Spring Security OAuth2.0認證授權二:搭建資源服務
在上一篇文章Spring Security OAuth2.0認證授權一:框架搭建和認證測試 詳細講解了如何搭建一個基於spring boot + oauth2.0的認證服務,這篇文章將會介紹如何搭建一個資源服務。
根據oath2.0協議內容,應當有一個資源服務管理資源並提供訪問安全控制。
1. 引入maven依賴
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> </dependency> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
這裡雖然引入了jwt的依賴,但是暫時還未用到。
2. 配置配置檔案
server:
port: 30001
spring:
application:
name: resource-server
3. 新建啟動類
@SpringBootApplication public class ResourceServerApplication { public static void main(String[] args) { SpringApplication.run(ResourceServerApplication.class, args); } }
4. Resource服務核心配置
4.1 新建ResouceServerConfig類
該類需要繼承ResourceServerConfigurerAdapter類並需要使用@EnableResourceServer註解註釋。
@Configuration
@EnableResourceServer
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {
......
}
4.2 核心配置
重寫ResouceServerConfig類以下方法以實現ResourceServer的基本配置:
org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter#configure(org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer)
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
resources
.resourceId(RESOURCE_ID)
.tokenServices(resourceServerTokenServices)//令牌服務
.stateless(true);
}
- resourceId方法標誌了該服務的id,需要和在auth-center服務中配置的id一致。
- tokenServices方法指定了令牌管理的例項,Bean建立方法如下
@Bean public ResourceServerTokenServices resourceServerTokenServices(){ RemoteTokenServices remoteTokenServices = new RemoteTokenServices(); remoteTokenServices.setCheckTokenEndpointUrl("http://127.0.0.1:30000/oauth/check_token"); remoteTokenServices.setClientId("c1"); remoteTokenServices.setClientSecret("secret"); return remoteTokenServices; }
- stateless方法指定了當前資源是否僅僅允許token驗證的方法進行校驗,預設為true
4.3 auth2.0安全配置
@Override
public void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/**").access("#oauth2.hasScope('all')")
.and()
.csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);
}
該配置和下面的Web安全配置很像,但是不一樣,這裡僅僅對auth2.0的安全進行配置。這裡的.antMatchers("/**").access("#oauth2.hasScope('all')")
表示所有的請求攜帶的令牌都必須擁有all的授權範圍,其中all授權範圍必須和認證服務中的配置相一致。
4.4 Web安全配置
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf()
.disable()
.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p2")
.antMatchers("/r/r2").hasAuthority("p2")
.antMatchers("/**").authenticated()//所有的r/**請求必須認證通過
.anyRequest().permitAll();//其它所有請求都可以隨意訪問
}
}
4.5 暴露資源介面
@RestController
@Slf4j
public class OrderController {
@GetMapping("/r1")
@PreAuthorize("hasAnyAuthority('p1')")
public String r1(){
return "訪問資源r1";
}
}
由於4.4啟用了prePostEnabled,所以這裡可以使用@PreAuthorize註解對資源安全請求進行管理。
@PreAuthorize("hasAnyAuthority('p1')")
表示請求者必須擁有p1許可權,p1許可權定義在auth-center服務表的t_permission表。
5. 介面測試
原始碼地址:https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0
5.1 準備工作
首先,閱讀下 https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0/auth-center 專案的自述檔案,配置好資料庫和表、配置檔案,配置完成之後分別啟動認證服務auth-center服務(埠號30000)和資源服務resource-server(埠號30001)。
5.2 獲取token
閱讀下 https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0/auth-center 專案的自述檔案,有四種獲取token的方式。
5.3 請求資源服務
假設在5.2已經成功獲取到了token:
{
"access_token": "11c5eaec-768f-400a-85e1-e2b52276b83d",
"token_type": "bearer",
"refresh_token": "34eb5d57-de7e-4f26-b35e-64162c64117e",
"expires_in": 7199,
"scope": "all"
}
接下來要攜帶著token請求資源服務:
header | value |
---|---|
Authorization | Bearer 0cc2da26-b634-4ccb-a8fe-14f454a13090 |
GET請求:http://127.0.0.1:30001/r1
請求成功,結果返回:
訪問資源r1
請求失敗,結果返回:
{
"error": "invalid_token",
"error_description": "0cc2da26-b634-4ccb-a8fe-14f454a13090"
}
5.4 請求演示
下面演示使用postman基於密碼模式獲取token並請求資源服務的過程:
6.原始碼
原始碼地址:https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0
我的部落格地址:https://blog.kdyzm.cn/