当前位置: 正文

安全认证:OAuth2 + JWT + Spring

2021-05-19 技术推文 4.78k 推广

摘要

OAuth2是一个让我们感到安心的规范,它让第三方应用能够在互联网上安全地获取我们的授权信息。现在,我们可以结合JWT来进一步保护我们的应用程序。

正文

Spring Security OAuth2 JWT 基本上应用

Spring Security OAuth2 JWT 基本上应用

前边学了 Spring Security 新手入门,如今配搭 oauth2 JWT 开展检测。

1、什么叫 OAuth2

OAuth 是一个有关受权(authorization)的对外开放互联网规范,促使第三方应用能够应用该动态口令在限制時间限制范畴浏览特定資源。在全球获得广泛运用,现阶段的版本号是2.0版。

1.1、有关 OAuth2 的好多个关键定义:

  • resource owner: 有着被浏览資源的客户
  • user-agent: 一般来说便是电脑浏览器
  • client: 第三方应用
  • Authorization server: 验证网络服务器,用于开展用户认证并授予token
  • Resource server:資源网络服务器,有着被浏览資源的网络服务器,必须根据token来明确是不是有管理权限浏览

1.2、挥手步骤

确立定义后,能看 OAuth2 的协议书挥手步骤,节选自RFC6749

image-20210519120117924

(A)客户开启手机客户端之后,手机客户端规定客户给与受权。

(B)客户愿意给与手机客户端受权。

(C)手机客户端应用上一步得到的受权,向验证网络服务器申请办理动态口令。

(D)验证网络服务器对手机客户端开展验证之后,确定准确无误,愿意派发动态口令。

(E)手机客户端应用动态口令,向資源网络服务器申请办理获得資源。

(F)資源网络服务器确定动态口令准确无误,愿意向手机客户端对外开放資源

1.3、受权方式

oauth2依据应用情景不一样,分为了4种方式

  • 授权码方式(authorization code)
  • 简单化方式(implicit)
  • 登陆密码方式(resource owner password credentials)
  • 手机客户端方式(client credentials)

授权码方式应用到回调函数详细地址,是更为繁杂的方法,一般网址中经常会出现的新浪微博,qq第三方登录,都是会选用这一方式。简单化方式不常见。

2、配备

应用oauth2保护你的运用,能够分成简单的分成三个流程

  • 配备資源网络服务器
  • 配备受权网络服务器
  • 配备spring security

2.1、maven 依靠配备

这儿立即引进 spring-cloud oauth2,更为便捷以后的扩展。

<!--spring boot-->
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.2.13.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

<dependencies>
    <!--spring cloud oauth2-->
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <!--spring cloud security-->
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-security</artifactId>
    </dependency>
    <!--JWT-->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt</artifactId>
        <version>0.9.1</version>
    </dependency>
</dependencies>

<!--spring cloud-->
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-dependencies</artifactId>
            <version>Greenwich.SR2</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

2.2、配备受权网络服务器

这儿必须开展浏览手机客户端的配备,并配备受权种类和access_tokenjwtToken

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailServiceImpl userDetailService;
    @Autowired
    @Qualifier("jwtTokenStore")
    private TokenStore tokenStore;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    private JwtTokenEnhancer jwtTokenEnhancer;

    /**
     * 配备受权种类
     *
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //设定Jwt內容提高
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> list = new ArrayList<>();
        list.add(jwtTokenEnhancer);
        list.add(jwtAccessTokenConverter);
        tokenEnhancerChain.setTokenEnhancers(list);

        endpoints
                //登陆密码方式务必配备
                .authenticationManager(authenticationManager)
                //登陆密码方式务必配备
                .userDetailsService(userDetailService)
                //accessToken转JwtToken
                .tokenStore(tokenStore)
                .accessTokenConverter(jwtAccessTokenConverter)
                //jwt內容提高
                .tokenEnhancer(tokenEnhancerChain);
    }

    /**
     * 配备手机客户端详细信息信息内容
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.
                //根据运行内存配备
                inMemory()
                //手机客户端ID
                .withClient("client")
                //密匙
                .secret(bCryptPasswordEncoder.encode("112233"))
                //跳转详细地址
                .redirectUris("http://www.baidu.com")
                //受权范畴
                .scopes("all")
                //accessToken有效时间
                .accessTokenValiditySeconds(60)
                //refreshToken有效时间
                .refreshTokenValiditySeconds(3600)
                /**
                 * 受权种类
                 * authorization_code:授权码方式
                 * password:登陆密码方式
                 * refresh_token:更新动态口令
                 */
                .authorizedGrantTypes("authorization_code", "password", "refresh_token");
    }
}

2.3、配备資源网络服务器

承继 ResourceServerConfigurerAdapter并加上 @EnableResourceServer注释

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //阻拦全部要求
                .anyRequest()
                .authenticated()
                .and()
                //spring secuity给予了requestMatchers插口,等额的于http.authorizeRequests().anyRequest().access("permitAll");
                //给予資源,浏览/user必须管理权限验证
                .requestMatchers()
                .antMatchers("/user/**");
    }
}

2.4、JWT 配备

2.4.1、accessToken 转 JwtToken 配备类

关键工作中是建立 JwtAccessTokenConverter并设定密匙,并引入到 Bean 管理方法器皿中。

/**
 * accessToken转JwtToken配备
 */
@Configuration
public class JwtTokenStoreConfig {

    @Bean
    public JwtTokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        //设定jwt密匙
        jwtAccessTokenConverter.setSigningKey("test_key");
        return jwtAccessTokenConverter;
    }

    @Bean
    public JwtTokenEnhancer jwtTokenEnhancer() {
        return new JwtTokenEnhancer();
    }
}
2.4.2、JwtToken內容扩展配备类

当 accessToken 转 jwtToken时,假如想往动态口令中添加自定客户信息,比如登陆时间点,能够配备下列类:

/**
 * JwtToken內容扩展配备类
 * @author Lin
 */
public class JwtTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {
        Map<String, Object> map = new HashMap<>();
        map.put("enhance", "enhance info");       ((DefaultOAuth2AccessToken)oAuth2AccessToken).setAdditionalInformation(map);
        return oAuth2AccessToken;
    }
}

2.5、配备 spring security

/**
 * spring security配备类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 密码加密
     *
     * @return
     */
    @Bean
    public BCryptPasswordEncoder getPasswordEncode() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 插口要求受权
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/oauth/**", "/login/**","/logout/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
    }

    @Override
    @Bean
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
}

2.6、完成 UserDetailsService

完成 UserDetailService 用以登陆认证,及其登陆密码方式下必须采用。

@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String password = bCryptPasswordEncoder.encode("123456");
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("permission1"));
    }
}

建立 Userdao层以下(非务必):

public class User implements UserDetails {

    private String username;
    private String password;
    private List<GrantedAuthority> authorities;

    public User(String username, String password, List<GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

3、运作检测

3.1、获得授权码

立即浏览 /oauth/authorize? 插口能够得到授权码

在我的新项目中浏览途径以下:

http://localhost:8080/oauth/authorize?response_type=code&client_id=client&redirect_uri=http://www.baidu.com&scope=all

电脑浏览器浏览,自动跳转到http://localhost:8080/login.html默认设置登录页,点一下登陆,受权:

image-20210519171414311

自动跳转到https://www.baidu.com/?code=XKee3V网页页面,XKee3v便是得到的授权码。

3.2、依据授权码方式得到动态口令

运用 postman 检测,浏览

http://localhost:8080/oauth/token

配备 Authorization 信息内容,即登陆手机客户端的账户和登陆密码;

image-20210519175250709

配备 Body 信息内容,grant_type的变量值是 authorization_code,authorization_code即是授权码方式,code即是上文得到的授权码。

image-20210519175644261

配备完后运作检测,回到 access_tokenrefresh_token,见到 access_token取得成功变为JwtToken

image-20210519175909997

3.3、登陆密码方式

登陆密码方式比授权码方式简单一点,不用得到授权码,立即忽视上文获得授权码的实际操作,只需略微修改配备信息内容。

Authorization 信息内容不用修改,改动 Body 信息内容, grant_type的变量值改成 password,意味着登陆密码方式,填好登陆 spring security 的账户和登陆密码。

image-20210519180556700

3.4、更新动态口令

在上原文中我设定了 access_token的及时性为60秒,当access_token无效时,必须依据refresh_token获得新的动态口令。

浏览途径以下:

http://localhost:8080/oauth/token

Authorization 配备信息内容以下:

image-20210519181055985

Body 必须配备 grant_type的变量值为 refresh_token,意味着更新动态口令,并填好refresh_token的变量值。浏览后就可以得到新的 access_token

image-20210519181404842

3.5、依据 access_token得到資源

浏览途径以下:

http://localhost:8080/user/getCurrentUser

Header 请求头加上 Authorization 主要参数,并设定变量值为 bearer 空格符 access_token,就可以得到插口传参。

image-20210519181904047

4、参考文献

bilbil Spring Security实例教程

阮一峰-OAuth2.0

关注不迷路

扫码下方二维码,关注宇凡盒子公众号,免费获取最新技术内幕!

温馨提示:如果您访问和下载本站资源,表示您已同意只将下载文件用于研究、学习而非其他用途。
文章版权声明 1、本网站名称:宇凡盒子
2、本站文章未经许可,禁止转载!
3、如果文章内容介绍中无特别注明,本网站压缩包解压需要密码统一是:yufanbox.com
4、本站仅供资源信息交流学习,不保证资源的可用及完整性,不提供安装使用及技术服务。点此了解
5、如果您发现本站分享的资源侵犯了您的权益,请及时通知我们,我们会在接到通知后及时处理!提交入口
0

大家在看

物联网流量卡在IOS手机上无法分享个人热点问题解决办法
技术推文
WIFI热点个人热点开启WIFI热点

苹果手机无法开启个人热点是因为其APN接入点默认为空。要解决这个问题,需要在设置中添加物联卡的APN。下面是设置步骤:确认物联卡已激活并开通数据流量,进入设置-移动蜂窝网络-蜂窝移动数据网络-移动数据网络,点击右上角+号添加APN,按照提供的APN信息填写并保存即可。这样就能顺利地开启个人热点了。
2024-04-27 641
微信使用指南:保护账号安全,学会玩转微信!
技术推文
微信养号

众所周知,微信的重要性不言而喻,如果不幸被封,对我们的工作将带来巨大的影响。因此,今天我给大家带来一套相关的教程,从选择手机和手机卡开始,到注册微信号,再到养号和处理被封的方式,都会详细介绍。这套教程非常全面且细致,正如磨刀不误砍柴工一样,学起来吧!
2023-12-03 696
最新申请Openai,GPT4.0 API Key完整详细图文教程
技术推文
ChatGPTChatGPT官网CVV安全码

最新动态: OpenAI在官网宣布,GPT-4 API全面开放使用。 GPT宣布只要有过付费...
2023-11-15 1.12k
测试5个配音软件,我选了这个免费软件。
技术推文
微软工具tts腾讯智影配音神器

这几天我研究了5款配音软件,最终找到了让自己满意的免费软件。现在我来分享一下,供网友参考,一起交流链接。
2023-11-14 677
小红书未实名账号手机号释放方法
技术推文
小红书小红书换绑手机号释放

以前在平台上搜索不到自己账号的内容,很可能是因为系统限制了流量。现在你需要考虑的是,你的账号可能会被封禁。
2023-11-02 922
京东 Plus 会员限时活动,99 元即可回本,双 11 送券秒杀。
技术推文
京东PLUS活动线报

京东活动已于24号凌晨开始,现在只需99元即可享受Plus会员特权,还可获得50-40洗衣券和50元超市卡。此外,双11即将到来,屯个会员绝对划算!
2023-10-25 613

评论0

请先

站点公告

🚀 【宇凡盒子】全网资源库转储中心

👉 注册即送VIP权限👈

👻 全站资源免费下载✅,欢迎注册!

记得 【收藏】+【关注】 谢谢!~~~

立即注册
没有账号?注册  忘记密码?

社交账号快速登录