【OAuth2.0】Spring Security OAuth2.0篇之初识
不吐不快
因为项目需求开始接触OAuth2.0授权协议。断断续续接触了有两周左右的时间。不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?)。好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代码。忏悔…
WHAT?
项目之中实际使用OAuth2.0实现是用的Spring Security OAuth2.0,一套基于Spring Security项目的实现,配合Spring Security配置使用。
总体来讲,自己所理解的这套实现当中,是在Spring Security的基础之上又增加了几部分内容:
- authorization server
这部分配置算是OAuth2.0的核心配置部分。
该配置涉及:
client details service(第三方client端信息查询配置)、
token service(token查询操作相关)、
authorization code service(授权code获取)、
user approval handler(用户授权处理)、
client端的各种grant_type等等。
同时,这部分内容“内置”了两个FrameworkEndpoint(和Controller意义相同):AuthorizationEndpoint和TokenEndpoint,分别对应请求/oauth/authorize和/oauth/token。只要在spring配置文件中开启MVC配置就能使用并拦截对应
该部分简单配置:
<mvc:annotation-driven/>
<mvc:default-servlet-handler/> <!-- 1. OAuth2 related config -->
<oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"
user-approval-handler-ref="oauthUserApprovalHandler"
user-approval-page="oauth_approval"
error-page="oauth_error">
<oauth2:authorization-code authorization-code-services-ref="authorizationCodeServices" />
<oauth2:implicit/>
<oauth2:refresh-token/>
<oauth2:client-credentials/>
<oauth2:password/>
</oauth2:authorization-server> <!-- 1.1 client detail service -->
<beans:bean id="clientDetailsService" class="com.cyou.nad.bet.oauth.service.impl.CustomJdbcClientDetailsServiceImpl">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean> <!-- 1.2 Config token services-->
<beans:bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
<beans:property name="tokenStore" ref="tokenStore"/>
<beans:property name="supportRefreshToken" value="true"/>
</beans:bean>
<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.JdbcTokenStore">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean> <!-- 1.3 oauthUserApprovalHandler -->
<beans:bean id="oauthUserApprovalHandler" class="com.cyou.nad.bet.oauth.approval.SimpleTokenServiceUserApprovalHandler">
<beans:property name="tokenServices" ref="tokenServices"/>
<beans:property name="oauthClientDetailsService" ref="oauthClientDetailsService"/><!-- FIXME 考虑直接使用clientDetailService -->
</beans:bean> <!-- 1.4 authorization code creator -->
<beans:bean id="authorizationCodeServices" class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">
<beans:constructor-arg index="0" ref="platform_dataSource"/>
</beans:bean>
Authorization Server
- 第三方client配置
在spring的这套实现当中,在第三方client端也有自己单独的id、secret和权限,所以从某种程度上来讲,其实client端相当于是一种特殊的user了。
以前使用Spring Security配置user权限校验的时候,会配置authentication-manager,使用DB的话,还需要提供userService用于查询DB获取用户信息。
这里在配置OAuth的时候,client端也有类似配置,同样需要配置authentication-manager并指定clientDetailService。
实际后续了解更多之后,发现实际校验时,二者封装成的都是类UserDetails的实例
用于client端校验的AuthenticationManager配置:
<authentication-manager id="oauth2ProviderManager">
<authentication-provider user-service-ref="oauth2ClientDetailsUserService"/>
</authentication-manager>
<beans:bean id="oauth2ClientDetailsUserService"
class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
<beans:constructor-arg ref="clientDetailsService"/>
</beans:bean>
AuthenticationManager 4 client
- resource custom filter
在spring oauth2.0的配置当中,可以单独配置resource-server,指定特定的resource-id。
这个resource-server的用处在于,之后会作为一个custom-filter加到Spring Security Filter Chain当中的。当第三方client尝试访问受限资源时,该filter会对client信息和其携带过来的access_token进行校验,校验通过之后才能拿到资源。
resource配置:
<oauth2:resource-server id="userResourceServerFilter" resource-id="user" token-services-ref="tokenServices"/>
User resource
后续作为custom-filter添加到http配置中:
<http pattern="/oauth/userInfo*" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
access-decision-manager-ref="oauth2AccessDecisionManager">
<anonymous enabled="false"/>
<!-- 获取用户信息 -->
<intercept-url pattern="/oauth/userInfo*" access="ROLE_UNITY,scope=READ"/>
<custom-filter ref="userResourceServerFilter" before="PRE_AUTH_FILTER"/>
<access-denied-handler ref="oauth2AccessDeniedHandler"/>
</http>
http配置
另外需要一提的就是,OAuth2.0当中还有一个SCOPE的概念,相当于用户对client授权访问自己拥有的某一资源时,可以指定其范围,比如read(只读), write(可写),或者get_user_info(获取用户信息), share(分享)等等。一开始没有很好的理解,后来看到别的项目的配置,感觉可以这样想:如果resource对应的是工程的Controller的话,那么scope可以理解为Controller当中的方法,类似于user.getUserInfo()或者user.addShare()等。配置参考:https://github.com/cloudfoundry/uaa/blob/master/samples/api/src/main/webapp/WEB-INF/spring-servlet.xml
添加scope之后,在<http>配置的AccessDecisionManager中就需要添加用于oauth2.0 scope校验相关的voter了:
<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
<beans:constructor-arg>
<beans:list>
<beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter">
<beans:property name="scopePrefix" value="scope="></beans:property>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.RoleVoter"/>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:constructor-arg>
</beans:bean>
AccessDecisionManager配置
关于Spring这套实现的配置,前辈们分享的已经很多了,基本都是类似的配置。后续主要整理对于整体流程和诸如code或token的生成和存储规则相关的东西,最最重要的,还是要把使用过程中遇到的各种问题记录下来才是。
【OAuth2.0】Spring Security OAuth2.0篇之初识的更多相关文章
- 基于spring boot2.0+spring security +oauth2.0+ jwt微服务架构
github地址:https://github.com/hankuikuide/microservice-spring-security-oauth2 项目介绍 该项目是一个演示项目,主要演示了,基于 ...
- Spring Security 解析(五) —— Spring Security Oauth2 开发
Spring Security 解析(五) -- Spring Security Oauth2 开发 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决 ...
- Spring Security OAuth2.0 - AuthorizationServer和ResourceServer分离
<Spring Security实现OAuth2.0授权服务 - 基础版>和<Spring Security实现OAuth2.0授权服务 - 进阶版>两篇文章中介绍如何搭建OA ...
- Spring Security OAuth2.0认证授权二:搭建资源服务
在上一篇文章[Spring Security OAuth2.0认证授权一:框架搭建和认证测试](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374. ...
- Spring Security OAuth2.0认证授权三:使用JWT令牌
Spring Security OAuth2.0系列文章: Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二: ...
- Spring Security OAuth2.0认证授权四:分布式系统认证授权
Spring Security OAuth2.0认证授权系列文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授 ...
- Spring Security OAuth2.0认证授权五:用户信息扩展到jwt
历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...
- Spring Security OAuth2.0认证授权六:前后端分离下的登录授权
历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...
- springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)
项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖 ...
随机推荐
- checkbox check all or ancheck all
<script type="text/javascript" src="js/jQuery.1.8.3.min.js"></script> ...
- Maven之安装与简单入门一
Maven 是一个项目管理和构建自动化工具,我们最关心的是它的项目构建功能.Maven 使用惯例优于配置的原则. 1,下载安装包,并根据文档说明安装: http://maven.apache.org/ ...
- Myeclipse导包总是报错,jar包路径都没问题
是访问限制报错. 方法一: 全局属性Project>preferences>java>Compiler>Errors/Warnings>把右侧的[Deprecated a ...
- poi导出excel
Java使用poi组件导出excel报表,能导出excel报表的还可以使用jxl组件,但jxl想对于poi功能有限,jxl应该不能载excel插入浮动层图片,poi能很好的实现输出excel各种功能, ...
- Js动态设置rem来实现移动端字体的自适应
//设置根元素字体 var win = window, doc = document; function setFontSize() { var winWidth = $(window).width( ...
- MongoDB高可用集群配置的方案
>>高可用集群的解决方案 高可用性即HA(High Availability)指的是通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性. ...
- Selenium安装失败WebDriverException: Message: 'gechodriver' executable needs to be in PATH
在搭建Python+Selenium自动化测试时,用python通过WebDriver驱动Firefox浏览器时,一直无法执行测试用例. 报错信息:WebDriverException: Messag ...
- Flume(3)source组件之NetcatSource使用介绍
一.概述: 本节首先提供一个基于netcat的source+channel(memory)+sink(logger)的数据传输过程.然后剖析一下NetcatSource中的代码执行逻辑. 二.flum ...
- WPF时间格式化
日期格式化示例: <TextBox Name="txtCreateTime" HorizontalAlignment="Left" Width=&quo ...
- 隐藏进程中的模块绕过IceSword的检测
标 题: [原创] 隐藏进程中的模块绕过IceSword的检测 作 者: xPLK 时 间: 2008-06-19,17:59:11 链 接: http://bbs.pediy.com/showthr ...