摘要:目標(biāo)認(rèn)證服務(wù)器認(rèn)證后獲取,客戶端訪問資源時帶上進(jìn)行安全驗證。關(guān)鍵依賴認(rèn)證服務(wù)器認(rèn)證服務(wù)器的關(guān)鍵代碼有如下幾個文件認(rèn)證配置配置客戶端允許表單認(rèn)證代碼中配置了一個,是,密碼。配置了單點(diǎn)登錄。
本文為[原創(chuàng)]文章,轉(zhuǎn)載請標(biāo)明出處。Overview
本文鏈接:https://weyunx.com/2019/02/12...
本文出自微云的技術(shù)博客
最近在弄單點(diǎn)登錄,踩了不少坑,所以記錄一下,做了個簡單的例子。
目標(biāo):認(rèn)證服務(wù)器認(rèn)證后獲取 token,客戶端訪問資源時帶上 token 進(jìn)行安全驗證。
可以直接看源碼。
關(guān)鍵依賴認(rèn)證服務(wù)器org.springframework.boot spring-boot-starter-parent 2.1.2.RELEASE org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-test test org.springframework.security spring-security-test test org.springframework.security.oauth.boot spring-security-oauth2-autoconfigure 2.1.2.RELEASE
認(rèn)證服務(wù)器的關(guān)鍵代碼有如下幾個文件:
AuthServerApplication:
@SpringBootApplication @EnableResourceServer public class AuthServerApplication { public static void main(String[] args) { SpringApplication.run(AuthServerApplication.class, args); } }
AuthorizationServerConfiguration 認(rèn)證配置:
@Configuration @EnableAuthorizationServer class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Autowired AuthenticationManager authenticationManager; @Autowired TokenStore tokenStore; @Autowired BCryptPasswordEncoder encoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { //配置客戶端 clients .inMemory() .withClient("client") .secret(encoder.encode("123456")).resourceIds("hi") .authorizedGrantTypes("password","refresh_token") .scopes("read"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .tokenStore(tokenStore) .authenticationManager(authenticationManager); } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { //允許表單認(rèn)證 oauthServer .allowFormAuthenticationForClients() .checkTokenAccess("permitAll()") .tokenKeyAccess("permitAll()"); } }
代碼中配置了一個 client,id 是 client,密碼 123456。 authorizedGrantTypes 有 password 和refresh_token 兩種方式。
SecurityConfiguration 安全配置:
@Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Bean public TokenStore tokenStore() { return new InMemoryTokenStore(); } @Bean public BCryptPasswordEncoder encoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .passwordEncoder(encoder()) .withUser("user_1").password(encoder().encode("123456")).roles("USER") .and() .withUser("user_2").password(encoder().encode("123456")).roles("ADMIN"); } @Override protected void configure(HttpSecurity http) throws Exception { // @formatter:off http.csrf().disable() .requestMatchers() .antMatchers("/oauth/authorize") .and() .authorizeRequests() .anyRequest().authenticated() .and() .formLogin().permitAll(); // @formatter:on } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } }
上面在內(nèi)存中創(chuàng)建了兩個用戶,角色分別是 USER 和 ADMIN。后續(xù)可考慮在數(shù)據(jù)庫或者 Redis 中存儲相關(guān)信息。
AuthUser 配置獲取用戶信息的 Controller:
@RestController public class AuthUser { @GetMapping("/oauth/user") public Principal user(Principal principal) { return principal; } }
application.yml 配置,主要就是配置個端口號:
--- spring: profiles: active: dev application: name: auth-server server: port: 8101客戶端配置
客戶端的配置比較簡單,主要代碼結(jié)構(gòu)如下:
application.yml 配置:
--- spring: profiles: active: dev application: name: client server: port: 8102 security: oauth2: client: client-id: client client-secret: 123456 access-token-uri: http://localhost:8101/oauth/token user-authorization-uri: http://localhost:8101/oauth/authorize scope: read use-current-uri: false resource: user-info-uri: http://localhost:8101/oauth/user
這里主要是配置了認(rèn)證服務(wù)器的相關(guān)地址以及客戶端的 id 和 密碼。user-info-uri 配置的就是服務(wù)器端獲取用戶信息的接口。
HelloController 訪問的資源,配置了 ADMIN 的角色才可以訪問:
@RestController public class HelloController { @RequestMapping("/hi") @PreAuthorize("hasRole("ADMIN")") public ResponseEntityhi() { return ResponseEntity.ok().body("auth success!"); } }
WebSecurityConfiguration 相關(guān)安全配置:
@Configuration @EnableOAuth2Sso @EnableGlobalMethodSecurity(prePostEnabled = true) class WebSecurityConfiguration extends WebSecurityConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http .csrf().disable() // 基于token,所以不需要session .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .anyRequest().authenticated(); } }
其中 @EnableGlobalMethodSecurity(prePostEnabled = true) 開啟后,Spring Security 的 @PreAuthorize,@PostAuthorize 注解才可以使用。
@EnableOAuth2Sso 配置了單點(diǎn)登錄。
ClientApplication:
@SpringBootApplication @EnableResourceServer public class ClientApplication { public static void main(String[] args) { SpringApplication.run(ClientApplication.class, args); } }驗證
啟動項目后,我們使用 postman 來進(jìn)行驗證。
首先是獲取 token:
選擇 POST 提交,地址為驗證服務(wù)器的地址,參數(shù)中輸入 username,password,grant_type 和 scope ,其中 grant_type 需要輸入 password。
然后在下面等 Authorization 標(biāo)簽頁中,選擇 Basic Auth,然后輸入 client 的 id 和 password。
{ "access_token": "02f501a9-c482-46d4-a455-bf79a0e0e728", "token_type": "bearer", "refresh_token": "0e62ffffdc-4f51-4cb5-81c3-5383fddbb81b", "expires_in": 41741, "scope": "read" }
此時就可以獲得 access_token 為: 02f501a9-c482-46d4-a455-bf79a0e0e728。需要注意的是這里是用 user_2 獲取的 token,即角色是 ADMIN。
然后我們再進(jìn)行獲取資源的驗證:
使用 GET 方法,參數(shù)中輸入 access_token,值輸入 02f501a9-c482-46d4-a455-bf79a0e0e728 。
點(diǎn)擊提交后即可獲取到結(jié)果。
如果我們不加上 token ,則會提示無權(quán)限。同樣如果我們換上 user_1 獲取的 token,因 user_1 的角色是 USER,此資源需要 ADMIN 權(quán)限,則此處還是會獲取失敗。
簡單的例子就到這,后續(xù)有時間再加上其它功能吧,謝謝~
未完待續(xù)...
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/73467.html
摘要:認(rèn)證服務(wù)器和瀏覽器控制臺也沒有報錯信息。這里簡單介紹下如何查閱源碼,首先全局搜索自己的配置因為這個地址是認(rèn)證服務(wù)器請求授權(quán)的,所以,請求認(rèn)證的過濾器肯定包含他。未完待續(xù),下一篇介紹資源服務(wù)器和認(rèn)證服務(wù)器的集成。 基于spring-security-oauth2-實(shí)現(xiàn)單點(diǎn)登錄 文章代碼地址:鏈接描述可以下載直接運(yùn)行,基于springboot2.1.5,springcloud Green...
摘要:前言很久都沒有寫博客了,這次為大家簡單介紹兩個在開發(fā)中經(jīng)常使用的概念單點(diǎn)登錄和消息隊列以及具體到中的一些實(shí)現(xiàn)方案。單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文或憑證在多個應(yīng)用系統(tǒng)之間的傳遞或共享。 前言 很久都沒有寫博客了,這次為大家簡單介紹兩個在WEB開發(fā)中經(jīng)常使用的概念——單點(diǎn)登錄和消息隊列以及具體到J2EE中的一些實(shí)現(xiàn)方案。本文原創(chuàng)性的工作比較少,主要是一些總結(jié)概括和自己的理解。 單點(diǎn)登錄SS...
閱讀 2934·2021-11-24 09:39
閱讀 3619·2021-11-22 13:54
閱讀 3419·2021-11-16 11:45
閱讀 2449·2021-09-09 09:33
閱讀 3203·2019-08-30 15:55
閱讀 1298·2019-08-29 15:40
閱讀 928·2019-08-29 15:19
閱讀 3406·2019-08-29 15:14