前面我们已经学习了 OAuth 具体的知识:OAuth 学习 ,所以本篇文章我们具体学下 OAuth2 和 SpringSecurity 的结合使用
本篇主要针对的是前后端分离,也就是 Oauth 中的密码式登录
一、前期准备
添加依赖:
添加 oauth2 依赖和 redis 依赖,由于 oauth2 依赖是在 security 基础上添加的,所以需要先添加 security
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
<version>2.3.6.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
搭建好 redis:
配置 application.properties
:我这没有设置redis 密码,所以不需要配置
spring.redis.host=192.168.176.128
spring.redis.port=6379
# spring.redis.password=123
spring.redis.database=0
二、Config
这里为了方便将授权服务器和资源服务器放在一起进行配置
1. 首先定义授权服务器
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
/**
* authenticationManager 主要用来支持 password的认证模式:适用于前后端分离的情况
*/
@Autowired
AuthenticationManager authenticationManager;
@Autowired
RedisConnectionFactory redisConnectionFactory;
@Autowired
UserDetailsService userDetailsService;
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
//认证模式:password 模式
.withClient("password")
//授权模式
.authorizedGrantTypes("password", "refresh_token")
//token 的过期时间:1800 秒
.accessTokenValiditySeconds(1800)
//资源 id :rid
.resourceIds("rid")
.scopes("all")
//认证需要的密码
.secret("$2a$10$kwLIAqAupvY87OM.O25.Yu1QKEXV1imAv7jWbDaQRFUFWSnSiDEwG");
}
/**
* 配置令牌的存储
* @param endpoints
* @throws Exception
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
//将令牌存储到 redis 中
endpoints.tokenStore(new RedisTokenStore(redisConnectionFactory))
.authenticationManager(authenticationManager)
.userDetailsService(userDetailsService);
}
/**
* 支持登录认证
* @param security
* @throws Exception
*/
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security.allowFormAuthenticationForClients();
}
}
2. 资源服务器
也就是先去授权服务器上获取 token ,然后拿着 token去资源服务器中访问资源
这是提供的资源:
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
.anyRequest().authenticated();
}
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
//注意资源id 和授权服务器中的保持一致,不然拿不到资源
//stateless:表示资源是用过令牌来认证的
resources.resourceId("rid").stateless(true);
}
/**
* 资源路径配置
* @param http
* @throws Exception
*/
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
.anyRequest().authenticated();
}
}
3. SecurityConfig
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
@Bean
protected AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}
@Bean
@Override
protected UserDetailsService userDetailsService() {
return super.userDetailsService();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("yolo").password("$2a$10$kwLIAqAupvY87OM.O25.Yu1QKEXV1imAv7jWbDaQRFUFWSnSiDEwG")
.roles("admin")
.and()
.withUser("nlcs")
.password("$2a$10$kwLIAqAupvY87OM.O25.Yu1QKEXV1imAv7jWbDaQRFUFWSnSiDEwG")
.roles("user");
}
/**
* 将 oauth 请求放行,不拦截
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.antMatcher("/oauth/**")
.authorizeRequests()
.antMatchers("/oauth/**").permitAll()
.and().csrf().disable();
}
}
三、测试
1. 定义 Controller
@RestController
public class HelloController {
@GetMapping("/admin/hello")
public String admin() {
return "hello admin!";
}
@GetMapping("/user/hello")
public String user() {
return "hello user";
}
@GetMapping("/hello")
public String hello() {
return "hello";
}
}
2. Postman 测试
用户登录首先获取 token:
{
//获取资源需要携带这个 token
"access_token": "51191622-a461-470c-b310-b8cbb08387f8",
"token_type": "bearer",
//刷新资源需要携带这个 token
"refresh_token": "6ad8de6c-63fb-4343-a450-3d69775f9213",
//过期时间
"expires_in": 1799,
"scope": "all"
}
访问资源:
hello 接口是都可以访问
yolo 具有admin 权限
yolo 不具有 user 权限
如果 token 过期,需要携带 refresh_token 获取新的 token
此时旧的token 失效: