在上一篇文章[Spring Security OAuth2.0认证授权一:框架搭建和认证测试](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374.html) 详细讲解了如何搭建一个基于spring boot + oauth2.0的认证服务,这篇文章将会介绍如何搭建一个资源服务。

根据oath2.0协议内容,应当有一个资源服务管理资源服务并提供访问安全控制。

1. 引入maven依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-web</artifactId>

</dependency>

<dependency>

    <groupId>org.springframework.cloud</groupId>

    <artifactId>spring-cloud-starter-security</artifactId>

</dependency>

<dependency>

    <groupId>org.springframework.cloud</groupId>

    <artifactId>spring-cloud-starter-oauth2</artifactId>

</dependency>

<dependency>

    <groupId>org.springframework.security</groupId>

    <artifactId>spring-security-jwt</artifactId>

</dependency>

<dependency>

    <groupId>com.alibaba</groupId>

    <artifactId>fastjson</artifactId>

</dependency>

<dependency>

    <groupId>org.projectlombok</groupId>

    <artifactId>lombok</artifactId>

</dependency>

这里虽然引入了jwt的依赖,但是暂时还未用到。

2. 配置配置文件

server:

  port: 30001

spring:

  application:

    name: resource-server

3. 新建启动类

@SpringBootApplication

public class ResourceServerApplication {

    public static void main(String[] args) {

        SpringApplication.run(ResourceServerApplication.class, args);

    }

}

4. Resource服务核心配置

4.1 新建ResouceServerConfig类

该类需要继承ResourceServerConfigurerAdapter类并需要使用@EnableResourceServer注解注释。

@Configuration

@EnableResourceServer

public class ResouceServerConfig extends ResourceServerConfigurerAdapter {

    ......

}

4.2 核心配置

重写ResouceServerConfig类以下方法以实现ResourceServer的基本配置:

org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter#configure(org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer)

@Override

public void configure(ResourceServerSecurityConfigurer resources) throws Exception {

    resources

        .resourceId(RESOURCE_ID)

        .tokenServices(resourceServerTokenServices)//令牌服务

        .stateless(true);

}
  • resourceId方法标志了该服务的id,需要和在auth-center服务中配置的id一致。
  • tokenServices方法指定了令牌管理的实例,Bean创建方法如下 
    @Bean
    
    public ResourceServerTokenServices resourceServerTokenServices(){
    
        RemoteTokenServices remoteTokenServices = new RemoteTokenServices();
    
        remoteTokenServices.setCheckTokenEndpointUrl("http://127.0.0.1:30000/oauth/check_token");
    
        remoteTokenServices.setClientId("c1");
    
        remoteTokenServices.setClientSecret("secret");
    
        return remoteTokenServices;
    
    }
  • stateless方法指定了当前资源是否仅仅允许token验证的方法进行校验,默认为true

4.3 auth2.0安全配置

@Override

public void configure(HttpSecurity http) throws Exception {

    http

        .authorizeRequests()

        .antMatchers("/**").access("#oauth2.hasScope('all')")

        .and()

        .csrf().disable()

        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);

}

该配置和下面的Web安全配置很像,但是不一样,这里仅仅对auth2.0的安全进行配置。这里的.antMatchers("/**").access("#oauth2.hasScope('all')")表示所有的请求携带的令牌都必须拥有all的授权范围,其中all授权范围必须和认证服务中的配置相一致。

4.4 Web安全配置

@Configuration

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.csrf()

                .disable()

                .authorizeRequests()

                .antMatchers("/r/r1").hasAuthority("p2")

                .antMatchers("/r/r2").hasAuthority("p2")

                .antMatchers("/**").authenticated()//所有的r/**请求必须认证通过

                .anyRequest().permitAll();//其它所有请求都可以随意访问

    }

}

4.5 暴露资源接口

@RestController

@Slf4j

public class OrderController {

    @GetMapping("/r1")

    @PreAuthorize("hasAnyAuthority('p1')")

    public String r1(){

        return "访问资源r1";

    }

}

由于4.4启用了prePostEnabled,所以这里可以使用@PreAuthorize注解对资源安全请求进行管理。

@PreAuthorize("hasAnyAuthority('p1')")表示请求者必须拥有p1权限,p1权限定义在auth-center服务表的t_permission表。

5. 接口测试

源代码地址:https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0

5.1 准备工作

首先,阅读下 https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0/auth-center 项目的自述文件,配置好数据库和表、配置文件,配置完成之后分别启动认证服务auth-center服务(端口号30000)和资源服务resource-server(端口号30001)。

5.2 获取token

阅读下 https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0/auth-center 项目的自述文件,有四种获取token的方式。

5.3 请求资源服务

假设在5.2已经成功获取到了token:

{

    "access_token": "11c5eaec-768f-400a-85e1-e2b52276b83d",

    "token_type": "bearer",

    "refresh_token": "34eb5d57-de7e-4f26-b35e-64162c64117e",

    "expires_in": 7199,

    "scope": "all"

}

接下来要携带着token请求资源服务:

header value
Authorization Bearer 0cc2da26-b634-4ccb-a8fe-14f454a13090

GET请求:http://127.0.0.1:30001/r1

请求成功,结果返回:

访问资源r1

请求失败,结果返回:

{

    "error": "invalid_token",

    "error_description": "0cc2da26-b634-4ccb-a8fe-14f454a13090"

}

5.4 请求演示

下面演示使用postman基于密码模式获取token并请求资源服务的过程:

6.源代码

源代码地址:https://gitee.com/kdyzm/spring-security-oauth-study/tree/v3.0.0

我的博客地址:https://blog.kdyzm.cn/

Spring Security OAuth2.0认证授权二:搭建资源服务的更多相关文章

  1. Spring Security OAuth2.0认证授权三:使用JWT令牌

    Spring Security OAuth2.0系列文章: Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二: ...

  2. Spring Security OAuth2.0认证授权四:分布式系统认证授权

    Spring Security OAuth2.0认证授权系列文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授 ...

  3. Spring Security OAuth2.0认证授权五:用户信息扩展到jwt

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  4. Spring Security OAuth2.0认证授权六:前后端分离下的登录授权

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  5. Spring Security OAuth2.0认证授权一:框架搭建和认证测试

    一.OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容. 1.s ...

  6. Spring security OAuth2.0认证授权学习第四天(SpringBoot集成)

    基础的授权其实只有两行代码就不单独写一个篇章了; 这两行就是上一章demo的权限判断; 集成SpringBoot SpringBoot介绍 这个篇章主要是讲SpringSecurity的,Spring ...

  7. Spring security OAuth2.0认证授权学习第三天(认证流程)

    本来之前打算把第三天写基于Session认证授权的,但是后来视屏看完后感觉意义不大,而且内容简单,就不单独写成文章了; 简单说一下吧,就是通过Servlet的SessionApi 通过实现拦截器的前置 ...

  8. Spring security OAuth2.0认证授权学习第一天(基础概念-认证授权会话)

    这段时间没有学习,可能是因为最近工作比较忙,每天回来都晚上11点多了,但是还是要学习的,进过和我的领导确认,在当前公司的技术架构方面,将持续使用Spring security,暂不做Shiro的考虑, ...

  9. Spring security OAuth2.0认证授权学习第二天(基础概念-授权的数据模型)

    如何进行授权即如何对用户访问资源进行控制,首先需要学习授权相关的数据模型. 授权可简单理解为Who对What(which)进行How操作,包括如下: Who,即主体(Subject),主体一般是指用户 ...

随机推荐

  1. 云服务器AWD平台搭建

    开学后实验室来了几个新同学,在线上CTF方面大家一直在持续学习,但AWD模式的CTF我们练习并不多,所以准备搭建一个AWD平台用于实验室成员的线下赛攻防练习. 最开始的是防灾科技大学的线下AWD靶场: ...

  2. 如何在苹果电脑上创建一个html格式文件,并在浏览器正确打开

    之前一直使用windows系统的电脑,创建文件很简单,改格式也非常的简单.但换了苹果电脑,如何创建一个HTML文件?却把我给整蒙了. 首先,为什么mac上不能直接新建文本文件? 因为mac一都是以应用 ...

  3. AcWing&#160;127.&#160;任务

    题目链接 参考y神的思路QWQ 算法:贪心 对于每一个任务: \(y\) 的差异最多能使利润\(w\)浮动\(2 * 100 = 200\)元. \(x\) 差\(1\),则会使利润\(w\)浮动\( ...

  4. Centos7网卡绑定的方法

    温和的方式请参考:https://www.cnblogs.com/zzf0305/p/9594093.html 一:传统的bond方式(饭已验证)------------本种的绑定方式比较暴躁 (1) ...

  5. 【Django 字段和相关参数补充】

    字段类型: 1.models.AutoField 自增列=int(11) 如果没有的话,默认会生成一个名称为id的列,如果要显示的自定义一个自增列,必须将给列设置为主键primary _key=Tru ...

  6. AWT02-ContainerAPI

    1.体系 Object -Component -Container Window:窗口容器 Frame:创建窗口 Dialog:创建对话框 Panel:内嵌容器 Applet ScrollPane:含 ...

  7. <UnityTheGreat><001>获取指定目录下指定类型的所有文件的名称

    #region Environment Windows 10 Unity 2019.4.16f1c1 LTS VSCode 1.52 https://github.com/MirzkisD1Ex0/U ...

  8. Linux 安装 MySQL 8 数据库(图文详细教程)

    本教程手把手教你如何在 Linux 安装 MySQL 数据库,以 CentOS 7为例. 1. 下载并安装 MySQL 官方的 Yum Repository wget -i -c https://re ...

  9. react第四单元(ref与DOM-findDomNode-unmountComponentAtNode)

    第四单元(ref与DOM-findDomNode-unmountComponentAtNode) #课程目标 理解react的框架使用中,真实dom存在的意义. 使用真实dom和使用虚拟dom的场景. ...

  10. Django中ORM的使用

    Django中ORM的使用 ORM orm(object-relation-mapping)对象关系映射,即用对象来表示关系数据库中的表: 类 --> 表, 对象-->一行数据 对象的属性 ...