Spring Security 與 Oauth2.0 Spring Security 與 Oauth2.0 問題 官方文檔解釋 現狀 & 遷移 授權服務器 客戶端 資源服務器

原創 Java柱柱 2021-01-14 02:06

Spring Security 與 Oauth2.0

問題

最近由於工作變動,我又開始搞 Java 後臺了(做回老本行)。目前第一個工作項目是搞一個用戶認證中心,於是便一腳踏入了 Spring Security 的坑裏面。其實當下比較流行的一套解決方案就是 Spring Security + Oauth2.0 + JWT 方式。可是當我開始集成 Spring Security 和 Oauth2.0 的時候,我眉頭一皺突然發現這個事情不簡單。 在創建 Springboot 工程時,可以選擇以下的 Oauth2.0 依賴:

spring-boot-starter-oauth2-client
spring-boot-starter-oauth2-resource-server
spring-cloud-starter-oauth2

我心想咋還這麼多依賴包呢。本着面向百度編程的原則,從一衆“天下文章一大抄”的博客裏發現他們還用的是另外兩個依賴:

spring-security-oauth2
spring-security-oauth2-autoconfigure

這我就頭大了啊,咋還整得這麼複雜呢。所以只能去扒官方文檔了。

官方文檔解釋

看到 Spring 官方對於 Oauth2.0 的解釋 ,他說了這麼一句

The Spring Security OAuth project is deprecated. The latest OAuth 2.0 support is provided by Spring Security. See the OAuth 2.0 Migration Guide for further details.

也就是說原來的 Spring Security OAuth2.0 已經廢棄了,有關 OAuth2.0 的支持已經集成到了 Spring Security 裏面了。這我就懵了。。。emmm。也就是說現在如果使用 spring-security-oauth2 ,裏面大部分方法都是被橫線劃掉的(被廢棄的)。爲啥要這樣呢?

後來本着喫瓜的心態,扒了扒 OAuth 和 Spring 社區的歷史。發現在 2018 年,Spring 社區就發佈了聲明,說是要逐漸停止現有的 OAuth2 支持,而在 Spring Security5 中構建下一代 OAuth2.0 支持。原因是Oauth2 落地混亂:Spring Security OAuth、Spring Cloud Security、Spring Boot 1.5.x 以及當時最新的 Spring Security5.x 中都提供了對 OAuth2 的實現。因此官方要統一放在一個地方。

我想,這是個好事啊,省的讓大家不知道使用哪一個了。當然官方也是很給力,不僅完成了對 Oauth2.0 的支持,也加入了 OpenID Connect1.0 的支持。但是呢,社區又來了個騷操作: 宣佈不再支持授權服務器 。因爲官方認爲授權服務器是一種產品形態,並非框架該完成的,其次目前已經有很多商用和開源的授權服務器了(例如 Keycloak、Okta)。但是一衆開發者不服啊,在社區裏進行激烈討論。於是官方妥協,發起了新的項目 spring-authorization-server ,目前已經迭代到了0.0.3版本。

現狀 & 遷移

喫完瓜,來看看這幾個包現在是什麼狀態。

spring-security-oauth2  -> 被廢棄,建議不使用,否則後期無法維護

spring-security-oauth2-autoconfigure  -> 自動配置,沒有用處
spring-boot-starter-oauth2-client -> 最新
spring-boot-starter-oauth2-resource-server  -> 最新
spring-cloud-starter-oauth2 -> 引用 spring-security-oauth2,但尚未標註被廢棄

這樣就比較明確了,現在的項目中需要依據該服務的用途去引用對應的包。

授權服務器

如果服務想做成授權服務器,暫時只能引用 spring-cloud-starter-oauth2 。因爲這個包也是引用了 spring-security-oauth2 ,但尚未標註 @Deprecated ,然後仍舊使用 @EnableAuthorityServer 註解進行配置。等待 spring-authorization-server 成熟,需要切換過來。

客戶端

現在如果要開發客戶端,只需要引用 spring-boot-starter-oauth2-client ,也只需要在原來的 SpringSecurity 的配置類中,調用 .oauth2Client() 即可配置,不需要以前的 @EnableOAuth2Client 註解了。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .failureUrl("/login-error")
                .permitAll()
                .and()
            .oauth2Client(); //
    }

}

除此之外,也需要配置 WebClient 和 OAuth2AuthorizedClientManager 這兩個 Bean。具體如何實現,先挖個坑,以後再填。

資源服務器

資源服務器也只需要引用 spring-boot-starter-oauth2-resource-server ,若使用 JWK 方式,其配置如下(也僅僅是調用 .oauth2ResourceServer() )

@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Value("${spring.security.oauth2.resourceserver.jwt.jwk-set-uri}")
    private String jwkSetUri;

    @Override
    protected void configure(HttpSecurity http) throws Exception{
        http
                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/message/**").hasAuthority("SCOPE_all")
                .anyRequest().authenticated();
    }

    @Bean
    JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withJwkSetUri(this.jwkSetUri).build();
    }
}

來源:https://www.tuicool.com/articles/euUN3i2

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發72-倍速推流/音視頻同步倍速推流/不改變幀率和採樣率/低倍速和高倍速

一、前言 最近多了個新需求,需要倍速推流,推流界的扛把子obs也有倍速推流功能,最高支持到兩倍速。這裏所說的倍速,當然只限定在文件,只有文件纔可能有倍速功能,因爲也只有文件才能倍速解碼播放。實時視頻流是不可能倍速的,因爲沒有時長,有時長的纔

飛揚青雲 2024-05-05 14:31:43

IDEA 選擇 Maven profile 後不生效

參考:Idea select maven profile sometimes not working 發現切換 profile 後沒有生效。 可以進入運行配置,在 Before launch 中加入 compile 目標。

Higurashi-kagome 2024-05-05 14:27:42

win11關閉自動檢測病毒刪文件

關閉掉保護即可. 有時候莊遊戲, 總是被系統當病毒刪了.

張博的博客 2024-05-05 14:19:42

編程方法學

編程語言Rank https://www.tiobe.com/tiobe-index/ 雷軍代碼:(彙編語言Assembly Language/.ass) https://cloud.tencent.com/developer/art

Qtodd 2024-05-05 14:13:31

.Net 8.0 下的新RPC,IceRPC之如何創建連接connection

作者引言 很高興啊,我們來到了IceRPC之如何創建連接connection,基礎引導,讓自已不在迷茫,快樂的暢遊世界。 如何創建連接connection 學習如何使用IceRPC,創建和接受連接。 連接有什麼用途? 連接在 Ice

xlgwr 2024-05-05 13:54:30

.NET 8 的openEuler 容器鏡像

目前.NET 8的容器鏡像已經支持openEuler,以openEuler爲基礎鏡像的應用鏡像:dotnet-deps、dotnet-runtime 和 dotnet-aspnet。基礎鏡像簡介這裏存放着由openEuler官方提供的容器鏡

張善友 2024-05-05 13:52:30

讓.NET 8 支持 Windows Vista RTM

衆所周知,從 Windows 的每次更新又會新增大量 API,這使得兼容不同版本的 Windows 需要花費很大精力。導致現在大量開源項目已經不再兼容一些早期的 Windows 版本,比如 .NET 8 AOT編譯命令行程序時生成的EXE,

張善友 2024-05-05 13:52:29

千兆寬帶實際網速能到達多少?

背景 在生活中,經常會遇到這樣的問題,我們申請的帶寬是1000M,但實際下載的最高速度只有125MB(1000Mb / 8 = 125MB) 有的人就會問,爲什麼下載速度這麼慢?爲什麼要除以8呢? 對於這個問題,首先要知道,帶寬和網速,他們

翎野 2024-05-05 13:49:29

剝開網線表皮,裏面的8根線分別代表什麼以及作用

 網線是現代網絡通信的核心組成部分,其八根線的作用各有不同。首先,網線由八根細線組成,每根細線都有其特定的功能和作用。 第一根細線: 負責發送數據信號。在計算機網絡通信中,數據的傳輸需要依靠信號來進行。因此,第一根細線的作用就是

翎野 2024-05-05 13:49:29

「 網絡安全術語解讀 」通用平臺枚舉CPE詳解

https://blog.csdn.net/u013129300/article/details/129329786

規格嚴格-功夫到家 2024-05-05 13:43:19

深入學習和理解Django視圖層:處理請求與響應

title: 深入學習和理解Django視圖層:處理請求與響應 date: 2024/5/4 17:47:55 updated: 2024/5/4 17:47:55 categories: 後端開發 tags: Django 請求處

Mifen 2024-05-05 13:38:28

成都 VS 深圳

日常 成都:好多老頭老太太 深圳:咋這個多年輕人 成都:早上公園一堆堆的打太極 深圳:早上公園一堆堆跳廣場舞 成都:一到冬天,天天霧霾 深圳:一年四季碧水藍天 成都:沒有山,山都在西邊去了 深圳:大山小山不少,有山或水必有公園。週末沒事爬爬

hua1989 2024-05-05 13:38:18

如何閱讀 Paper

前言 論文(Paper)通常是新技術、算法、編程方法或軟件工具的首次公佈。通過閱讀論文,我們可以瞭解最新的技術進展,保持自己的技能和知識是最新的。 同時,論文提供了對特定主題深入理解的機會。它們通常包含詳細的理論分析和實驗結果,這有助於深入

mghio 2024-05-05 13:32:48

REACT: SYNERGIZING REASONING AND ACTING IN LANGUAGE MODELS

發表時間:2023(ICLR 2023) 文章要點:文章提出一個簡單有效的ReAct框架,將reasoning和action結合,在交互式的環境上進行測試,取得了很好的效果。其中reasoning作爲推理模塊,幫助模型歸納,跟蹤和更新動作規

initial_h 2024-05-05 13:32:27

sysbench的部分基準性能測試學習

sysbench的部分基準性能測試學習 命令 Compiled-in tests: fileio - File I/O test cpu - CPU performance test memory - Memory funct

濟南小老虎 2024-05-05 13:29:27