如何在Spring?Boot中使用OAuth2認證和授權

更新時間：2023年12月01日 16:33:49 作者：畢設徐師兄

這篇文章主要介紹了如何在Spring?Boot中使用OAuth2認證和授權的相關資料,OAuth2.0是一種開放的授權協(xié)議,它允許用戶授權第三方應用訪問其賬戶(或資源),而無需共享其用戶賬戶憑據(jù),需要的朋友可以參考下

前言

OAuth2 是一種授權協(xié)議，用于授權第三方應用程序訪問受保護的資源。Spring Security 是一個強大的安全框架，支持 OAuth2 協(xié)議。在本文中，我們將介紹如何在 Spring Boot 中使用 Spring Security 實現(xiàn) OAuth2 認證和授權。

什么是 OAuth2

OAuth2 是一種流行的授權協(xié)議，用于授權第三方應用程序訪問受保護的資源。OAuth2 協(xié)議定義了四種角色：資源所有者、客戶端、授權服務器和資源服務器。資源所有者是資源的擁有者，客戶端是請求訪問資源的應用程序，授權服務器是授權客戶端訪問資源的服務器，資源服務器是托管受保護資源的服務器。

OAuth2 協(xié)議涉及以下幾個步驟：

客戶端向授權服務器發(fā)送請求，請求授權訪問某個資源。
授權服務器向資源所有者詢問是否授權客戶端訪問該資源。
如果資源所有者授權客戶端訪問該資源，則授權服務器向客戶端頒發(fā)訪問令牌。
客戶端使用訪問令牌向資源服務器請求訪問受保護的資源。

OAuth2 協(xié)議定義了多種授權方式，包括授權碼模式、隱式授權模式、密碼模式和客戶端憑證模式。每種授權方式都適用于不同的場景。

Spring Security OAuth2

Spring Security 是一個強大的安全框架，支持 OAuth2 協(xié)議。Spring Security OAuth2 提供了一組類和接口，用于實現(xiàn) OAuth2 認證和授權。Spring Security OAuth2 支持多種授權方式，包括授權碼模式、隱式授權模式、密碼模式和客戶端憑證模式。

Spring Boot 中使用 OAuth2

在 Spring Boot 中使用 OAuth2，我們需要添加以下依賴：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>

Spring Boot 會自動配置 Spring Security 和 Spring Security OAuth2。

為了使用 OAuth2，我們需要定義以下三個組件：

授權服務器：用于頒發(fā)訪問令牌。
資源服務器：用于托管受保護的資源。
客戶端：用于請求訪問受保護的資源。

配置授權服務器

我們可以使用 @EnableAuthorizationServer 注解來啟用授權服務器。以下是一個示例配置：

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public TokenStore tokenStore() {
        return new InMemoryTokenStore();
    }

    @Bean
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setAccessTokenValiditySeconds(60 * 60);
        tokenServices.setRefreshTokenValiditySeconds(60 * 60 * 24);
        return tokenServices;
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client")
                .secret("secret")
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(60 * 60)
                .refreshTokenValiditySeconds(60 * 60 * 24);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore())
                .tokenServices(tokenServices())
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }
}

在這個示例中，我們創(chuàng)建了一個 AuthorizationServerConfig 類，并使用 @EnableAuthorizationServer注解來啟用授權服務器。我們注入了 AuthenticationManager 和 UserDetailsService 對象，并定義了一個 InMemoryTokenStore 對象來存儲訪問令牌。

我們使用 configure 方法來配置客戶端詳細信息。在這個示例中，我們定義了一個名為 “client” 的客戶端，使用密碼模式和刷新令牌模式來授權訪問資源。我們還定義了 read 和 write 兩個范圍，并設置訪問令牌的有效期和刷新令牌的有效期。

我們使用 configure 方法來配置授權服務器的端點。在這個示例中，我們使用 tokenStore、tokenServices、authenticationManager 和 userDetailsService 屬性來配置授權服務器的端點。

配置資源服務器

我們可以使用 @EnableResourceServer 注解來啟用資源服務器。以下是一個示例配置：

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/api/**").authenticated()
                .anyRequest().permitAll();
    }
}

在這個示例中，我們創(chuàng)建了一個 ResourceServerConfig 類，并使用 @EnableResourceServer 注解來啟用資源服務器。我們使用 configure 方法來配置資源服務器的安全性。在這個示例中，我們配置了 /api/** 路徑需要身份驗證，其他路徑允許匿名訪問。

配置客戶端

我們可以使用 @EnableOAuth2Client 注解來啟用 OAuth2 客戶端。以下是一個示例配置：

@Configuration
@EnableOAuth2Client
public class OAuth2ClientConfig {

    @Bean
    public OAuth2ProtectedResourceDetails clientCredentialsResourceDetails() {
        ClientCredentialsResourceDetails details = new ClientCredentialsResourceDetails();
        details.setAccessTokenUri("http://localhost:8080/oauth/token");
        details.setClientId("client");
        details.setClientSecret("secret");
        details.setGrantType("client_credentials");
        details.setScope(Arrays.asList("read", "write"));
        return details;
    }

    @Bean
    public RestTemplate restTemplate(OAuth2ClientContext oauth2ClientContext) {
        return new OAuth2RestTemplate(clientCredentialsResourceDetails(), oauth2ClientContext);
    }
}

在這個示例中，我們創(chuàng)建了一個 OAuth2ClientConfig 類，并使用 @EnableOAuth2Client 注解來啟用 OAuth2 客戶端。我們定義了一個 OAuth2ProtectedResourceDetails 對象，用于配置客戶端詳細信息。我們設置了訪問令牌的 URI、客戶端 ID、客戶端密碼、授權類型、范圍等屬性。

我們還定義了一個 RestTemplate 對象，并使用 OAuth2RestTemplate 類來包裝它。OAuth2RestTemplate 類會自動處理 OAuth2 認證，并在每個請求中包含訪問令牌。

測試 OAuth2

我們可以使用以下代碼測試 OAuth2：

@RestController
@RequestMapping("/api")
public class ApiController {

    @Autowired
    private RestTemplate restTemplate;

    @GetMapping("/hello")
    public String hello() {
        ResponseEntity<String> response = restTemplate.getForEntity("http://localhost:8080/hello", String.class);
        return response.getBody();
    }
}

在這個示例中，我們創(chuàng)建了一個 ApiController 類，并定義了一個 hello 方法。在 hello 方法中，我們使用 RestTemplate 對象發(fā)送 GET 請求，并訪問受保護的資源。RestTemplate 對象會自動處理 OAuth2 認證。

總結

在本文中，我們介紹了如何在 Spring Boot 中使用 OAuth2。我們使用 Spring Security OAuth2 實現(xiàn)了授權服務器、資源服務器和客戶端，并使用 @EnableAuthorizationServer、@EnableResourceServer 和 @EnableOAuth2Client 注解來啟用它們。希望本文可以幫助你了解如何在 Spring Boot 中使用 OAuth2。

到此這篇關于如何在Spring Boot中使用OAuth2認證和授權的文章就介紹到這了,更多相關SpringBoot OAuth2認證和授權內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Spring Boot非Web項目運行配置的方法教程
這篇文章主要介紹了Spring Boot非Web項目運行配置的相關資料，文中通過示例代碼介紹的非常詳細，對大家學習或者使用Spring Boot具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧
2019-09-09
javaweb實現(xiàn)簡易郵件發(fā)送
這篇文章主要為大家詳細介紹了javaweb實現(xiàn)簡易郵件發(fā)送，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2022-06-06
詳解Java線程的創(chuàng)建及休眠
今天帶大家學習的是Java的相關知識,文章圍繞著Java線程的創(chuàng)建及休眠展開,文中有非常詳細的介紹及代碼示例,需要的朋友可以參考下
2021-06-06
Java多線程之ReentrantReadWriteLock源碼解析
這篇文章主要介紹了Java多線程之ReentrantReadWriteLock源碼解析,文中有非常詳細的代碼示例,對正在學習java基礎的小伙伴們有非常好的幫助,需要的朋友可以參考下
2021-05-05
java 排序算法之快速排序
這篇文章主要介紹了java 排序算法之快速排序，文中通過圖片和代碼講解相關知識非常詳細，大家如果有需要的話可以參考一下這篇文章
2021-09-09
Java MongoDB數(shù)據(jù)庫連接方法梳理
MongoDB作為一種介于關系型數(shù)據(jù)庫和非關系型數(shù)據(jù)庫之間的產(chǎn)品，它可以提供可擴展的高性能的數(shù)據(jù)存儲解決方案，近些年來受到了開發(fā)者的喜愛
2022-08-08
Java基礎總結之Thymeleaf詳解
Thymeleaf是一種現(xiàn)代的基于服務器端的Java模板引擎技術,也是一個優(yōu)秀的面向Java的XML、XHTML、HTML5頁面模板,它具有豐富的標簽語言、函數(shù)和表達式,在使用Spring Boot框架進行頁面設計時,一般會選擇Thymeleaf模板,需要的朋友可以參考下
2021-05-05
SpringBoot整合SpringSecurity認證與授權
在項目開發(fā)中,權限認證是很重要的,尤其是一些管理類的系統(tǒng),對于權限要求更為嚴格,本文主要介紹了SpringBoot整合SpringSecurity認證與授權,感興趣的可以了解一下
2023-11-11
Mybatis新手教程之簡單入門
這篇文章主要給大家介紹了關于Mybatis新手教程之簡單入門的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧
2019-02-02
史上最全最強SpringMVC詳細示例實戰(zhàn)教程(圖文)
這篇文章主要介紹了史上最全最強SpringMVC詳細示例實戰(zhàn)教程(圖文),需要的朋友可以參考下
2016-12-12