Spring Security 单点登录简单示例详解_Java教程

overview

最近在弄单点登录，踩了不少坑，所以记录一下，做了个简单的例子。

目标：认证服务器认证后获取 token，客户端访问资源时带上 token 进行安全验证。

可以直接看源码。

关键依赖

				?

									<parent>

									    <groupid>org.springframework.boot</groupid>

									    <artifactid>spring-boot-starter-parent</artifactid>

									    <version>2.1.2.release</version>

									    <relativepath/>

									</parent>

									<dependencies>

									    <dependency>

									      <groupid>org.springframework.boot</groupid>

									      <artifactid>spring-boot-starter-security</artifactid>

									    </dependency>

									    <dependency>

									      <groupid>org.springframework.boot</groupid>

									      <artifactid>spring-boot-starter-web</artifactid>

									    </dependency>

									    <dependency>

									      <groupid>org.springframework.boot</groupid>

									      <artifactid>spring-boot-starter-test</artifactid>

									      <scope>test</scope>

									    </dependency>

									    <dependency>

									      <groupid>org.springframework.security</groupid>

									      <artifactid>spring-security-test</artifactid>

									      <scope>test</scope>

									    </dependency>

									    <dependency>

									      <groupid>org.springframework.security.oauth.boot</groupid>

									      <artifactid>spring-security-oauth2-autoconfigure</artifactid>

									      <version>2.1.2.release</version>

									    </dependency>

									</dependencies>

认证服务器

认证服务器的关键代码有如下几个文件：

Spring Security 单点登录简单示例详解

authserverapplication:

				?

									@springbootapplication

									@enableresourceserver

									public class authserverapplication {

									  public static void main(string[] args) {

									    springapplication.run(authserverapplication.class, args);

									  }

									}

authorizationserverconfiguration 认证配置:

				?

									@configuration

									@enableauthorizationserver

									class authorizationserverconfiguration extends authorizationserverconfigureradapter {

									  @autowired

									  authenticationmanager authenticationmanager;

									  @autowired

									  tokenstore tokenstore;

									  @autowired

									  bcryptpasswordencoder encoder;

									  @override

									  public void configure(clientdetailsserviceconfigurer clients) throws exception {

									    //配置客户端

									    clients

									        .inmemory()

									        .withclient("client")

									        .secret(encoder.encode("123456")).resourceids("hi")

									        .authorizedgranttypes("password","refresh_token")

									        .scopes("read");

									  }

									  @override

									  public void configure(authorizationserverendpointsconfigurer endpoints) throws exception {

									    endpoints

									        .tokenstore(tokenstore)

									        .authenticationmanager(authenticationmanager);

									  }

									  @override

									  public void configure(authorizationserversecurityconfigurer oauthserver) throws exception {

									    //允许表单认证

									    oauthserver

									        .allowformauthenticationforclients()

									        .checktokenaccess("permitall()")

									        .tokenkeyaccess("permitall()");

									  }

									}

代码中配置了一个 client，id 是 client，密码 123456。 authorizedgranttypes 有 password 和refresh_token 两种方式。

securityconfiguration 安全配置：

				?

									@configuration

									@enablewebsecurity

									public class securityconfiguration extends websecurityconfigureradapter {

									  @bean

									  public tokenstore tokenstore() {

									    return new inmemorytokenstore();

									  }

									  @bean

									  public bcryptpasswordencoder encoder() {

									    return new bcryptpasswordencoder();

									  }

									  @override

									  protected void configure(authenticationmanagerbuilder auth) throws exception {

									    auth.inmemoryauthentication()

									        .passwordencoder(encoder())

									        .withuser("user_1").password(encoder().encode("123456")).roles("user")

									        .and()

									        .withuser("user_2").password(encoder().encode("123456")).roles("admin");

									  }

									  @override

									  protected void configure(httpsecurity http) throws exception {

									    // @formatter:off

									    http.csrf().disable()

									        .requestmatchers()

									        .antmatchers("/oauth/authorize")

									        .and()

									        .authorizerequests()

									        .anyrequest().authenticated()

									        .and()

									        .formlogin().permitall();

									    // @formatter:on

									  }

									  @override

									  @bean

									  public authenticationmanager authenticationmanagerbean() throws exception {

									    return super.authenticationmanagerbean();

									  }

									}

上面在内存中创建了两个用户，角色分别是 user 和 admin。后续可考虑在数据库或者 redis 中存储相关信息。

authuser 配置获取用户信息的 controller：

				?

									@restcontroller

									public class authuser {

									    @getmapping("/oauth/user")

									    public principal user(principal principal) {

									      return principal;

									    }

									}

application.yml 配置，主要就是配置个端口号：

				?

									---

									spring:

									 profiles:

									  active: dev

									 application:

									  name: auth-server

									server:

									 port: 8101

客户端配置

客户端的配置比较简单，主要代码结构如下：

Spring Security 单点登录简单示例详解

application.yml 配置：

				?

									---

									spring:

									 profiles:

									  active: dev

									 application:

									  name: client

									server:

									 port: 8102

									security:

									 oauth2:

									  client:

									   client-id: client

									   client-secret: 123456

									   access-token-uri: http://localhost:8101/oauth/token

									   user-authorization-uri: http://localhost:8101/oauth/authorize

									   scope: read

									   use-current-uri: false

									  resource:

									   user-info-uri: http://localhost:8101/oauth/user

这里主要是配置了认证服务器的相关地址以及客户端的 id 和密码。user-info-uri 配置的就是服务器端获取用户信息的接口。

hellocontroller 访问的资源，配置了 admin 的角色才可以访问：

				?

									@restcontroller

									public class hellocontroller {

									  @requestmapping("/hi")

									  @preauthorize("hasrole('admin')")

									  public responseentity<string> hi() {

									    return responseentity.ok().body("auth success!");

									  }

									}

websecurityconfiguration 相关安全配置：

				?

									@configuration

									@enableoauth2sso

									@enableglobalmethodsecurity(prepostenabled = true) 

									class websecurityconfiguration extends websecurityconfigureradapter {

									  @override

									  public void configure(httpsecurity http) throws exception {

									    http

									        .csrf().disable()

									        // 基于token，所以不需要session

									       .sessionmanagement().sessioncreationpolicy(sessioncreationpolicy.stateless)

									        .and()

									        .authorizerequests()

									        .anyrequest().authenticated();

									  }

									}

其中 @enableglobalmethodsecurity(prepostenabled = true) 开启后，spring security 的 @preauthorize,@postauthorize 注解才可以使用。

@enableoauth2sso 配置了单点登录。

clientapplication：

				?

									@springbootapplication

									@enableresourceserver

									public class clientapplication {

									  public static void main(string[] args) {

									    springapplication.run(clientapplication.class, args);

									  }

									}

验证

启动项目后，我们使用 postman 来进行验证。

首先是获取 token：

Spring Security 单点登录简单示例详解

选择 post 提交，地址为验证服务器的地址，参数中输入 username,password,grant_type 和 scope ，其中 grant_type 需要输入 password。

然后在下面等 authorization 标签页中，选择 basic auth，然后输入 client 的 id 和 password。

				?

									{

									  "access_token": "02f501a9-c482-46d4-a455-bf79a0e0e728",

									  "token_type": "bearer",

									  "refresh_token": "0e62dddc-4f51-4cb5-81c3-5383fddbb81b",

									  "expires_in": 41741,

									  "scope": "read"

									}