Spring Security——OAuth 2.0 Client自动配置源代码分析

2020-04-21 22:27:36 281 收藏
分类专栏: # JAVA 文章标签: JAVA Spring Security OAuth 2.0 自动配置 源代码分析
最后发布:2020-04-21 22:27:36首次发布:2020-04-21 22:27:36
联系方式(QQ:1600337300)——Starzkg
本文链接:https://blog.csdn.net/weixin_43272781/article/details/105668789
版权

基本概念

OAuth2.0:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。 

官方文档

https://docs.spring.io/spring-security/site/docs/5.2.3.RELEASE/reference/html5/#oauth2

Maven

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

源代码分析

 用于OAuth客户端支持的Spring Boot 2.x自动配置类为OAuth2ClientAutoConfiguration

功能: 

  • 从配置的OAuth客户端属性中注册ClientRegistrationRepository @Bean由组成的ClientRegistration
  • 提供WebSecurityConfigurerAdapter @Configuration并通过启用OAuth 2.0登录httpSecurity.oauth2Login()

 OAuth2ClientAutoConfiguration类中导入OAuth2ClientRegistrationRepositoryConfiguration类 和OAuth2WebSecurityConfiguration类。

OAuth2ClientRegistrationRepositoryConfiguration类  

OAuth2ClientProperties类

封装application.properties中spring.security.oauth2.client的配置信息

OAuth2ClientPropertiesRegistrationAdapter

整合预定义配置和自定义配置

 OAuth2WebSecurityConfiguration类 

自定义配置DEMO 

@Configuration
public class OAuth2LoginConfig {

    @EnableWebSecurity
    public static class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .authorizeRequests(authorizeRequests ->
                    authorizeRequests
                        .anyRequest().authenticated()
                )
                .oauth2Login(withDefaults());
        }
    }

    @Bean
    public ClientRegistrationRepository clientRegistrationRepository() {
        return new InMemoryClientRegistrationRepository(this.googleClientRegistration());
    }

    private ClientRegistration googleClientRegistration() {
        return ClientRegistration.withRegistrationId("google")
            .clientId("google-client-id")
            .clientSecret("google-client-secret")
            .clientAuthenticationMethod(ClientAuthenticationMethod.BASIC)
            .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
            .redirectUriTemplate("{baseUrl}/login/oauth2/code/{registrationId}")
            .scope("openid", "profile", "email", "address", "phone")
            .authorizationUri("https://accounts.google.com/o/oauth2/v2/auth")
            .tokenUri("https://www.googleapis.com/oauth2/v4/token")
            .userInfoUri("https://www.googleapis.com/oauth2/v3/userinfo")
            .userNameAttributeName(IdTokenClaimNames.SUB)
            .jwkSetUri("https://www.googleapis.com/oauth2/v3/certs")
            .clientName("Google")
            .build();
    }
}

 

参考文章

https://shentuzhigang.blog.csdn.net/article/details/105641709

已标记关键词 清除标记
基于Spring SecurityOauth2授权实现
曾国藩《家训喻纪泽》
08-27 3万+
前言 经过一段时间的学习Oauth2,在网上也借鉴学习了一些大牛的经验,推荐在学习的过程中多看几遍阮一峰的《理解OAuth 2.0》,经过对Oauth2的多种方式的实现,个人推荐Spring SecurityOauth2的实现是相对优雅的,理由如下: 1、相对于直接实现Oauth2,减少了很多代码量,也就减少的查找问题的成本。 2、通过调整配置文件,灵活配置Oauth相关配置。 3、通过...
spring security OAuth2.0之客户端Client的实现
05-17 634
项目代码:https://github.com/hankuikuide/microservice-spring-security-oauth2 网上多数的项目客户端都是采用纯js写,或用postman发请求,和实际项目的应用还是有差距的,这里也是采用spring boot的实现。 主要功能在于: 使用授权码模式进行认证。 使用OAuth2RestTemplate发送请求给认证服...
表情包
插入表情
还能输入1000个字符
Spring Security Oauth2.0 学习笔记
逍遥绝情的博客
01-23 5363
基础说明 AbstractSecurityWebApplicationInitializer类: 为应用程序中的每个URL自动注册springSecurityFilterChain过滤器 添加一个ContextLoaderListener来加载WebSecurityConfig。 HttpSecurity: WebSecurityConfig只包含关于如何验证用户的信息 prote...
Springboot实现OAuth2登录
发财哥的笔记
09-01 8677
初涉认证,觉得Spring Securty好神奇,注册几个接口,就可以完成认证和授权。本次的目标是实现OAuth2的登录。 OAuth2登录,依赖 Spring Security 5.0 。SpringBoot 2.0 中已经整合。 1. 引入依赖 首先,需要引入Spring Security相关的依赖: &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org....
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
汪云飞记录本
06-30 409
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Security OAuth2的client模式获取token源码分析
实践求真知
12-01 1073
一代码位置 https://github.com/cakin24/oauth2-demo/tree/master/client-credentials 二参考文章 http://www.spring4all.com/article/451 三获取token方式 http://localhost:8080/oauth/token?client_id=client_1&cli...
理解OAuth 2.0
05-13 1261
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
OAuth2:客户端证书授权(Client Credentials)类型的开放授权
dream8062的专栏
04-13 4814
适应范围 认证服务器不提供像用户数据这样的重要资源,仅仅是有限的只读资源或者一些开放的API。例如使用了第三方的静态文件服务,如Google Storage或Amazon S3。这样,你的应用需要通过外部API调用并以应用本身而不是单个用户的身份来读取或修改这些资源。这样的场景就很适合使用客户端证书授权。 流程剖析 1. 用客户端证书交换访问令牌 应用程序需要向认证
SpringSecurity | spring security oauth2.0 配置源码分析(一)
程序员阿康
12-23 3451
概述: 在微服务发展迅速的今天,认证授权独立成微服务已是一种趋势,不仅承担着整个系统访问入口的认证和授权,还要易于扩展,能更好的接入第三方服务。而当今Oauth2协议在认证授权领域大行其道,算是功能比较完整的权限协议标准了。spring security oauth2的整合方案应该广为应用,该系列博客就来分析其机制原理。 oauth2的配置繁琐复杂,但是只要搞懂每个类的作用,整体来看,并不
The bean 'oauth2ClientContext', defined in...(OAuth2ClientContext bean重复)
t0m的专栏
02-28 2797
以下是在Spring-Cloud(Greenwich.RELEASE)集成OAuth2(2.3.3.RELEASE)过程中出现的一个问题,项目管理工具使用的gradle,学习用例产生的问题仅供参考(如学习有误,请及时打脸纠正嘴型)。 gradle引入的Spring-Cloud-OAuth2依赖: implementation 'org.springframework.cloud:spring...
Spring Security OAuth2 配置注意点
来啊 快活啊
09-14 2万+
security.oauth2.resource.jwt.key-uri/security.oauth2.resource.jwt.key-value和security.oauth2.resource.jwk.key-set-uri只能配置一个 前面是配置一个key,后面是配置好多key security.oauth2.client 下面的client_id和client_secret配置多重意
Spring Cloud OAuth2 认证流程
偶尔记一下 - mybatis.io
09-24 3万+
Spring Cloud OAuth2 认证流程本文基于官方提供的示例进行讲解,文中部分源码使用的 5.0 版本,基本上没太大差别。建议配合本文提供的关键代码和官方示例结合查看,可以运行官方示例查看效果。 认证服务器:https://github.com/spring-cloud-samples/authserver SSO客户端:https://github.com/spring-c
AutoConfiguration自动配置原理
hellowork10的博客
04-12 169
AutoConfiguration自动配置原理 官网配置文件指导 https://docs.spring.io/spring-boot/docs/2.2.6.RELEASE/reference/html/appendix-application-properties.html#common-application-properties 原理: 1)SpringBoot启动时加载主配置类,来气自动...
Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】
hchhan的博客
06-12 1万+
源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc版本号:5.0.x 参考手册 【翻译自官方GIT - 2018.06.12】Spring Security参考手册Spring Security是一个强大且高度可定制的身份验证和访问控制框架。 这是保护基...
8. Spring Security 5.1之 OAuth 2.0 Login
技术宅星云-CSDN博客
04-14 2842
OAuth 2.0 Login实现了用例:“使用Google登录”或“使用GitHub登录”。
如何使用Google作为认证方配置Spring Boot 2 Security5集成的OAuth2登录我们自己的工程项目------范例1
zhengzizhi的专栏
08-11 4413
Google客户端授权生成client-id和client-secret我们需要登录以下地址 https://console.developers.google.com 第1部分: 范例工程项目结构如下: Enabling OAuth 2 login Suppose that you want to enable users of your application to be ab...
©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页