2. 程式人生 > >使用SpringSecurity 實現 OAuth2 資源伺服器認證伺服器分離( 註冊碼模式)

使用SpringSecurity 實現 OAuth2 資源伺服器認證伺服器分離( 註冊碼模式)

阿新 發佈:2019-01-04

前言

    要解決的問題:不暴露客戶密碼的情況下授權三方服務訪問客戶資源

    角色:資源擁有者,客戶端應用(三方服務),授權伺服器,資源伺服器

    模式:授權碼模式:需要客戶授權得到授權碼後再次通過三方服務的密碼取得token,雙重校驗,最安全,最複雜

               簡易模式:無需授權碼對使用者暴露返回的Token,不安全

               密碼模式:客戶端應用需要資源擁有者密碼。全鏈路可信情況下使用

               客戶端模式:無需資源擁有者密碼,只需要客戶端應用密碼進行校驗,伺服器對伺服器使用

       本試驗主要演示註冊碼模式,分為授權伺服器和資源伺服器倆個應用,後續會持續擴充套件為單個授權伺服器和多個資源伺服器。

試驗步驟

按照以下截圖建立授權伺服器,授權伺服器包結構如下


1 使用pom檔案匯入相應依賴,主要匯入了以下依賴包

1)SpringBoot的security和web,

2)SpringSecurity的OAuth2

pom檔案如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"
 
>
    <modelVersion>4.0.0</modelVersion>

    <groupId>io.spring2go</groupId>
    <artifactId>authcode-server</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>

    <name>authcode-server</name>
    <description
 
>Demo project for Spring Boot</description>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.10.RELEASE</version>
        <relativePath /> <!-- lookup parent from repository -->
</parent>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- for OAuth 2.0 -->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>


</project>

2 修改application.properties設定使用者登入密碼

# Spring Security Setting
security.user.name=bobo
security.user.password=xyz

3 製作SpringBoot的啟動檔案

package com.test.authcodeserver;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class AuthCodeServerApplication {
    public static void main(String[] args) {
        SpringApplication.run(AuthCodeServerApplication.class, args);
    }
}
4 設定授權服務程式碼
package com.test.authcodeserver.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.oauth2.provider.token.store.JdbcTokenStore;

@Configuration
@EnableAuthorizationServer
public class AuthCodeServerConfig extends AuthorizationServerConfigurerAdapter {
@Override
public void configure(final AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()");
    }
    @Override
public void configure(ClientDetailsServiceConfigurer clients)
            throws Exception {
        //JdbcClientDetailsService可以動態管理資料庫中客戶端資料
        //http://localhost:8080/oauth/authorize?client_id=testclientid&redirect_uri=http://localhost:9001/authCodeCallback&response_type=code&scope=read_userinfo
clients.inMemory()
                .withClient("testclientid")//clientId:(必須的)用來標識客戶的Id。
.secret("1234")//secret:(需要值得信任的客戶端)客戶端安全碼,如果有的話。
.redirectUris("http://localhost:9001/authCodeCallback")//客戶端應用負責獲取授權碼的endpoint
.authorizedGrantTypes("authorization_code")// 授權碼模式
.scopes("read_userinfo", "read_contacts");//scope:用來限制客戶端的訪問範圍,如果為空(預設)的話,那麼客戶端擁有全部的訪問範圍。
}

}

5 啟動SpringBoot服務

6 客戶端服務訪問授權伺服器,銅鼓訪問如下url取得授權碼

http://localhost:8080/oauth/authorize?client_id=testclientid&redirect_uri=http://localhost:9001/authCodeCallback&response_type=code&scope=read_userinfo

訪問完成後會redirect回客戶端伺服器並將授權碼作為引數傳回,其中localhost:9001即為客戶端應用


7 客戶端使用返回的授權碼獲取訪問令牌



傳送請求引數如下

url:http://localhost:8080/oauth/token

code=ifz2BV&grant_type=authorization_code&redirect_uri=http%3A%2F%2Flocalhost%3A9001%2FauthCodeCallback&scope=read_userinfo

得到的令牌資料

{access_token"554338cd-cab0-4ba0-b5bf-3ebd55db3196"token_type"bearer"expires_in43199scope"read_userinfo"

}

以上授權伺服器就簡單完成了,下面將製作資源伺服器

--------------------------------------------------------------------------------------------------

資源伺服器

0 資源伺服器的包結構


1 資源伺服器配置,使用RemoteTokenServices調取認證伺服器的認證方法來對Token進行認證

package com.test.resourceserver.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.common.exceptions.InvalidTokenException;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.OAuth2Authentication;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.web.AuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

//資源服務配置
@Configuration
@EnableResourceServer
public class OAuth2ResourceConfig extends ResourceServerConfigurerAdapter {

    @Primary
    @Bean
public RemoteTokenServices tokenServices() {
        final RemoteTokenServices tokenService = new RemoteTokenServices();
        tokenService.setCheckTokenEndpointUrl("http://localhost:8080/oauth/check_token");
        tokenService.setClientId("testclientid");
        tokenService.setClientSecret("1234");
        return tokenService;
    }

    @Override
public void configure(HttpSecurity http) throws Exception {

//        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
//                .and()
//                .authorizeRequests()
//                .anyRequest()
//                .authenticated()
//                .and()
//                .requestMatchers()
//                .antMatchers("/api/**");
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .authorizeRequests().anyRequest().permitAll();
    }
}

2 提供對外的API介面

package com.test.resourceserver.api;

import org.springframework.http.ResponseEntity;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class UserController {

   // 資源API
@RequestMapping("/api/userinfo")
    public ResponseEntity<UserInfo> getUserInfo() {

        String  user  = (String) SecurityContextHolder.getContext()
                .getAuthentication().getPrincipal();
        String email = user+ "@test.com";
        UserInfo userInfo = new UserInfo();
        userInfo.setName(user);
        userInfo.setEmail(email);
        return ResponseEntity.ok(userInfo);
    }

}
呼叫getUserInfo

http://localhost:8004/api/userinfo 

authorization: Bearer 638aa01c-4ccd-4873-ab86-d46f22aea091


呼叫後返回資源伺服器的結果


至此一個資源伺服器和認證伺服器分離的資源呼叫就結束了。

相關推薦

使用SpringSecurity 實現 OAuth2 資源伺服器認證伺服器分離 註冊模式

前言    要解決的問題:不暴露客戶密碼的情況下授權三方服務訪問客戶資源    角色:資源擁有者,客戶端應用(三方服務),授權伺服器,資源伺服器    模式:授權碼模式:需要客戶授權得到授權碼後再次通過三方服務的密碼取得token,雙重校驗,最安全,最複雜          

Mycat實現 分庫分表+讀寫分離基於主從配置

前兩篇文章分別講解了分庫分表 和主從配置下面來介紹 分庫分表+讀寫分離(基於主從配置)簡單的架構圖:配置:cd進入到mycat的conf目錄下 檢視 server.xml  rule.xml  schema.xml 三個配置檔案server.xml   與之前的配置基本沒有變

spring Security4 和 oauth2整合 註解+xml混合使用授權

Spring Security4 和 oauth2整合授權碼模式 上兩篇介紹了環境配置和使用者密碼模式,下面介紹授權碼模式。 git地址:https://gitee.com/xiaoyaofeiyang/OauthUmp spring Security4 和 oauth2整合 註

《SpringSecurityOauth2》 3. OAuth2 資源伺服器認證伺服器分離

認證伺服器(9999/server) <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-securi

亞馬遜aws伺服器搭建實現微信小程式換臉持續更新中

先上一張換臉效果圖,讓你有興趣看下去圖片從網上搜的,如果有侵犯您的肖像權,請聯絡我,我會刪掉aws 相對於國內伺服器那是相當的便宜,而且有一年的免費試用期,對於想嘗試開發小程式的小夥伴已經足夠用了小程式有很多坑,首先連線服務必須要https,這個要修改伺服器的設定,不過免費的

Zookeeper+websocket實現對分散式伺服器的實時監控附原始碼下載

​ 我就是個封面 Zookeeper簡介 Zookeeper是Hadoop的一個子專案,它是分散式系統中的協調系統。 簡單來說就是一個Zookeeper註冊同步中心,內部結構為一個樹形目錄,每個節點上可以存放一定量(預設的資料量上限是1M,但是可以通過調整引數修改)的資料,客戶端(一段通過Zook

MMM架構實現MySQL高可用讀寫分離進階版,包含Amoeba

meid _id status mysqld 服務無法啟動 flush 忽略 kit pri 前兩天逛博客偶然發現了某大神寫的關於MMM的文章,看完就迫不及待的自己試了一下,大神寫的很順暢,以為自己也能操作的很順暢,但是實際情況是手腳太不麻利,碰到很多坑,如果大神的

在ubuntu伺服器上配置J2EEjava+tomcat+mysql

網路上的配置都不盡任意,沒有體現linux的apt的流暢感。找了一個外國人做的配置jdk+tomcat的,寫得真是好。不想看說明的直接把他的指令輸一遍就好了。(nano真好用) https://www.digitalocean.com/community/tutorials/how-to-ins

vue如何實現程式碼打包分離按需載入

在vue中使用import()來代替require.ensure()實現程式碼打包分離 一、require.ensure() 方法來實現程式碼打包分離 require.ensure() 是 webpack 特有的,已經被 import() 取代。 require.en

Android-通過網路獲取xml檔案使用pull解析得到伺服器中的資訊新聞客戶端

通過網路獲取xml檔案,使用pull解析該檔案得到伺服器中的資訊; demo中使用了一個開源的圖片載入包,故上傳原始碼方便檢視; 效果圖: 步驟: 1.連線伺服器獲取xml檔案; 2.使用pull解析xml檔案存入實體物件中; 3.解析後將實體物件存入List集合中;

Tomcat伺服器設定開機啟動以服務形式

將Tomcat設定為自動啟動的服務: 最近遇到了個問題,伺服器上的專案突然訪問不了,就上伺服器去重啟了tomcat服務,誰知道到最後tomcat的服務報錯了,重新啟動服務的選項 也沒有,之前這個專案也不是我部署的,所以研究了下怎麼將tomcat設定到服務裡邊去,畢竟誰也想天天去手動的去啟動t

如何在救援單使用者模式/緊急模式下啟動 Ubuntu 18.04/Debian 9 伺服器 | Linux 中國...

將 Linux 伺服器引導到單使用者模式或救援模式是 Linux 管理員在關鍵時刻恢復伺服器時通

webstorm2016.2.3啟用伺服器+註冊方式

目前webstorm最新版本為2016.2.3,啟用方式如下: 一、伺服器方式 1、聯網狀態下執行WS,Help---register進入啟用頁面,啟用方式選擇Licence server,然後伺服器

使用Yii2實現讀寫分離MySQL主從資料庫

讀寫分離(Read/Write Splitting)。 簡介 資料庫讀寫分離是在網站遇到效能瓶頸的時候最先考慮優化的步驟,那麼yii2是如何做資料庫讀寫分離的呢?本節教程來給大家普及一下yii2的資料庫讀寫分離配置。 兩個伺服器的資料同步是讀

嵌入式web伺服器boa移植全過程含圖解過程

移植平臺:mini2440(arm9 s3c2440)開發板 ,核心2.6.29   一、boa下載和安裝: 1、修改編譯安裝檔案: 1)在www.boa.org下載boa-0.94.13.tar.gz 並解壓 2)在src目錄下執行./configure生成Ma

IDEA啟動Tomcat伺服器時某些埠如1099埠被佔用的解決辦法

啟動Tomcat伺服器時,出現1099埠被其它程序佔用了 解決辦法:   1、找出佔用1099埠的程序,進入windows命令,檢視什麼程序佔用了1099埠,使用命令:netstat -aon|findstr 1099 找出佔用1099埠的程序,如下圖所示:

SpringBoot進行MySql動態資料來源配置實現讀寫分離連線池Druid

1.簡介 前面使用C3P0連線池進行過資料庫的讀寫分離的實驗,今天換一下資料庫連線池改造一下,原理還是和原來的一樣。 Druid是阿里出品,淘寶和支付寶專用資料庫連線池,但它不僅僅是一個數據庫連線池,它還包含一個ProxyDriver,一系列內建的JDBC元

使用spring實現讀寫分離mysql主從複製五:一主多從的實現

很多實際使用場景下都是採用“一主多從”的架構的,使用輪詢演算法實現,目前只需要修改DynamicDataSource即可。   1.1. 實現 import java.lang.reflect.Field; import java.util.ArrayList; impo

Centos6.7下 samba伺服器的搭建與配置share共享模式

Samba服務介紹       在早期的網路世界當中,檔案資料在不同主機之間的傳輸大多是使用 ftp 這個好用的伺服器軟體來進行傳送。不過使用 FTP 傳輸檔案卻有個小小的問題, 那就是你無法直接修

伺服器遠端管理簡介ILO,BMC,RSA

Author:Skate time:2016/09/18 轉載:http://blog.csdn.net/cymm_liu/article/details/8447623 現在說說HP的伺服器: 好像HP的伺服器標配都集成了iLO的,也就是HP自己的遠端管理系