登录 注册

Spring Security Aauth2.0 实现

本贴最后更新于 2341 天前,其中的信息可能已经物是人非

原文地址:https://www.cnblogs.com/0201zcr/p/5328847.html
oauth 应该属于 security 的一部分。关于 oauth 的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

一、目标

  现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ 账号等登陆自己的系统,我们现在就是要模拟这种登陆的方式,很多大的公司已经实现了这种授权登陆的方式,并提供了相应的 API,供我们开发人员调用。他们实际上用的也规范是 oauth2.0 的规范,通过用户授权的方式,获取一些信息。以前就做过一些类似的,如:

微信扫码登陆:http://www.cnblogs.com/0201zcr/p/5133062.html

微信客户端授权登陆:http://www.cnblogs.com/0201zcr/p/5131602.html  

  但是假如你的系统要提供其他网站使用你的账号密码登陆,你就需要写好相应的接口规范, 给人家调用。用得比较多的是使用 spring security oauth 实现的方式。

我们这里使用 meaven 导入我们所需要的 jar 包,使用配置文件的方式拦截我们的请求并进行验证是否有效,然后即可获取我们需要的信息。

这里主要是模拟了通过给予第三方账号密码的方式,在第三方进行鉴权,然后将 access_token 等信息传回过来,然后要登录的系统在通过这个返回的 access_token 去第三方请求一些用户授权的数据。即可完成第三方的账号密码登录。

二、Spring security oauth 相关依赖 meaven 配置

4.0.0 org.zhangfc demo4ssh-security-oauth2 war 0.0.1-SNAPSHOT 
<properties>
    <spring.version>4.0.4.RELEASE </spring.version>
    <hibernate.version>4.3.5.Final </hibernate.version>
    <spring-security.version>3.2.4.RELEASE </spring-security.version>
    <spring-security-oauth2.version>2.0.2.RELEASE </spring-security-oauth2.version>
 </properties>

<dependencies>
    <dependency>
        <groupId>org.springframework </groupId>
        <artifactId>spring-webmvc </artifactId>
        <version>${spring.version} </version>
     </dependency>
    <dependency>
        <groupId>org.springframework </groupId>
        <artifactId>spring-orm </artifactId>
        <version>${spring.version} </version>
     </dependency>
    <dependency>
        <groupId>org.springframework.security </groupId>
        <artifactId>spring-security-config </artifactId>
        <version>${spring-security.version} </version>
     </dependency>
    <dependency>
        <groupId>org.springframework.security </groupId>
        <artifactId>spring-security-taglibs </artifactId>
        <version>${spring-security.version} </version>
     </dependency>
    <dependency>
        <groupId>org.springframework.security.oauth </groupId>
        <artifactId>spring-security-oauth2 </artifactId>
        <version>${spring-security-oauth2.version} </version>
    </dependency>
    <dependency>
       <groupId>org.hibernate </groupId>
       <artifactId>hibernate-core </artifactId>
       <version>${hibernate.version} </version>
     </dependency>
    <dependency>
        <groupId>javax.servlet.jsp.jstl </groupId>
        <artifactId>javax.servlet.jsp.jstl-api </artifactId>
        <version>1.2.1 </version>
     </dependency>
    <dependency>
        <groupId>taglibs </groupId>
        <artifactId>standard </artifactId>
        <version>1.1.2 </version>
     </dependency>
    <dependency>
        <groupId>tomcat </groupId>
        <artifactId>servlet-api </artifactId>
        <version>5.5.23 </version>
        <scope>provided </scope>
     </dependency>
    <dependency>
        <groupId>tomcat </groupId>
        <artifactId>jsp-api </artifactId>
        <version>5.5.23 </version>
        <scope>provided </scope>
     </dependency>
    <dependency>
        <groupId>commons-fileupload </groupId>
        <artifactId>commons-fileupload </artifactId>
        <version>1.3.1 </version>
     </dependency>
    <dependency>
        <groupId>org.hibernate </groupId>
        <artifactId>hibernate-validator </artifactId>
        <version>5.1.2.Final </version>
     </dependency>
    <dependency>
        <groupId>c3p0 </groupId>
        <artifactId>c3p0 </artifactId>
        <version>0.9.1.2 </version>
    </dependency>
    <dependency>
        <groupId>mysql </groupId>
        <artifactId>mysql-connector-java </artifactId>
        <version>5.1.31 </version>
     </dependency>
    <dependency>
        <groupId>org.codehaus.jackson </groupId>
        <artifactId>jackson-mapper-asl </artifactId>
        <version>1.9.13 </version>
     </dependency>
 </dependencies>

<build>
    <finalName>demo4ssh-security-oauth2 </finalName>
 </build>

三、web.xml 文件配置

xml version="1.0" encoding="UTF-8"?>

<context-param>
    <param-name>contextConfigLocation </param-name>
    <param-value> classpath:/META-INF/infrastructure.xml,classpath*:/META-INF/applicationContext*.xml </param-value>
 </context-param>

<listener>    <listener-class>org.springframework.web.context.ContextLoaderListener </listener-class>
 </listener>

<servlet>
    <servlet-name>spring-dispatcher </servlet-name>
    <servlet-class>org.springframework.web.servlet.Dispatcher </Servletservlet-class>
 </servlet>
<servlet-mapping>
    <servlet-name>spring-dispatcher </servlet-name>
    <url-pattern>/ </url-pattern>
 </servlet-mapping>

<filter>
    <filter-name>springSecurityFilterChain </filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy </filter-class>
 </filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain </filter-name>
    <url-pattern>/* </url-pattern>
 </filter-mapping>

四、applicationContext-security.xml

  oauth2 是 security 的一部分,配置也有关联,就不再单建文件

  添加 http 拦截链

<!-- /oauth/token 是oauth2登陆验证请求的url 用于获取access_token ,默认的生存时间是43200秒,即12小时 -->
<http pattern="/oauth/**" auto-config="true" use-expressions="true"
	authentication-manager-ref="oauth2AuthenticationManager">
	<!-- 可以访问的角色名称,如果需要拦截,需要实现UserDetails接口,实现getAuthorities()方法 -->
	<anonymous enabled="false" />
	<csrf disabled="true" />
	<http-basic entry-point-ref="oauth2AuthenticationEntryPoint" />
	<custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
	<access-denied-handler ref="oauth2AccessDeniedHandler" />
</http>

  这个标签处理/oauth/token 的网络请求,这是 oauth2 的登录验证请求,那么登录需要什么,首先,和 Spring Security 一样,需要一个认证管理器,Spring Oauth2 需要两个认证管理器,第一个就是之前 Spring 中配置的那一个,用来验证用户名密码的,

<authentication-manager>
    <authentication-provider>
        
        <jdbc-user-service data-source-ref="dataSource" users-by-username-query="select username, password, 1 from user where username = ?" authorities-by-username-query="select u.username, r.role from user u left join role r on u.role_id=r.id where username = ?" />
     </authentication-provider>
 </authentication-manager>

  还有一个是用来区分客户端用户的,给它起个名字叫 oauth2AuthenticationManager:

<oauth2:client-details-service id="clientDetailsService" >
<oauth2:client client-id="mobile_1" authorized-grant-types="password,authorization_code,refresh_token,implicit" secret="secret_1" scope="read,write,trust" />
/oauth2:client-details-service
<beans:bean id="oauth2ClientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
<beans:constructor-arg ref="clientDetailsService" />
/beans:bean


  这儿设置了一种客户端,id 叫做 mobile_1,secret 叫做 secret_1,针对 read、write 和 trust 几个域有效。这几个域会在访问控制中被用到。

  当登录成功之后会得到一个 token,再次访问的时候需要携带这个 token,spring-oauth2 根据这个 token 来做认证,那么 spring-oauth2 必须先存一份 token 和用户关系的对应,因为不用 session 了,这就相当于 session,那么这个 token 在服务器中怎么存,有两种主要的存储方式,一是创建数据表,把 token 存到数据库里,我现在追求简单可用,采用第二种方式,直接存到内存里。下面配置一个管理 token 的 service:

<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore" />
     
<beans:bean id="tokenServices" class="org.zhangfc.demo4ssh.service.MyTokenService">

  下面配置 4 个基本的 bean:分别处理访问成功、访问拒绝、认证点和访问控制:

<beans:bean id="oauth2AuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />

<beans:bean id="oauth2AccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />

<beans:bean id="oauthUserApprovalHandler" class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" />

<beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
    <beans:constructor-arg>
        <beans:list>
            <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" />
            <beans:bean class="org.springframework.security.access.vote.RoleVoter" />
            <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
         </beans:list>
     </beans:constructor-arg>
 </beans:bean>

  配置这个 oauth2 的 server 所能支持的请求类型:

<oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices" user-approval-handler-ref="oauthUserApprovalHandler">
    <oauth2:authorization-code />
    <oauth2:implicit />
    <oauth2:refresh-token />
    <oauth2:client-credentials />
    <oauth2:password />
 </oauth2:authorization-server>

  我们的请求里,要把验证类型、用户名密码都作为表单参数提交,这就需要配置下面的 filter:

<beans:bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
    <beans:property name="authenticationManager" ref="oauth2AuthenticationManager" />
 </beans:bean>

  下面定义一种资源,指定 spring 要保护的资源,如果没有这个,访问控制的时候会说没有 Authentication object:

<oauth2:resource-server id="mobileResourceServer" resource-id="mobile-resource" token-services-ref="tokenServices" />

  好了,到此为止基本配置就都有了,下面就看访问控制的配置:在前面的拦截链上,已经为登录验证配了一个/auth/token,在这个标签下面添加对/json 和/admin 这两个路径的控制

<http pattern="/json**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint" access-decision-manager-ref="oauth2AccessDecisionManager">
    <anonymous enabled="false" />
    <intercept-url pattern="/json**" access="ROLE_USER" />
    <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER" />
    <access-denied-handler ref="oauth2AccessDeniedHandler" />
 </http>
<http pattern="/admin**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint" access-decision-manager-ref="oauth2AccessDecisionManager">
    <anonymous enabled="false" />
    <intercept-url pattern="/admin**" access="SCOPE_READ,ROLE_ADMIN" />
    <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER" />
    <access-denied-handler ref="oauth2AccessDeniedHandler" />
 </http>

  我们用 oauth2AccessDecisionManager 来做决策,这个地方需要注意,spring-security 里面配置 access="ROLE_USER,ROLE_ADMIN"是说 user 和 admin 都可以访问,是一个“或”的关系,但是这里是“与”的关系,比如第二个,需要 ROLE_ADMIN 并且当前的 scope 包含 read 才可以,否则就没有权限。认证失败会返回一段 xml,这个可以自定义 handler 来修改,暂且按下不表。

   默认的 12 小时 access_token 可能对于我们来说太长,通过 UUID.randomUUID()来生成一个 36 的唯一的 access_token 也不是我们想要的生存方式。故我们可以复制 org.springframework.security.oauth2.provider.token.DefaultTokenServices,并对其进行一定修改即可,这里我把这个类复制出来,修改成 MyTokenService,并在上面的配置文件中进行了配置。主要是修改其以下成员变量:

private int refreshTokenValiditySeconds = 2592000;       //refresh_token 的超时时间  默认2592000秒
private int accessTokenValiditySeconds = 10;             //access_token 的超时时间   默认12个小时
private boolean supportRefreshToken = false;            //是否支持access_token 刷新,默认是false,在配置文件中以配置成可以支持了,
private boolean reuseRefreshToken = true;               //使用refresh_token刷新之后该refresh_token是否依然使用,默认是依然使用
private TokenStore tokenStore;                             //access_token的存储方式,这个在配置文件中配

  通过修改修改其 createAccessToken 方法来修改 access_token 的生成方式:

private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
    String access_tokens = UUID.randomUUID().toString().replaceAll("-",""); DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(access_tokens); int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());if(validitySeconds > 0) {
        token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));

    token.setRefreshToken(refreshToken);
    token.setScope(authentication.getOAuth2Request().getScope()); return (OAuth2AccessToken)(this.accessTokenEnhancer != null?this.accessTokenEnhancer.enhance(token, authentication):token);
}

  源码下载:http://pan.baidu.com/s/1mhSfKFY

获取 access_token URL :

http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=password&username=aa&password=aa

这时候会返回一个 access_token:

{"access_token":"4219a91f-45d5-4a07-9e8e-3acbadd0c23e","token_type":"bearer","refresh_token":"d41df9fd-3d36-4a20-b0b7-1a1883c7439d","expires_in":43199,"scope":"read write trust"}

这之后再拿着这个 access_token 去访问资源:

http://localhost:8080/AOuth/admin?access_token=4219a91f-45d5-4a07-9e8e-3acbadd0c23e

刷新 access_token:

http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=refresh_token&refresh_token=ad18fc89e1424278b675ca05bf8afbb3

  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1063 引用 • 3454 回帖 • 189 关注
450 7 114 100 11 39 6 48 116

相关帖子

回帖
Spring Security Aauth2.0 实现

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
CloudOf
回帖
0
 帖子
9
 积分
505

近期热议

推荐标签 标签

  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1063 引用 • 3454 回帖 • 189 关注
  • 七牛云

    七牛云是国内领先的企业级公有云服务商,致力于打造以数据为核心的场景化 PaaS 服务。围绕富媒体场景,七牛先后推出了对象存储,融合 CDN 加速,数据通用处理,内容反垃圾服务,以及直播云服务等。

    27 引用 • 225 回帖 • 163 关注
  • IDEA

    IDEA 全称 IntelliJ IDEA,是一款 Java 语言开发的集成环境,在业界被公认为最好的 Java 开发工具之一。IDEA 是 JetBrains 公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。

    181 引用 • 400 回帖
  • Shell

    Shell 脚本与 Windows/Dos 下的批处理相似,也就是用各类命令预先放入到一个文件中,方便一次性执行的一个程序文件,主要是方便管理员进行设置或者管理用的。但是它比 Windows 下的批处理更强大,比用其他编程程序编辑的程序效率更高,因为它使用了 Linux/Unix 下的命令。

    123 引用 • 74 回帖 • 2 关注
  • MySQL

    MySQL 是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。MySQL 是最流行的关系型数据库管理系统之一。

    692 引用 • 535 回帖
  • C

    C 语言是一门通用计算机编程语言,应用广泛。C 语言的设计目标是提供一种能以简易的方式编译、处理低级存储器、产生少量的机器码以及不需要任何运行环境支持便能运行的编程语言。

    85 引用 • 165 回帖 • 2 关注
  • Bootstrap

    Bootstrap 是 Twitter 推出的一个用于前端开发的开源工具包。它由 Twitter 的设计师 Mark Otto 和 Jacob Thornton 合作开发,是一个 CSS / HTML 框架。

    18 引用 • 33 回帖 • 667 关注
  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    23014 引用 • 92572 回帖
  • WebComponents

    Web Components 是 W3C 定义的标准,它给了前端开发者扩展浏览器标签的能力,可以方便地定制可复用组件,更好的进行模块化开发,解放了前端开发者的生产力。

    1 引用 • 4 关注
  • Telegram

    Telegram 是一个非盈利性、基于云端的即时消息服务。它提供了支持各大操作系统平台的开源的客户端,也提供了很多强大的 APIs 给开发者创建自己的客户端和机器人。

    5 引用 • 35 回帖
  • Ruby

    Ruby 是一种开源的面向对象程序设计的服务器端脚本语言,在 20 世纪 90 年代中期由日本的松本行弘(まつもとゆきひろ/Yukihiro Matsumoto)设计并开发。在 Ruby 社区,松本也被称为马茨(Matz)。

    7 引用 • 31 回帖 • 216 关注
  • Facebook

    Facebook 是一个联系朋友的社交工具。大家可以通过它和朋友、同事、同学以及周围的人保持互动交流,分享无限上传的图片,发布链接和视频,更可以增进对朋友的了解。

    4 引用 • 15 回帖 • 440 关注
  • Docker

    Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的操作系统上。容器完全使用沙箱机制,几乎没有性能开销,可以很容易地在机器和数据中心中运行。

    492 引用 • 926 回帖
  • MongoDB

    MongoDB(来自于英文单词“Humongous”,中文含义为“庞大”)是一个基于分布式文件存储的数据库,由 C++ 语言编写。旨在为应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似 JSON 的 BSON 格式,因此可以存储比较复杂的数据类型。

    90 引用 • 59 回帖 • 1 关注
  • webpack

    webpack 是一个用于前端开发的模块加载器和打包工具,它能把各种资源,例如 JS、CSS(less/sass)、图片等都作为模块来使用和处理。

    41 引用 • 130 回帖 • 253 关注
  • jQuery

    jQuery 是一套跨浏览器的 JavaScript 库,强化 HTML 与 JavaScript 之间的操作。由 John Resig 在 2006 年 1 月的 BarCamp NYC 上释出第一个版本。全球约有 28% 的网站使用 jQuery,是非常受欢迎的 JavaScript 库。

    63 引用 • 134 回帖 • 724 关注
  • JSON

    JSON (JavaScript Object Notation)是一种轻量级的数据交换格式。易于人类阅读和编写。同时也易于机器解析和生成。

    52 引用 • 190 回帖 • 1 关注
  • Vue.js

    Vue.js(读音 /vju ː/,类似于 view)是一个构建数据驱动的 Web 界面库。Vue.js 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件。

    265 引用 • 666 回帖 • 1 关注
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 772 关注
  • JetBrains

    JetBrains 是一家捷克的软件开发公司,该公司位于捷克的布拉格,并在俄国的圣彼得堡及美国麻州波士顿都设有办公室,该公司最为人所熟知的产品是 Java 编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA

    18 引用 • 54 回帖
  • Love2D

    Love2D 是一个开源的, 跨平台的 2D 游戏引擎。使用纯 Lua 脚本来进行游戏开发。目前支持的平台有 Windows, Mac OS X, Linux, Android 和 iOS。

    14 引用 • 53 回帖 • 538 关注
  • Solidity

    Solidity 是一种智能合约高级语言,运行在 [以太坊] 虚拟机(EVM)之上。它的语法接近于 JavaScript,是一种面向对象的语言。

    3 引用 • 18 回帖 • 401 关注
  • DevOps

    DevOps(Development 和 Operations 的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合。

    51 引用 • 25 回帖
  • 反馈

    Communication channel for makers and users.

    123 引用 • 913 回帖 • 250 关注
  • PostgreSQL

    PostgreSQL 是一款功能强大的企业级数据库系统,在 BSD 开源许可证下发布。

    22 引用 • 22 回帖
  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    93 引用 • 113 回帖
  • 房星科技

    房星网,我们不和没有钱的程序员谈理想,我们要让程序员又有理想又有钱。我们有雄厚的房地产行业线下资源,遍布昆明全城的 100 家门店、四千地产经纪人是我们坚实的后盾。

    6 引用 • 141 回帖 • 584 关注

最新标签