juejin.im/post/5902ca705c497d005829ed6f
关键词Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA
写在前面这几天有人问我Spring Boot结合Spring Security实现OAuth认证的问题,写了个Demo,顺便分享下。Spring 2之后就没再用过Java,紧张是xml太麻烦,就投入了Node.js的怀抱,现在Java倒是好过之前很多,无论是实行效率还是其他什么。感谢Pivotal团队在Spring boot上的努力,感谢Josh Long,一个故意思的攻城狮。
我又搞Java也是为了去折腾微做事,由于目前看海内就Java程序猿最好找,虽然水平好的难找,但是至少能找到,不像其他编程措辞,找个会天下上最好的编程措辞PHP的人真的不易。
Spring Boot有了Spring Boot这样的神器,可以很大略的利用强大的Spring框架。你须要关心的事儿只是创建运用,不必再配置了,“Just run!”,这可是Josh Long每次演讲必说的,他的另一句必须说的便是“make jar not war”,这意味着,不用太关心是Tomcat还是Jetty或者Undertow了。专心办理逻辑问题,这当然是个好事儿,支配大略了很多。
创建Spring Boot运用有很多方法去创建Spring Boot项目,官方也推举用:
Spring Boot在线项目创建http://start.spring.io/CLI 工具https://docs.spring.io/spring-boot/docs/current/reference/html/cli-using-the-cli.html
start.spring.io可以方便选择你要用的组件,命令行工具当然也可以。目前Spring Boot已经到了1.53,我是
如果你感兴趣,可以自己考试测验下。你可以选Maven或者Gradle成为你项目的构建工具,Gradle优雅一些,利用了Groovy措辞进行描述。
打开start.spring.io,创建的项目只须要一个Dependency,也便是Web,然后下载项目,用IntellJ IDEA打开。我的Java版本是1.8。
这里看下全体项目的pom.xml文件中的依赖部分:
<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency></dependencies>
所有Spring Boot干系的依赖都因此starter形式涌现,这样你无需关心版本和干系的依赖,以是这样大大简化了开拓过程。
当你在pom文件中集成了spring-boot-maven-plugin插件后你可以利用Maven干系的命令来run你的运用。例如mvn spring-boot:run,这样会启动一个嵌入式的Tomcat,并运行在8080端口,直接访问你当然会得到一个Whitelabel Error Page,这解释Tomcat已经启动了。
创建一个Web 运用这还是一篇关于Web安全的文章,但是也得先有个大略的HTTP要求相应。我们先弄一个可以返回JSON的Controller。修处死式的入口文件:
@SpringBootApplication@RestController@EnableAutoConfigurationpublicclassDemoApplication{//main函数,SpringBoot程序入口publicstaticvoidmain(String[]args){SpringApplication.run(DemoApplication.class,args);}//根目录映射Get访问办法直接返回一个字符串@RequestMapping("/")Map<String,String>hello(){//返回map会变成JSONkeyvalue办法Map<String,String>map=newHashMap<String,String>();map.put("content","hellofreewolf~");returnmap;}}
这里我只管即便的写清楚,让不理解Spring Security的人通过这个例子可以理解这个东西,很多人都以为它很繁芜,而投向了Apache Shiro,实在这个并不难懂。知道紧张的处理流程,和这个流程中哪些类都起了哪些浸染就好了。
Spring Boot对付开拓职员最大的好处在于可以对Spring运用进行自动配置。Spring Boot会根据运用中声明的第三方依赖来自动配置Spring框架,而不须要进行显式的声明。
Spring Boot推举采取基于Java表明的配置办法,而不是传统的XML。只须要在主配置 Java 类上添加@EnableAutoConfiguration表明就可以启用自动配置。Spring Boot的自动配置功能是没有侵入性的,只是作为一种基本的默认实现。
这个入口类我们添加@RestController和@EnableAutoConfiguration两个表明。@RestController表明相称于@ResponseBody和@Controller合在一起的浸染。
run全体项目。访问http://localhost:8080/就能看到这个JSON的输出。利用Chrome浏览器可以装JSON Formatter这个插件,显示更PL一些。
{"content":"hellofreewolf~"}
为了显示统一的JSON返回,这里建立一个JSONResult类进行,大略的处理。首先修正pom.xml,加入org.json干系依赖。
<dependency><groupId>org.json</groupId><artifactId>json</artifactId></dependency>
然后在我们的代码中加入一个新的类,里面只有一个结果集处理方法,由于只是个Demo,所有这里都放在一个文件中。这个类只是让返回的JSON结果变为三部分:
status - 返回状态码 0 代表正常返回,其他都是缺点message - 一样平常显示缺点信息result - 结果集classJSONResult{publicstaticStringfillResultString(Integerstatus,Stringmessage,Objectresult){JSONObjectjsonObject=newJSONObject(){{put("status",status);put("message",message);put("result",result);}};returnjsonObject.toString();}}
然后我们引入一个新的@RestController并返回一些大略的结果,后面我们将对这些内容进行访问掌握,这里用到了上面的结果集处理类。这里多放两个方法,后面我们来测试权限和角色的验证用。
重新run这个文件,访问http://localhost:8080/users就看到了下面的结果:
{"result":["freewolf","tom","jerry"],"message":"","status":0}
如果你细心,你会创造这里的JSON返回时,Chrome的格式化插件彷佛并没有识别?这是为什么呢?我们借助curl分别看一下我们写的两个方法的Header信息.
curl-Ihttp://127.0.0.1:8080/curl-Ihttp://127.0.0.1:8080/users
可以看到第一个方法hello,由于返回值是Map,Spring已经有干系的机制自动处理成JSON:
Content-Type:application/json;charset=UTF-8
第二个方法usersList由于返回时String,由于是@RestControler已经含有了@ResponseBody也便是直接返回内容,并不模板。
以是便是:
Content-Type:text/plain;charset=UTF-8
那怎么才能让它变成JSON呢,实在也很大略只须要补充一下干系表明:
@RequestMapping(value="/users",produces="application/json;charset=UTF-8")
这样就好了。
利用JWT保护你的Spring Boot运用终于我们开始先容正题,这里我们会对/users进行访问掌握,先通过申请一个JWT(JSON Web Token读jot),然后通过这个访问/users,才能拿到数据。
关于JWT,出门奔向以下内容,这些不在本文谈论范围内:
https://tools.ietf.org/html/rfc7519https://jwt.io/
JWT很大程度上还是个新技能,通过利用HMAC(Hash-based Message Authentication Code)打算信息择要,也可以用RSA公私钥中的私钥进行署名。这个根据业务场景进行选择。
添加Spring Security根据上文我们说过我们要对/users进行访问掌握,让用户在/login进行登录并得到Token。这里我们须要将spring-boot-starter-security加入pom.xml。加入后,我们的Spring Boot项目将须要供应身份验证,干系的pom.xml如下:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.7.0</version></dependency>
至此我们之前所有的路由都须要身份验证。我们将引入一个安全设置类WebSecurityConfig,这个类须要从WebSecurityConfigurerAdapter类继续。
先放两个基本类,一个卖力存储用户名密码,另一个是一个权限类型,卖力存储权限和角色。
classAccountCredentials{privateStringusername;privateStringpassword;publicStringgetUsername(){returnusername;}publicvoidsetUsername(Stringusername){this.username=username;}publicStringgetPassword(){returnpassword;}publicvoidsetPassword(Stringpassword){this.password=password;}}classGrantedAuthorityImplimplementsGrantedAuthority{privateStringauthority;publicGrantedAuthorityImpl(Stringauthority){this.authority=authority;}publicvoidsetAuthority(Stringauthority){this.authority=authority;}@OverridepublicStringgetAuthority(){returnthis.authority;}}
在上面的安全设置类中,我们设置所有人都能访问/和POST办法访问/login,其他的任何路由都须要进行认证。然后将所有访问/login的要求,都交给JWTLoginFilter过滤器来处理。
稍后我们会创建这个过滤器和其他这里须要的JWTAuthenticationFilter和CustomAuthenticationProvider两个类。
先建立一个JWT天生,和验签的类
这个类就两个static方法,一个卖力天生JWT,一个卖力认证JWT末了天生验证令牌。注释已经写得很清楚了,这里不多说了。
下面来看自定义验证组件,这里大略写了,这个类便是供应密码验证功能,在实际利用时换本钱身相应的验证逻辑,从数据库中取出、比对、授予用户相应权限。
下面实现JWTLoginFilter 这个Filter比较大略,除告终构函数须要重写三个方法。
attemptAuthentication - 登录时须要验证时候调用successfulAuthentication - 验证成功后调用unsuccessfulAuthentication - 验证失落败后调用,这里直接注意灌输500缺点返回,由于同一JSON返回,HTTP就都返回200了再完成末了一个类JWTAuthenticationFilter,这也是个拦截器,它拦截所有须要JWT的要求,然后调用TokenAuthenticationService类的静态方法去做JWT验证。
classJWTAuthenticationFilterextendsGenericFilterBean{@OverridepublicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,FilterChainfilterChain)throwsIOException,ServletException{Authenticationauthentication=TokenAuthenticationService.getAuthentication((HttpServletRequest)request);SecurityContextHolder.getContext().setAuthentication(authentication);filterChain.doFilter(request,response);}}
现在代码就写完了,全体Spring Security结合JWT基本就差不多了,下面我们来测试下,并说下整体流程。
开始测试,先运行全体项目,这里先容下过程:
先程序启动 - main函数注册验证组件 - WebSecurityConfig 类 configure(AuthenticationManagerBuilder auth)方法,这里我们注册了自定义验证组件设置验证规则 - WebSecurityConfig 类 configure(HttpSecurity http)方法,这里设置了各种路由访问规则初始化过滤组件 - JWTLoginFilter 和 JWTAuthenticationFilter 类会初始化首先测试获取Token,这里利用CURL命令行工具来测试。
curl-H"Content-Type:application/json"-XPOST-d'{"username":"admin","password":"123456"}'http://127.0.0.1:8080/login
结果:
{"result":"eyJhbGciOiJIUzUxMiJ9.eyJhdXRob3JpdGllcyI6IlJPTEVfQURNSU4sQVVUSF9XUklURSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDkzNzgyMjQwfQ.HNfV1CU2CdAnBTH682C5-KOfr2P71xr9PYLaLpDVhOw8KWWSJ0lBo0BCq4LoNwsK_Y3-W3avgbJb0jW9FNYDRQ","message":"","status":0}
这里我们得到了干系的JWT,反Base64之后,便是下面的内容,标准JWT。
{"alg":"HS512"}{"authorities":"ROLE_ADMIN,AUTH_WRITE","sub":"admin","exp":1493782240}ͽ]BS`pS6~hCVH%ܬ)֝ଖoE5р
全体过程如下:
拿到传入JSON,解析用户名密码 - JWTLoginFilter 类 attemptAuthentication 方法自定义身份认证验证组件,进行身份认证 - CustomAuthenticationProvider 类 authenticate 方法盐城成功 - JWTLoginFilter 类 successfulAuthentication 方法天生JWT - TokenAuthenticationService 类 addAuthentication方法再测试一个访问资源的:
curl-H"Content-Type:application/json"-H"Authorization:BearereyJhbGciOiJIUzUxMiJ9.eyJhdXRob3JpdGllcyI6IlJPTEVfQURNSU4sQVVUSF9XUklURSIsInN1YiI6ImFkbWluIiwiZXhwIjoxNDkzNzgyMjQwfQ.HNfV1CU2CdAnBTH682C5-KOfr2P71xr9PYLaLpDVhOw8KWWSJ0lBo0BCq4LoNwsK_Y3-W3avgbJb0jW9FNYDRQ"http://127.0.0.1:8080/users
结果:
{"result":["freewolf","tom","jerry"],"message":"","status":0}
解释我们的Token生效可以正常访问。其他的结果您可以自己去测试。再回到处理流程:
接到要求进行拦截 - JWTAuthenticationFilter 中的方法验证JWT - TokenAuthenticationService 类 getAuthentication 方法访问Controller这样本文的紧张流程就结束了,本文紧张先容了,如何用Spring Security结合JWT保护你的Spring Boot运用。
如何利用Role和Authority,这里多说一句其实在Spring Security中,对付GrantedAuthority接口实现类来说是不区分是Role还是Authority,二者差异便是如果是hasAuthority判断,便是判断全体字符串,判断hasRole时,系统自动加上ROLE_到判断的Role字符串上,也便是说hasRole("CREATE")和hasAuthority('ROLE_CREATE')是相同的。利用这些可以搭建完全的RBAC体系。
本文到此,你已经会用了本文先容的知识点。
代码https://github.com/freew01f/securing-spring-boot-with-jwts
