Spring Security OAuth2使用Redis作為token儲存

阿新 • • 發佈：2021-08-15

Spring Security OAuth2使用Redis作為token儲存

授權application.yml伺服器儲存token到Redis

server:
  port: 8080

spring:
  redis:
    host: 127.0.0.1
    port: 6379
    password: 123
    database: 0 #也可以在程式碼中指定

Maven依賴

　　　　　　<dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.62</version>
        </dependency>

在spring security oauth2中，授權服務使用redis儲存token的時候，報錯：

java.lang.NoSuchMethodError: org.springframework.data.redis.connection.RedisConnection.set([B[B)V

這說明版本有問題，解決方案是，將oauth2的版本升級到2.3.3，即在pom檔案中，加入：

<!-- oauth2 start -->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <!-- 指明版本，解決redis儲存出現的問題：java.lang.NoSuchMethodError: org.springframework.data.redis.connection.RedisConnection.set([B[B)V問題 -->
    <version>2.3.3.RELEASE</version>
</dependency>
<!-- oauth2 end -->

程式碼分為認證端和客戶端兩個服務

認證端，也就是我的security服務

有兩個檔案，一個配置問津，一個

1.AuthResourcesConfig

package com.adao.security.config;

import com.adao.security.common.AuthResourcesConfig;
import com.adao.security.service.SSOUserDetailsService;
import lombok.extern.log4j.Log4j2;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.connection.lettuce.LettuceConnectionFactory;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;


/**
 * @author 
 * @version 1.0
 * @date 2021/8/12
 * @Description: 資源服務資訊公共配置類
 */
public class AuthResourcesConfig {
/**
     * token過期時間,單位為秒
     */
    public static final int TOKEN_SECONDS_ACCESS = 10 * 60;

    /**
     * 重新整理token時間,單位為秒
     */
    public static final int TOKEN_SECONDS_REFRESH = 10 * 60;

    /**
     * 資源服務客戶端ID資訊
     */
    //rtp
    public static final String CLIENT_RTP = "RTP";
    //manage
    public static final String CLIENT_RTP_MANAGE = "adao-rtp-manage";

    /**
     * 資源節點對應的金鑰，目前統一為 adao
     */
    public static final String CLIENT_RTP_SECRET = "adao";

}

2.AuthorizationServerConfig

package com.adao.security.config;

import com.adao.security.common.AuthResourcesConfig;
import com.adao.security.service.SSOUserDetailsService;
import lombok.extern.log4j.Log4j2;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.connection.lettuce.LettuceConnectionFactory;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;


/**
 * @author adao
 * @version 1.0
 * @Description: 認證伺服器配置
 * @date 2021/8/11
 */
@Configuration
@EnableAuthorizationServer
@Log4j2
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    /**
     * 鑑權模式
     */
    public static final String GRANT_TYPE[] = {"password", "refresh_token"};

    @Autowired
    private AuthenticationManager authenticationManager;

    /**
     * 使用者服務
     */
    @Autowired
    public SSOUserDetailsService userDetailsService;

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Autowired
    private StringRedisTemplate redisTemplate;

    /**
     * Redis資料庫存
     */
    public static final int REDIS_CONNECTION_DATABASE = 14;

    /**
     * 客戶端資訊配置，可配置多個客戶端，可以使用配置檔案進行代替
     *
     * @param clients 客戶端設定
     * @throws Exception 異常
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 定義客戶端應用的通行證
        clients.inMemory()
                // rtp-manage
                .withClient(AuthResourcesConfig.CLIENT_RTP_MANAGE)
                .secret(new BCryptPasswordEncoder().encode(AuthResourcesConfig.CLIENT_RTP_SECRET))
                .authorizedGrantTypes(GRANT_TYPE[0], GRANT_TYPE[1])
                .scopes("all")
                .autoApprove(true)

                // rtp
                .and()
                .withClient(AuthResourcesConfig.CLIENT_RTP)
                .secret(new BCryptPasswordEncoder().encode(AuthResourcesConfig.CLIENT_RTP_SECRET))
                .authorizedGrantTypes(GRANT_TYPE[0], GRANT_TYPE[1])
                .scopes("all")
                .autoApprove(true);

    }

    /**
     * 配置端點
     *
     * @param endpoints 端點
     * @throws Exception 異常
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //配置認證管理器
        endpoints.authenticationManager(authenticationManager)
                //配置使用者服務
                .userDetailsService(userDetailsService)
                //配置token儲存的服務與位置
                .tokenServices(tokenService())
                .tokenStore(redisTokenStore());
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        //允許使用者訪問OAuth2 授權介面
        security.allowFormAuthenticationForClients();
        //允許已授權使用者訪問 checkToken 介面和獲取 token 介面
        security.tokenKeyAccess("permitAll()");
        //允許已授權使用者獲取 token 介面
        security.checkTokenAccess("permitAll()");
    }

    /**
     * 設定token儲存，資源伺服器配置與此處相一致
     */
    @Bean
    public RedisTokenStore redisTokenStore() {
        // 指定redis資料庫儲存token,與業務庫區分。
        LettuceConnectionFactory lettuceConnectionFactory = (LettuceConnectionFactory) redisTemplate.getConnectionFactory();
        lettuceConnectionFactory.setDatabase(REDIS_CONNECTION_DATABASE);
        RedisTokenStore redisTokenStore = new RedisTokenStore(lettuceConnectionFactory);

// 也可以用在何種方式，這樣用哪個資料庫是在配置檔案中指定　　　　
//RedisTokenStore redisTokenStore = new RedisTokenStore(redisConnectionFactory);

log.info("Oauth2 redis database : [{}]", lettuceConnectionFactory.getDatabase()); //設定redis token儲存中的字首 redisTokenStore.setPrefix("auth-token:"); return redisTokenStore; } @Bean public DefaultTokenServices tokenService() { DefaultTokenServices tokenServices = new DefaultTokenServices(); //配置token儲存  tokenServices.setTokenStore(redisTokenStore()); //開啟支援refresh_token tokenServices.setSupportRefreshToken(true); //複用refresh_token tokenServices.setReuseRefreshToken(true); //token有效期  tokenServices.setAccessTokenValiditySeconds(AuthResourcesConfig.TOKEN_SECONDS_ACCESS); //refresh_token有效期  tokenServices.setRefreshTokenValiditySeconds(AuthResourcesConfig.TOKEN_SECONDS_REFRESH); return tokenServices; } }

接下來是資源端

1.ResourceServerConfig

package com.adao.manage.config;

import com.adao.manage.common.AuthExceptionHandler;
import lombok.extern.log4j.Log4j2;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.connection.lettuce.LettuceConnectionFactory;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.redis.RedisTokenStore;

/**
 * @author adao
 * @version 1.0
 * @date 2021/8/11
 * @description 資源服務配置類
 */
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Log4j2
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Autowired
    private AuthExceptionHandler authExceptionHandler;

    @Autowired
    private StringRedisTemplate redisTemplate;

    /**
     * Redis資料庫存
     */
    public static final int REDIS_CONNECTION_DATABASE = 14;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        //狀態
        resources.stateless(true)
                .accessDeniedHandler(authExceptionHandler)
                .authenticationEntryPoint(authExceptionHandler);
        //設定token儲存
        resources.tokenStore(redisTokenStore());
    }

    /**
     * 設定token儲存，這一點配置要與授權伺服器相一致
     */
    @Bean
    public RedisTokenStore redisTokenStore() {

        // 指定redis資料庫儲存token，與業務庫區分。
        LettuceConnectionFactory lettuceConnectionFactory = (LettuceConnectionFactory) redisTemplate.getConnectionFactory();
        lettuceConnectionFactory.setDatabase(REDIS_CONNECTION_DATABASE);
        RedisTokenStore redisTokenStore = new RedisTokenStore(lettuceConnectionFactory);
        log.info("Oauth2 redis database : [{}]",lettuceConnectionFactory.getDatabase());

        //設定redis token儲存中的字首
        redisTokenStore.setPrefix("auth-token:");
        return redisTokenStore;
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        //請求許可權配置
        http.authorizeRequests()
                //下邊的路徑放行,不需要經過認證
                .antMatchers("/actuator/health").permitAll()
                .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui",
                        "/swagger-resources", "/swagger-resources/configuration/security",
                        "/swagger-ui.html", "/webjars/**").permitAll()
                //其餘介面沒有角色限制，但需要經過認證，只要攜帶token就可以放行
                .antMatchers("/dictionary/**").permitAll()
                .anyRequest()
                .authenticated();
    }
}

AuthExceptionHandler   異常捕獲處理類

package com.adao.manage.common;

import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.common.exceptions.InvalidTokenException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author adao
 * @version 1.0
 * @date 2021/8/11
 * @Description: 許可權不足返回資訊處理類
 */
@Component
@Slf4j
public class AuthExceptionHandler implements AuthenticationEntryPoint, AccessDeniedHandler {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {

        Throwable cause = authException.getCause();
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        // CORS "pre-flight" request
        response.addHeader("Access-Control-Allow-Origin", "*");
        response.addHeader("Cache-Control", "no-cache");
        response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        response.addHeader("Access-Control-Max-Age", "1800");
        if (cause instanceof InvalidTokenException) {
            log.error("InvalidTokenException : {}", cause.getMessage());
            //Token無效
            response.getWriter().write(JSON.toJSONString(ApiResult.fail(ApiCode.ACCESS_TOKEN_INVALID)));
        } else {
            log.error("AuthenticationException : NoAuthentication");
            //資源未授權
            response.getWriter().write(JSON.toJSONString(ApiResult.fail(ApiCode.ACCESS_UNAUTHORIZED)));
        }
    }

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.addHeader("Access-Control-Allow-Origin", "*");
        response.addHeader("Cache-Control", "no-cache");
        response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        response.addHeader("Access-Control-Max-Age", "1800");
        //訪問資源的使用者許可權不足
        log.error("AccessDeniedException : {}", accessDeniedException.getMessage());
        response.getWriter().write(JSON.toJSONString(ApiResult.fail(ApiCode.INSUFFICIENT_PERMISSIONS)));
    }
}

公用的範圍code及含義

package com.adao.manage.common;


public enum ApiCode {

    SUCCESS(200, "操作成功"),

    /**
     * 表示介面呼叫方異常提示
     */
    ACCESS_TOKEN_INVALID(1001, "access_token 無效"),
    REFRESH_TOKEN_INVALID(1002, "refresh_token 無效"),
    INSUFFICIENT_PERMISSIONS(1003, "該使用者許可權不足以訪問該資源介面"),
    ACCESS_UNAUTHORIZED(1004, "訪問此資源需要身份驗證"),

   
}

最後開始測試

postman 設定

http://192.168.10.90:6005/oauth/token?grant_type=password&username=zq&password=123456&scope=all

直接結果可以看到，獲取到了token資料，這裡就結束了。

Spring Security OAuth2使用Redis作為token儲存

Spring Security OAuth2使用Redis作為token儲存授權application.yml伺服器儲存token到Redis server:

使用fastjson時spring security oauth2獲取token格式變化

1.問題使用下面請求獲取token時 http://localhost:8080/oauth/token?grant_type=client_credentials&scope=select&client_id=client_1&client_secret=123456

Spring Security將使用者資料儲存到資料庫的方法

一、UserDetailService Spring Security 支援多種不同的資料來源，這些不同的資料來源最終都將被封裝成 UserDetailsService 的例項，在微人事（https://github.com/lenve/vhr）專案中，我們是自己來建立一個類實現 U

Spring Security OAuth2 token許可權隔離例項解析

這篇文章主要介紹了Spring Security OAuth2 token許可權隔離例項解析,文中通過示例程式碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

前後端分離Spring security 從healer的token獲取Session

Cookie->Token 由於HTTP協議是無狀態協議，為了能夠跟蹤使用者的整個會話，常用的是Cookie和Session模式

spring Security 不使用controller 實現登陸資訊檢驗返回配置 token的實現

結構 1WebSecurityConfigurer extends WebSecurityConfigurerAdapter 主體配置加上 2 (AuthenticationTokenFilter extends BasicAuthenticationFilter)新增 filter 過濾登陸資訊 3在登陸成功和失敗的handler寫返回值

spring boot + spring Security + redis + token 爬坡

spring boot + spring Security + redis + token 爬坡分為幾個部分 spring boot 基本配置 controller介面部分安全校驗部分(包括session或者自定義token的形式) redis的token存放於取出 , 在資料庫取使用者資

Spring Security OAuth 2.x的重新整理token介面/oauth/token自定義修改

參考資料：在OAuth 2中模仿DefaultTokenServices寫一個新的tokenServices來提供個性化服務https://my.oschina.net/u/3768341/blog/2998273

Api架構奧義：ApiBoot實現零程式碼整合Spring Security & OAuth2

介面服務的安全性一直是程式設計師比較注重的一個問題，成熟的安全框架也比較多，其中一個組合就是Spring Security與OAuth2的整合，在ApiBoot內通過程式碼的封裝、自動化配置實現了自動化整合這兩大安全框架。

詳解Spring Security的HttpBasic登入驗證模式

【北京】 IT技術人員面對面試、跳槽、升職等問題，如何快速成長，獲得大廠入門資格和升職加薪的籌碼？與大廠技術大牛面對面交流，解答你的疑惑。《從職場小白到技術總監成長之路：我的職場焦慮與救贖》活動連結：碼

ApiBoot零程式碼整合Spring Security的JDBC方式獲取AccessToken

ApiBoot Security內部提供了兩種方式進行讀取需要認證的使用者資訊，在之前的文章中講到過ApiBoot Security使用記憶體方式（memory）不寫一行程式碼就可以實現使用者的認證並獲取AccessToken，那我們使用JDBC方式是不

Spring Security 新特性 Lambda DSL 使用

Lambda DSL概述 Spring Security 5.2 對 LambdaDSL 語法的增強，允許使用lambda配置HttpSecurity、ServerHttpSecurity

Spring Security 解析(五) —— Spring Security Oauth2 開發

Spring Security 解析(五) —— Spring Security Oauth2 開發在學習Spring Cloud 時，遇到了授權服務oauth 相關內容時，總是一知半解，因此決定先把Spring Security 、Spring Security Oauth2 等許可權、認證

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析在學習Spring Cloud 時，遇到了授權服務oauth 相關內容時，總是一知半解，因此決定先把Spring Security 、Spring Security Oauth2 等許可

Spring Security 技術棧開發企業級認證授權（3）

歡迎關注個人部落格，此文為《Spring Security 技術棧開發企業級認證授權（2）》的後續

Spring Security原理介紹、原始碼解析——授權過程

流程簡述當我們成功登入，獲取access_token，即可使用該token來訪問有許可權的介面。如上文所講，JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文，

Spring Security原理介紹、原始碼解析——認證過程

核心原理在前後端分離的架構中，許可權認證主要包含兩個主要的過程：通過使用者名稱密碼換取一個令牌（Token），令牌具有不可修改性，以保證許可權的安全。

【小技巧】spring security oauth2 令牌實現多終端登入狀態同步

目的說明解決不同客戶端使用token,各個客戶端的登入狀態必須保持一致，退出狀態實現一致。同上述問題類似如何解決不同租戶相同使用者名稱的人員的登入狀態問題。

Spring Security 在前後端分離專案中的實踐（1）

1 概述如今，前後端分離（開發）已經非常常見了。由於任務需要，要在基於 Spring Boot 的 Web 專案中整合 Spring Security 完成使用者模組的登入和認證等功能，但是在網上查閱的（中文）資料中，對前後端完全分離如

SpringBoot整合Spring Security入門體驗

一、前言 Spring Security 和 Apache Shiro 都是安全框架，為Java應用程式提供身份認證和授權。

Spring Security OAuth2使用Redis作為token儲存

授權application.yml伺服器儲存token到Redis

Maven依賴

程式碼分為認證端和客戶端兩個服務

相關推薦