[譯] Spring REST API 與 OAuth2:處理 AngularJS 中的 Token 刷新問題
www.baeldung.com/spring-secu…javascript
做者:Eugen Paraschivhtml
轉載自公衆號:stackgcjava
一、概述
在本教程中,咱們將討論 Spring Security OAuth2 與 JSON Web Token 整合。git
本文在上一篇 OAuth 系列文章的基礎上開展。github
二、Maven 配置
首先,須要在 pom.xml 中添加 spring-security-jwt 依賴:spring
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
複製代碼
請注意,咱們須要在受權服務器和資源服務器的 pom.xml 中都加入 spring-security-jwt 依賴。json
三、受權服務器
接下來,咱們將配置受權服務器以使用 JwtTokenStore,以下所示:bash
@Configuration
@EnableAuthorizationServer
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.tokenStore(tokenStore())
.accessTokenConverter(accessTokenConverter())
.authenticationManager(authenticationManager);
}
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter());
}
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey("123");
return converter;
}
@Bean
@Primary
public DefaultTokenServices tokenServices() {
DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
defaultTokenServices.setTokenStore(tokenStore());
defaultTokenServices.setSupportRefreshToken(true);
return defaultTokenServices;
}
}
複製代碼
請注意,咱們在 JwtAccessTokenConverter 中使用了一個對稱密鑰來簽署咱們的令牌 —— 這意味着資源服務器須要使用一樣的密鑰。服務器
四、資源服務器
讓咱們來看看資源服務器配置,它與受權服務器的配置很是類似:cookie
@Configuration
@EnableResourceServer
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(ResourceServerSecurityConfigurer config) {
config.tokenServices(tokenServices());
}
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter());
}
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey("123");
return converter;
}
@Bean
@Primary
public DefaultTokenServices tokenServices() {
DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
defaultTokenServices.setTokenStore(tokenStore());
return defaultTokenServices;
}
}
複製代碼
請記住,這兩個服務器徹底分離且可獨立部署,這就是咱們爲什麼要在新配置中再次聲明一些相同的 bean 的緣由。
五、自定義 Token 中的 Claims
接下來設置一些基礎設施,以便可以在 Access Token 中添加一些自定義的 claims。框架提供的標準 claims 很好,但在大多數狀況下,咱們須要在令牌中添加一些額外的信息才能在客戶端使用。
咱們定義一個 TokenEnhancer 來自定義 Access Token 和這些額外的 claims。
在如下示例中,咱們將使用該 CustomTokenEnhancer 向 Access Toekn 添加一個額外的字段 organization:
public class CustomTokenEnhancer implements TokenEnhancer {
@Override
public OAuth2AccessToken enhance( OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
Map<String, Object> additionalInfo = new HashMap<>();
additionalInfo.put("organization", authentication.getName() + randomAlphabetic(4));
((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
return accessToken;
}
}
複製代碼
而後,將其裝配到受權服務器配置中,以下所示:
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
tokenEnhancerChain.setTokenEnhancers(
Arrays.asList(tokenEnhancer(), accessTokenConverter()));
endpoints.tokenStore(tokenStore())
.tokenEnhancer(tokenEnhancerChain)
.authenticationManager(authenticationManager);
}
@Bean
public TokenEnhancer tokenEnhancer() {
return new CustomTokenEnhancer();
}
複製代碼
使用這個新配置來啓動和運行,令牌的 payload 可能相似以下:
{
"user_name": "john",
"scope": [
"foo",
"read",
"write"
],
"organization": "johnIiCh",
"exp": 1458126622,
"authorities": [
"ROLE_USER"
],
"jti": "e0ad1ef3-a8a5-4eef-998d-00b26bc2c53f",
"client_id": "fooClientIdPassword"
}
複製代碼
5.一、在 JS 客戶端中使用 Access Token
最後,咱們將在 AngualrJS 客戶端應用中使用令牌信息。這裏使用到了 angular-jwt 庫。
在 index.html 中使用 organization claim:
<p class="navbar-text navbar-right">{{organization}}</p>
<script type="text/javascript" src="https://cdn.rawgit.com/auth0/angular-jwt/master/dist/angular-jwt.js"> </script>
<script> var app = angular.module('myApp', ["ngResource","ngRoute", "ngCookies", "angular-jwt"]); app.controller('mainCtrl', function($scope, $cookies, jwtHelper,...) { $scope.organiztion = ""; function getOrganization(){ var token = $cookies.get("access_token"); var payload = jwtHelper.decodeToken(token); $scope.organization = payload.organization; } ... }); 複製代碼
六、非對稱密鑰對
在以前的配置中,咱們使用了對稱密鑰來簽署令牌:
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey("123");
return converter;
}
複製代碼
咱們還能夠使用非對稱密鑰(公鑰和私鑰)來完成簽名過程。
6.一、生成 JKS Java KeyStore 文件
首先使用命令行工具 keytool 生成密鑰 —— 尤爲是 .jks 文件。
keytool -genkeypair -alias mytest
-keyalg RSA
-keypass mypass
-keystore mytest.jks
-storepass mypass
複製代碼
該命令將生成一個名爲 mytest.jks 的文件,其中包含咱們的密鑰 —— 公鑰和私鑰。
此外,還要確保 keypass 和 storepass 是一致的。
6.二、導出公鑰
接下來,須要從生成的 JKS 導出公鑰,能夠使用如下命令:
keytool -list -rfc --keystore mytest.jks | openssl x509 -inform pem -pubkey
複製代碼
可能會輸出以下所示:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAgIK2Wt4x2EtDl41C7vfp
OsMquZMyOyteO2RsVeMLF/hXIeYvicKr0SQzVkodHEBCMiGXQDz5prijTq3RHPy2
/5WJBCYq7yHgTLvspMy6sivXN7NdYE7I5pXo/KHk4nz+Fa6P3L8+L90E/3qwf6j3
DKWnAgJFRY8AbSYXt1d5ELiIG1/gEqzC0fZmNhhfrBtxwWXrlpUDT0Kfvf0QVmPR
xxCLXT+tEe1seWGEqeOLL5vXRLqmzZcBe1RZ9kQQm43+a9Qn5icSRnDfTAesQ3Cr
lAWJKl2kcWU1HwJqw+dZRSZ1X4kEXNMyzPdPBbGmU6MHdhpywI7SKZT7mX4BDnUK
eQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
複製代碼
咱們僅使用公鑰,將其複製到資源服務器的 src/main/resources/public.txt 文件中:
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAgIK2Wt4x2EtDl41C7vfp
OsMquZMyOyteO2RsVeMLF/hXIeYvicKr0SQzVkodHEBCMiGXQDz5prijTq3RHPy2
/5WJBCYq7yHgTLvspMy6sivXN7NdYE7I5pXo/KHk4nz+Fa6P3L8+L90E/3qwf6j3
DKWnAgJFRY8AbSYXt1d5ELiIG1/gEqzC0fZmNhhfrBtxwWXrlpUDT0Kfvf0QVmPR
xxCLXT+tEe1seWGEqeOLL5vXRLqmzZcBe1RZ9kQQm43+a9Qn5icSRnDfTAesQ3Cr
lAWJKl2kcWU1HwJqw+dZRSZ1X4kEXNMyzPdPBbGmU6MHdhpywI7SKZT7mX4BDnUK
eQIDAQAB
-----END PUBLIC KEY-----
複製代碼
6.三、Maven 配置
咱們不但願 JKS 文件被 maven 過濾處理影響到,所以須要確保在 pom.xml 中排除它:
<build>
<resources>
<resource>
<directory>src/main/resources</directory>
<filtering>true</filtering>
<excludes>
<exclude>*.jks</exclude>
</excludes>
</resource>
</resources>
</build>
複製代碼
若是使用 Spring Boot,咱們能夠經過 Spring Boot Maven 插件的 addResources 將 JKS 文件添加到應用的 classpath 中:
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<configuration>
<addResources>true</addResources>
</configuration>
</plugin>
</plugins>
</build>
複製代碼
6.四、受權服務器
配置 JwtAccessTokenConverter 使用 mytest.jks 中的密鑰對,以下所示:
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
KeyStoreKeyFactory keyStoreKeyFactory =
new KeyStoreKeyFactory(new ClassPathResource("mytest.jks"), "mypass".toCharArray());
converter.setKeyPair(keyStoreKeyFactory.getKeyPair("mytest"));
return converter;
}
複製代碼
6.五、資源服務器
最後,須要將資源服務器配置爲使用公鑰,以下所示:
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
Resource resource = new ClassPathResource("public.txt");
String publicKey = null;
try {
publicKey = IOUtils.toString(resource.getInputStream());
} catch (final IOException e) {
throw new RuntimeException(e);
}
converter.setVerifierKey(publicKey);
return converter;
}
複製代碼
七、結論
本文介紹瞭如何配置 Spring Security OAuth2 項目整合 JSON Web Token。
本教程的完整實現能夠在項目 github中找到,這是一個 Eclipse 項目,很容易導入和運行。
原文示例代碼
相關文章
- 1. [譯] Spring REST API + OAuth2 + AngularJS
- 2. Spring REST API + OAuth2 + AngularJS
- 3. oauth2刷新token報 Invalid refresh token
- 4. Spring Security Oauth2 認證(獲取token/刷新token)流程(password模式)
- 5. spring security oauth2 自動刷新續簽token (refresh token)
- 6. laravel中api驗證jwt刷新token的一個問題
- 7. spring oauth2
- 8. AngularJS 受權 + Node.js REST api
- 9. Springsecurity-oauth2之/oauth/token的處理
- 10. spring oauth2+JWT後端自動刷新access_token
- 更多相關文章...
- • ionic 下拉刷新 - ionic 教程
- • Spring中Bean的作用域 - Spring教程
- • IntelliJ IDEA中SpringBoot properties文件不能自動提示問題解決
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 字節跳動21屆秋招運營兩輪面試經驗分享
- 2. Java 3 年,25K 多嗎?
- 3. mysql安裝部署
- 4. web前端開發中父鏈和子鏈方式實現通信
- 5. 3.1.6 spark體系之分佈式計算-scala編程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在線
- 8. 在線畫圖
- 9. devtools熱部署
- 10. 編譯和鏈接
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. [譯] Spring REST API + OAuth2 + AngularJS
- 2. Spring REST API + OAuth2 + AngularJS
- 3. oauth2刷新token報 Invalid refresh token
- 4. Spring Security Oauth2 認證(獲取token/刷新token)流程(password模式)
- 5. spring security oauth2 自動刷新續簽token (refresh token)
- 6. laravel中api驗證jwt刷新token的一個問題
- 7. spring oauth2
- 8. AngularJS 受權 + Node.js REST api
- 9. Springsecurity-oauth2之/oauth/token的處理
- 10. spring oauth2+JWT後端自動刷新access_token