搭建spring security oauth2认证授权服务器-Toy模板网

这篇具有很好参考价值的文章主要介绍了搭建spring security oauth2认证授权服务器。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

前言

下面是在spring security项目的基础上搭建spring security oauth2认证授权服务器

1、添加依赖

spring security oauth2认证授权服务器主要需要以下依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!-- for OAuth 2.0 -->
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>{oauth2_version}</version>
</dependency>

Spring Security对OAuth2默认可访问端点

/oauth/authorize :申请授权码code，涉及类 AuthorizationEndpoint
/oauth/token :获取令牌token，涉及类 TokenEndpoint

/oauth/check_token :用于资源服务器请求端点来检查令牌是否有效，涉及类 CheckTokenEndpoint

/oauth/confirm_access :用于确认授权提交，涉及类 WhitelabelApprovalEndpoint

/oauth/error :授权错误信息，涉及 WhitelabelErrorEndpoint

/oauth/token_key :提供公有密匙的端点，使用JWT令牌时会使用，涉及类 TokenKeyEndpoint

2、创建认证授权配置类

认证授权服务器最重要的就是认证授权配置类的配置

1、创建一个自定义类继承 AuthorizationServerConfigurerAdapter
2、在自定义类上添加注解@Configuration和@EnableAuthorizationServer注解

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    PasswordEncoder passwordEncoder;

    @Autowired
    AuthenticationManager authenticationManager;


    /**
     * 密码模式需要注入authenticationManager
     * @param endpoints
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security
                .tokenKeyAccess("permitAll()")
                .checkTokenAccess("isAuthenticated()")
                //让/oauth/token支持client_id以及client_secret作登录认证
                .allowFormAuthenticationForClients();
    }

    /**
     * 客户端信息配置
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                //客户端ID
                .withClient("admin")
                //客户端密码
                .secret(passwordEncoder.encode("123123"))
                //配置访问token的有效期
                .accessTokenValiditySeconds(3600)
                //配置重定向的跳转，用于授权成功之后的跳转
                .redirectUris("http://www.baidu.com")
                //授权范围标识，哪部分资源可访问（all是标识，不是代表所有）
                .scopes("all")
                //授权模式, 可同时支持多种授权类型
                .authorizedGrantTypes("authorization_code", "password", "implicit","client_credentials","refresh_token")
                //true为自动批准，不需要用户手动点击授权，直接返回授权码
                .autoApprove(true);
    }




    @Bean
    public PasswordEncoder passwordEncoder(){
        return  new BCryptPasswordEncoder() ;
    }



}

3、创建安全配置类

1、创建一个自定义类继承 WebSecurityConfigurerAdapter
2、在自定义类上添加注解@Configuration和@EnableWebSecurity注解

/**
 * 配置Web应用程序的安全性，包括定义哪些URL需要被保护（即需要进行身份验证），以及如何进行身份验证等
 */
@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfig  extends WebSecurityConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //创建一个登录用户
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder.encode("123123"))
                .authorities("admin_role");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //关闭CSRF
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/auth/**", "/login/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .permitAll();
    }



    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        // 采用密码授权模式需要显式配置AuthenticationManager
        return super.authenticationManagerBean();
    }

}

4、获取授权码路径及参数

获取授权码的请求url：/oauth/authorize

参数列表如下

client_id：客户端准入标识。

response_type：授权码模式固定为code。

scope：客户端权限。

grant_type：授权类型，填写authorization_code，表示授权码模式

code：授权码，就是刚刚获取的授权码，注意：授权码只使用一次就无效了，需要重新申请。

redirect_uri：跳转uri，当授权码申请成功后会跳转到此地址，并在后边带上code参数

1、使用以下地址申请授权码
http://localhost:8080/oauth/authorize?client_id=test&response_type=code&grant_type=authorization_code&scop=all&redirect_uri=http://www.baidu.com

2、访问后，会让我们进行登录，登录成功之后就会跳转到我们的redirect_uri地址，并携带上了授权码

如下：fJf571就是我们的授权码

https://www.baidu.com/?code=fJf571

3、获取授权码之后，客户端就可以拿着授权码向授权服务器索要访问access_token

获取token的地址为：/oauth/token

参数列表如下：

client_id：客户端准入标识。
client_secret：客户端秘钥。
grant_type：授权类型，填写authorization_code，表示授权码模式
code：授权码，就是刚刚获取的授权码，注意：授权码只使用一次就无效了，需要重新申请。
redirect_uri：申请授权码时的跳转url，一定和申请授权码时用的redirect_uri一致
scope：权限