使用Spring Security OAuth2進行簡單的單點登陸

1.概述

在本教程中，咱們將討論如何使用Spring Security OAuth和Spring Boot實現SSO - 單點登陸。

咱們將使用三個單獨的應用程序：

• 受權服務器 - 這是中央身份驗證機制
• 兩個客戶端應用程序：使用SSO的應用程序

很是簡單地說，當用戶試圖訪問客戶端應用程序中的安全頁面時，他們將被重定向到首先經過身份驗證服務器進行身份驗證。

咱們將使用OAuth2中的受權代碼受權類型來驅動身份驗證委派。

2.客戶端應用程序

讓咱們從客戶端應用程序開始;固然，咱們將使用Spring Boot來最小化配置：

2.1。 Maven依賴

首先，咱們須要在pom.xml中使用如下依賴項：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.0.1.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>

2.2。Security配置

接下來，最重要的部分，咱們的客戶端應用程序的Security配置：

@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
     
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
          .authorizeRequests()
          .antMatchers("/", "/login**")
          .permitAll()
          .anyRequest()
          .authenticated();
    }
}

固然，這種配置的核心部分是咱們用於啓用單點登陸的@ EnableOAuth2Sso註釋。

請注意，我們須要擴展WebSecurityConfigurerAdapter - 若是沒有它，全部路徑都將受到保護 - 所以用戶將在嘗試訪問任何頁面時重定向以登陸。在咱們的例子中，首頁和登陸頁面是惟一能夠在沒有身份驗證的狀況下訪問的頁面。

最後，咱們還定義了一個RequestContextListener bean來處理請求範圍。

application.yml：

server:
    port: 8082
    servlet:
        context-path: /ui
    session:
      cookie:
        name: UISESSION
security:
  basic:
    enabled: false
  oauth2:
    client:
      clientId: SampleClientId
      clientSecret: secret
      accessTokenUri: http://localhost:8081/auth/oauth/token
      userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
    resource:
      userInfoUri: http://localhost:8081/auth/user/me
spring:
  thymeleaf:
    cache: false

一些快速說明：

• 咱們禁用了默認的基自己份驗證
• accessTokenUri是獲取訪問令牌的URI
• userAuthorizationUri是用戶將被重定向到的受權URI
• userInfoUri用戶端點的URI，用於獲取當前用戶詳細信息

另請注意，在咱們的示例中，咱們推出了受權服務器，但固然咱們也可使用其餘第三方提供商，如Facebook或GitHub。

2.3。前端

如今，讓咱們來看看客戶端應用程序的前端配置。咱們不會在這裏專一於此，主要是由於咱們已經在網站上介紹過。
咱們的客戶端應用程序有一個很是簡單的前端;這是index.html：

<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>

和securedPage.html：

<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>

securedPage.html頁面須要對用戶進行身份驗證。若是未經身份驗證的用戶嘗試訪問securedPage.html，則會首先將其重定向到登陸頁面。

3. Auth服務器

如今讓咱們在這裏討論咱們的受權服務器。

3.1。 Maven依賴

首先，咱們須要在pom.xml中定義依賴項：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.3.RELEASE</version>
</dependency>

3.2。 OAuth配置

重要的是要理解咱們將在這裏一塊兒運行受權服務器和資源服務器，做爲單個可部署單元。

讓咱們從資源服務器的配置開始 ：

@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
    public static void main(String[] args) {
        SpringApplication.run(AuthorizationServerApplication.class, args);
    }
}

而後，咱們將配置咱們的受權服務器：

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
     
    @Autowired
    private BCryptPasswordEncoder passwordEncoder;
 
    @Override
    public void configure(
      AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()")
          .checkTokenAccess("isAuthenticated()");
    }
 
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
          .withClient("SampleClientId")
          .secret(passwordEncoder.encode("secret"))
          .authorizedGrantTypes("authorization_code")
          .scopes("user_info")
          .autoApprove(true) 
          .redirectUris("http://localhost:8082/ui/login","http://localhost:8083/ui2/login"); 
    }
}

請注意咱們如何僅使用authorization_code grant類型啓用簡單客戶端。

另外，請注意autoApprove如何設置爲true，以便咱們不會被重定向並手動批准任何範圍。

3.3。Security配置

首先，咱們將經過application.properties禁用默認的基自己份驗證：

server.port=8081
server.servlet.context-path=/auth

如今，讓咱們轉到配置並定義一個簡單的表單登陸機制：

@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers()
          .antMatchers("/login", "/oauth/authorize")
          .and()
          .authorizeRequests()
          .anyRequest().authenticated()
          .and()
          .formLogin().permitAll();
    }
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("john")
            .password(passwordEncoder().encode("123"))
            .roles("USER");
    }
     
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){ 
        return new BCryptPasswordEncoder(); 
    }
}

請注意，咱們使用簡單的內存中身份驗證，但咱們能夠簡單地將其替換爲自定義userDetailsS​​ervice。

3.4。用戶端

最後，咱們將建立咱們以前在配置中使用的用戶端：

@RestController
public class UserController {
    @GetMapping("/user/me")
    public Principal user(Principal principal) {
        return principal;
    }
}

固然，這將使用JSON表示返回用戶數據。

4。結論

在本快速教程中，咱們專一於使用Spring Security Oauth2和Spring Boot實現單點登陸。

與往常同樣，能夠在GitHub上找到完整的源代碼。