SpringBoot 整合 oauth2（三）實現 token 認證

2018-05-19 23:15:12 浮生偷閒

內容導讀

關於session和token的使用，網上爭議一直很大。
總的來說爭議在這裡：

session是空間換時間，而token是時間換空間。session佔用空間，但是可以管理過期時間，token管理部了過期時間，但是不佔用空間.
sessionId失效問題和token內包含。
session基於cookie，app請求並沒有cookie 。
token更加安全(每次請求都需要帶上)。

第一章順風車：

第二章順風車：

開始正文了...

本文大概流程：

oauth2流程簡介

詳情請參考文檔：

在oauth2協議裡，每一個應用都有自己的一個clientId和clientSecret（需要去認證方申請），所以一旦想通過認證，必須要有認證方下發的clientId和secret。

原理這塊確實很麻煩，希望不理解的多看看參考文檔。

1. pom

   org.springframework.boot spring-boot-starter-security   org.springframework.security.oauth spring-security-oauth2

2. 項目架構介紹

我們需要這七個類來完成。

3. UserDetail實現認證第一步

MyUserDetailsService.java

/** * Created by Fant.J. */@Componentpublic class MyUserDetailsService implements UserDetailsService { @Reference(version = "2.0.0") private UserService userService; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { String passwd = ""; System.out.println("收到的賬號"+username); if (CheckFormat.isEmail(username)){ passwd = userService.selectPasswdByEmail(username); }else if (CheckFormat.isPhone(username)){ passwd = userService.selectPasswdByPhone(username); }else { throw new RuntimeException("登錄賬號不存在"); } System.out.println("查到的密碼"+passwd); return new User(username, passwd, AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER")); }}

這裡重寫了security認證UserDetailsService 的接口方法，添加了自定義數據庫密碼的查詢和校驗。

為什麼我把它放在了controller包了呢，因為我用的dubbo，@Reference註解掃描包是controller。這注解在別的包下失效。沒搞過dubbo的朋友就把它當作是調用service層就行。

4. 認證成功/失敗處理器

這部分在security的就有，這裡稍有改動。

改動一：去掉了返回view還是json的判斷，統一返回json。

改動二：修改登陸成功處理器，添加oauth2 客戶端的認證。

MyAuthenticationFailHandler.java

/** * 自定義登錄失敗處理器 * Created by Fant.J. */@Componentpublic class MyAuthenticationFailHandler extends SimpleUrlAuthenticationFailureHandler { private Logger logger = LoggerFactory.getLogger(getClass()); @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { logger.info("登錄失敗"); //設置狀態碼 response.setStatus(500); response.setContentType("application/json;charset=UTF-8"); //將 登錄失敗 信息打包成json格式返回 response.getWriter().write(JSON.toJSONString(ServerResponse.createByErrorMessage(exception.getMessage()))); }}

MyAuthenticationSuccessHandler.java

/** * Created by Fant.J. */@Componentpublic class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler { private Logger logger = LoggerFactory.getLogger(getClass()); @Autowired private ClientDetailsService clientDetailsService; @Autowired private AuthorizationServerTokenServices authorizationServerTokenServices; @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { logger.info("登錄成功"); String header = request.getHeader("Authorization"); if (header == null && !header.startsWith("Basic")) { throw new UnapprovedClientAuthenticationException("請求投中無client信息"); } String[] tokens = this.extractAndDecodeHeader(header, request); assert tokens.length == 2; //獲取clientId 和 clientSecret String clientId = tokens[0]; String clientSecret = tokens[1]; //獲取 ClientDetails ClientDetails clientDetails = clientDetailsService.loadClientByClientId(clientId); if (clientDetails == null){ throw new UnapprovedClientAuthenticationException("clientId 不存在"+clientId); //判斷 方言 是否一致 }else if (!StringUtils.equals(clientDetails.getClientSecret(),clientSecret)){ throw new UnapprovedClientAuthenticationException("clientSecret 不匹配"+clientId); } //密碼授權 模式, 組建 authentication TokenRequest tokenRequest = new TokenRequest(MapUtils.EMPTY_MAP,clientId,clientDetails.getScope(),"password"); OAuth2Request oAuth2Request = tokenRequest.createOAuth2Request(clientDetails); OAuth2Authentication oAuth2Authentication = new OAuth2Authentication(oAuth2Request,authentication); OAuth2AccessToken token = authorizationServerTokenServices.createAccessToken(oAuth2Authentication); //判斷是json 格式返回 還是 view 格式返回 //將 authention 信息打包成json格式返回 response.setContentType("application/json;charset=UTF-8"); response.getWriter().write(JSON.toJSONString(ServerResponse.createBySuccess(token))); } /** * 解碼請求頭 */ private String[] extractAndDecodeHeader(String header, HttpServletRequest request) throws IOException { byte[] base64Token = header.substring(6).getBytes("UTF-8"); byte[] decoded; try { decoded = Base64.decode(base64Token); } catch (IllegalArgumentException var7) { throw new BadCredentialsException("Failed to decode basic authentication token"); } String token = new String(decoded, "UTF-8"); int delim = token.indexOf(":"); if (delim == -1) { throw new BadCredentialsException("Invalid basic authentication token"); } else { return new String[]{token.substring(0, delim), token.substring(delim + 1)}; } }}

描述：

從request的請求頭中拿到Authorization信息，根據clientId獲取到secret和請求頭中的secret信息做對比，如果正確，組建一個新的TokenRequest類，然後根據前者和clientDetails創建OAuth2Request對象，然後根據前者和authentication創建OAuth2Authentication對象。最後通過AuthorizationServerTokenServices和前者前者創建OAuth2AccessToken對象。然後將token返回。

提示：

請求頭：Authorization -> Basic aW50ZXJuZXRfcGx1czppbnRlcm5ldF9wbHVz 。注意是Basic 開頭然後是clientid:clientScret 格式進行base64加密後的字符串。
請求參數：username和password是必須要的參數，值對應的就是賬號密碼，還有給可有可無的就是scope，它來聲明該用戶有多大的權限，默認是all。grant_type也是默認的參數，默認是password，它表示你以哪種認證模式來認證。

這是請求頭解密現場

5. 配置認證/資源服務器

MyResourceServerConfig.java

/** * 資源服務器 * Created by Fant.J. */@Configuration@EnableResourceServerpublic class MyResourceServerConfig extends ResourceServerConfigurerAdapter { @Autowired private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler; @Autowired private MyAuthenticationFailHandler myAuthenticationFailHandler; @Override public void configure(HttpSecurity http) throws Exception { //表單登錄 方式 http.formLogin() .loginPage("/authentication/require") //登錄需要經過的url請求 .loginProcessingUrl("/authentication/form") .successHandler(myAuthenticationSuccessHandler) .failureHandler(myAuthenticationFailHandler); http .authorizeRequests() .antMatchers("/user/*") .authenticated() .antMatchers("/oauth/token").permitAll() .anyRequest() .permitAll() .and() //關閉跨站請求防護 .csrf().disable(); }}

我這裡只需要認證/user/*開頭的url。@EnableResourceServer這個註解就決定了這十個資源服務器。它決定了哪些資源需要什麼樣的權限。

MyAuthorizationServerConfig.java

/** * 認證服務器 * Created by Fant.J. */@Configuration@EnableAuthorizationServerpublic class MyAuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { super.configure(security); } /** * 客戶端配置（給誰發令牌） * @param clients * @throws Exception */ @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory().withClient("internet_plus") .secret("internet_plus") //有效時間 2小時 .accessTokenValiditySeconds(72000) //密碼授權模式和刷新令牌 .authorizedGrantTypes({"refresh_token","password"}) .scopes( "all"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } }}

@EnableAuthorizationServer就代表了它是個認證服務端。

一般來講，認證服務器是第三方提供的服務，比如你想接入qq登陸接口，那麼認證服務器就是騰訊提供，然後你在本地做資源服務，但是認證和資源服務不是非要物理上的分離，只需要做到邏輯上的分離就好。

執行

好了，啟動項目。

1. 給/oauth/token 發送post請求獲取token

請求頭：Authorization:Basic +clientid:secret 的base64加密字符串 (認證服務器中設置的client信息)

請求參數：username password (用戶登陸賬號密碼)

{ "data": { "refreshToken": { "expiration": 1528892642111, "value": "xxxxxx-xxxxxx-xxxxx-xxxxxxxx" }, "scope": [ "all" ], "tokenType": "bearer", "value": "xxxxxx-xxxxxx-xxxxx-xxxxxxxx" }, "status": 200, "success": true}

2. 給/oauth/token 發送post請求刷新token

請求頭: 不需要

請求參數：

grant_type:refresh_token
refresh_token:獲取token時返回的refreshToken的value

3. 訪問受保護的資源，比如/user/2

類型：get請求

請求頭：Authorization: bearer + tokenValue

介紹下我的所有文集：

流行框架

底層實現原理：

分享到:

閱讀更多 浮生偷閒 的文章

關鍵字: 整合技術物理

Spring cloud + vue + oAuth2.0搭建企業級微服務項目源碼分享

死磕 OAuth2，教練我要學全套的！

這個案例寫出來，還怕跟面試官扯不明白 OAuth2 登錄流程？

可能是全網最詳細的 Spring Cloud OAuth2 單點登錄使用教程了

圖文並茂，帶你梳理一下 OAuth2.0 概念和授權流程

Spring Cloud OAuth2 實現用戶認證及單點登錄

03.06 Spring Cloud OAuth2 實現用戶認證及單點登錄

Spring Boot Security OAuth2 實現支持JWT令牌的授權服務器

OAuth2.0 權限驗證過程是咋樣的，帶你來解析

使用 SpringBoot Admin 監控你的 SpringBoot 程序

OAuth2.0 最直觀配置

01.14 OAuth2.0 最直觀配置

01.12 OAuth2.0 技術選型參考

一文帶你瞭解 OAuth2 協議與 Spring Security OAuth2 集成

01.08 一文帶你瞭解 OAuth2 協議與 Spring Security OAuth2 集成

SpringBoot+Security+oAuth2+Jpa+AntDesign+Quartz的批處理系統

「SpringBoot」 SpringBoot Datasource不引入莫名報的錯

10.15 springboot 使用AOP實現防止接口重複提交

10.12 SpringBoot+layui實現win10風格的一套系統

SpringBoot：處理跨域請求

open-cloud基於springcloud、oauth2、nacos打造的微服務開放平臺

SpringBoot Starter機制和資源文件的讀取

SpringBoot--自定義的starter

SpringBoot 整合篇

springboot 統一異常處理（包含統一數據校驗）

SpringBoot 究竟是如何跑起來的?

Springboot-Redis分佈式鎖

SpringBoot 之集成郵件服務

Spring Cloud 微服務中搭建 OAuth2.0 認證授權服務

SpringBoot+Dubbo搭建微服務

SpringBoot 玩轉讀寫分離

SpringBoot 之Thymeleaf模板

SpringBoot+Elasticsearch

09.06 SpringBoot 應用程序啟動過程探祕

springboot 統一異常管理

SpringBoot+Activiti的serviceTask注入異常問題

SpringBoot——YAML文件介紹

oAuth2 升級 Spring Cloud Finchley.RELEASE 踩坑分享

oAuth2 升級Spring Cloud Finchley.RELEASE踩坑分享

springboot websocket後臺主動推送消息

SpringBoot+zk+dubbo架構實踐（二）：SpringBoot 集成 zookeeper

springboot~內嵌redis的使用

05.23 SpringBoot 概念和起步

SpringBoot 概念和起步

今年求職必會的框架——SpringBoot

springboot cors跨域請求配置

整合阿里dubbo服務的項目搭建實戰(springboot)

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"