Spring Security OAuth 2.0
简介
Spring Cloud Security Oauth2(SpringBoot版本的集成过于麻烦)就是将 OAuth 2.0 和 Spring Security 集成在一起,得到一套完整的安全解决方案,可以实现单点登录、令牌中继、令牌交换等功能。
在 OAuth 2.0中,provider 角色事实上是把授权服务和资源服务分开,有时候它们也可能在同一个应用中,用 Spring Security OAuth 你可以选择把它们分成两个应用,当然多个资源服务可以共享同一个授权服务。获取 token 的请求由 Spring MVC 的控制端点处理,访问受保护的资源由标准的 Spring Security 请求过滤器处理。
使用
环境搭建
1、引入依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
2、Spring Security 配置
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 强散列哈希加密实现
* @return BCryptPasswordEncoder
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
/**
* 解决 无法直接注入 AuthenticationManager
* @return authenticationManagerBean
* @throws Exception 异常信息
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
// 禁用csrf
.cors().and().csrf().disable()
// 过滤请求
.authorizeRequests()
// 放行oauth认证接口
.antMatchers("/login.html", "/oauth/**").permitAll()
// 除上面外的所有请求全部需要鉴权认证,用户登录后可访问
.anyRequest().authenticated();
}
}
自定义用户信息
@Service
public class UserService implements UserDetailsService {
private List<User> userList;
@Autowired
private PasswordEncoder passwordEncoder;
@PostConstruct
public void initData() {
String password = passwordEncoder.encode("123456");
userList = new ArrayList<>();
userList.add(new User("macro", password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));
userList.add(new User("andy", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
userList.add(new User("mark", password, AuthorityUtils.commaSeparatedStringToAuthorityList("client")));
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
List<User> findUserList = userList.stream().filter(user -> user.getUsername().equals(username)).collect(Collectors.toList());
if (!CollectionUtils.isEmpty(findUserList)) {
return findUserList.get(0);
} else {
throw new UsernameNotFoundException("用户名或密码错误");
}
}
}
配置认证服务器
@Configuration
// 开启认证服务器
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserService userService;
/**
* 使用密码模式需要配置
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService);
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients
// 通过内存保存
.inMemory()
// 客户端Id
.withClient("client")
// 秘钥
.secret("123456")
// 配置访问token的有效期
.accessTokenValiditySeconds(3600)
// 配置刷新token的有效期
.refreshTokenValiditySeconds(864000)
// 配置redirect_uri,用于授权成功后跳转
.redirectUris("http://www.baidu.com")
// 配置申请的权限范围
.scopes("all")
// 配置grant_type,表示授权类型,authorization_code:授权码模式,password:密码模式
.authorizedGrantTypes("authorization_code", "password");
}
}
配置资源服务器
@Configuration
// 开启资源服务器
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
// 拦截所有请求
.authorizeRequests().anyRequest().authenticated().and()
// 配置需要保护的资源路径
.requestMatchers().antMatchers("/user/**");
}
}
配置受保护资源
@RestController
public class UserController {
@GetMapping("/user/getCurrentUser")
public Object getCurrentUser(Authentication authentication) {
// 返回自定义资源对象
return authentication.getPrincipal();
}
}
测试
授权码模式
启动服务后,在浏览器访问该地址进行登录授权,http://localhost:9401/oauth/authorize?response_type=code&client_id=client&redirect_uri=http://www.baidu.com&scope=all&state=normal
输入账号面后进行登录操作,示意图如下:
登录后进行授权操作,示意图如下:
授权操作之后,浏览器会带着授权码跳转到我们指定的路径(redirect_rul):https://www.baidu.com/code=eTsADY&state=normal ,此地址中 code 的值就是授权码,使用授权码请求该地址获取访问令牌:http://localhost:9401/oauth/token ,请求时需要携带以下参数(可以通过Postman进行伪造)
-
grant_type:authorization_code,授权码模式
-
code:eTsADY,刚刚获取到的
-
client_id:client,认证服务器配置的
-
redirect_url:http://www.baidu.com ,认证后需要跳转的地址
-
scope:all,权限范围
接下来通过在请求头中添加访问令牌,访问需要登录认证的接口进行测试,发现已经可以成功访问:http://localhost:9401/user/getCurrentUser ,到此,授权码模式测试完成。
密码模式
使用密码请求该地址获取访问令牌:http://localhost:9401/oauth/token ,首先配置认证信息,其次将 grant_type 修改为 password,即可成功获取到需要认证的接口数据了。