2. 程式人生 > 實用技巧 >spring boot:spring security實現oauth2+jwt管理認證授權及oauth2返回結果格式化(spring boot 2.3.3)

spring boot:spring security實現oauth2+jwt管理認證授權及oauth2返回結果格式化(spring boot 2.3.3)

阿新 發佈:2020-09-08

一,為什麼oauth2要整合jwt?

1,OAuth2的token技術有一個最大的問題是不攜帶使用者資訊,所以資源伺服器不能進行本地驗證,

以致每次對於資源的訪問,資源伺服器都需要向認證伺服器的token儲存發起請求,

一是驗證token的有效性,二是獲取token對應的使用者資訊。

有大量的請求時會導致處理效率降低,

而且認證伺服器作為一箇中心節點,

對於SLA和處理效能等均有很高的要求

對於分散式架構都是可能引發問題的隱患

2,jwt技術的兩個優勢:

token的簽名驗證可以直接在資源伺服器本地完成,不需要再次連線認證伺服器

jwt的payload部分可以儲存使用者相關資訊,這樣直接有了token和使用者資訊的繫結

3,spring security oauth2生成token時的輸出預設格式不能直接修改,

演示例子中通過增加一個controller實現了輸出的格式化

說明:劉巨集締的架構森林是一個專注架構的部落格,地址:https://www.cnblogs.com/architectforest

對應的原始碼可以訪問這裡獲取:https://github.com/liuhongdi/

說明:作者:劉巨集締 郵箱: [email protected]

二,演示專案的相關資訊

1,專案地址:

https://github.com/liuhongdi/securityoauth2jwt

2,專案功能說明:

演示了使用jwt儲存oauth2的token

3,專案結構:如圖:

三,配置檔案說明

1,pom.xml

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--security begin-->
        <dependency>
            <
 
groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--oauth2 begin-->
        <dependency>
<groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.5.0.RELEASE</version>
        </dependency>
        <!--jwt begin-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-jwt</artifactId>
            <version>1.1.1.RELEASE</version>
        </dependency>
        <!--mysql mybatis begin-->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.3</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <!--fastjson begin-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.73</version>
        </dependency>
        <!--jaxb-->
        <dependency>
            <groupId>javax.xml.bind</groupId>
            <artifactId>jaxb-api</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-impl</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>com.sun.xml.bind</groupId>
            <artifactId>jaxb-core</artifactId>
            <version>2.3.0</version>
        </dependency>
        <dependency>
            <groupId>javax.activation</groupId>
            <artifactId>activation</artifactId>
            <version>1.1.1</version>
        </dependency>
        <!--jjwt begin-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <!--validation begin-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-validation</artifactId>
        </dependency>

2,application.properties

#mysql
spring.datasource.url=jdbc:mysql://localhost:3306/security?characterEncoding=utf8&useSSL=false
spring.datasource.username=root
spring.datasource.password=lhddemo
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

#mybatis
mybatis.mapper-locations=classpath:/mapper/*Mapper.xml
mybatis.type-aliases-package=com.example.demo.mapper

#error
server.error.include-stacktrace=always
#log
logging.level.org.springframework.web=trace

3,資料庫:

建表sql:

CREATE TABLE `sys_user` (
 `userId` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
 `userName` varchar(100) NOT NULL DEFAULT '' COMMENT '使用者名稱',
 `password` varchar(100) NOT NULL DEFAULT '' COMMENT '密碼',
 `nickName` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL DEFAULT '' COMMENT '暱稱',
 PRIMARY KEY (`userId`),
 UNIQUE KEY `userName` (`userName`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='使用者表'
INSERT INTO `sys_user` (`userId`, `userName`, `password`, `nickName`) VALUES
(1, 'lhd', '$2a$10$yGcOz3ekNI6Ya67tqQueS.raxyTOedGsv5jh2BwtRrI5/K9QEIPGq', '老劉'),
(2, 'admin', '$2a$10$yGcOz3ekNI6Ya67tqQueS.raxyTOedGsv5jh2BwtRrI5/K9QEIPGq', '管理員'),
(3, 'merchant', '$2a$10$yGcOz3ekNI6Ya67tqQueS.raxyTOedGsv5jh2BwtRrI5/K9QEIPGq', '商戶老張');

說明:3個密碼都是111111,僅供演示使用

CREATE TABLE `sys_user_role` (
 `urId` int(11) NOT NULL AUTO_INCREMENT COMMENT 'id',
 `userId` int(11) NOT NULL DEFAULT '0' COMMENT '使用者id',
 `roleName` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL DEFAULT '' COMMENT '角色id',
 PRIMARY KEY (`urId`),
 UNIQUE KEY `userId` (`userId`,`roleName`)
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='使用者角色關聯表'
INSERT INTO `sys_user_role` (`urId`, `userId`, `roleName`) VALUES
(1, 2, 'ADMIN'),
(2, 3, 'MERCHANT');

四,java程式碼說明

1,WebSecurityConfig.java

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    private final static BCryptPasswordEncoder ENCODER = new BCryptPasswordEncoder();
    @Resource
    private SecUserDetailService secUserDetailService;     //使用者資訊類,用來得到UserDetails

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        return super.userDetailsService();
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.antMatcher("/oauth/**")
                .authorizeRequests()
                .antMatchers("/oauth/**").permitAll()
                .and().csrf().disable();
    }

    @Resource
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(secUserDetailService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return ENCODER.encode(charSequence);
            }
            //密碼匹配,看輸入的密碼經過加密與資料庫中存放的是否一樣
            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return ENCODER.matches(charSequence,s);
            }
        });
    }
}

2,AuthorizationServerConfig.java

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Resource
    AuthenticationManager authenticationManager;

    @Resource
    UserDetailsService userDetailsService;

    @Resource
    TokenStore jwtTokenStore;

    @Resource
    JwtAccessTokenConverter jwtAccessTokenConverter;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        String clientId = "client_id";
        String clientSecret = "123";
        clients.inMemory()
                //這個好比賬號
                .withClient(clientId)
                //授權同意的型別
                .authorizedGrantTypes("password", "refresh_token")
                //有效時間
                .accessTokenValiditySeconds(1800)
                .refreshTokenValiditySeconds(60 * 60 * 2)
                .resourceIds("rid")
                //作用域,範圍
                .scopes("all")
                //密碼
                .secret(new BCryptPasswordEncoder().encode(clientSecret));
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(jwtTokenStore)
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService)
                .accessTokenConverter(jwtAccessTokenConverter);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        //允許客戶端表單身份驗證
        security.allowFormAuthenticationForClients();
    }
}

授權伺服器的配置

3,ResourceServerConfig.java

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    private static final String RESOURCE_ID = "rid";

    @Resource
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Resource
    private RestAccessDeniedHandler restAccessDeniedHandler;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(RESOURCE_ID).stateless(false)
                .authenticationEntryPoint(restAuthenticationEntryPoint);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasAnyRole("admin","ADMIN");
        http.
                anonymous().disable()
                .authorizeRequests()
                .antMatchers("/users/**").access("hasRole('ADMIN')")
                .and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());

        //http.exceptionHandling().authenticationEntryPoint(restAuthenticationEntryPoint);
        http.exceptionHandling().accessDeniedHandler(restAccessDeniedHandler);
    }
}

資源伺服器的配置

4,RestAccessDeniedHandler.java

@Component("restAccessDeniedHandler")
public class RestAccessDeniedHandler implements AccessDeniedHandler {
    //處理許可權不足的情況:403,對應:access_denied
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException)
            throws IOException, ServletException {
        System.out.println("-------RestAccessDeniedHandler");
        ServletUtil.printRestResult(RestResult.error(403,"許可權不夠訪問當前資源,被拒絕"));
    }
}

遇到access deny情況的處理

5,RestAuthenticationEntryPoint.java

@Component("restAuthenticationEntryPoint")
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
    //返回未得到授權時的報錯:對應:invalid_token
    @Override
    public void commence(
            HttpServletRequest request,
            HttpServletResponse response,
            AuthenticationException authException) throws IOException {
        //System.out.println("commence");
        ServletUtil.printRestResult(RestResult.error(401,"未得到授權"));
    }
}

匿名使用者無權訪問時的處理

6,JwtTokenConfig.java

@Configuration
public class JwtTokenConfig {
    @Bean
    public TokenStore jwtTokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    //使用Jwt來作為token的生成
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        accessTokenConverter.setSigningKey("internet_plus");
        return accessTokenConverter;
    }

    @Bean
    public TokenEnhancer jwtTokenEnhancer(){
        return new JwtTokenEnhancer ();
    }
}

配置jwttoken,指定了signkey

7,JwtTokenEnhancer.java

public class JwtTokenEnhancer implements TokenEnhancer {

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String,Object> info = new HashMap<>();
        info.put("provider","haolarn");
        //設定附加資訊
        ((DefaultOAuth2AccessToken)accessToken).setAdditionalInformation(info);
        return null;
    }
}

返回token資訊中的附加資訊

8,OauthController.java

@RestController
@RequestMapping("/oauth")
public class OauthController {

    @Autowired
    private TokenEndpoint tokenEndpoint;

   //自定義返回資訊新增基本資訊
    @PostMapping("/token")
    public RestResult postAccessTokenWithUserInfo(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
        OAuth2AccessToken accessToken = tokenEndpoint.postAccessToken(principal, parameters).getBody();
        Map<String, Object> data = new LinkedHashMap();
        data.put("accessToken", accessToken.getValue());
        data.put("token_type", accessToken.getTokenType());
        data.put("refreshToken", accessToken.getRefreshToken().getValue());
        data.put("scope", accessToken.getScope());
        data.put("expires_in", accessToken.getExpiresIn());
        data.put("jti", accessToken.getAdditionalInformation().get("jti"));
        return RestResult.success(data);
    }

}

格式化生成token時的返回json資訊

9,其他非關鍵程式碼可以訪問github檢視,不再一一貼出

五,測試效果

1,得到基於jwt的token

訪問:http://127.0.0.1:8080/oauth/token

返回結果:

2,用得到的access_token訪問admin/hello:檢視當前使用者和role:

http://127.0.0.1:8080/admin/hello

返回:

3,換一個無許可權的賬號登入:

訪問admin/hello時會提示無許可權

六,檢視spring boot的版本:

  .   ____          _            __ _ _
 /\\ / ___'_ __ _ _(_)_ __  __ _ \ \ \ \
( ( )\___ | '_ | '_| | '_ \/ _` | \ \ \ \
 \\/  ___)| |_)| | | | | || (_| |  ) ) ) )
  '  |____| .__|_| |_|_| |_\__, | / / / /
 =========|_|==============|___/=/_/_/_/
 :: Spring Boot ::        (v2.3.3.RELEASE)

相關推薦

spring boot:spring security實現oauth2+jwt管理認證授權oauth2返回結果格式化(spring boot 2.3.3)

一,為什麼oauth2要整合jwt? 1,OAuth2的token技術有一個最大的問題是不攜帶使用者資訊,所以資源伺服器不能進行本地驗證,

Spring框架基於AOP實現簡單日誌管理步驟解析

SPringAOP的使用 技術概述,描述這個技術是做什麼?學習該技術的原因,技術的難點在哪裡。

spring boot:spring security給使用者登入增加自動登入圖形驗證碼功能(spring boot 2.3.1)

一,圖形驗證碼的用途? 1,什麼是圖形驗證碼? 驗證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自動區分計算機和人類的圖靈測試)的縮寫,它是用

Spring Security 技術棧開發企業級認證授權3

歡迎關注個人部落格,此文為《Spring Security 技術棧開發企業級認證授權2)》的後續

Spring Security 技術棧開發企業級認證授權

個人部落格:www.zhenganwen.top,文末有驚喜! 環境準備 本文中所有例項程式碼已託管碼雲:gitee.com/zhenganwen/…

asp.net core3.1cookie和jwt混合認證授權實現多種身份驗證方案

目錄認證授權身份認證授權預設授權選擇授權總結開發了一個公司內部系統,使用asp.net core 3.1。在開發使用者認證授權使用的是簡單的cookie認證方式,然後開發好了要寫幾個介面給其它系統呼叫資料。並且只是幾個簡單

spring boot:spring security+oauth2+sso+jwt實現單點登入(spring boot 2.3.3)

一,sso的用途 ? 1,如果有多個應用系統,使用者只需要登入一次就可以訪問所有相互信任的應用系統。不需要每次輸入使用者名稱稱和使用者密碼,也不需要建立並記憶多套使用者名稱稱和使用者密碼。

Spring Boot Security Oauth2之客戶端模式密碼模式實現

示例主要內容 1.多認證模式(密碼模式、客戶端模式) 2.token存到redis支援 3.資源保護

spring boot:spring security用mysql資料庫實現RBAC許可權管理(spring boot 2.3.1)

一,用資料庫實現許可權管理要注意哪些環節? 1,需要生成spring security中user類的派生類,用來儲存使用者id和暱稱等資訊,

Spring boot使用logback實現日誌管理過程詳解

Springboot預設整合的就是logback,logback相對來說是優秀於log4j的,log4j2也是參考了logback的設計。本篇就是來看看如何使用logback。

Spring boot 整合shiro實現許可權管理

1.maven整合所需關鍵jar包。 ` <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency>&

Springboot整合Spring Security實現JWT認證

我最新最全的文章都在 南瓜慢說 www.pkslow.com ,歡迎大家來喝茶! 1 簡介 Spring Security作為成熟且強大的安全框架,得到許多大廠的青睞。而作為前後端分離的SSO方案,JWT也在許多專案中應用。本文將介紹如何通

spring boot整合quartz實現通過頁面操作管理定時任務

spring boot整合quartz實現通過頁面操作管理定時任務說起quartz,大家肯定就會想起那些繁雜的配置,複雜的程式碼。但是如果專案中要用到定時任務的話,除了quartz似乎也想不出來別的框架了,畢竟人家做的確實優秀。但

Spring Boot整合Flyway實現資料庫版本控制?

今天給大家介紹一款比較好用的資料庫版本控制工具Flyway。在通過Spring Boot構建微服務的過程中,一般情況下在拆分微服務的同時,也會按照系統功能的邊界對其依存的資料庫進行拆分。在這種情況下,微服務的資料庫版

Spring Boot整合quartz實現定時任務並支援切換任務資料來源

org.quartz實現定時任務並自定義切換任務資料來源 在工作中經常會需要使用到定時任務處理各種週期性的任務,org.quartz是處理此類定時任務的一個優秀框架。隨著專案一點點推進,此時我們並不滿足於任務僅僅是定時執

利用 Spring Boot & Redis 實現短連結服務

感謝您的閱讀,本文由 楊斌的部落格 版權所有。 如若轉載,請註明出處:楊斌的部落格(y0ngb1n.github.io/a/build-a-c…)

Spring Security實現禁止使用者重複登陸的配置原理

這篇文章主要介紹了Spring Security實現禁止使用者重複登陸的配置原理,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

spring boot基於DRUID實現資料來源監控過程解析

這篇文章主要介紹了spring boot基於DRUID實現資料來源監控過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

spring security實現下次自動登入功能過程解析

這篇文章主要介紹了spring security實現記住我下次自動登入功能,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security實現兩週內自動登入"記住我"功能

本文是Spring Security系列中的一篇。在上一篇文章中,我們通過實現UserDetailsService和UserDetails介面,實現了動態的從資料庫載入使用者、角色、許可權相關資訊,從而實現了登入及授權相關的功能。這一節就在此基