[译] 学习 Spring Security（八）：使用 Spring Security OAuth2 实现单点登陆

时间 2019-11-17

标签学习 spring security 使用 oauth2 oauth 实现单点登陆栏目 Spring 繁體版

原文原文链接

www.baeldung.com/sso-spring-…html

做者：baeldung前端

转载自公众号：stackgcjava

一、概述

在本教程中，咱们将讨论如何使用 Spring Security OAuth 和 Spring Boot 实现 SSO（单点登陆）。git

本示例将使用到三个独立应用github

一个受权服务器（中央认证机制）
两个客户端应用（使用到了 SSO 的应用）

简而言之，当用户尝试访问客户端应用的安全页面时，他们首先经过身份验证服务器重定向进行身份验证。web

咱们将使用 OAuth2 中的 Authorization Code 受权类型来驱动受权。spring

二、客户端应用

先从客户端应用下手，使用 Spring Boot 来最小化配置：安全

2.一、Maven 依赖

首先，须要在 pom.xml 中添加如下依赖：服务器

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
复制代码

2.二、安全配置

接下来，最重要的部分就是客户端应用的安全配置：cookie

@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
     
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
          .authorizeRequests()
          .antMatchers("/", "/login**")
          .permitAll()
          .anyRequest()
          .authenticated();
    }
}
复制代码

固然，该配置的核心部分是 @EnableOAuth2Sso 注解，咱们用它来启用单点登陆。

请注意，咱们须要继承 WebSecurityConfigurerAdapter — 若是没有它，全部路径都将被保护 — 所以用户在尝试访问任何页面时将被重定向到登陆页面。在当前这个示例中，索引页面和登陆页面能够在没有身份验证的状况下能够访问。

最后，咱们还定义了一个 RequestContextListener bean 来处理请求。

application.yml：

server:
 port: 8082
 context-path: /ui
 session:
 cookie:
 name: UISESSION
security:
 basic:
 enabled: false
 oauth2:
 client:
 clientId: SampleClientId
 clientSecret: secret
 accessTokenUri: http://localhost:8081/auth/oauth/token
 userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
 resource:
 userInfoUri: http://localhost:8081/auth/user/me
spring:
 thymeleaf:
 cache: false
复制代码

有几点须要说明：

咱们禁用了默认的 Basic Authentication
accessTokenUri 是获取访问令牌的 URI
userAuthorizationUri 是用户将被重定向到的受权 URI
用户端点 userInfoUri URI 用于获取当前用户的详细信息

另外须要注意，在本例中，咱们使用了本身搭建的受权服务器，固然，咱们也可使用其余第三方提供商的受权服务器，例如 Facebook 或 GitHub。

2.三、前端

如今来看看客户端应用的前端配置。咱们不想把太多时间花费在这里，主要是由于以前已经介绍过了。

客户端应用有一个很是简单的前端：

index.html：

<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>
复制代码

securedPage.html：

<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>
复制代码

securedPage.html 页面须要用户进行身份验证。若是未通过身份验证的用户尝试访问 securedPage.html，他们将首先被重定向到登陆页面。

三、认证服务器

如今让咱们开始来讨论受权服务器。

3.一、Maven 依赖

首先，在 pom.xml 中定义依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
</dependency>
复制代码

3.二、OAuth 配置

理解咱们为何要在这里将受权服务器和资源服务器做为一个单独的可部署单元一块儿运行这一点很是重要。

让咱们从配置资源服务器开始探讨：

@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
    public static void main(String[] args) {
        SpringApplication.run(AuthorizationServerApplication.class, args);
    }
}
复制代码

以后，配置受权服务器：

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    @Autowired
    private AuthenticationManager authenticationManager;
 
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()")
          .checkTokenAccess("isAuthenticated()");
    }
 
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
          .withClient("SampleClientId")
          .secret("secret")
          .authorizedGrantTypes("authorization_code")
          .scopes("user_info")
          .autoApprove(true) ; 
    }
 
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager);
    }
}
复制代码

须要注意的是咱们使用 authorization_code 受权类型来开启一个简单的客户端。

3.三、安全配置

首先，咱们将经过 application.properties 禁用默认的 Basic Authentication：

server.port=8081
server.context-path=/auth
security.basic.enabled=false
复制代码

如今，让咱们到配置定义一个简单的表单登陆机制：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private AuthenticationManager authenticationManager;
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers()
          .antMatchers("/login", "/oauth/authorize")
          .and()
          .authorizeRequests()
          .anyRequest().authenticated()
          .and()
          .formLogin().permitAll();
    }
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.parentAuthenticationManager(authenticationManager)
          .inMemoryAuthentication()
          .withUser("john").password("123").roles("USER");
    }
}
复制代码

请注意，虽然咱们使用了简单的内存认证，但能够很简单地将其替换为自定义的 userDetailsService。

3.四、用户端点

最后，咱们将建立以前在配置中使用到的用户端点：

@RestController
public class UserController {
    @GetMapping("/user/me")
    public Principal user(Principal principal) {
        return principal;
    }
}
复制代码

用户数据将以 JSON 形式返回。

四、结论

在这篇快速教程中，咱们使用 Spring Security Oauth2 和 Spring Boot 实现了单点登陆。

一如既往，您能够在 GitHub 上找到完整的源码。

原文项目示例代码

github.com/eugenp/tuto…