Spring Boot 与 Spring Security 的集成及 OAuth2 实现

news2024/11/15 11:19:00

  我的主页:2的n次方_   

在这里插入图片描述

在现代 Web 应用开发中,安全性是至关重要的。无论是保护用户的敏感数据,还是确保 API 只允许经过授权的请求访问,开发者都需要一个强大且灵活的安全框架来实现这些需求。Spring Security 作为 Spring 框架的安全模块,能够为应用提供全面的安全保护。而 OAuth2 作为一种授权协议,广泛应用于单点登录(SSO)、社交登录、API 保护等场景。本文将详细介绍如何在 Spring Boot 中集成 Spring Security,并实现 OAuth2 授权。

🍃1. Spring Security 的基础配置

Spring Security 是一个高度可定制的安全框架,它主要提供了身份认证和授权功能。通过 Spring Security,开发者可以定义哪些 URL 需要认证,哪些用户有权访问某些资源等。

首先,我们需要在项目中添加 Spring Security 的依赖。在 Spring Boot 项目中,这可以通过在 pom.xml 文件中添加以下依赖项来实现:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加依赖后,Spring Boot 会自动为所有的 URL 添加一个基本的安全保护机制。默认情况下,所有的 HTTP 请求都需要进行身份认证。如果用户未登录,应用会自动跳转到一个默认的登录页面。

接下来,我们可以通过配置类来自定义安全规则。例如,我们可以创建一个 SecurityConfig 类,配置哪些 URL 允许匿名访问,哪些需要认证:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()  // 允许匿名访问
                .anyRequest().authenticated()           // 其他请求需要认证
                .and()
            .formLogin()                                // 启用表单登录
                .loginPage("/login")                    // 自定义登录页面
                .permitAll()
                .and()
            .logout()                                   // 启用注销功能
                .permitAll();
    }
}

在这个配置中,/public/** 路径下的所有资源都可以被匿名用户访问,而其他任何请求都需要用户登录后才能访问。我们还自定义了一个登录页面,这样用户在访问受保护的资源时,会被重定向到该页面。

🍃2. 集成 OAuth2 进行授权

OAuth2 是一种授权协议,允许第三方应用在不直接获取用户凭据的情况下访问用户的资源。使用 OAuth2,应用可以在保证安全的前提下,通过访问令牌来访问受保护的资源。

在 Spring Boot 中集成 OAuth2,首先需要添加相应的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

接下来,我们需要在 application.yml 文件中配置 OAuth2 客户端信息。以 Google OAuth2 为例,我们可以这样配置:

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_GOOGLE_CLIENT_ID
            client-secret: YOUR_GOOGLE_CLIENT_SECRET
            scope: profile, email
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            client-name: Google
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
 

在这段配置中,我们提供了 Google OAuth2 客户端的 client-idclient-secret,以及相关的 OAuth2 端点 URL。当用户尝试登录时,应用会重定向到 Google 的授权页面,用户授权后,Google 会返回一个授权码,应用使用该授权码换取访问令牌,并获取用户信息。

🍃3. 使用 OAuth2 保护 API

为了保护我们的 API,使其只能通过 OAuth2 授权访问,我们需要将应用配置为资源服务器。资源服务器负责保护资源(如 API),并验证访问令牌的有效性。

我们可以通过以下配置实现资源服务器功能:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/api/public/**").permitAll()  // 允许匿名访问的API
                .antMatchers("/api/private/**").authenticated() // 需要OAuth2认证的API
                .and()
            .oauth2Login(); // 启用 OAuth2 登录
    }
}

在这个配置中,/api/public/** 路径下的资源可以被匿名访问,而 /api/private/** 下的资源则需要用户通过 OAuth2 登录并携带有效的访问令牌才能访问。

🍃4. 前端集成与访问受保护的资源

在前端应用中(如使用 React 或 Angular),当用户通过 OAuth2 登录成功后,应用会获取到一个访问令牌。这个令牌需要在每次请求受保护的资源时附加在请求头中。

假设使用 axios 作为 HTTP 客户端,前端代码可能如下所示:

import axios from 'axios';

const token = localStorage.getItem('access_token');

axios.get('https://your-api.com/api/private/data', {
    headers: {
        'Authorization': `Bearer ${token}`
    }
})
.then(response => {
    console.log(response.data);
})
.catch(error => {
    console.error('Error fetching data:', error);
});

在这个例子中,我们从浏览器的 localStorage 中获取了访问令牌,并将其附加在请求头的 Authorization 字段中,以 Bearer 令牌的格式发送给后端服务器。资源服务器会验证这个令牌的有效性,如果验证通过,则允许访问受保护的资源。

🍃5. 总结

通过这篇博客,我们介绍了如何在 Spring Boot 中集成 Spring Security 和 OAuth2 进行安全保护。我们首先配置了基本的 Spring Security 设置,允许匿名访问公共资源,并保护其他资源。接着,我们配置了 OAuth2 客户端,使应用能够通过 Google 进行 OAuth2 授权。最后,我们展示了如何保护 API,使其只能通过 OAuth2 授权访问,并在前端应用中使用访问令牌请求受保护的资源。

这种安全机制不仅增强了应用的安全性,还能为用户提供更好的体验,比如通过社交账户快速登录。随着应用需求的增长,可以进一步扩展和定制这些配置,支持更复杂的业务场景。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2070884.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MATLAB 生成指定范围、角度、厚度的含噪平面点云(77)

模拟生成点云并可视化显示,可以验证算法有效性,尤其是针对验证算法的某方面 MATLAB 生成指定范围、角度、厚度的含噪平面点云(77) 一、算法介绍二、使用步骤1.代码2.效果一、算法介绍 如题,模拟生成一组平面点云,含有噪声点,确定算法稳定性,可以指定生成平面的范围,厚…

混合A*算法

混合A*算法是一种改进版的A*算法&#xff0c;特别针对车辆动力学进行了优化。这种算法在经典A*的基础上引入了新的维度和概念&#xff0c;以生成更加实际可行的路径。 首先&#xff0c;混合A*算法不仅考虑x和y的位置&#xff0c;还引入了θ维度来表示车辆的朝向。这意味着搜索…

Unity视频播放插件-VideoPro(Windows)

Unity视频播放插件-VideoPro-windows &#x1f32e;介绍&#x1f364;使用方法&#x1f959;示例&#x1f333;rtsp&#x1f333;本地视频&#x1f333;网络视频 &#x1f32e;介绍 1.支持播放格式&#xff1a;rtsp、http、本地视频。 2.exe试用&#x1f308; 3.经测试i9 cpu 空…

【STM32开发笔记】搭建基于ST官方VSCode扩展的STM32开发环境

搭建基于ST官方VSCode扩展的STM32开发环境 一、安装软件1.1 安装VSCode1.2 安装STM32CubeMX1.3 安装STM32CubeCLT1.4 安装ST-MCU-FINDER-PC 二、安装插件2.1 安装 STM32 VS Code Extension 三、创建项目3.1 创建STM32CubeMX项目3.2 查阅原理图3.3 修改引脚功能3.4 生成CMake项目…

完成单位信息宣传工作考核投稿别输在投稿方法上

在信息化迅速发展的今天,弘扬社会正能量已经成为各个企事业单位的重要使命。作为单位的信息宣传员,我深知信息宣传工作的重要性和复杂性。每个月,我们都肩负着信息宣传考核的任务,需要在指定的媒体上投稿发表文章。然而,刚接触这一工作时,我却经历了一段艰辛而焦虑的历程。 我一…

ubuntu install Miniconda3(轻量级conda)

ubuntu install Miniconda3&#xff08;轻量级conda&#xff09; Miniconda3 是一个包含 conda 和 Python 的小型发行版&#xff0c;适合需要灵活定制python环境的用户。 一、下载Miniconda3 sudo apt-get update wget https://repo.anaconda.com/miniconda/Miniconda3-latest…

elasticsearch快照存储到linux本地路径或分布式存储系统mioio

一、使用linux本地目录做快照存储 1.编辑 elasticsearch.yml 文件&#xff0c;添加以下配置&#xff1a; path.repo: ["/path/to/your/backup/dir"]2.创建一个文件系统类型的快照仓库 PUT /_snapshot/my_local_repository {"type": "fs",&quo…

WIN 10 注册表损坏怎么办

系统修复功能 打开“设置”-“更新和安全”-“恢复”-“立即重新启动” 然后就会进入到恢复模式&#xff0c;在里面点“疑难解答”-“高级选项”-“启动修复” SFC工具 在电脑搜索框中输入“命令提示符”&#xff0c;右键点击“命令提示符”选择“以管理员身份运行”。随后在…

前端算法 === 计数排序

目录 计数排序算法的起源 算法的基本原理 算法的实现 代码示例 算法的优势与局限性 计数排序的应用场景 计数排序是一种简单而高效的排序算法&#xff0c;特别适合于处理一定范围内的整数排序问题。它的核心思想是利用额外的存储空间来记录数组中每个元素出现的次数&…

Ansible远程自动化运维

目录 概念 安装ansible modules模块和语法 命令行语法 模块 1. command 基础模块 常用的参数 2. shell模块 3. cron定时任务模块 4. user用户管理模块 参数 5. copy复制模块 参数 6. file模块 设置文件属性 参数 实验&#xff1a;批量创建目录 7…

staticHeader(静态标头)

<!DOCTYPE html> <html lang"zh-CN"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>staticHeader(静态标头)</title> </head…

C语言函数介绍(上)

函数概念库函数标准库和头文件库函数的使用方法头文件包含库函数文档的一般格式 自定义函数函数的语法形式函数例子 形参和实参实参形参实参和形参的关系 return 语句数组做函数参数 函数概念 数学中我们其实就见过函数的概念&#xff0c;比如&#xff1a;一次函数 ykxb &…

msvcp120.dll丢失是怎么回事?几种靠谱修复msvcp120.dll的方法

在使用基于Windows的计算机进行日常工作或娱乐时&#xff0c;您可能会遇到一个错误消息&#xff1a;“无法启动此程序&#xff0c;因为计算机中丢失msvcp120.dll。”这样的提示通常在尝试启动某些程序或游戏时弹出&#xff0c;导致应用无法正常运行。这个问题通常与系统中的某个…

redis是什么?看着一篇就够了

目录 介绍一下 redis 数据库&#xff1f; redis数据类型与应用场景 redis 为什么更快&#xff1f; redis 怎么实现持久化的&#xff1f; AOF 日志是如何实现的&#xff1f; RDB 快照是如何实现的呢&#xff1f; 混合持久化 redis 单线程在多核机器里使用会不会浪费…

LABVIEW数据保存文件

这里推荐选用CSV文件&#xff1f;为什么&#xff1f; 下表是格式差异造成的容量差异。 具体原因&#xff0c;总结为以下两点&#xff1a; 首先&#xff0c;CSV文件能使用EXCEL打开&#xff0c;方便查阅和借助EXCEL工具进一步处理。 第二&#xff0c;相对来说&#xff0c;CSV…

Web自动化测试:selenium使用详解

&#x1f345; 点击文末小卡片 &#xff0c;免费获取软件测试全套资料&#xff0c;资料在手&#xff0c;涨薪更快 说到自动化测试&#xff0c;就不得不提大名鼎鼎的Selenium。Selenium 是如今最常用的自动化测试工具之一&#xff0c;支持快速开发自动化测试框架&#xff0c;…

深信服上半年亏损5.92亿,营收同比降低2.3亿

吉祥知识星球http://mp.weixin.qq.com/s?__bizMzkwNjY1Mzc0Nw&mid2247485367&idx1&sn837891059c360ad60db7e9ac980a3321&chksmc0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd 《网安面试指南》http://mp.weixin.qq.com/s?…

Qt:玩转QPainter序列二

前言 接着序列一开始序列二。 正文 继续先看源码&#xff0c;下面是分析 1. Q_FLAG(RenderHint) Q_FLAG是Qt宏&#xff0c;用于向Qt的元对象系统&#xff08;Meta-Object System&#xff09;注册枚举值&#xff0c;以便可以在Qt的元对象系统中使用这些枚举值。例如&#…

SD 卡无法读取?这十大方法助你轻松修复!

在我们的日常生活中&#xff0c;SD 卡被广泛应用于各种设备&#xff0c;如数码相机、手机、平板电脑等。然而&#xff0c;有时我们可能会遇到 SD 卡无法读取的情况&#xff0c;这让人十分苦恼。别担心&#xff0c;下面为你介绍多种修复 SD 卡无法读取问题的方法。 一、检查硬件…

如何知道当前网卡连接的下位机的IP,通过工具实现

要确定当前网卡连接的下位机的 IP 地址&#xff0c;可以使用以下几种工具和方法来实现。 1. 使用 arp-scan 工具 arp-scan 是一个强大的网络扫描工具&#xff0c;可以用于扫描网络上的设备并显示它们的 IP 和 MAC 地址。 安装 arp-scan&#xff1a; sudo apt update sudo a…