring junit4junit5整合測試,3步走

1、導包spring-test-5.0.7.RELEASE.jar 2、使用註解改變執行main函式 3、指定spring的配置檔案 junit4示範程式碼 //改變junit的執行Runner

spring-orm Hibernate整合

<bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="dataSource" re

spring-boot redis 整合的一個小例子

轉自:http://blog.csdn.net/a67474506/article/details/52595053 在網上看到好多的spring-boot和redis整合的,弄到本地一直報Error resolving template "get", template m