Spring Security 单点登录简单示例

news/2024/11/10 7:45:07
本文为[原创]文章,转载请标明出处。
本文链接: https://weyunx.com/2019/02/12...
本文出自 微云的技术博客

Overview

最近在弄单点登录,踩了不少坑,所以记录一下,做了个简单的例子。

目标:认证服务器认证后获取 token,客户端访问资源时带上 token 进行安全验证。

可以直接看源码。

关键依赖

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.2.RELEASE</version>
        <relativePath/>
</parent>

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
            <version>2.1.2.RELEASE</version>
        </dependency>
</dependencies>

认证服务器

认证服务器的关键代码有如下几个文件:

image

AuthServerApplication:

@SpringBootApplication
@EnableResourceServer
public class AuthServerApplication {
    public static void main(String[] args) {
        SpringApplication.run(AuthServerApplication.class, args);
    }

}

AuthorizationServerConfiguration 认证配置:


@Configuration
@EnableAuthorizationServer
class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
    @Autowired
    AuthenticationManager authenticationManager;

    @Autowired
    TokenStore tokenStore;

    @Autowired
    BCryptPasswordEncoder encoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //配置客户端
        clients
                .inMemory()
                .withClient("client")
                .secret(encoder.encode("123456")).resourceIds("hi")
                .authorizedGrantTypes("password","refresh_token")
                .scopes("read");
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .tokenStore(tokenStore)
                .authenticationManager(authenticationManager);
    }


    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        //允许表单认证
        oauthServer
                .allowFormAuthenticationForClients()
                .checkTokenAccess("permitAll()")
                .tokenKeyAccess("permitAll()");
    }
}

代码中配置了一个 client,id 是 client,密码 123456authorizedGrantTypespasswordrefresh_token 两种方式。

SecurityConfiguration 安全配置:

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Bean
    public TokenStore tokenStore() {
        return new InMemoryTokenStore();
    }

    @Bean
    public BCryptPasswordEncoder encoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
               .passwordEncoder(encoder())
               .withUser("user_1").password(encoder().encode("123456")).roles("USER")
               .and()
               .withUser("user_2").password(encoder().encode("123456")).roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http.csrf().disable()
                .requestMatchers()
                .antMatchers("/oauth/authorize")
                .and()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().permitAll();
        // @formatter:on
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


}

上面在内存中创建了两个用户,角色分别是 USERADMIN。后续可考虑在数据库或者 Redis 中存储相关信息。

AuthUser 配置获取用户信息的 Controller:

@RestController
public class AuthUser {
        @GetMapping("/oauth/user")
        public Principal user(Principal principal) {
            return principal;
        }

}

application.yml 配置,主要就是配置个端口号:

---
spring:
  profiles:
    active: dev
  application:
    name: auth-server
server:
  port: 8101

客户端配置

客户端的配置比较简单,主要代码结构如下:

image

application.yml 配置:

---
spring:
  profiles:
    active: dev
  application:
    name: client

server:
  port: 8102
security:
  oauth2:
    client:
      client-id: client
      client-secret: 123456
      access-token-uri: http://localhost:8101/oauth/token
      user-authorization-uri: http://localhost:8101/oauth/authorize
      scope: read
      use-current-uri: false
    resource:
      user-info-uri: http://localhost:8101/oauth/user

这里主要是配置了认证服务器的相关地址以及客户端的 id 和 密码。user-info-uri 配置的就是服务器端获取用户信息的接口。

HelloController 访问的资源,配置了 ADMIN 的角色才可以访问:

@RestController
public class HelloController {
    @RequestMapping("/hi")
    @PreAuthorize("hasRole('ADMIN')")
    public ResponseEntity<String> hi() {
        return ResponseEntity.ok().body("auth success!");
    }
}

WebSecurityConfiguration 相关安全配置:

@Configuration
@EnableOAuth2Sso
@EnableGlobalMethodSecurity(prePostEnabled = true) 
class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http
                .csrf().disable()
                // 基于token,所以不需要session
              .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .anyRequest().authenticated();
    }


}

其中 @EnableGlobalMethodSecurity(prePostEnabled = true) 开启后,Spring Security 的 @PreAuthorize,@PostAuthorize 注解才可以使用。

@EnableOAuth2Sso 配置了单点登录。

ClientApplication

@SpringBootApplication
@EnableResourceServer
public class ClientApplication {
    public static void main(String[] args) {
        SpringApplication.run(ClientApplication.class, args);
    }

}

验证

启动项目后,我们使用 postman 来进行验证。

首先是获取 token:

image

选择 POST 提交,地址为验证服务器的地址,参数中输入 username,password,grant_typescope ,其中 grant_type 需要输入 password

然后在下面等 Authorization 标签页中,选择 Basic Auth,然后输入 client 的 id 和 password。

{
    "access_token": "02f501a9-c482-46d4-a455-bf79a0e0e728",
    "token_type": "bearer",
    "refresh_token": "0e62dddc-4f51-4cb5-81c3-5383fddbb81b",
    "expires_in": 41741,
    "scope": "read"
}

此时就可以获得 access_token 为: 02f501a9-c482-46d4-a455-bf79a0e0e728。需要注意的是这里是用 user_2 获取的 token,即角色是 ADMIN

然后我们再进行获取资源的验证:

image

使用 GET 方法,参数中输入 access_token,值输入 02f501a9-c482-46d4-a455-bf79a0e0e728

点击提交后即可获取到结果。

如果我们不加上 token ,则会提示无权限。同样如果我们换上 user_1 获取的 token,因 user_1 的角色是 USER,此资源需要 ADMIN 权限,则此处还是会获取失败。

简单的例子就到这,后续有时间再加上其它功能吧,谢谢~

未完待续...


http://www.niftyadmin.cn/n/3614054.html

相关文章

4.2 二维数组

二维数组的定义方法: 二维数组的初始化方法: 二维数组的使用方法:

ROS 2 index翻译(二)——ROS 2和不同的DDS/RTPS供应商

ROS 2是建立在DDS/RTPS之上的。作为ROS2的中间件&#xff0c;DDS/RTPS提供发现、序列化和信息传输。这篇文章详细解释了使用DDS实现和DDS的RTPS有线协议背后的动机&#xff0c;但总体上来说&#xff0c;DDS是一个端到端的中间件&#xff0c;它提供与ROS系统相关的功能&#xff…

4.3 结构体

结构体类型定义方法: 结构体变量声明方法: 注意:上述第二种声明方式可以省略结构体名称Date 结构体变量初始化方法:

DHCP 管理命令

在华为S9306交换机上查看vlan 30 dhcp地址池分配情况。 <s9306-01>dis ip pool interface vlanif30 Pool-name : vlanif30Pool-No : 1Lease : 1 Days 0 Hours 0 MinutesDomain-name : -DNS-server0 : 61.177.7.1 DNS-server1 : 221.228.255.1 NBNS-server0 : - Netbios-t…

4.4 枚举(实例三色球组合)

枚举类型定义方法: 注意:枚举常量是以标识符(比如上面的Sun、Mon、Tes等等)表示的整型量,而不是字符串或字面常量 枚举变量声明方法: 枚举变量的使用方法:

LayUI前端框架开发视频讲解

简  介课程知识点&#xff1a; 1、两种容器的区别与使用 2、常用页面元素的使用 3、LayUI内置对象的使用 4、结合学习的知识点编写项目模块 课程播放地址&#xff1a; 进入学习01什么是LayUI【录播】课程资料与在线答疑服务(3分钟) 【录播】认识layui前端框架(10分钟) 【…

4.6 实例:文字信息统计

实例:文字信息统计 即:用户输入一段文本(英文),统计其字符总个数、大写字母个数、小写字母个数、数字个数及其他字符个数。 问题分析:

poj3666(DP+离散化)

题目链接&#xff1a;http://poj.org/problem?id3666 思路&#xff1a; 看了讨论区说本题的数据比较弱&#xff0c;只需要考虑不减序列即可&#xff0c;比较懒&#xff0c;所以我也只写了这一部分的代码&#xff0c;思路都一样&#xff0c;能AC就行了。 首先要想明白一点&…