2. 程式人生 > >Spring security oauth2最簡單入門環境搭建--二、乾貨

Spring security oauth2最簡單入門環境搭建--二、乾貨

阿新 發佈:2019-02-14

轉載自:http://wwwcomy.iteye.com/blog/2230265


友情提示 學習曲線:spring+spring mvc+spring security+Oauth2基本姿勢,如果前面都沒看過請及時關閉本網頁。

我有信心我的這個blog應該是迄今為止使用spring security oauth2最簡單的hello world app介紹了,如果你下下來原始碼還看不懂,請留言。。 

其他能搜到的如http://blog.csdn.net/monkeyking1987/article/details/16828059這個哥們兒 
和 
http://www.cnblogs.com/smarterplanet/p/4088479.html

這個,都很好,不過因為依賴了資料庫,配置比較多,對於初學者來說,搭起來一個最最簡單的環境才是最重要的,擼要一步一步走嘛(如果對spring不是特別熟,強烈不建議看官方的tutorial,槽點太多,例如靜態JS庫的引用方式,web.xml的使用方式,Spring的配置方式,我反正下下來就驚呆了,第一次看到用java程式碼配spring) 

基本需求:
使用者A希望授權網站B能獲取自己在網站appDemo的一個資源,資源的地址是 
http://localhost:8080/appDemo/resource/getUserInfo 

使用的框架及版本:
spring-webmvc 3.2.8spring-security-web 3.2.6spring-security-oauth2 2.0.7 (這是到2015.7為止的最新版本,和1.0有些小區別,我也在這上面卡了一段時間)
Pom檔案見附件整個專案原始碼。 


準備材料(附件都已經包括):
搭建一個springMVC+springSecurity的最簡單環境,並且自定義一個login.jsp寫一個controller和Jsp,充當使用者的受保護資源寫兩個jsp作為scope選擇確認頁面

我們要做的
僅僅是配置spring security的配置檔案就可以了~一點程式碼都不用寫,資料庫也不用連。 

我會從client資訊開始,把整個配置檔案串起來,最後我會講appDemo使用的方法,和以下的配置聯絡起來 

網站B在網站appDemo的"使用者"(注意這裡和使用者A沒半毛錢關係)資訊,即client_id和client_secret配置: Xml程式碼  收藏程式碼
  1. <
    authentication-manager id="clientAuthenticationManager">  
  2.         <authentication-provider user-service-ref="oauth2ClientDetailsUserService" />  
  3.     </authentication-manager>  
  4.     <beans:bean id="oauth2ClientDetailsUserService"  
  5.     class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">  
  6.         <beans:constructor-arg ref="clientDetailsService" />  
  7.     </beans:bean>  
  8. <oauth2:client-details-service id="clientDetailsService">  
  9.         <oauth2:client client-id="m1"  
  10.             authorized-grant-types="password,authorization_code,refresh_token,implicit"  
  11.             secret="s1" scope="read,write,trust" authorities="ROLE_CLIENT, ROLE_TRUSTED_CLIENT"  
  12.             resource-ids="pic-resource" />  
  13.     </oauth2:client-details-service>  

注意名稱空間,可以看到client配置和spring security傳統的使用者配置是非常像的。 
這裡配置了網站B在appDemo中的client_id,client_secret,scope,許可權和授權型別,資源ID,那這個資源ID是個啥呢? 
資源filter配置: Xml程式碼  收藏程式碼
  1. <oauth2:resource-server id="picResourceServer"  
  2.         resource-id="pic-resource" token-services-ref="tokenServices" />  

配置這個,除了資源定位(id),還為了給我們的資源加上一個自定義的OAuth過濾器,這個過濾器主要是為了網站B在訪問資源的時候驗證Access Token。然後出現了兩個分支: 
1.配token service 
2.配資源 
先講Token配置: Xml程式碼  收藏程式碼
  1. <beans:bean id="tokenServices"  
  2.         class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">  
  3.         <beans:property name="tokenStore" ref="tokenStore" />  
  4.         <beans:property name="supportRefreshToken" value="true" />  
  5.         <beans:property name="clientDetailsService" ref="clientDetailsService" />  
  6.     </beans:bean>  
  7.     <beans:bean id="tokenStore"  
  8.         class="org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore">  
  9.     </beans:bean>  

我們把Token存在記憶體裡,擺脫資料庫依賴。想象一下,為了生成和client相關的token,肯定需要把上面提到的ClientService配置進去 

資源和資源的保護 Xml程式碼  收藏程式碼
  1. <http pattern="/resource/**" create-session="never"  
  2.         entry-point-ref="oauth2AuthenticationEntryPoint"  
  3.         access-decision-manager-ref="oauth2AccessDecisionManager">  
  4.         <anonymous enabled="false" />  
  5.         <intercept-url pattern="/resource/**" access="ROLE_USER,SCOPE_READ" />  
  6.         <custom-filter ref="picResourceServer" before="PRE_AUTH_FILTER" />  
  7.         <access-denied-handler ref="oauthAccessDeniedHandler" />  
  8.     </http>  

這是spring security的傳統配置了,除了我們剛才提到的資源filter,還配置了認證失敗、授權失敗的處理,和判斷是否可訪問的"access decision manager" 
認證失敗,授權失敗 Xml程式碼  收藏程式碼
  1. <beans:bean id="oauth2AuthenticationEntryPoint"  
  2.         class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />  
  3.     <beans:bean id="oauthAccessDeniedHandler"  
  4.         class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />  

這個沒什麼好解釋的了,其實作為demo也可以不配,畢竟我們應該會一路按能跑通的先跑。 
access decision manager Xml程式碼  收藏程式碼
  1. <beans:bean id="oauth2AccessDecisionManager"  
  2.         class="org.springframework.security.access.vote.UnanimousBased">  
  3.         <beans:constructor-arg>  
  4.             <beans:list>  
  5.                 <beans:bean  
  6.                     class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />  
  7.                 <beans:bean class="org.springframework.security.access.vote.RoleVoter" />  
  8.                 <beans:bean  
  9.                     class="org.springframework.security.access.vote.AuthenticatedVoter" />  
  10.             </beans:list>  
  11.         </beans:constructor-arg>  
  12.     </beans:bean>  

也是傳統的配置方法了,多了個oauth2裡面特有的scope投票機制。 

好,到現在為止,OAuth2 Server所需要的所有龍珠都已經集齊,接下來就可以召喚神龍了 
出來吧!神龍 Xml程式碼  收藏程式碼
  1. <oauth2:authorization-server  
  2.         client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"  
  3.         user-approval-handler-ref="oauthUserApprovalHandler"  
  4.         user-approval-page="oauth_approval" error-page="oauth_error">  
  5.         <oauth2:authorization-code />  
  6.         <oauth2:implicit />  
  7.         <oauth2:refresh-token />  
  8.         <oauth2:client-credentials />  
  9.         <oauth2:password />  
  10.     </oauth2:authorization-server>  
  11.     <beans:bean id="oauthUserApprovalHandler"  
  12.         class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" />  


還差兩步: 
1.網站B來申請Token時候的認證和許可權設定: 
Xml程式碼  收藏程式碼
  1. <http pattern="/oauth/token" create-session="stateless"  
  2.         authentication-manager-ref="clientAuthenticationManager"  
  3.         entry-point-ref="oauth2AuthenticationEntryPoint">  
  4.         <intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />  
  5.         <anonymous enabled="false" />  
  6.         <http-basic entry-point-ref="oauth2AuthenticationEntryPoint" />  
  7.         <custom-filter ref="clientCredentialsTokenEndpointFilter"  
  8.             before="BASIC_AUTH_FILTER" />  
  9.         <access-denied-handler ref="oauthAccessDeniedHandler" />  
  10.     </http>  
  11.     <beans:bean id="clientCredentialsTokenEndpointFilter"  
  12.         class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">  
  13.         <beans:property name="authenticationManager" ref="clientAuthenticationManager" />  
  14.     </beans:bean>  


2.作為屌絲使用者A,認證放在配置最後了(也應該放在前面那個http的後面,因為這裡有個全域性匹配了) 
Xml程式碼  收藏程式碼
  1. <http access-denied-page="/login.jsp?error=true"  
  2.         authentication-manager-ref="authenticationManager">  
  3.         <intercept-url pattern="/oauth/**" access="ROLE_USER" />  
  4.         <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />  
  5.         <form-login login-page="/login.jsp"  
  6.             authentication-failure-url="/login.jsp?error=true"  
  7.             default-target-url="/index.jsp" />  
  8.         <anonymous />  
  9.     </http>  
  10.     <authentication-manager alias="authenticationManager">  
  11.         <authentication-provider>  
  12.             <user-service id="userService">  
  13.                 <user name="admin" password="admin" authorities="ROLE_USER" />  
  14.             </user-service>  
  15.         </authentication-provider>  
  16.     </authentication-manager>  


寫到這裡,我默默預覽了一下,估計群眾們看到這句話大都是拖滾軸下來的。 

不過配置真的挺長,不花篇幅真講不清楚。 

最後把大致流程和配置關聯一下: 

  • *.使用者要授權網站B獲取appDemo資源
  • 1.網站B把使用者跳轉到appDemo/oauth/authorize?client_id=m1&redirect_uri=http%3a%2f%2flocalhost%3a8080%2f&response_type=code&scope=read
    Spring Security Oauth2有一個controller:AuthorizationEndpoint處理這個請求,這個是不用配置的。 但是在controller處理之前,appDemo發現,我擦嘞,使用者還沒登入啊(見屌絲使用者A認證配置)!於是先跳轉到登入介面讓使用者登入。 
  • 2.使用者登入成功後,跳轉到了scope選擇確認頁面(見出現吧!神龍)。
  • 3.appDemo生成了Authorization Code並跳轉回網站B(其實神龍的authorization-code這種配置方式有其他的配置項,可以選填Authorzation code service)
  • 4.網站B拿到了code,向appDemo請求accessToken(appDemo/oauth/token?code=g6hW13&client_id=m1&client_secret=s1&grant_type=authorization_code&redirect_uri=http%3a%2f%2flocalhost%3a8080%2f)網站B的client認證配置起作用了,AccessDecisionManager起作用了,資源資訊起作用了,Token生成也起作用了。
  • 5.最後網站B通過access token訪問資源,資源和資源的保護配置起作用了。


具體的使用流程在appDemo的index頁面有步驟。 

原始碼見 https://github.com/wwwcomy/appDemo/tree/OAuth2

完。

相關推薦

Spring security oauth2簡單入門環境搭建--乾貨

轉載自:http://wwwcomy.iteye.com/blog/2230265 友情提示 學習曲線:spring+spring mvc+spring security+Oauth2基本姿勢,如果前面都沒看過請及時關閉本網頁。我有信心我的這個blog應該是迄今為止使用

史上簡單lamp環境搭建

lamp,即linux、Apache、mysql、php 環境:centos 7.4 mysql官網下載安裝mysql-server wget http://dev.mysql.com/get/mysql-community-release-el7-5.noarc

Oauth2.0 用Spring-security-oauth2 非常簡單

上週,我想開發OAuth 2.0的一個例項。我檢查了Spring-security-Oauth2.0的樣例,OAuth 2提供商sparklr2和OAuth 2客戶端TONR 。我探索在網際網路上了一下,整理相關文件。編譯並運行了OAuth 2提供商sparklr2和

Spring Security 安全認證簡單入門

廢話不說了,直接上程式碼   看註釋應該丟會吧  到時候改下使用者名稱  和密碼即可第一步:導包  pom.xml<!--安全認證  --><dependency><groupId>org.springframework.security&

使用Spring Security OAuth2進行簡單的單點登入

1.概述 在本教程中,我們將討論如何使用Spring Security OAuth和Spring Boot實現SSO - 單點登入。 我們將使用三個單獨的應用程式: 授權伺服器 - 這是中央身份驗證機制 兩個客戶端應用程式:使用SSO的應用程式 非常簡單地說,當用戶試圖訪問客戶端應用程式中的安全頁面時,他

大資料入門環境搭建整理大資料入門系列教程合集大資料生態圈技術整理彙總大資料常見錯誤合集大資料的離線和實時資料處理流程分析

本篇文章主要整理了筆者學習大資料時整理的一些文章,文章是從環境搭建到整個大資料生態圈的常用技術整理,環境希望可以幫助到剛學習大資料到童鞋,大家在學習過程中有問題可以隨時評論回覆! 大資料生態圈涉及技術: Hadoop、MapReduce、HDFS、Hive、Hbase、Spark、Scala

spring-security-oauth2(一) 專案環境搭建

  本篇部落格主要記錄的是學習利用Spring Security技術棧開發企業級認證與授權。 1.專案組織架構  專案模組介紹 tiger-auth 專案 介紹 &

基於spring-security-oauth2搭建授權服務器(一)

常用 遊戲 安全性 獲取 部分 tools token 界面 作者 背景:需要API網關控制權限,單點登陸。 當前關於這方面的系統資料較少,因此大多是找尋網上零散的示例解析,結合官方文檔中的demo再加上源碼跟蹤調試來進行學習與搭建。但由於涉及的知識點較多,且零散示

Spring cloud Config客戶端和服務端快速入門環境搭建

一.構建配置中心 通過Spring Cloud Config構建一個配置中心非常簡單,可以分為三步: 建立一個基礎的spring boot專案, 命名為config-server,並在pom.xml檔案中引入如下配置: <?xml version="1

Spring Security OAuth2.0認證授權一:框架搭建和認證測試

## 一、OAuth2.0介紹 OAuth(開放授權)是一個開放標準,**允許使用者授權第三方應用訪問他們儲存在另外的服務提供者上的資訊,而不 需要將使用者名稱和密碼提供給第三方應用或分享他們資料的所有內容**。 ### 1.stackoverflow和github 聽起來挺拗口,不如舉個例子說明下,就

Spring Security OAuth2.0認證授權搭建資源服務

在上一篇文章[Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374.html) 詳細講解了如何搭建一個基於spring boot + oauth2.0的認證服務,這篇文章將會介紹

OAuth2.0學習(4-1)Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

spring security oauth2.0 實現

規範 ppi basic final pre 代碼 處理 state 三方  oauth應該屬於security的一部分。關於oauth的的相關知識可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.htm

Kotlin 入門環境搭建

dex 好的 .html 分享 fin google 介紹 mod help 這次的Google I/O大會 ,一大熱點:Kotlin 被列為Android一級開發語言。 下面介紹如何在Android Studio中是用Kotlin. 1.下載Kotlin 3.0 G

Mybatis入門環境搭建

rgs environ utf-8 closed pub load nag ade ted 1.依賴jar包 mybatis-3.2.2.jar sqlserver2008.jar 2.代碼 package ttyouni.model; public cla

spring security oauth2認證中心 集成zuul網關的代碼分析

負載 很好 結合 gate conf git oauth2 註冊 通過 zuul作為業務網關需要對其內部的服務進行權限控制,采用oauth2的資源服務器集成到zuul中可以很好的保護zuul內部的服務,需要搭建服務註冊中心,認證中心,鑒權中心三大板塊,其中鑒權中心是和zuu

Spring環境搭建

org println property 2.0 xsd odin pac nbsp blog 之前寫了一篇《Spring環境搭建一》,感覺寫的很爛,也許是時間有限,寫的很急。今天我想再寫寫 Spring 的環境搭建,因為 Spring 的模塊是可以單獨拿出來用的,所以

簡單的Openstack搭建方式

openstack 最簡單安裝 上面左邊是我的個人微信,如需進一步溝通,請加微信。 右邊是我的公眾號“Openstack私有雲”,如有興趣,請關註。 如果稍微關註過Openstack的人都知道,Openstack體系太龐大了,裏面涉及到的組件也太多了,簡直不知道怎麽下手,特別是對於Linux方面知識

Spring Security +Oauth2 +Spring boot 動態定義權限

第三方 決策管理 oauth2 跳過 請求 code com 授權 並且 Oauth2介紹:Oauth2是為用戶資源的授權定義了一個安全、開放及簡單的標準,第三方無需知道用戶的賬號及密碼,就可獲取到用戶的授權信息,並且這是安全的。 簡單的來說,當用戶登陸網站的時候,需要賬號