用于Web应用程序的Spring Oauth
我有一个问题,我正在努力找到一个像样的答案,希望通过说出这个问题,有人能够引导我或建议我朝着正确的方向前进 我们当前的所有web应用程序都是使用Spring构建的,其中当然包括由Spring安全模块处理的安全性。 我们正在探索将一些新的android项目集成到这些web应用程序中的机会 经过一些研究和指导,所有标志都指向Android应用程序中的OAuth2实现,并使用它通过Restfull调用访问web应用程序服务器的相关部分 我现在试图理解的是,我们是否可以也应该在web应用程序中替换现有的Spring安全实现,并用Spring Oauth2等效物替换它 总体目标是能够有一个单一的安全解决方案,我们可以将其用于网站登录、应用程序登录和任何将暴露于其他web应用程序的API实现用于Web应用程序的Spring Oauth,spring,spring-security,spring-security-oauth2,Spring,Spring Security,Spring Security Oauth2,我有一个问题,我正在努力找到一个像样的答案,希望通过说出这个问题,有人能够引导我或建议我朝着正确的方向前进 我们当前的所有web应用程序都是使用Spring构建的,其中当然包括由Spring安全模块处理的安全性。 我们正在探索将一些新的android项目集成到这些web应用程序中的机会 经过一些研究和指导,所有标志都指向Android应用程序中的OAuth2实现,并使用它通过Restfull调用访问web应用程序服务器的相关部分 我现在试图理解的是,我们是否可以也应该在web应用程序中替换现有的
如果任何人也能提供到Spring Oauth2 Java配置(非XML)设置的链接,在该设置中,用户登录并基于其角色以无效的方式访问页面,也将非常有用。我们发现的大多数示例要么极其复杂,只关注restfull调用,要么只关注XML配置。您似乎没有听说过spring云安全项目,它极大地简化了与oauth2提供商的工作。看看: github(上页右侧)提供了一些示例。它展示了如何设置,以防您只想使用一个oauth2提供程序检查项目,该项目展示了如何为github进行设置。您可以通过
application.yml
file+add@enableAuth2sso
注释中的配置来完成大部分工作,从而启动所有机器
对于与web应用程序的“正常”交互来说,这是非常困难的。如果您需要您的应用程序作为其他应用程序的api,那么您必须维护令牌,将它们添加到请求等。如果您的api的客户端也是您可以更改的代码,那么您可以使用OAuth2RestTemplate
类来处理令牌,因此您可以像往常一样/不安全的端点一样查询您的api
例如,如果需要为不同的路径使用两个不同的提供程序,则更复杂的是,您必须将它们全部配置为:
@Bean
public OAuth2RestTemplate facebookOAuth2RestTemplate(OAuth2ClientContext clientContext) {
return new OAuth2RestTemplate(facebookOAuth2ResourceDetails(), clientContext);
}
@Bean
public OAuth2ProtectedResourceDetails facebookOAuth2ResourceDetails() {
AuthorizationCodeResourceDetails resource = new AuthorizationCodeResourceDetails();
resource.setAccessTokenUri(tokenUri);
resource.setId("id");
resource.setUserAuthorizationUri(authorizationUri);
resource.setUseCurrentUri(false);
resource.setPreEstablishedRedirectUri(redirectUri);
resource.setClientId(clientId);
resource.setClientSecret(clientSecret);
resource.setTokenName("tokenname");
resource.setAuthenticationScheme(AuthenticationScheme.query);
resource.setClientAuthenticationScheme(AuthenticationScheme.form);
return resource;
}
并决定在哪种情况下使用OAuth2RestTemplate
的哪个实例
//更新
如果您想通过某些oauth2提供商与授权用户交换spring security core,您可以扩展OAuth2ssoconfigureAdapter
class:
@Configuration
@EnableOAuth2Sso
public class WebSecurityConfig extends OAuth2SsoConfigurerAdapter {
@Override
public void match(RequestMatchers matchers) {
matchers.antMatchers("/admin");
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin").hasRole("ADMIN")
.and()
.logout().logoutUrl("/logout").permitAll()
.logoutSuccessUrl("/");
}
因此/admin现在将受到保护,用户将重定向到您指定的任何授权服务器。它需要在application.yml
中进行oauth配置
spring:
oauth2:
client: # Sauron
clientId: app_clientid
clientSecret: app_secret
accessTokenUri: http://authorizationserver/oauth/token
userAuthorizationUri: http://authorizationserver/oauth/authorize
clientAuthenticationScheme: header
resource:
tokenInfoUri: http://authorizationserver/oauth/check_token
preferTokenInfo: false
这就是为什么我之前写过,它很容易使用一台auhorization服务器,但如果您需要更多,它会更复杂。您似乎没有听说过spring云安全项目,它极大地简化了与oauth2提供商的工作。看看: github(上页右侧)提供了一些示例。它展示了如何设置,以防您只想使用一个oauth2提供程序检查项目,该项目展示了如何为github进行设置。您可以通过
application.yml
file+add@enableAuth2sso
注释中的配置来完成大部分工作,从而启动所有机器
对于与web应用程序的“正常”交互来说,这是非常困难的。如果您需要您的应用程序作为其他应用程序的api,那么您必须维护令牌,将它们添加到请求等。如果您的api的客户端也是您可以更改的代码,那么您可以使用OAuth2RestTemplate
类来处理令牌,因此您可以像往常一样/不安全的端点一样查询您的api
例如,如果需要为不同的路径使用两个不同的提供程序,则更复杂的是,您必须将它们全部配置为:
@Bean
public OAuth2RestTemplate facebookOAuth2RestTemplate(OAuth2ClientContext clientContext) {
return new OAuth2RestTemplate(facebookOAuth2ResourceDetails(), clientContext);
}
@Bean
public OAuth2ProtectedResourceDetails facebookOAuth2ResourceDetails() {
AuthorizationCodeResourceDetails resource = new AuthorizationCodeResourceDetails();
resource.setAccessTokenUri(tokenUri);
resource.setId("id");
resource.setUserAuthorizationUri(authorizationUri);
resource.setUseCurrentUri(false);
resource.setPreEstablishedRedirectUri(redirectUri);
resource.setClientId(clientId);
resource.setClientSecret(clientSecret);
resource.setTokenName("tokenname");
resource.setAuthenticationScheme(AuthenticationScheme.query);
resource.setClientAuthenticationScheme(AuthenticationScheme.form);
return resource;
}
并决定在哪种情况下使用OAuth2RestTemplate
的哪个实例
//更新
如果您想通过某些oauth2提供商与授权用户交换spring security core,您可以扩展OAuth2ssoconfigureAdapter
class:
@Configuration
@EnableOAuth2Sso
public class WebSecurityConfig extends OAuth2SsoConfigurerAdapter {
@Override
public void match(RequestMatchers matchers) {
matchers.antMatchers("/admin");
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin").hasRole("ADMIN")
.and()
.logout().logoutUrl("/logout").permitAll()
.logoutSuccessUrl("/");
}
因此/admin现在将受到保护,用户将重定向到您指定的任何授权服务器。它需要在application.yml
中进行oauth配置
spring:
oauth2:
client: # Sauron
clientId: app_clientid
clientSecret: app_secret
accessTokenUri: http://authorizationserver/oauth/token
userAuthorizationUri: http://authorizationserver/oauth/authorize
clientAuthenticationScheme: header
resource:
tokenInfoUri: http://authorizationserver/oauth/check_token
preferTokenInfo: false
这就是为什么我之前写过这样一篇文章:只需一台auhorization服务器就可以轻松使用,但如果您需要更多,那么它就更复杂了。谢谢@freakman,我刚才确实看到了这一点,但不幸的是,这无助于回答我的问题。Oauth2是否可以在不使用restfull调用的情况下替换标准spring安全性,即浏览器在非restfull方法下进行的正常调用。或者它应该作为一个单独的实体实现,仅用于api调用(注意,我们不会使用第三方授权人。我们希望创建自己的服务器,其连接到该服务器),它可以作为“正常”spring安全性来保护您的控制器-此示例显示如下:。更多更新。谢谢@freakman,我实际上在几天前看到了这一点,但不幸的是,这无助于回答我的问题。Oauth2是否可以在不使用restfull调用的情况下替换标准spring安全性,即浏览器在非restfull方法下进行的正常调用。或者它应该作为一个单独的实体实现,仅用于api调用(注意,我们不会使用第三方授权人。我们希望创建自己的服务器,其连接到该服务器),它可以作为“正常”spring安全性来保护您的控制器-此示例显示如下:。更多更新。