2. 程式人生 > >Spring Security OAuth2 Demo —— 密碼模式(Password)

Spring Security OAuth2 Demo —— 密碼模式(Password)

阿新 發佈:2019-12-15

前情回顧

前幾節分享了OAuth2的流程與授權碼模式和隱式授權模式兩種的Demo,我們瞭解到授權碼模式是OAuth2四種模式流程最複雜模式,複雜程度由大至小:授權碼模式 > 隱式授權模式 > 密碼模式 > 客戶端模式

其中密碼模式的流程是:讓使用者填寫表單提交到授權伺服器,表單中包含使用者的使用者名稱、密碼、客戶端的id和金鑰的加密串,授權伺服器先解析並校驗客戶端資訊,然後校驗使用者資訊,完全通過返回access_token,否則預設都是401 http狀態碼,提示未授權無法訪問

本文目標

編寫與說明密碼模式的Spring Security Oauth2的demo實現,讓未了解過相關知識的讀者對此授權流程有個更直觀的概念

以下分成授權伺服器與資源伺服器分別進行解釋,只講關鍵部分,詳情見Github:https://github.com/hellxz/spring-security-oauth2-learn

搭建密碼模式授權伺服器

程式碼結構與之前兩個模式相同,這裡便不再進行說明

SecurityConfig配置

package com.github.hellxz.oauth2.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.util.StringUtils;

import java.util.ArrayList;
import java.util.Collections;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("hellxz")
                .password(passwordEncoder().encode("xyz"))
                .authorities(new ArrayList<>(0));
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //所有請求必須認證
        http.authorizeRequests().anyRequest().authenticated();
    }
}

基本的SpringSecurity的配置,開啟Spring Security的Web安全功能,填了一個使用者資訊,所有資源必須經過授權才可以訪問

AuthorizationConfig授權伺服器配置

package com.github.hellxz.oauth2.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;

@Configuration
@EnableAuthorizationServer
public class AuthorizationConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;//密碼模式需要注入認證管理器

    @Autowired
    public PasswordEncoder passwordEncoder;

    //配置客戶端
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //@formatter:off
        clients.inMemory()
                .withClient("client-a")
                  .secret(passwordEncoder.encode("client-a-secret"))
                  .authorizedGrantTypes("password") //主要是這裡,開始了密碼模式
                  .scopes("read_scope");
        //@formatter:on
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);//密碼模式必須新增authenticationManager
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients()
                .checkTokenAccess("isAuthenticated()");
    }
}

這裡開啟了授權伺服器的功能,與上幾篇文章中不同的是注入了AuthenticationManager,以及在configure(AuthorizationServerEndpointsConfigurer endpoints)方法中設定了AuthenticationManager

application.properties配置sever.port=8080

搭建資源伺服器

這裡的關鍵就是ResourceConfig,配置比較簡單與其它幾個模式完全一致,模式的不同主要表現在授權伺服器與客戶端伺服器上,資源伺服器只做token的校驗與給予資源

package com.github.hellxz.oauth2.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;

@Configuration
@EnableResourceServer
public class ResourceConfig extends ResourceServerConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Primary
    @Bean
    public RemoteTokenServices remoteTokenServices() {
        final RemoteTokenServices tokenServices = new RemoteTokenServices();
        //設定授權伺服器check_token端點完整地址
        tokenServices.setCheckTokenEndpointUrl("http://localhost:8080/oauth/check_token");
        //設定客戶端id與secret,注意:client_secret值不能使用passwordEncoder加密!
        tokenServices.setClientId("client-a");
        tokenServices.setClientSecret("client-a-secret");
        return tokenServices;
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        //設定建立session策略
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
        //@formatter:off
        //所有請求必須授權
        http.authorizeRequests()
                .anyRequest().authenticated();
        //@formatter:on
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId("resource1").stateless(true);
    }
}

ResourceController主要接收一個使用者名稱,返回一個username與email的json串

application.properties設定server.port=8081

準備工作到這裡就差不多了,開始測試

測試流程

這裡客戶端使用postman手動傳送請求進行演示

  • 訪問/oauth/token端點,獲取token

    http://localhost:8080/oauth/token?username=hellxz&password=xyz&scope=read_scope&grant_type=password

    請求頭:

    請求體:

  • token返回值

    {
    "access_token": "4a3c351d-770d-42aa-af39-3f54b50152e9",
    "token_type": "bearer",
    "expires_in": 43199,
    "scope": "read_scope"
}

  • 使用token呼叫資源,訪問http://localhost:8081/user/hellxz001,注意使用token新增Bearer請求頭

    相當於在Headers中新增 Authorization:Bearer 4a3c351d-770d-42aa-af39-3f54b50152e9

  • 資源正確返回

尾聲

本文僅說明密碼模式的精簡化配置,某些部分如資源服務再訪問授權服務去校驗token這部分生產環境可能會換成Jwt、Redis等tokenStore實現,授權伺服器中的使用者資訊與客戶端資訊生產環境應從資料庫中讀取,對應Spring Security的UserDetailsService實現類或使用者資訊的Provider等

最近發現部落格寫得相對較長,一方面有相當大的重複解釋程式碼的部分,另一方面是程式碼很多不關鍵的地方也直接全貼出來了,部落格長了程式碼全了,讀者容易失去閱讀的興趣與探索實踐的慾望。程式碼不全會直接貼出原始碼地址,暫時就這樣,把這幾篇關於OAuth2授權模式demo的文章趕出來

程式碼早就寫完了,下週可能要開始加班了,先把這些已經完成的部分寫出來,後續有什麼新的知識點才有時間記

相關推薦

Spring Security OAuth2 Demo —— 密碼模式Password

前情回顧 前幾節分享了OAuth2的流程與授權碼模式和隱式授權模式兩種的Demo,我們瞭解到授權碼模式是OAuth2四種模式流程最複雜模式,複雜程度由大至小:授權碼模式 > 隱式授權模式 > 密碼模式 > 客戶端模式 其中密碼模式的流程是:讓使用者填寫表單提交到授權伺服器,表單中包含使用者的

Spring Security OAuth2 Demo —— 隱式授權模式Implicit

本文可以轉載,但請註明出處https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html 寫在前面 在文章OAuth 2.0 概念及授權流程梳理 中我們談到OAuth 2.0的概念與流程,上一篇文章Spring Security OAuth2 Demo

Spring boot+Security OAuth2 爬坑日記2授權碼模式升級篇

1. 開發環境和本專案用到的框架 接著上一篇Spring boot+Security OAuth2 爬坑日記(1)授權碼模式部落格中的內容,上篇介紹了基本的開發環境,系統以及jdk版本等,本篇再來詳細介紹下專案中用到的框架和相關類庫。 框架/類庫/資

Spring boot+Security OAuth2 爬坑日記1授權碼模式

OAuth2 OAuth 關於授權的開放網路標準,關於OAuth2的知識,參考OAuth2.0 和 理解OAuth 2.0-阮一峰 四種授權模式 授權碼模式 (功能最完整,流程最嚴密) 密碼模式 客戶端模式 簡化模式 授權碼模式

Spring security oauth2-客戶端模式,簡化模式密碼模式(Finchley版本)

一、客戶端模式原理解析(來自理解OAuth 2.0) 客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以使用者的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中,使用者直接向客戶端註冊,客戶端

Spring Security OAuth2 Demo —— 授權碼模式

本文可以轉載,但請註明出處https://www.cnblogs.com/hellxz/p/oauth2_oauthcode_pattern.html 寫在前邊 在文章OAuth 2.0 概念及授權流程梳理 中我們談到OAuth 2.0的概念與流程,這裡我準備分別記一記這幾種授權模式的demo,一方面為自己的

Security-OAuth2.0 密碼模式客戶端實現

super temp auto bsp mas es2017 success ann turn 我的OAuth2.0 客戶端項目目錄 pom 的配置 <?xml version="1.0" encoding="UTF-8"?> <project x

Spring Security OAuth2 授權碼模式

 背景:     由於業務實現中涉及到接入第三方系統(app接入有贊商城等),所以涉及到第三方系統需要獲取使用者資訊(使用者手機號、姓名等),為了保證使用者資訊的安全和接入方式的統一, 採用Oauth2四種模式之一的授權碼模式。  介紹:   &nbs

Spring Security Oauth2-授權碼模式(Finchley版本)

一、授權碼模式原理解析(來自理解OAuth 2.0) 授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。其具體的流程如下: 具體步驟: A:使用者訪問客戶端(cli

最詳細的Spring Boot OAuth2.0密碼模式伺服器實現

前言 由於專案要用到OAuth2.0授權,需要自己開發一個OAuth2.0授權伺服器,在網上看到Java Oauth2.0授權用的比較多兩個框架Spring Security和Apache Oltu,因為專案都是基於Spring的,所以決定使用Spring S

Spring boot+Security OAuth2 爬坑日記4自定義異常處理 上

為了方便與前端更好的互動,服務端要提供友好統一的資訊返回格式,(他好我也好 ->_-> ),Spring Security OAuth2 提供了自定義異常的入口;我們需要做的就是實現對應的介面,然後將實現的類配置到對應的入口即可。預設的資訊返回格式

Spring Security實現後臺管理員登入

一、實現功能 二、資料表設計 為了測試方便,這裡建立一個簡單的資料表,只含有name和password兩個欄位。至於角色,許可權等,這裡都先不考慮。 插入一條資料,name為admin,password為e10adc3949ba59abbe56e057f20f883e(

Spring Security 自定義登入認證

一、前言 本篇文章將講述Spring Security自定義登入認證校驗使用者名稱、密碼,自定義密碼加密方式,以及在前後端分離的情況下認證失敗或成功處理返回json格式資料 溫馨小提示:Spring Security中有預設的密碼加密方式以及登入使用者認證校驗,但小編這裡選擇自定義是為了方便以後業務擴充套件,

Spring Security 動態url許可權控制

一、前言 本篇文章將講述Spring Security 動態分配url許可權,未登入許可權控制,登入過後根據登入使用者角色授予訪問url許可權 基本環境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 資料庫 maven專案 Spring Security入門學習可參

Spring Security Oauth2 認證獲取token/重新整理token流程password模式

1.本文介紹的認證流程範圍 本文主要對從使用者發起獲取token的請求(/oauth/token),到請求結束返回token中間經過的幾個關鍵點進行說明。 2.認證會用到的相關請求 注:所有請求均為post請求。 獲取access_token請求(

OAuth2.0學習4-1Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

spring security oauth2 jwt 認證和資源分離的配置文件java類配置版

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

Spring Security OAuth2 授權失敗401 問題整理

控制 默認 pub available cli npr href sta -s Spring Cloud架構中采用Spring Security OAuth2作為權限控制,關於OAuth2詳細介紹可以參考 http://www.ruanyifeng.com/blo

Spring Security Oauth2系列

摘要:今天來給大家分享一下期待已久的oauth2回撥地址的設定,相信接觸過oauth2的很多coder已經按捺不住激動的心情了吧。因為這個回撥地址的配置能夠讓授權碼模式的運用的主動權掌握在自己的手中,可以根據自己的不同專案的實際情況設定不同的回撥,例如社群的GitHub的示例

Re:從零開始的Spring Security Oauth2

上一篇文章中我們介紹了獲取token的流程,這一篇重點分析一下,攜帶token訪問受限資源時,內部的工作流程。 還記得我們在第一節中就介紹過了OAuth2的兩個核心概念,資源伺服器與身份認證伺服器。我們對兩個註解進行配置的同時,到底觸發了內部的什麼相關