Api架构奥义:ApiBoot实现零代码整合Spring Security & OAuth2

接口服务的安全性一直是程序员比较注重的一个问题,成熟的安全框架也比较多,其中一个组合就是Spring SecurityOAuth2的整合,在ApiBoot内通过代码的封装、自动化配置实现了自动化整合这两大安全框架。

免费教程专题

恒宇少年在博客整理三套免费学习教程专题,由于文章偏多特意添加了阅读指南,新文章以及之前的文章都会在专题内陆续填充,希望可以帮助大家解惑更多知识点。

博客原文:http://blog.yuqiyu.com/apiboot-security-oauth-zero-code-integration.html

ApiBoot Security OAuth简介

ApiBoot Security OAuthApiBoot开源项目内的一个组件,内部通过SpringBoot AutoConfiguration整合了Spring SecurityOAuth2,而且支持多种存储方式,如:内存(memory)数据库(jdbc)Redis等,使用配置文件的方式来代替代码侵入式集成方式,提高开发效率、减少非业务的繁琐代码,而且还有这比较高的可扩展性。

创建项目

通过Idea开发工具创建一个名为apiboot-security-oauth-zero-code-integrationSpringBoot项目。

添加ApiBoot统一版本依赖

在添加依赖之前我们需要将ApiBoot的统一版本依赖加入到我们项目的pom.xml文件内,如下所示:

<!--ApiBoot统一版本依赖-->
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.minbox.framework</groupId>
            <artifactId>api-boot-dependencies</artifactId>
            <version>2.1.5.RELEASE</version>
            <scope>import</scope>
            <type>pom</type>
        </dependency>
    </dependencies>
</dependencyManagement>

添加ApiBoot Security OAuth依赖

添加完成版本依赖后,我们继续在pom.xml文件内添加ApiBoot Security OAuth依赖,如下所示:

<dependencies>
  <!--SpringBoot Web-->
  <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
  </dependency>

  <!--ApiBoot Security Oauth-->
  <dependency>
    <groupId>org.minbox.framework</groupId>
    <artifactId>api-boot-starter-security-oauth-jwt</artifactId>
  </dependency>
</dependencies>

配置ApiBoot Security用户列表

ApiBoot Security默认支持内存方式(memory)配置用户列表,用于整合OAuth2密码授权方式(grant_type=password),我们需要在application.yml配置文件内添加相关配置,如下所示:

spring:
  application:
    name: apiboot-security-oauth-first-application
server:
  port: 9090
# ApiBoot 相关配置
api:
  boot:
    # ApiBoot Security配置
    security:
      # 配置内存用户列表
      users:
        - username: hengboy
          password: 123456
        - username: yuqiyu
          password: 123123

通过api.boot.security.users参数可以配置多个用户信息,每个用户可配置usernamepasswordroles,可以通过查看org.minbox.framework.api.boot.autoconfigure.security.ApiBootSecurityProperties源码类了解详情。

  • username:配置Spring Security用户的用户名。
  • password:配置Spring Security用户的密码。
  • roles:配置Spring Security用户对应授权的角色列表,多个可以使用英文半角,隔开,或者使用-方式配置。

运行测试

我们通过XxxApplication方式启动本章项目。

测试点:获取AccessToken

项目运行成功后我们先来测试下是否可以获取到AccessToken

Curl方式获取:

➜ ~ curl -X POST ApiBoot:ApiBootSecret@localhost:9090/oauth/token -d "grant_type=password&username=hengboy&password=123456"
{"access_token":"f16202f7-ab8c-41ae-86be-e314aebe82ff","token_type":"bearer","refresh_token":"93c74812-ec5b-4676-8378-b68e4c1751ae","expires_in":3297,"scope":"api"}

PostMan方式获取:

如果对Spring SecurityOAuth2整合有一定经验的同学应该明白grant_typeOAuth2内提供的其中一种授权方式,而参数usernamepassword则是整合后对应的Spring Security用户名以及密码,也就是我们在application.yml配置文件api.boot.security.users配置用户列表的其中一个用户信息

在上面分别通过CurlPostMan两种方式进行测试获取AccessToken,都是可以直接获取到的。

测试点:获取当前用户信息

ApiBoot Security OAuth获取当前用户信息的方式与Spring Security一样,通过注入java.security.Principal接口来完成,下面我们创建一个名为UserController的控制器来测试下效果:

package org.minbox.chapter.apiboot.security.oauth.first.application;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.security.Principal;

/**
 * 登录用户信息
 *
 * @author 恒宇少年
 */
@RestController
@RequestMapping(value = "/api/user")
public class UserController {

    /**
     * 获取当前登录的用户信息
     * 通过Spring Security提供的注解{@link PreAuthorize}进行验证角色
     *
     * @param principal {@link Principal}
     * @return {@link Principal#getName()}
     */
    @GetMapping
    @PreAuthorize("hasRole('api')")
    public String info(Principal principal) {
        return principal.getName();
    }
}

注意:ApiBoot Security OAuth默认权限拦截的路径时/api/**,所以我们在测试控制器上配置了/api/user作为路径前缀,如果想对ApiBoot Security OAuth详细了解,请访问ApiBoot官网文档ApiBoot Security使用文档

我们通过Curl方式访问http://localhost:9090/api/user接口效果如下:

➜ ~ curl http://localhost:9090/api/user -H 'Authorization: Bearer d73e86a8-892f-42c1-bc95-04aedfe97828'
hengboy

访问/api/user路径的AccessToken是通过用户hengboy用户生成的,所以该接口返回了hengboy用户名。

敲黑板,划重点

ApiBoot Security OAuth极其简单的完成了Spring SecurityOAuth2的整合,使用内存方式时不需要配置一行代码就可以完成自动化的整合。

代码示例

本篇文章示例源码可以通过以下途径获取,目录为SpringBoot2.x/apiboot-security-oauth-first-application

作者个人 博客
使用开源框架 ApiBoot 助你成为Api接口服务架构师

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343