新闻详情

首页 / 资讯中心 / 详情

分布式认证中心第一集 引入oauth2授权服务器

📅 2026/6/21 10:05:20
分布式认证中心第一集 引入oauth2授权服务器
前情提要一个“不雅观”的痛点在上一季《Security第十六集引入JWT》中不知道大家有没有发现一个极其尴尬的画面——两个微服务里各自建了一个JwtUtils类各自定义了一模一样的SECRET_KEY还必须确保这俩密钥值完全相同。这画面像什么像极了异地恋情侣非得约定同一句暗号才能确认“是我本人”。代码冗余不说只要密钥一换所有服务都得跟着改改到天荒地老。有同学可能会问“那怎么办总不能让他们一直这么‘异地’下去吧”别急OAuth2 就是来当这个月老的。今天我们就手把手把Security和OAuth2撮合成一对“认证授权CP”让它们分工明确、各司其职彻底终结那段“密钥复制粘贴”的苦日子。第一幕认清各自的本职工作在动手改造之前咱先把职责掰扯清楚免得后面迷糊Spring Security 认证Authentication 验明正身——“你说你是张三密码拿来我瞅瞅”OAuth2 授权Authorization 发放通行证——“身份没问题给你发个令牌拿着它去访问别的服务吧”简单说就是Security负责“验人”OAuth2负责“发牌”。而我们今天要做的就是把原来那个单纯的Security认证服务改造成一个OAuth2授权服务器——让它既能验人又能发牌两全其美。第二幕动手改造三步搞定1.引入pom依赖!--OAuth2依赖--dependencygroupIdorg.springframework.security.oauth.boot/groupIdartifactIdspring-security-oauth2-autoconfigure/artifactIdversion2.3.9.RELEASE/version/dependency2.创建 OAuth2AuthorizationServerConfig,配置客户端信息以及授权类型Configuration//启用授权服务器功能EnableAuthorizationServerpublicclassOAuth2AuthorizationServerConfigextendsAuthorizationServerConfigurerAdapter{//用于验证用户的用户名和密码密码模式需要AutowiredprivateAuthenticationManagerauthenticationManager;//用于加密和验证客户端密钥AutowiredprivatePasswordEncoderpasswordEncoder;//定义令牌的存储方式BeanpublicTokenStoretokenStore(){// 使用 JWT 方式存储令牌// JWT 是一种自包含的令牌格式不需要在服务器端存储returnnewJwtTokenStore(accessTokenConverter());}//JWT 令牌转换器BeanpublicJwtAccessTokenConverteraccessTokenConverter(){JwtAccessTokenConverterconverternewJwtAccessTokenConverter();// 注意这里使用的是对称密钥默认// 生产环境建议使用非对称密钥RSAreturnconverter;}//这里定义了哪些应用可以访问 OAuth2 服务Overridepublicvoidconfigure(ClientDetailsServiceConfigurerclients)throwsException{// inMemory() - 将客户端信息存储在内存中// 生产环境应该使用 .jdbc() 存储在数据库中clients.inMemory()// 配置第一个客户端应用 客户端 ID类似用户名.withClient(client-app)// 客户端密钥类似密码需要加密.secret(passwordEncoder.encode(secret123))// 允许的授权类型四种模式授权码模式密码模式客户端凭证模式隐式模式刷新令牌.authorizedGrantTypes(authorization_code,password,client_credentials,implicit,refresh_token)// 允许的权限范围.scopes(read,write)// 回调地址.redirectUris(http://localhost:8080/callback)// 自动批准不需要用户手动确认授权.autoApprove(true)// 访问令牌有效期3600秒1小时.accessTokenValiditySeconds(3600)// 刷新令牌有效期7200秒2小时.refreshTokenValiditySeconds(7200).and()// 配置下一个客户端.withClient(web-app).secret(passwordEncoder.encode(web-secret)).authorizedGrantTypes(authorization_code,password,client_credentials,implicit,refresh_token).scopes(read,write).redirectUris(http://localhost:8080/web/callback).autoApprove(true).accessTokenValiditySeconds(3600).refreshTokenValiditySeconds(7200);}//配置授权服务器端点Overridepublicvoidconfigure(AuthorizationServerEndpointsConfigurerendpoints)throwsException{endpoints// 设置认证管理器用于密码模式的用户认证.authenticationManager(authenticationManager)// 设置令牌存储方式JWT.tokenStore(tokenStore())// 设置令牌转换器JWT 转换.accessTokenConverter(accessTokenConverter());}//配置授权服务器的安全策略Overridepublicvoidconfigure(AuthorizationServerSecurityConfigurersecurity)throwsException{security// /oauth/token_key 端点允许所有人访问// 这个端点用于获取 JWT 签名的公钥如果使用非对称加密.tokenKeyAccess(permitAll())// /oauth/check_token 端点需要认证后才能访问// 这个端点用于验证令牌的有效性.checkTokenAccess(isAuthenticated())// 允许客户端通过表单方式提交认证信息// 这样客户端可以在 POST body 中传递 client_id 和 client_secret.allowFormAuthenticationForClients();}}3.改造一下 MyWebSecurityConfigAdapter放行 oauth2自带的接口并创建一个AuthenticationManager对象Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.csrf().disable().httpBasic();http.authorizeRequests().antMatchers(/oauth/**).permitAll().anyRequest().authenticated();}OverrideBeanpublicAuthenticationManagerauthenticationManagerBean()throwsException{returnsuper.authenticationManagerBean();}第三幕实战测试看看效果先来测试一下密码模式本服务端口 8129用post请求 http://localhost:8129/oauth/tokenAuthorization 中 选择 Basic Auth 并 填入 用户名 client-app, 密码 secret123注意 这个用户名密码 是.withClient(client-app)// 客户端密钥类似密码需要加密.secret(passwordEncoder.encode(secret123))不是users表中 的 用户名密码然后在 body中添加参数注意选择 x-www-form-urlencodedgrant_type是.authorizedGrantTypes(authorization_code,password,client_credentials,implicit,refresh_token)哪个模式访问就写哪个这里的 username 和 password 才是 数据库中 users表的 用户名密码scope的值是// 允许的权限范围.scopes(read,write)现在我们来 send 一下返回的这一大串json就是 oauth2的令牌。客户端凭证模式这个跟密码模式的区别1无需提供 users 的用户名密码2grant_type 的值 变成 client_credentials这个模式通常用于服务与服务之间的内部调用比如定时任务、微服务互相拉取数据等场景——没有真人用户只有机器在互相对话。下集预告这一集我们把Security认证服务成功改造为OAuth2授权服务器跑通了密码模式和客户端凭证模式。下一集我们将真正创建一个前端应用完整跑通密码模式和授权码模式的登录流程。至于隐式模式没啥卵用可以忘掉它

相关阅读

基于行为一致性的跨模态世界模型:从强化学习到文本交互的智能体迁移

基于行为一致性的跨模态世界模型:从强化学习到文本交互的智能体迁移

1. 项目概述:当世界模型遇见文本交互最近在智能体研究圈子里,一个话题的热度持续攀升:如何让一个智能体不仅仅在模拟的、结构化的强化学习环境中表现出色,更能无缝地迁移到开放、模糊、充满不确定性的文本交互环境中?比…

2026/6/21 10:05:09
GLM-4.7本地开发工作流:零配置IDE智能增强实战指南

GLM-4.7本地开发工作流:零配置IDE智能增强实战指南

1. 为什么“GLM 4.7”突然成了开发者圈的高频词?——不是模型升级,而是使用方式的范式转移 最近两周,我在三个不同技术群看到有人发截图:VS Code 状态栏右下角赫然显示 GLM-4.7 (Free) ,旁边还跟着一个实时刷新的 t…

2026/6/21 10:04:27
反射型XSS绕过WAF与规避404错误的实战技巧

反射型XSS绕过WAF与规避404错误的实战技巧

1. 项目概述&#xff1a;当XSS遇上WAF与404在Web安全测试&#xff0c;尤其是渗透测试和CTF比赛中&#xff0c;反射型XSS&#xff08;跨站脚本攻击&#xff09;是一个经典且高频的考点。但现实世界早已不是那个可以随意在输入框里敲入<script>alert(1)</script>就能…

2026/6/21 10:04:17
终极指南:如何用Parsec虚拟显示驱动VDD 0.45打造专业远程工作环境

终极指南:如何用Parsec虚拟显示驱动VDD 0.45打造专业远程工作环境

终极指南&#xff1a;如何用Parsec虚拟显示驱动VDD 0.45打造专业远程工作环境 【免费下载链接】parsec-vdd ✨ Perfect virtual display for game streaming 项目地址: https://gitcode.com/gh_mirrors/pa/parsec-vdd Parsec Virtual Display Driver&#xff08;VDD&…

2026/6/21 11:11:04
Django+GraphQL构建生产级URL缩短服务

Django+GraphQL构建生产级URL缩短服务

1. 项目概述&#xff1a;为什么一个URL缩短服务值得用DjangoGraphQL重做一遍我第一次在2019年用Flask搭过一个极简版短链服务&#xff0c;当时只用了30行代码加一个SQLite&#xff0c;跑在学生服务器上&#xff0c;每天撑住几百次跳转就沾沾自喜。但去年帮一家本地教育机构重构…

2026/6/21 11:10:02
如何用biliTickerBuy突破B站会员购抢票瓶颈:从手动失败到自动化成功的完整指南

如何用biliTickerBuy突破B站会员购抢票瓶颈:从手动失败到自动化成功的完整指南

如何用biliTickerBuy突破B站会员购抢票瓶颈&#xff1a;从手动失败到自动化成功的完整指南 【免费下载链接】biliTickerBuy b站会员购购票辅助工具 项目地址: https://gitcode.com/GitHub_Trending/bi/biliTickerBuy 你是否曾在B站会员购的抢票大战中&#xff0c;眼睁睁…

2026/6/21 11:09:52
FreeBSD 10.1 FAMP 手动构建手记:从 ports 编译到 PHP 运行

FreeBSD 10.1 FAMP 手动构建手记:从 ports 编译到 PHP 运行

1. 项目概述&#xff1a;为什么在 FreeBSD 10.1 上亲手搭一套 FAMP 而不是用一键脚本&#xff1f; FreeBSD 10.1 发布于 2015 年 4 月&#xff0c;虽已退出官方支持周期&#xff0c;但它仍是大量生产环境、教育实验室和嵌入式网关设备中稳定运行的“老将”。我至今还在三台边缘…

2026/6/21 11:09:31
i.MX 93平台工业编码器接口实战:从EnDat到HIPERFACE DSL的快速评估与集成

i.MX 93平台工业编码器接口实战:从EnDat到HIPERFACE DSL的快速评估与集成

1. 项目概述与核心价值 在工业伺服驱动、机器人关节控制以及高精度数控机床这些对实时性和精度要求近乎苛刻的领域&#xff0c;数字编码器是系统的“眼睛”。它负责将机械运动转化为精确的数字信号&#xff0c;反馈给控制器&#xff0c;形成闭环控制。然而&#xff0c;工业现场…

2026/6/21 11:09:20
G-Helper完整指南:三步释放华硕笔记本隐藏性能

G-Helper完整指南:三步释放华硕笔记本隐藏性能

G-Helper完整指南&#xff1a;三步释放华硕笔记本隐藏性能 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops with nearly the same functionality. Works with ROG Zephyrus, Flow, TUF, Strix, Scar, ProArt, Vivobook, Zenbook, Expertboo…

2026/6/21 11:09:10
3个步骤让小爱音箱变身AI语音助手:MiGPT深度体验指南

3个步骤让小爱音箱变身AI语音助手:MiGPT深度体验指南

3个步骤让小爱音箱变身AI语音助手&#xff1a;MiGPT深度体验指南 【免费下载链接】mi-gpt &#x1f3e0; 将小爱音箱接入 ChatGPT 和豆包&#xff0c;改造成你的专属语音助手。 项目地址: https://gitcode.com/GitHub_Trending/mi/mi-gpt 你是否曾经觉得家中的小爱音箱回…

2026/6/21 0:00:00
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程

PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程

PDF对比终极指南&#xff1a;用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗&#xff1f;diff-pdf这款开…

2026/6/21 0:00:00
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用

嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用

1. 嵌入式GUI控件&#xff1a;从原理到实战的深度解析在嵌入式系统开发中&#xff0c;图形用户界面&#xff08;GUI&#xff09;的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台&#xff0c;嵌入式设备的GUI需要在有限的CPU性能、内存空间…

2026/6/21 0:00:14
3个步骤让小爱音箱变身AI语音助手:MiGPT深度体验指南

3个步骤让小爱音箱变身AI语音助手:MiGPT深度体验指南

3个步骤让小爱音箱变身AI语音助手&#xff1a;MiGPT深度体验指南 【免费下载链接】mi-gpt &#x1f3e0; 将小爱音箱接入 ChatGPT 和豆包&#xff0c;改造成你的专属语音助手。 项目地址: https://gitcode.com/GitHub_Trending/mi/mi-gpt 你是否曾经觉得家中的小爱音箱回…

2026/6/21 0:00:00
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程

PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程

PDF对比终极指南&#xff1a;用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗&#xff1f;diff-pdf这款开…

2026/6/21 0:00:00
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用

嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用

1. 嵌入式GUI控件&#xff1a;从原理到实战的深度解析在嵌入式系统开发中&#xff0c;图形用户界面&#xff08;GUI&#xff09;的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台&#xff0c;嵌入式设备的GUI需要在有限的CPU性能、内存空间…

2026/6/21 0:00:14