springboot集成oauth2.0_springboot整合oauth2.0资源-CSDN文库

共10个文件

java：5个

xml：1个

properties：1个

java

oauth2.

1星需积分: 38 68 浏览量 2018-07-27 15:33:13 上传评论收藏 14KB ZIP 举报

SpringBoot集成OAuth2.0是将流行的OAuth2.0安全框架与SpringBoot应用程序相结合的过程，以便为API和Web应用提供安全的访问控制。OAuth2.0是一个授权框架，允许第三方应用在用户授权的情况下访问其受保护的资源，而无需知道用户的原始凭证。以下是关于这个主题的详细知识点： 1. **OAuth2.0核心概念**： - **客户端（Client）**: 需要访问受保护资源的应用。 - **资源所有者（Resource Owner）**: 授权的用户。 - **资源服务器（Resource Server）**: 存储受保护资源并处理访问令牌。 - **授权服务器（Authorization Server）**: 负责验证资源所有者身份并发放访问令牌。 - **访问令牌（Access Token）**: 客户端通过授权服务器获取，用于访问资源。 2. **授权类型（Grant Types）**： - **授权码流（Authorization Code Grant）**: 适用于Web应用，涉及重定向用户到授权服务器进行认证，然后返回授权码，客户端用此码换取访问令牌。 - **隐式流（Implicit Grant）**: 适用于浏览器中的单页应用（SPA），直接在URL中返回访问令牌。 - **密码流（Resource Owner Password Credentials Grant）**: 用户名和密码直接传递给授权服务器，适用于可信任的客户端。 - **客户端凭证流（Client Credentials Grant）**: 客户端用自己的凭据直接获取访问令牌，适用于服务间通信。 3. **Spring Security OAuth2组件**： - **AuthorizationServerConfigurerAdapter**: 配置授权服务器的接口，包括认证、授权码、刷新令牌等。 - **ResourceServerConfigurerAdapter**: 配置资源服务器，处理访问令牌验证。 - **ClientDetailsService**: 提供客户端详情服务，用于验证客户端信息。 - **TokenStore**: 存储和检索令牌的接口，可以是内存、数据库或JWT。 - **AccessTokenProvider**: 处理令牌的创建、刷新和撤销。 4. **SpringBoot集成步骤**： - 添加Spring Security OAuth2依赖。 - 配置AuthorizationServer和ResourceServer。 - 实现`ClientDetailsService`接口，提供客户端详情。 - 配置用户认证机制，如UserDetailsService。 - 设置TokenStore，并实现令牌的存储和验证。 - 配置授权码流程，包括授权端点、令牌端点、回调URL等。 - 在客户端应用中处理授权响应，获取访问令牌。 5. **JWT（JSON Web Tokens）**： - 作为访问令牌的一种安全格式，JWT包含三个部分：头部、载荷和签名。 - JWT可以在客户端和服务器之间安全地传输信息，无需额外的查询数据库验证。 - Spring Security OAuth2支持JWT TokenStore，简化了令牌管理。 6. **安全性考虑**： - 保护好客户端ID和秘密，防止泄露。 - 使用HTTPS确保通信安全。 - 定期刷新和撤销令牌，增强安全性。 - 限制令牌的有效期，减少攻击窗口。 7. **测试与调试**： - 使用curl或Postman模拟客户端请求，测试授权流程。 - 使用OAuth2相关的断言库，如Spring Security Test，进行单元测试和集成测试。在"spring-security-oauth2-example-master"这个项目中，你可以找到一个完整的SpringBoot集成OAuth2.0的示例，包括配置、控制器、服务以及客户端的实现，通过学习和研究该项目，可以更好地理解上述知识点，并实际操作以加深理解。

资源推荐

资源详情

资源评论

收起资源包目录

spring-security-oauth2-example-master.zip （10个子文件）

spring-security-oauth2-example-master

pom.xml 2KB

src

main

resources

application.properties 658B

templates

error.vm 27B

java

com

sina

alan

oauth

AlanOAuthApplication.java 1KB

config

AlanOAuthWebConfig.java 799B

OAuthSecurityConfig.java 3KB

security

AlanSsoAuthProvider.java 1KB

controller

ErrorCtr.java 856B

.gitignore 289B

README.md 14KB

# Spring Security OAuth2 Demo 项目使用的是MySql存储, 需要先创建以下表结构: ``` CREATE SCHEMA IF NOT EXISTS `alan-oauth` DEFAULT CHARACTER SET utf8 ; USE `alan-oauth` ; -- ----------------------------------------------------- -- Table `alan-oauth`.`clientdetails` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`clientdetails` ( `appId` VARCHAR(128) NOT NULL, `resourceIds` VARCHAR(256) NULL DEFAULT NULL, `appSecret` VARCHAR(256) NULL DEFAULT NULL, `scope` VARCHAR(256) NULL DEFAULT NULL, `grantTypes` VARCHAR(256) NULL DEFAULT NULL, `redirectUrl` VARCHAR(256) NULL DEFAULT NULL, `authorities` VARCHAR(256) NULL DEFAULT NULL, `access_token_validity` INT(11) NULL DEFAULT NULL, `refresh_token_validity` INT(11) NULL DEFAULT NULL, `additionalInformation` VARCHAR(4096) NULL DEFAULT NULL, `autoApproveScopes` VARCHAR(256) NULL DEFAULT NULL, PRIMARY KEY (`appId`)) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_access_token` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_access_token` ( `token_id` VARCHAR(256) NULL DEFAULT NULL, `token` BLOB NULL DEFAULT NULL, `authentication_id` VARCHAR(128) NOT NULL, `user_name` VARCHAR(256) NULL DEFAULT NULL, `client_id` VARCHAR(256) NULL DEFAULT NULL, `authentication` BLOB NULL DEFAULT NULL, `refresh_token` VARCHAR(256) NULL DEFAULT NULL, PRIMARY KEY (`authentication_id`)) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_approvals` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_approvals` ( `userId` VARCHAR(256) NULL DEFAULT NULL, `clientId` VARCHAR(256) NULL DEFAULT NULL, `scope` VARCHAR(256) NULL DEFAULT NULL, `status` VARCHAR(10) NULL DEFAULT NULL, `expiresAt` DATETIME NULL DEFAULT NULL, `lastModifiedAt` DATETIME NULL DEFAULT NULL) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_client_details` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_client_details` ( `client_id` VARCHAR(128) NOT NULL, `resource_ids` VARCHAR(256) NULL DEFAULT NULL, `client_secret` VARCHAR(256) NULL DEFAULT NULL, `scope` VARCHAR(256) NULL DEFAULT NULL, `authorized_grant_types` VARCHAR(256) NULL DEFAULT NULL, `web_server_redirect_uri` VARCHAR(256) NULL DEFAULT NULL, `authorities` VARCHAR(256) NULL DEFAULT NULL, `access_token_validity` INT(11) NULL DEFAULT NULL, `refresh_token_validity` INT(11) NULL DEFAULT NULL, `additional_information` VARCHAR(4096) NULL DEFAULT NULL, `autoapprove` VARCHAR(256) NULL DEFAULT NULL, PRIMARY KEY (`client_id`)) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_client_token` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_client_token` ( `token_id` VARCHAR(256) NULL DEFAULT NULL, `token` BLOB NULL DEFAULT NULL, `authentication_id` VARCHAR(128) NOT NULL, `user_name` VARCHAR(256) NULL DEFAULT NULL, `client_id` VARCHAR(256) NULL DEFAULT NULL, PRIMARY KEY (`authentication_id`)) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_code` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_code` ( `code` VARCHAR(256) NULL DEFAULT NULL, `authentication` BLOB NULL DEFAULT NULL) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; -- ----------------------------------------------------- -- Table `alan-oauth`.`oauth_refresh_token` -- ----------------------------------------------------- CREATE TABLE IF NOT EXISTS `alan-oauth`.`oauth_refresh_token` ( `token_id` VARCHAR(256) NULL DEFAULT NULL, `token` BLOB NULL DEFAULT NULL, `authentication` BLOB NULL DEFAULT NULL) ENGINE = InnoDB DEFAULT CHARACTER SET = utf8; ``` 然后在`oauth_client_details`表中插入记录: ``` # client_id, resource_ids, client_secret, scope, authorized_grant_types, web_server_redirect_uri, authorities, access_token_validity, refresh_token_validity, additional_information, autoapprove 'client', NULL, 'secret', 'app', 'authorization_code', 'http://www.baidu.com', NULL, NULL, NULL, NULL, NULL ``` 这时就可以访问授权页面了: ``` localhost:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com ``` 访问时Spring让你登陆,随便输入一个用户名密码即可。 **注意, 如果每次登陆时输入的用户名不一样,那么Spring Security会认为是不同的用户,因此访问/token/authorize会再次显示授权页面。如果用户名一致, 则只需要授权一次** 数据库连接信息在`application.properties`中配置。 Spring Cloud Security OAuth2 是 Spring 对 OAuth2 的开源实现，优点是能与Spring Cloud技术栈无缝集成，如果全部使用默认配置，开发者只需要添加注解就能完成 OAuth2 授权服务的搭建。 # 博文 ## 1. 添加依赖授权服务是基于Spring Security的，因此需要在项目中引入两个依赖： ``` <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> ``` 前者为 Security，后者为Security的OAuth2扩展。 ## 2. 添加注解和配置在启动类中添加`@EnableAuthorizationServer`注解： ``` @SpringBootApplication @EnableAuthorizationServer public class AlanOAuthApplication { public static void main(String[] args) { SpringApplication.run(AlanOAuthApplication.class, args); } } ``` 完成这些我们的授权服务最基本的骨架就已经搭建完成了。但是要想跑通整个流程，我们必须分配 `client_id`, `client_secret`才行。Spring Security OAuth2的配置方法是编写`@Configuration`类继承`AuthorizationServerConfigurerAdapter`，然后重写`void configure(ClientDetailsServiceConfigurer clients)`方法，如： ```java @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() // 使用in-memory存储 .withClient("client") // client_id .secret("secret") // client_secret .authorizedGrantTypes("authorization_code") // 该client允许的授权类型 .scopes("app"); // 允许的授权范围 } ``` ## 3. 授权流程访问授权页面： ``` localhost:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu.com ``` 此时浏览器会让你输入用户名密码，这是因为 Spring Security 在默认情况下会对所有URL添加Basic Auth认证。默认的用户名为`user`, 密码是随机生成的，在控制台日志中可以看到。 ![oauth2](http://img.blog.csdn.net/20160914172241289) 画风虽然很简陋，但是基本功能都具备了。点击`Authorize`后，浏览器就会重定向到百度，并带上`code`参数： ![这里写图片描述](http://img.blog.csdn.net/20160914172412190) 拿到`code`以后，就可以调用 ``` POST/GET http://client:secret@localhost:8080/oauth/token ``` 来换取`access_token`了： ``` curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d 'grant_type=authorization_code&code=Li4NZo&redirect_uri=http://www.baidu.com' "http://client:secret@localhost:8080/oauth/token" ``` > 注意，URL中的client为上文中通过`ClientDetailsServiceConfigurer`类指定的clientId。由于authorization_code�

评论收藏

内容反馈