[译] JWT 整合 Spring Security OAuth

时间 2019-11-16

标签 jwt 整合 spring security oauth 栏目 Spring 繁體版

原文原文链接

www.baeldung.com/spring-secu…javascript

做者：Eugen Paraschivhtml

转载自公众号：stackgcjava

一、概述

在本教程中，咱们将讨论 Spring Security OAuth2 与 JSON Web Token 整合。git

本文在上一篇 OAuth 系列文章的基础上开展。github

二、Maven 配置

首先，须要在 pom.xml 中添加 spring-security-jwt 依赖：spring

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-jwt</artifactId>
</dependency>
复制代码

请注意，咱们须要在受权服务器和资源服务器的 pom.xml 中都加入 spring-security-jwt 依赖。json

三、受权服务器

接下来，咱们将配置受权服务器以使用 JwtTokenStore，以下所示：bash

@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore())
                 .accessTokenConverter(accessTokenConverter())
                 .authenticationManager(authenticationManager);
    }
 
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }
 
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("123");
        return converter;
    }
 
    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }
}
复制代码

请注意，咱们在 JwtAccessTokenConverter 中使用了一个对称密钥来签署咱们的令牌 —— 这意味着资源服务器须要使用一样的密钥。服务器

四、资源服务器

让咱们来看看资源服务器配置，它与受权服务器的配置很是类似：cookie

@Configuration
@EnableResourceServer
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(ResourceServerSecurityConfigurer config) {
        config.tokenServices(tokenServices());
    }
 
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }
 
    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("123");
        return converter;
    }
 
    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        return defaultTokenServices;
    }
}
复制代码

请记住，这两个服务器彻底分离且可独立部署，这就是咱们为什么要在新配置中再次声明一些相同的 bean 的缘由。

五、自定义 Token 中的 Claims

接下来设置一些基础设施，以便可以在 Access Token 中添加一些自定义的 claims。框架提供的标准 claims 很好，但在大多数状况下，咱们须要在令牌中添加一些额外的信息才能在客户端使用。

咱们定义一个 TokenEnhancer 来自定义 Access Token 和这些额外的 claims。

在如下示例中，咱们将使用该 CustomTokenEnhancer 向 Access Toekn 添加一个额外的字段 organization：

public class CustomTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance( OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>();
        additionalInfo.put("organization", authentication.getName() + randomAlphabetic(4));
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}
复制代码

而后，将其装配到受权服务器配置中，以下所示：

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
    tokenEnhancerChain.setTokenEnhancers(
      Arrays.asList(tokenEnhancer(), accessTokenConverter()));
 
    endpoints.tokenStore(tokenStore())
             .tokenEnhancer(tokenEnhancerChain)
             .authenticationManager(authenticationManager);
}
 
@Bean
public TokenEnhancer tokenEnhancer() {
    return new CustomTokenEnhancer();
}
复制代码

使用这个新配置来启动和运行，令牌的 payload 可能相似以下：

{
    "user_name": "john",
    "scope": [
        "foo",
        "read",
        "write"
    ],
    "organization": "johnIiCh",
    "exp": 1458126622,
    "authorities": [
        "ROLE_USER"
    ],
    "jti": "e0ad1ef3-a8a5-4eef-998d-00b26bc2c53f",
    "client_id": "fooClientIdPassword"
}
复制代码

5.一、在 JS 客户端中使用 Access Token

最后，咱们将在 AngualrJS 客户端应用中使用令牌信息。这里使用到了 angular-jwt 库。

在 index.html 中使用 organization claim：

<p class="navbar-text navbar-right">{{organization}}</p>
 
<script type="text/javascript" src="https://cdn.rawgit.com/auth0/angular-jwt/master/dist/angular-jwt.js"> </script>
 
<script> var app = angular.module('myApp', ["ngResource","ngRoute", "ngCookies", "angular-jwt"]); app.controller('mainCtrl', function($scope, $cookies, jwtHelper,...) { $scope.organiztion = ""; function getOrganization(){ var token = $cookies.get("access_token"); var payload = jwtHelper.decodeToken(token); $scope.organization = payload.organization; } ... }); 复制代码

六、非对称密钥对

在以前的配置中，咱们使用了对称密钥来签署令牌：

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    converter.setSigningKey("123");
    return converter;
}
复制代码

咱们还可使用非对称密钥（公钥和私钥）来完成签名过程。

6.一、生成 JKS Java KeyStore 文件

首先使用命令行工具 keytool 生成密钥 —— 尤为是 .jks 文件。

keytool -genkeypair -alias mytest 
                    -keyalg RSA 
                    -keypass mypass 
                    -keystore mytest.jks 
                    -storepass mypass
复制代码

该命令将生成一个名为 mytest.jks 的文件，其中包含咱们的密钥 —— 公钥和私钥。

此外，还要确保 keypass 和 storepass 是一致的。

6.二、导出公钥

接下来，须要从生成的 JKS 导出公钥，可使用如下命令：

keytool -list -rfc --keystore mytest.jks | openssl x509 -inform pem -pubkey
复制代码

可能会输出以下所示：

咱们仅使用公钥，将其复制到资源服务器的 src/main/resources/public.txt 文件中：

6.三、Maven 配置

咱们不但愿 JKS 文件被 maven 过滤处理影响到，所以须要确保在 pom.xml 中排除它：

<build>
    <resources>
        <resource>
            <directory>src/main/resources</directory>
            <filtering>true</filtering>
            <excludes>
                <exclude>*.jks</exclude>
            </excludes>
        </resource>
    </resources>
</build>
复制代码

若是使用 Spring Boot，咱们能够经过 Spring Boot Maven 插件的 addResources 将 JKS 文件添加到应用的 classpath 中：

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
            <configuration>
                <addResources>true</addResources>
            </configuration>
        </plugin>
    </plugins>
</build>
复制代码

6.四、受权服务器

配置 JwtAccessTokenConverter 使用 mytest.jks 中的密钥对，以下所示：

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    KeyStoreKeyFactory keyStoreKeyFactory = 
      new KeyStoreKeyFactory(new ClassPathResource("mytest.jks"), "mypass".toCharArray());
    converter.setKeyPair(keyStoreKeyFactory.getKeyPair("mytest"));
    return converter;
}
复制代码

6.五、资源服务器

最后，须要将资源服务器配置为使用公钥，以下所示：

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
    Resource resource = new ClassPathResource("public.txt");
    String publicKey = null;
    try {
        publicKey = IOUtils.toString(resource.getInputStream());
    } catch (final IOException e) {
        throw new RuntimeException(e);
    }
    converter.setVerifierKey(publicKey);
    return converter;
}
复制代码

七、结论

本文介绍了如何配置 Spring Security OAuth2 项目整合 JSON Web Token。

本教程的完整实现能够在项目 github中找到，这是一个 Eclipse 项目，很容易导入和运行。

原文示例代码

github.com/eugenp/spri…