欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

基于SpringBoot整合oauth2实现token认证

程序员文章站 2022-05-20 17:37:44
这篇文章主要介绍了基于springboot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 se...

这篇文章主要介绍了基于springboot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

session和token的区别:

  • session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间.
  • sessionid失效问题和token内包含。
  • session基于cookie,app请求并没有cookie 。
  • token更加安全(每次请求都需要带上)

oauth2 密码授权流程

在oauth2协议里,每一个应用都有自己的一个clientid和clientsecret(需要去认证方申请),所以一旦想通过认证,必须要有认证方下发的clientid和secret。

基于SpringBoot整合oauth2实现token认证

1. pom

<!--security-->
    <dependency>
      <groupid>org.springframework.boot</groupid>
      <artifactid>spring-boot-starter-security</artifactid>
    </dependency>
    <dependency>
      <groupid>org.springframework.security.oauth</groupid>
      <artifactid>spring-security-oauth2</artifactid>
    </dependency>

2. userdetail实现认证第一步

myuserdetailsservice.java

@autowired
  private passwordencoder passwordencoder;

  /**
   * 根据进行登录
   * @param username
   * @return
   * @throws usernamenotfoundexception
   */
  @override
  public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
    log.info("登录用户名:"+username);
    string password = passwordencoder.encode("123456");
    //user三个参数  (用户名+密码+权限)
    //根据查找到的用户信息判断用户是否被冻结
    log.info("数据库密码:"+password);
    return new user(username,password, authorityutils.commaseparatedstringtoauthoritylist("admin"));
  }

3. 获取token的控制器

@restcontroller
public class oauthcontroller {

  @autowired
  private clientdetailsservice clientdetailsservice;
  @autowired
  private authorizationservertokenservices authorizationservertokenservices;
  @autowired
  private authenticationmanager authenticationmanager;

  @postmapping("/oauth/gettoken")
  public object gettoken(@requestparam string username, @requestparam string password, httpservletrequest request) throws ioexception {
    map<string,object>map = new hashmap<>(8);
    //进行验证
    string header = request.getheader("authorization");
    if (header == null && !header.startswith("basic")) {
      map.put("code",500);
      map.put("message","请求投中无client信息");
      return map;
    }
    string[] tokens = this.extractanddecodeheader(header, request);
    assert tokens.length == 2;
    //获取clientid 和 clientsecret
    string clientid = tokens[0];
    string clientsecret = tokens[1];
    //获取 clientdetails
    clientdetails clientdetails = clientdetailsservice.loadclientbyclientid(clientid);
    if (clientdetails == null){
      map.put("code",500);
      map.put("message","clientid 不存在"+clientid);
      return map;
      //判断 方言 是否一致
    }else if (!stringutils.equals(clientdetails.getclientsecret(),clientsecret)){
      map.put("code",500);
      map.put("message","clientsecret 不匹配"+clientid);
      return map;
    }
    //使用username、密码进行登录
    usernamepasswordauthenticationtoken authentication = new usernamepasswordauthenticationtoken(username, password);
    //调用指定的userdetailsservice,进行用户名密码验证
    authentication authenticate = authenticationmanager.authenticate(authentication);
    hrutils.setcurrentuser(authenticate);
    //放到session中
    //密码授权 模式, 组建 authentication
    tokenrequest tokenrequest = new tokenrequest(new hashmap<>(),clientid,clientdetails.getscope(),"password");

    oauth2request oauth2request = tokenrequest.createoauth2request(clientdetails);
    oauth2authentication oauth2authentication = new oauth2authentication(oauth2request,authentication);

    oauth2accesstoken token = authorizationservertokenservices.createaccesstoken(oauth2authentication);
    map.put("code",200);
    map.put("token",token.getvalue());
    map.put("refreshtoken",token.getrefreshtoken());
    return map;
  }

  /**
   * 解码请求头
   */
  private string[] extractanddecodeheader(string header, httpservletrequest request) throws ioexception {
    byte[] base64token = header.substring(6).getbytes("utf-8");

    byte[] decoded;
    try {
      decoded = base64.decode(base64token);
    } catch (illegalargumentexception var7) {
      throw new badcredentialsexception("failed to decode basic authentication token");
    }

    string token = new string(decoded, "utf-8");
    int delim = token.indexof(":");
    if (delim == -1) {
      throw new badcredentialsexception("invalid basic authentication token");
    } else {
      return new string[]{token.substring(0, delim), token.substring(delim + 1)};
    }
  }
}

4. 核心配置

(1)、security 配置类 说明登录方式、登录页面、哪个url需要认证、注入登录失败/成功过滤器

@configuration
public class browsersecurityconfig extends websecurityconfigureradapter {

  /**
   * 注入 自定义的 登录成功处理类
   */
  @autowired
  private myauthenticationsuccesshandler mysuccesshandler;
  /**
   * 注入 自定义的 登录失败处理类
   */
  @autowired
  private myauthenticationfailhandler myfailhandler;

  @autowired
  private validatecodefilter validatecodefilter;

  /**
   * 重写passwordencoder 接口中的方法,实例化加密策略
   * @return 返回 bcrypt 加密策略
   */
  @bean
  public passwordencoder passwordencoder(){
    return new bcryptpasswordencoder();
  }

  @override
  protected void configure(httpsecurity http) throws exception {
    //在usernamepasswordauthenticationfilter 过滤器前 加一个过滤器 来搞验证码
    http.addfilterbefore(validatecodefilter, usernamepasswordauthenticationfilter.class)
        //表单登录 方式
        .formlogin()
        .loginpage("/authentication/require")
        //登录需要经过的url请求
        .loginprocessingurl("/authentication/form")
        .passwordparameter("pwd")
        .usernameparameter("user")
        .successhandler(mysuccesshandler)
        .failurehandler(myfailhandler)
        .and()
        //请求授权
        .authorizerequests()
        //不需要权限认证的url
        .antmatchers("/oauth/*","/authentication/*","/code/image").permitall()
        //任何请求
        .anyrequest()
        //需要身份认证
        .authenticated()
        .and()
        //关闭跨站请求防护
        .csrf().disable();
    //默认注销地址:/logout
    http.logout().
        //注销之后 跳转的页面
        logoutsuccessurl("/authentication/require");
  }

  /**
   * 认证管理
   *
   * @return 认证管理对象
   * @throws exception 认证异常信息
   */
  @override
  @bean
  public authenticationmanager authenticationmanagerbean() throws exception {
    return super.authenticationmanagerbean();
  }
}

(2)、认证服务器

@configuration
@enableauthorizationserver
public class myauthorizationserverconfig extends authorizationserverconfigureradapter {
  @autowired
  private authenticationmanager authenticationmanager;

  @autowired
  private myuserdetailsservice userdetailsservice;




  @override
  public void configure(authorizationserversecurityconfigurer security) throws exception {
    super.configure(security);
  }

  /**
   * 客户端配置(给谁发令牌)
   * @param clients
   * @throws exception
   */
  @override
  public void configure(clientdetailsserviceconfigurer clients) throws exception {
    clients.inmemory().withclient("internet_plus")
        .secret("internet_plus")
        //有效时间 2小时
        .accesstokenvalidityseconds(72000)
        //密码授权模式和刷新令牌
        .authorizedgranttypes("refresh_token","password")
        .scopes( "all");
  }

  @override
  public void configure(authorizationserverendpointsconfigurer endpoints) throws exception {
    endpoints
        .authenticationmanager(authenticationmanager)
        .userdetailsservice(userdetailsservice);
  }
}

@enableresourceserver这个注解就决定了这是个资源服务器。它决定了哪些资源需要什么样的权限。

5、测试

基于SpringBoot整合oauth2实现token认证

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。