教程由来:项目需要为第三方客户端提供授权和资源访问,无疑OAuth2现在是最好的方式,如果OAuth2相关知识大家还不够了解,请移步到阮一峰的理解OAuth2.0,本文实战为主,理论方面请自行查阅相关资料。
1. OAuth2的四种模式
- 授权码模式(authorization code)(最正统的方式,也是目前绝大多数系统所采用的)(支持refresh token) (用在服务端应用之间)
- 密码模式(resource owner password credentials)(为遗留系统设计) (支持refresh token)
- 简化模式(implicit)(为web浏览器应用设计)(不支持refresh token) (用在移动app或者web app,这些app是在用户的设备上的,如在手机上调起微信来进行认证授权)
- 客户端模式(client credentials)(为后台api服务消费者设计) (不支持refresh token) (为后台api服务消费者设计)
本文采用数据库的方式对上述四种模式进行配置,网上绝大多数都是配置在内存中的demo,学习尚可,真实的开发环境却是还远远不够。
废话也就不多说了,咱进入正题吧。
2. 所需依赖
1 | //Springboot版本为2.0.2.RELEASE |
3. 授权服务器
授权服务器是OAuth2的两大核心之一,它将根据不同的授权类型为客户端提供不同的获取令牌的方式。
1 | @Configuration |
4. 资源服务器
1. 资源服务器主要配置拦截的路径,以及访问拦截的URL所需要的权限。
2. 本文,主系统、资源服务器和授权服务器放在一起的,很多人说这样配置security的主过滤器和资源服务器的过滤器会冲突,其实是不会的,资源服务器会优先于security主过滤器拦截你访问的URL,当然你也没必要在类上配置Order去改变他们的优先级,你只需要注意不要让你的资源服务器把security主过滤器放行的资源给拦截了就行。
下面直接上代码
1 | @Configuration |
关于资源拦截做几点说明:
1. 通过系统A用户申请的token除了能够访问到A用户被拦截的资源,还能够访问到A用户未被系统拦截的资源,所以最好为申请token的用户创建特定的角色(此类角色只能访问被资源服务器拦截的路径)。
2. 上述代码中` .antMatchers(“/authmenu/“).authenticated();`这段配置可以保证资源服务器不对本系统登录的用户做访问限制。**
5. 主过滤器的配置
关于主过滤器,每个人的配置可能不太一样,都是有一点是必须的,就是必须把authenticationManagerBean方法注册为bean,本文是基于前后端分离而开发,下文只出示了与OAuth2相关的配置,详细信息请参考文末的GitHub地址。
1 | @Override |
6. OAuth2所需数据表
1 | -- |
最后附上我数据库的配置截图,嗯,差不多了。
截图:
测试就不用写了吧,网上一大堆。
项目Github地址:https://github.com/Janche/springboot-security-project.git (你的星星是对我最大的支持)
oauth2相关资料参考