Spring-Security

[译]Spring Security 和 JWT 入门

Spring-Boot
ChenSoul

Spring Security 为 Java 应用程序提供了一套全面的安全功能,涵盖身份验证、授权、会话管理以及针对CSRF(跨站点请求伪造)等常见安全威胁的防护。Spring Security 框架具有高度可定制性,允许开发人员根据其应用程序需求来管理安全配置。它提供了一个灵活的架构,支持各种身份验证机制,如基本身份验证、JWT 和 OAuth。

[译]OAuth2 with Spring 第2部分:授权服务器入门

Spring-Boot
ChenSoul

原文地址:https://mainul35.medium.com/oauth2-with-spring-part-2-getting-started-with-authorization-server-13804910cb2a

Spring 团队最近发布了他们的授权服务器。OAuth2 一直是一个热门话题,而构建或理解授权服务器一直是一个谜。在本系列的第 1 部分中,我描述了几乎所有您需要了解的有关 OAuth2 的概念性内容。在本系列的这篇文章中,我将尝试演示如何构建具有client_credential授权类型的授权服务器。我将从使用配置属性进行自动配置开始解释它们,并通过编写 Java 代码自定义配置。让我们开始吧。

2023-12-28|今天做了什么

Review
ChenSoul

今天做了什么:

  • 重构微服务项目中使用 spring-security-oauth2 搭建 OAuth2 认证服务和资源服务的代码,减少其他模块对此的耦合度。计划将 spring-security-oauth2 迁移到 spring-security-oauth2-authorization-server 上,即使用 OAuth2.1 授权和认证。Spring Authorization Server 相关文档,可以参考 https://blog.51cto.com/u_15268610/category2
  • xuxiaowei-cloud master 分支源代码,整理 /login 登陆逻辑,参数:username、password、tenantId、clientId

登陆成功

2023-12-27|今天做了什么

Review
ChenSoul

今天做了什么:

  • 微服务项目中认证服务器配置授权码模式,并测试通过
    • 扩展 RedisAuthorizationCodeServices ,支持设置过期时间。
      • 注意:OAuth2Authentication 无法从 json 反序列化,故无法使用 JSON 反序列化类,只能使用 JDK 反序列化类。
    • 扩展 BearerTokenExtractor,支持从 request 请求的 header 中读取 access_token
    • 配置 JWK token 使用时
      • 扩展 JwtAccessTokenConverter ,用于解析 jwks 接口返回的 json,相关说明参考 creating-the-jwk-set-endpoint
      • JwkDefinitionSource 类中获取 jwkSetUrls 时,不支持 url 中配置服务名称,即不支持负载均衡。故,重写该类以支持通过 RestTemplate (可以注入一个支持负载均衡的 RestTemplate) 解析 jwkSetUrls 返回的 json 类型的字符串;创建了一个支持负载均衡的 TokenStore。
  • 运行 xuxiaowei-cloud 项目时
    • 提示 Rollup failed to resolve import "@vue/shared",原因:这个错误是由于无法解析到 @vue/shared 这个包导致的。@vue/shared 是 Vue 内部使用的一个共享工具库。解决方案:将 @vue/shared 添加到项目的依赖中。
      npm install --save @vue/shared
    • Controller 的方法上添加注解判断是否有权限,例子: @PreAuthorize("hasAuthority('manage_user_authority') or #oauth2.hasScope('manage_user_authority')")
    • Principal 中的用户对象,即 UserDetails 对象不添加额外字段,只有 username,如果想获取用户信息,需要通过用户服务去查询。

关于 OAuth2 的参考资料: