Spring Cloud Security:Oauth2使用入门

Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。

OAuth2 简介

OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。

OAuth2 相关名词解释

Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码;

Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源;

Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可以是浏览器、移动设备或者服务器;

Authorization server(认证服务器):用于认证用户的服务器,如果客户端认证通过,发放访问资源服务器的令牌。

四种授权模式

Authorization Code(授权码模式):正宗的OAuth2的授权模式,客户端先将用户导向认证服务器,登录后获取授权码,然后进行授权,最后根据授权码获取访问令牌;

Implicit(简化模式):和授权码模式相比,取消了获取授权码的过程,直接获取访问令牌;

Resource Owner Password Credentials(密码模式):客户端直接向用户获取用户名和密码,之后向认证服务器获取访问令牌;

Client Credentials(客户端模式):客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。

两种常用的授权模式

授权码模式

(A)客户端将用户导向认证服务器;

(B)用户在认证服务器进行登录并授权;

(C)认证服务器返回授权码给客户端;

(D)客户端通过授权码和跳转地址向认证服务器获取访问令牌;

(E)认证服务器发放访问令牌(有需要带上刷新令牌)。

密码模式

(A)客户端从用户获取用户名和密码;

(B)客户端通过用户的用户名和密码访问认证服务器;

(C)认证服务器返回访问令牌(有需要带上刷新令牌)。

Oauth2的使用

创建oauth2-server模块

这里我们创建一个oauth2-server模块作为认证服务器来使用。

在pom.xml中添加相关依赖:

<dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-oauth2</artifactId></dependency><dependency><groupId>org.springframework.cloud</groupId><artifactId>spring-cloud-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>Copy to clipboardErrorCopied

在application.yml中进行配置:

server:

  port: 9401

spring:

  application:

    name: oauth2-serviceCopy to clipboardErrorCopied

添加UserService实现UserDetailsService接口,用于加载用户信息:

/**

* Created by macro on 2019/9/30.

*/@ServicepublicclassUserServiceimplementsUserDetailsService{privateList<User>userList;@AutowiredprivatePasswordEncoderpasswordEncoder;@PostConstructpublicvoidinitData(){Stringpassword=passwordEncoder.encode("123456");userList=newArrayList<>();userList.add(newUser("macro",password,AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));userList.add(newUser("andy",password,AuthorityUtils.commaSeparatedStringToAuthorityList("client")));userList.add(newUser("mark",password,AuthorityUtils.commaSeparatedStringToAuthorityList("client")));}@OverridepublicUserDetailsloadUserByUsername(Stringusername)throwsUsernameNotFoundException{List<User>findUserList=userList.stream().filter(user->user.getUsername().equals(username)).collect(Collectors.toList());if(!CollectionUtils.isEmpty(findUserList)){returnfindUserList.get(0);}else{thrownewUsernameNotFoundException("用户名或密码错误");}}}Copy to clipboardErrorCopied

添加认证服务器配置,使用@EnableAuthorizationServer注解开启:

/**

* 认证服务器配置

* Created by macro on 2019/9/30.

*/@Configuration@EnableAuthorizationServerpublicclassAuthorizationServerConfigextendsAuthorizationServerConfigurerAdapter{@AutowiredprivatePasswordEncoderpasswordEncoder;@AutowiredprivateAuthenticationManagerauthenticationManager;@AutowiredprivateUserServiceuserService;/**

    * 使用密码模式需要配置

    */@Overridepublicvoidconfigure(AuthorizationServerEndpointsConfigurerendpoints){endpoints.authenticationManager(authenticationManager).userDetailsService(userService);}@Overridepublicvoidconfigure(ClientDetailsServiceConfigurerclients)throwsException{clients.inMemory().withClient("admin")//配置client_id.secret(passwordEncoder.encode("admin123456"))//配置client_secret.accessTokenValiditySeconds(3600)//配置访问token的有效期.refreshTokenValiditySeconds(864000)//配置刷新token的有效期.redirectUris("http://www.baidu.com")//配置redirect_uri,用于授权成功后跳转.scopes("all")//配置申请的权限范围.authorizedGrantTypes("authorization_code","password");//配置grant_type,表示授权类型}}Copy to clipboardErrorCopied

添加资源服务器配置,使用@EnableResourceServer注解开启:

/**

* 资源服务器配置

* Created by macro on 2019/9/30.

*/@Configuration@EnableResourceServerpublicclassResourceServerConfigextendsResourceServerConfigurerAdapter{@Overridepublicvoidconfigure(HttpSecurityhttp)throwsException{http.authorizeRequests().anyRequest().authenticated().and().requestMatchers().antMatchers("/user/**");//配置需要保护的资源路径}}Copy to clipboardErrorCopied

添加SpringSecurity配置,允许认证相关路径的访问及表单登录:

/**

* SpringSecurity配置

* Created by macro on 2019/10/8.

*/@Configuration@EnableWebSecuritypublicclassSecurityConfigextendsWebSecurityConfigurerAdapter{@BeanpublicPasswordEncoderpasswordEncoder(){returnnewBCryptPasswordEncoder();}@Bean@OverridepublicAuthenticationManagerauthenticationManagerBean()throwsException{returnsuper.authenticationManagerBean();}@Overridepublicvoidconfigure(HttpSecurityhttp)throwsException{http.csrf().disable().authorizeRequests().antMatchers("/oauth/**","/login/**","/logout/**").permitAll().anyRequest().authenticated().and().formLogin().permitAll();}}Copy to clipboardErrorCopied

添加需要登录的接口用于测试:

/**

* Created by macro on 2019/9/30.

*/@RestController@RequestMapping("/user")publicclassUserController{@GetMapping("/getCurrentUser")publicObjectgetCurrentUser(Authenticationauthentication){returnauthentication.getPrincipal();}}Copy to clipboardErrorCopied

授权码模式使用

启动oauth2-server服务;

在浏览器访问该地址进行登录授权:http://localhost:9401/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all&state=normal

输入账号密码进行登录操作:

登录后进行授权操作:

之后会浏览器会带着授权码跳转到我们指定的路径:

https://www.baidu.com/?code=eTsADY&state=normalCopy to clipboardErrorCopied

使用授权码请求该地址获取访问令牌:http://localhost:9401/oauth/token

使用Basic认证通过client_id和client_secret构造一个Authorization头信息;

在body中添加以下参数信息,通过POST请求获取访问令牌;

在请求头中添加访问令牌,访问需要登录认证的接口进行测试,发现已经可以成功访问:http://localhost:9401/user/getCurrentUser

密码模式使用

使用密码请求该地址获取访问令牌:http://localhost:9401/oauth/token

使用Basic认证通过client_id和client_secret构造一个Authorization头信息;

在body中添加以下参数信息,通过POST请求获取访问令牌;

使用到的模块

springcloud-learning

└── oauth2-server -- oauth2认证测试服务

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349