原文地址:https://www.cnblogs.com/0201zcr/p/5328847.html
oauth 应该属于 security 的一部分。关于 oauth 的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
一、目标
现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ 账号等登陆自己的系统,我们现在就是要模拟这种登陆的方式,很多大的公司已经实现了这种授权登陆的方式,并提供了相应的 API,供我们开发人员调用。他们实际上用的也规范是 oauth2.0 的规范,通过用户授权的方式,获取一些信息。以前就做过一些类似的,如:
微信扫码登陆:http://www.cnblogs.com/0201zcr/p/5133062.html
微信客户端授权登陆:http://www.cnblogs.com/0201zcr/p/5131602.html
但是假如你的系统要提供其他网站使用你的账号密码登陆,你就需要写好相应的接口规范, 给人家调用。用得比较多的是使用 spring security oauth 实现的方式。
我们这里使用 meaven 导入我们所需要的 jar 包,使用配置文件的方式拦截我们的请求并进行验证是否有效,然后即可获取我们需要的信息。
这里主要是模拟了通过给予第三方账号密码的方式,在第三方进行鉴权,然后将 access_token 等信息传回过来,然后要登录的系统在通过这个返回的 access_token 去第三方请求一些用户授权的数据。即可完成第三方的账号密码登录。
二、Spring security oauth 相关依赖 meaven 配置
4.0.0 org.zhangfc demo4ssh-security-oauth2 war 0.0.1-SNAPSHOT<properties> <spring.version>4.0.4.RELEASE </spring.version> <hibernate.version>4.3.5.Final </hibernate.version> <spring-security.version>3.2.4.RELEASE </spring-security.version> <spring-security-oauth2.version>2.0.2.RELEASE </spring-security-oauth2.version> </properties> <dependencies> <dependency> <groupId>org.springframework </groupId> <artifactId>spring-webmvc </artifactId> <version>${spring.version} </version> </dependency> <dependency> <groupId>org.springframework </groupId> <artifactId>spring-orm </artifactId> <version>${spring.version} </version> </dependency> <dependency> <groupId>org.springframework.security </groupId> <artifactId>spring-security-config </artifactId> <version>${spring-security.version} </version> </dependency> <dependency> <groupId>org.springframework.security </groupId> <artifactId>spring-security-taglibs </artifactId> <version>${spring-security.version} </version> </dependency> <dependency> <groupId>org.springframework.security.oauth </groupId> <artifactId>spring-security-oauth2 </artifactId> <version>${spring-security-oauth2.version} </version> </dependency> <dependency> <groupId>org.hibernate </groupId> <artifactId>hibernate-core </artifactId> <version>${hibernate.version} </version> </dependency> <dependency> <groupId>javax.servlet.jsp.jstl </groupId> <artifactId>javax.servlet.jsp.jstl-api </artifactId> <version>1.2.1 </version> </dependency> <dependency> <groupId>taglibs </groupId> <artifactId>standard </artifactId> <version>1.1.2 </version> </dependency> <dependency> <groupId>tomcat </groupId> <artifactId>servlet-api </artifactId> <version>5.5.23 </version> <scope>provided </scope> </dependency> <dependency> <groupId>tomcat </groupId> <artifactId>jsp-api </artifactId> <version>5.5.23 </version> <scope>provided </scope> </dependency> <dependency> <groupId>commons-fileupload </groupId> <artifactId>commons-fileupload </artifactId> <version>1.3.1 </version> </dependency> <dependency> <groupId>org.hibernate </groupId> <artifactId>hibernate-validator </artifactId> <version>5.1.2.Final </version> </dependency> <dependency> <groupId>c3p0 </groupId> <artifactId>c3p0 </artifactId> <version>0.9.1.2 </version> </dependency> <dependency> <groupId>mysql </groupId> <artifactId>mysql-connector-java </artifactId> <version>5.1.31 </version> </dependency> <dependency> <groupId>org.codehaus.jackson </groupId> <artifactId>jackson-mapper-asl </artifactId> <version>1.9.13 </version> </dependency> </dependencies> <build> <finalName>demo4ssh-security-oauth2 </finalName> </build>
三、web.xml 文件配置
xml version="1.0" encoding="UTF-8"?>
<context-param> <param-name>contextConfigLocation </param-name> <param-value> classpath:/META-INF/infrastructure.xml,classpath*:/META-INF/applicationContext*.xml </param-value> </context-param> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <servlet> <servlet-name>spring-dispatcher </servlet-name> <servlet-class>org.springframework.web.servlet.Dispatcher </Servletservlet-class> </servlet> <servlet-mapping> <servlet-name>spring-dispatcher </servlet-name> <url-pattern>/ </url-pattern> </servlet-mapping> <filter> <filter-name>springSecurityFilterChain </filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain </filter-name> <url-pattern>/* </url-pattern> </filter-mapping>
四、applicationContext-security.xml
oauth2 是 security 的一部分,配置也有关联,就不再单建文件
添加 http 拦截链
<!-- /oauth/token 是oauth2登陆验证请求的url 用于获取access_token ,默认的生存时间是43200秒,即12小时 --> <http pattern="/oauth/**" auto-config="true" use-expressions="true" authentication-manager-ref="oauth2AuthenticationManager"> <!-- 可以访问的角色名称,如果需要拦截,需要实现UserDetails接口,实现getAuthorities()方法 --> <anonymous enabled="false" /> <csrf disabled="true" /> <http-basic entry-point-ref="oauth2AuthenticationEntryPoint" /> <custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" /> <access-denied-handler ref="oauth2AccessDeniedHandler" /> </http>
这个标签处理/oauth/token 的网络请求,这是 oauth2 的登录验证请求,那么登录需要什么,首先,和 Spring Security 一样,需要一个认证管理器,Spring Oauth2 需要两个认证管理器,第一个就是之前 Spring 中配置的那一个,用来验证用户名密码的,
<authentication-manager> <authentication-provider> <jdbc-user-service data-source-ref="dataSource" users-by-username-query="select username, password, 1 from user where username = ?" authorities-by-username-query="select u.username, r.role from user u left join role r on u.role_id=r.id where username = ?" /> </authentication-provider> </authentication-manager>
还有一个是用来区分客户端用户的,给它起个名字叫 oauth2AuthenticationManager:
<oauth2:client-details-service id="clientDetailsService" >
<oauth2:client client-id="mobile_1" authorized-grant-types="password,authorization_code,refresh_token,implicit" secret="secret_1" scope="read,write,trust" />
/oauth2:client-details-service
<beans:bean id="oauth2ClientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
<beans:constructor-arg ref="clientDetailsService" />
/beans:bean
这儿设置了一种客户端,id 叫做 mobile_1,secret 叫做 secret_1,针对 read、write 和 trust 几个域有效。这几个域会在访问控制中被用到。
当登录成功之后会得到一个 token,再次访问的时候需要携带这个 token,spring-oauth2 根据这个 token 来做认证,那么 spring-oauth2 必须先存一份 token 和用户关系的对应,因为不用 session 了,这就相当于 session,那么这个 token 在服务器中怎么存,有两种主要的存储方式,一是创建数据表,把 token 存到数据库里,我现在追求简单可用,采用第二种方式,直接存到内存里。下面配置一个管理 token 的 service:
<beans:bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore" /> <beans:bean id="tokenServices" class="org.zhangfc.demo4ssh.service.MyTokenService">
下面配置 4 个基本的 bean:分别处理访问成功、访问拒绝、认证点和访问控制:
<beans:bean id="oauth2AuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" /> <beans:bean id="oauth2AccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" /> <beans:bean id="oauthUserApprovalHandler" class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" /> <beans:bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased"> <beans:constructor-arg> <beans:list> <beans:bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter" /> <beans:bean class="org.springframework.security.access.vote.RoleVoter" /> <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter" /> </beans:list> </beans:constructor-arg> </beans:bean>
配置这个 oauth2 的 server 所能支持的请求类型:
<oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices" user-approval-handler-ref="oauthUserApprovalHandler"> <oauth2:authorization-code /> <oauth2:implicit /> <oauth2:refresh-token /> <oauth2:client-credentials /> <oauth2:password /> </oauth2:authorization-server>
我们的请求里,要把验证类型、用户名密码都作为表单参数提交,这就需要配置下面的 filter:
<beans:bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter"> <beans:property name="authenticationManager" ref="oauth2AuthenticationManager" /> </beans:bean>
下面定义一种资源,指定 spring 要保护的资源,如果没有这个,访问控制的时候会说没有 Authentication object:
<oauth2:resource-server id="mobileResourceServer" resource-id="mobile-resource" token-services-ref="tokenServices" />
好了,到此为止基本配置就都有了,下面就看访问控制的配置:在前面的拦截链上,已经为登录验证配了一个/auth/token,在这个标签下面添加对/json 和/admin 这两个路径的控制
<http pattern="/json**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint" access-decision-manager-ref="oauth2AccessDecisionManager"> <anonymous enabled="false" /> <intercept-url pattern="/json**" access="ROLE_USER" /> <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER" /> <access-denied-handler ref="oauth2AccessDeniedHandler" /> </http> <http pattern="/admin**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint" access-decision-manager-ref="oauth2AccessDecisionManager"> <anonymous enabled="false" /> <intercept-url pattern="/admin**" access="SCOPE_READ,ROLE_ADMIN" /> <custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER" /> <access-denied-handler ref="oauth2AccessDeniedHandler" /> </http>
我们用 oauth2AccessDecisionManager 来做决策,这个地方需要注意,spring-security 里面配置 access="ROLE_USER,ROLE_ADMIN"是说 user 和 admin 都可以访问,是一个“或”的关系,但是这里是“与”的关系,比如第二个,需要 ROLE_ADMIN 并且当前的 scope 包含 read 才可以,否则就没有权限。认证失败会返回一段 xml,这个可以自定义 handler 来修改,暂且按下不表。
默认的 12 小时 access_token 可能对于我们来说太长,通过 UUID.randomUUID()来生成一个 36 的唯一的 access_token 也不是我们想要的生存方式。故我们可以复制 org.springframework.security.oauth2.provider.token.DefaultTokenServices,并对其进行一定修改即可,这里我把这个类复制出来,修改成 MyTokenService,并在上面的配置文件中进行了配置。主要是修改其以下成员变量:
private int refreshTokenValiditySeconds = 2592000; //refresh_token 的超时时间 默认2592000秒 private int accessTokenValiditySeconds = 10; //access_token 的超时时间 默认12个小时 private boolean supportRefreshToken = false; //是否支持access_token 刷新,默认是false,在配置文件中以配置成可以支持了, private boolean reuseRefreshToken = true; //使用refresh_token刷新之后该refresh_token是否依然使用,默认是依然使用 private TokenStore tokenStore; //access_token的存储方式,这个在配置文件中配
通过修改修改其 createAccessToken 方法来修改 access_token 的生成方式:
private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) { String access_tokens = UUID.randomUUID().toString().replaceAll("-",""); DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(access_tokens); int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());if(validitySeconds > 0) { token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L)); token.setRefreshToken(refreshToken); token.setScope(authentication.getOAuth2Request().getScope()); return (OAuth2AccessToken)(this.accessTokenEnhancer != null?this.accessTokenEnhancer.enhance(token, authentication):token); }
源码下载:http://pan.baidu.com/s/1mhSfKFY
获取 access_token URL :
http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=password&username=aa&password=aa
这时候会返回一个 access_token:
{"access_token":"4219a91f-45d5-4a07-9e8e-3acbadd0c23e","token_type":"bearer","refresh_token":"d41df9fd-3d36-4a20-b0b7-1a1883c7439d","expires_in":43199,"scope":"read write trust"}
这之后再拿着这个 access_token 去访问资源:
http://localhost:8080/AOuth/admin?access_token=4219a91f-45d5-4a07-9e8e-3acbadd0c23e
刷新 access_token:
http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=refresh_token&refresh_token=ad18fc89e1424278b675ca05bf8afbb3
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于