2. 程式人生 > 實用技巧 >spring-security-oauth2 中優雅的擴充套件自定義(簡訊驗證碼)登入方式-系列1

spring-security-oauth2 中優雅的擴充套件自定義(簡訊驗證碼)登入方式-系列1

阿新 發佈:2020-08-17

1、概括

在部落格中,我們將討論如何讓Spring Security OAuth2實現使用JSON Web Tokens。

2、Maven 配置

首先,我們需要在我們的pom.xml中新增spring-security-jwt依賴項。

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-jwt</artifactId>
</dependency>

我們需要為Authorization Server和Resource Server新增spring-security-jwt依賴項。

3、授權伺服器

接下來,我們將配置我們的授權伺服器使用JwtTokenStore - 如下所示

@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore())
                 .accessTokenConverter(accessTokenConverter())
                 .authenticationManager(authenticationManager);
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("123");
        return converter;
    }

    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }
}

請注意,在JwtAccessTokenConverter中使用了一個對稱金鑰來簽署我們的令牌 - 這意味著我們需要為資源伺服器使用同樣的確切金鑰。

4、資源伺服器

現在,我們來看看我們的資源伺服器配置 - 這與授權伺服器的配置非常相似:

@Configuration
@EnableResourceServer
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(ResourceServerSecurityConfigurer config) {
        config.tokenServices(tokenServices());
    }

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("123");
        return converter;
    }

    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        return defaultTokenServices;
    }
}

請記住,我們將這兩個伺服器定義為完全獨立且可獨立部署的伺服器。這就是我們需要在新配置中再次宣告一些相同的bean的原因。

5、令牌中的自定義宣告

現在讓我們設定一些基礎設施,以便能夠在訪問令牌中新增一些自定義宣告。框架提供的標準宣告都很好,但大多數情況下我們需要在令牌中使用一些額外的資訊來在客戶端使用。 我們將定義一個TokenEnhancer來定製我們的Access Token與這些額外的宣告。 在下面的例子中,我們將新增一個額外的欄位“組織”到我們的訪問令牌 - 與此CustomTokenEnhancer:

public class CustomTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(
     OAuth2AccessToken accessToken, 
     OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>();
        additionalInfo.put("organization", authentication.getName() + randomAlphabetic(4));
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

然後,我們將把它連線到我們的授權伺服器配置 - 如下所示:

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
    tokenEnhancerChain.setTokenEnhancers(
      Arrays.asList(tokenEnhancer(), accessTokenConverter()));

    endpoints.tokenStore(tokenStore())
             .tokenEnhancer(tokenEnhancerChain)
             .authenticationManager(authenticationManager);
}

@Bean
public TokenEnhancer tokenEnhancer() {
    return new CustomTokenEnhancer();
}

有了這個新的配置啟動和執行 - 這是一個令牌令牌有效載荷看起來像:

{
    "user_name": "john",
    "scope": [
        "foo",
        "read",
        "write"
    ],
    "organization": "johnIiCh",
    "exp": 1458126622,
    "authorities": [
        "ROLE_USER"
    ],
    "jti": "e0ad1ef3-a8a5-4eef-998d-00b26bc2c53f",
    "client_id": "fooClientIdPassword"
}

5.1、在JS客戶端使用訪問令牌

最後,我們要在AngualrJS客戶端應用程式中使用令牌資訊。我們將使用angular-jwt庫。 所以我們要做的就是在index.html中使用“組織”宣告:

<p class="navbar-text navbar-right">{{organization}}</p>

<script type="text/javascript"
  src="https://cdn.rawgit.com/auth0/angular-jwt/master/dist/angular-jwt.js">
</script>

<script>
var app = angular.module('myApp', ["ngResource","ngRoute", "ngCookies", "angular-jwt"]);

app.controller('mainCtrl', function($scope, $cookies, jwtHelper,...) {
    $scope.organiztion = "";

    function getOrganization(){
        var token = $cookies.get("access_token");
        var payload = jwtHelper.decodeToken(token);
        $scope.organization = payload.organization;
    }
    ...
});

6、不對稱的KeyPair

在我們以前的配置中,我們使用對稱金鑰來簽署我們的令牌:

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setSigningKey("123");
    return converter;
}

我們還可以使用非對稱金鑰(公鑰和私鑰)來執行簽名過程。

6.1、生成JKS Java KeyStore檔案

我們首先使用命令列工具keytool生成金鑰 - 更具體地說.jks檔案:

keytool -genkeypair -alias mytest 
                    -keyalg RSA 
                    -keypass mypass 
                    -keystore mytest.jks 
                    -storepass mypass

該命令將生成一個名為mytest.jks的檔案,其中包含我們的金鑰 - 公鑰和私鑰。 還要確保keypass和storepass是一樣的。

6.2、匯出公鑰

接下來,我們需要從生成的JKS中匯出我們的公鑰,我們可以使用下面的命令來實現:

keytool -list -rfc --keystore mytest.jks | openssl x509 -inform pem -pubkey

示例迴應如下所示:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAgIK2Wt4x2EtDl41C7vfp
OsMquZMyOyteO2RsVeMLF/hXIeYvicKr0SQzVkodHEBCMiGXQDz5prijTq3RHPy2
/5WJBCYq7yHgTLvspMy6sivXN7NdYE7I5pXo/KHk4nz+Fa6P3L8+L90E/3qwf6j3
DKWnAgJFRY8AbSYXt1d5ELiIG1/gEqzC0fZmNhhfrBtxwWXrlpUDT0Kfvf0QVmPR
xxCLXT+tEe1seWGEqeOLL5vXRLqmzZcBe1RZ9kQQm43+a9Qn5icSRnDfTAesQ3Cr
lAWJKl2kcWU1HwJqw+dZRSZ1X4kEXNMyzPdPBbGmU6MHdhpywI7SKZT7mX4BDnUK
eQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

我們只取得我們的公鑰,並將其複製到我們的資源伺服器src / main / resources / public.txt中

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAgIK2Wt4x2EtDl41C7vfp
OsMquZMyOyteO2RsVeMLF/hXIeYvicKr0SQzVkodHEBCMiGXQDz5prijTq3RHPy2
/5WJBCYq7yHgTLvspMy6sivXN7NdYE7I5pXo/KHk4nz+Fa6P3L8+L90E/3qwf6j3
DKWnAgJFRY8AbSYXt1d5ELiIG1/gEqzC0fZmNhhfrBtxwWXrlpUDT0Kfvf0QVmPR
xxCLXT+tEe1seWGEqeOLL5vXRLqmzZcBe1RZ9kQQm43+a9Qn5icSRnDfTAesQ3Cr
lAWJKl2kcWU1HwJqw+dZRSZ1X4kEXNMyzPdPBbGmU6MHdhpywI7SKZT7mX4BDnUK
eQIDAQAB
-----END PUBLIC KEY-----

6.3、Maven 配置

接下來,我們不希望JMS檔案被maven過濾程序拾取 - 所以我們將確保將其排除在pom.xml中:

<build>
    <resources>
        <resource>
            <directory>src/main/resources</directory>
            <filtering>true</filtering>
            <excludes>
                <exclude>*.jks</exclude>
            </excludes>
        </resource>
    </resources>
</build>

如果我們使用Spring Boot,我們需要確保我們的JKS檔案通過Spring Boot Maven外掛新增到應用程式classpath - addResources:

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
            <configuration>
                <addResources>true</addResources>
            </configuration>
        </plugin>
    </plugins>
</build>

6.4、授權伺服器

現在,我們將配置JwtAccessTokenConverter使用mytest.jks中的KeyPair,如下所示:

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    KeyStoreKeyFactory keyStoreKeyFactory = 
      new KeyStoreKeyFactory(new ClassPathResource("mytest.jks"), "mypass".toCharArray());
    converter.setKeyPair(keyStoreKeyFactory.getKeyPair("mytest"));
    return converter;
}

6.5、資源伺服器

最後,我們需要配置我們的資源伺服器使用公鑰 - 如下所示:

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    Resource resource = new ClassPathResource("public.txt");
    String publicKey = null;
    try {
        publicKey = IOUtils.toString(resource.getInputStream());
    } catch (final IOException e) {
        throw new RuntimeException(e);
    }
    converter.setVerifierKey(publicKey);
    return converter;
}

7、結論

放棄吧~~

【原創作者資訊】

官網http://guan2ye.com
CSDN地址http://blog.csdn.net/chenjianandiyi
簡書地址http://www.jianshu.com/u/9b5d1921ce34
githubhttps://github.com/javanan
碼雲地址https://gitee.com/jamen/

相關推薦

spring-security-oauth2 優雅擴充套件定義(簡訊驗證)登入方式-系列1

1、概括 在部落格,我們將討論如何讓Spring Security OAuth2實現使用JSON Web Tokens。

spring-security-oauth2 優雅擴充套件定義(簡訊驗證)登入方式-系列2

跟蹤spring登入邏輯發現,帳號密碼的驗證是在 tokenGranter 完成的, 帳號密碼對應的是 org.springframework.security.oauth2.provider.password.ResourceOwnerPasswordTokenGranter;而spring找到對應的 tokenGra

spring-security-oauth2 優雅擴充套件定義(簡訊驗證)登入方式-系列3

傳送驗證碼的Controller 首先我們需要建立一個傳送驗證碼的 Controller, 至於如何實現,這裡就不多說了,大家都會的,本篇重點說明驗證部分.【注意】在認證伺服器上增加自己的 Controller, 預設情況下訪問是返回403,有兩

Spring Security基於方法級別的定義表示式(可以完成任何許可權判斷)

背景 需求是這樣的:專案採用的前後端分離的架構,且使用的RESTFUL風格API,同一個資源的相關請求是一樣的url,但是http method不一樣。

SpringCloud微服務實戰——搭建企業級開發框架(二十六):定義擴充套件OAuth2實現簡訊驗證登入

現在手機驗證碼登入似乎是每個網站必備的功能,OAuth2支援擴充套件自定義授權模式,前面介紹瞭如何在系統整合簡訊通知服務,這裡我們進行OAuth2的授權模式自定義擴充套件,使系統支援簡訊驗證碼登入

Android定義View驗證輸入框

本文例項為大家分享了Android定義View驗證輸入框的具體程式碼,供大家參考,具體內容如下

Spring Security 實現簡訊驗證登入功能

之前文章都是基於使用者名稱密碼登入,第六章圖形驗證碼登入其實還是使用者名稱密碼登入,只不過多了一層圖形驗證碼校驗而已;Spring Security預設提供的認證流程就是使用者名稱密碼登入,整個流程都已經固定了,雖

定義圖片驗證

首先我們需要用到一下庫 12345678 COPY #繪畫庫from PIL import ImageDraw#圖片庫from PIL import Image#隨機庫import random#檔案流import io

spring security框架定義登入頁面和校驗路徑,CSRF防禦引起的403 Forbidden

問題現象:想定義登入頁面和校驗地址,按照如下配置後,能正常返回登入頁面,但使用表單提交賬號密碼時,總是出現403 Forbidden,無法正常登入

Spring如何使用定義註解搭配@Import引入內外部配置並完成某一功能的啟用

文章背景 有一個封裝 RocketMq 的 client 的需求,用來提供給各專案收、發訊息,但是專案當中常常只使用收或者發訊息的單一功能,而且不同的專案 group 等並不相同而且不會變化,可以在專案當中配置,其餘的 topic

Spring Security 解析(五) —— Spring Security Oauth2 開發

Spring Security 解析(五) —— Spring Security Oauth2 開發   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證

【小技巧】spring security oauth2 令牌實現多終端登入狀態同步

目的說明 解決不同客戶端使用token,各個客戶端的登入狀態必須保持一致,退出狀態實現一致。同上述問題類似如何解決不同租戶相同使用者名稱的人員的登入狀態問題。

Spring Security OAuth2 token許可權隔離例項解析

這篇文章主要介紹了Spring Security OAuth2 token許可權隔離例項解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

基於TensorFlow定義梯度的2種方式

前言 在深度學習,有時候我們需要對某些節點的梯度進行一些定製,特別是該節點操作不可導(比如階梯除法如),如果實在需要對這個節點進行操作,而且希望其可以反向傳播,那麼就需要對其進行自定義反向傳播時的梯度

Android Studio aidl的定義類的使用詳解

自己折騰了好久,記錄一下。 service端: 1:建立類Dog,需要實現Parcelable介面;

在python利用pycharm定義程式碼塊教程(三步搞定)

當我們在使用pycharm時,輸入特殊的關鍵字會有提示,然後按enter就可以自動補全,如果我們經常需要輸出重複的程式碼時,能否也利用這種方法來自動補全呢?

Spring Security OAuth2 實現登入互踢的示例程式碼

本文主要介紹了Spring Security OAuth2 實現登入互踢的示例程式碼,分享給大家,具體如下:

vue專案使用bpmn-定義platter的示例程式碼

內容概述 本系列“vue專案使用bpmn-xxxx”分為七篇,均為自己使用過程中用到的例項,手工原創,目前陸續更新。主要包括vue專案bpmn使用例項、應用技巧、基本知識點總結和需要注意事項,具有一定的參考價值,需

Python如何新增定義模組

一般來說,我們會將自己寫的Python模組與python帶的模組分開存放以達到便於維護的目的。那麼如何在Python新增定義的模組呢?

如何在Spring Boot應用優雅的使用Date和LocalDateTime的教程詳解

Java8已經發布很多年了,但是很多人在開發時仍然堅持使用著Date和SimpleDateFormat進行時間操作。SimpleDateFormat不是執行緒安全的,而Date處理時間很麻煩,所以Java8提供了LocalDateTime、LocalDate和LocalTime等全