现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ账号等登陆自己的系统,我们现在就是要模拟这种登陆的方式,很多大的公司已经实现了这种授权登陆的方式,并提供了相应的API,供我们开发人员调用。他们实际上用的也规范是oauth2.0的规范,通过用户授权的方式,获取一些信息。以前就做过一些类似的,如:
微信扫码登陆:http://www.cnblogs.com/0201zcr/p/5133062.html
微信客户端授权登陆:http://www.cnblogs.com/0201zcr/p/5131602.html
但是假如你的系统要提供其他网站使用你的账号密码登陆,你就需要写好相应的接口规范, 给人家调用。用得比较多的是使用spring security oauth实现的方式。
我们这里使用meaven导入我们所需要的jar包,使用配置文件的方式拦截我们的请求并进行验证是否有效,然后即可获取我们需要的信息。
这里主要是模拟了通过给予第三方账号密码的方式,在第三方进行鉴权,然后将access_token等信息传回过来,然后要登录的系统在通过这个返回的access_token去第三方请求一些用户授权的数据。即可完成第三方的账号密码登录。
"http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
4.0.0
org.zhangfc
demo4ssh-security-oauth2
war
0.0.1-SNAPSHOT
4.0.4.RELEASE
4.3.5.Final
3.2.4.RELEASE
2.0.2.RELEASE
org.springframework
spring-webmvc
${spring.version}
org.springframework
spring-orm
${spring.version}
org.springframework.security
spring-security-config
${spring-security.version}
org.springframework.security
spring-security-taglibs
${spring-security.version}
org.springframework.security.oauth
spring-security-oauth2
${spring-security-oauth2.version}
org.hibernate
hibernate-core
${hibernate.version}
javax.servlet.jsp.jstl
javax.servlet.jsp.jstl-api
1.2.1
taglibs
standard
1.1.2
tomcat
servlet-api
5.5.23
provided
tomcat
jsp-api
5.5.23
provided
commons-fileupload
commons-fileupload
1.3.1
org.hibernate
hibernate-validator
5.1.2.Final
c3p0
c3p0
0.9.1.2
mysql
mysql-connector-java
5.1.31
org.codehaus.jackson
jackson-mapper-asl
1.9.13
demo4ssh-security-oauth2
"1.0" encoding="UTF-8"?>
"http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
metadata-complete="true" version="3.0">
contextConfigLocation
classpath:/META-INF/infrastructure.xml,classpath*:/META-INF/applicationContext*.xml
org.springframework.web.context.ContextLoaderListener
spring-dispatcher
org.springframework.web.servlet.DispatcherServlet
spring-dispatcher
/
springSecurityFilterChain
org.springframework.web.filter.DelegatingFilterProxy
springSecurityFilterChain
/*
oauth2是security的一部分,配置也有关联,就不再单建文件
添加http拦截链
"/oauth/token" create-session="stateless"
authentication-manager-ref="oauth2AuthenticationManager">
"/oauth/token" access="IS_AUTHENTICATED_FULLY" />
"false" />
"oauth2AuthenticationEntryPoint" />
"clientCredentialsTokenEndpointFilter"
before="BASIC_AUTH_FILTER" />
"oauth2AccessDeniedHandler" />
标签处理/oauth/token的网络请求,这是oauth2的登录验证请求,那么登录需要什么,首先,和Spring Security一样,需要一个认证管理器,Spring Oauth2需要两个认证管理器,第一个就是之前Spring中配置的那一个,用来验证用户名密码的,
"dataSource"
users-by-username-query="select username, password, 1 from user where username = ?"
authorities-by-username-query="select u.username, r.role from user u left join role r on u.role_id=r.id where username = ?" />
还有一个是用来区分客户端用户的,给它起个名字叫oauth2AuthenticationManager:
"clientDetailsService" >
"mobile_1"
authorized-grant-types="password,authorization_code,refresh_token,implicit"
secret="secret_1" scope="read,write,trust" />
"oauth2ClientDetailsUserService"
class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
"clientDetailsService" />
"oauth2AuthenticationManager">
"oauth2ClientDetailsUserService" />
这儿设置了一种客户端,id叫做mobile_1,secret叫做secret_1,针对read、write和trust几个域有效。这几个域会在访问控制中被用到。
当登录成功之后会得到一个token,再次访问的时候需要携带这个token,spring-oauth2根据这个token来做认证,那么spring-oauth2必须先存一份token和用户关系的对应,因为不用session了,这就相当于session,那么这个token在服务器中怎么存,有两种主要的存储方式,一是创建数据表,把token存到数据库里,我现在追求简单可用,采用第二种方式,直接存到内存里。下面配置一个管理token的service:
"tokenStore"
class="org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore" />
"tokenServices"
class="org.zhangfc.demo4ssh.service.MyTokenService">
下面配置4个基本的bean:分别处理访问成功、访问拒绝、认证点和访问控制:
复制代码
"oauth2AuthenticationEntryPoint"
class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint" />
"oauth2AccessDeniedHandler"
class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler" />
"oauthUserApprovalHandler"
class="org.springframework.security.oauth2.provider.approval.DefaultUserApprovalHandler" />
"oauth2AccessDecisionManager"
class="org.springframework.security.access.vote.UnanimousBased">
"org.springframework.security.oauth2.provider.vote.ScopeVoter" />
"org.springframework.security.access.vote.RoleVoter" />
"org.springframework.security.access.vote.AuthenticatedVoter" />
配置这个oauth2的server所能支持的请求类型:
复制代码
"clientDetailsService" token-services-ref="tokenServices"
user-approval-handler-ref="oauthUserApprovalHandler">
我们的请求里,要把验证类型、用户名密码都作为表单参数提交,这就需要配置下面的filter:
"clientCredentialsTokenEndpointFilter"
class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
"authenticationManager" ref="oauth2AuthenticationManager" />
下面定义一种资源,指定spring要保护的资源,如果没有这个,访问控制的时候会说没有Authentication object:
"mobileResourceServer"
resource-id="mobile-resource" token-services-ref="tokenServices" />
好了,到此为止基本配置就都有了,下面就看访问控制的配置:在前面的拦截链上,已经为登录验证配了一个/auth/token,在这个标签下面添加对/json和/admin这两个路径的控制
"/json**" create-session="never"
entry-point-ref="oauth2AuthenticationEntryPoint"
access-decision-manager-ref="oauth2AccessDecisionManager">
"false" />
"/json**" access="ROLE_USER" />
"mobileResourceServer" before="PRE_AUTH_FILTER" />
"oauth2AccessDeniedHandler" />
"/admin**" create-session="never"
entry-point-ref="oauth2AuthenticationEntryPoint"
access-decision-manager-ref="oauth2AccessDecisionManager">
"false" />
"/admin**" access="SCOPE_READ,ROLE_ADMIN" />
"mobileResourceServer" before="PRE_AUTH_FILTER" />
"oauth2AccessDeniedHandler" />
我们用oauth2AccessDecisionManager来做决策,这个地方需要注意,spring-security里面配置access=”ROLE_USER,ROLE_ADMIN”是说user和admin都可以访问,是一个“或”的关系,但是这里是“与”的关系,比如第二个,需要ROLE_ADMIN并且当前的scope包含read才可以,否则就没有权限。认证失败会返回一段xml,这个可以自定义handler来修改,暂且按下不表。
默认的12小时access_token可能对于我们来说太长,通过UUID.randomUUID()来生成一个36的唯一的access_token 也不是我们想要的生存方式。故我们可以复制org.springframework.security.oauth2.provider.token.DefaultTokenServices,并对其进行一定修改即可,这里我把这个类复制出来,修改成MyTokenService,并在上面的配置文件中进行了配置。主要是修改其以下成员变量:
private int refreshTokenValiditySeconds = 2592000; //refresh_token 的超时时间 默认2592000秒
private int accessTokenValiditySeconds = 10; //access_token 的超时时间 默认12个小时
private boolean supportRefreshToken = false; //是否支持access_token 刷新,默认是false,在配置文件中以配置成可以支持了,
private boolean reuseRefreshToken = true; //使用refresh_token刷新之后该refresh_token是否依然使用,默认是依然使用
private TokenStore tokenStore; //access_token的存储方式,这个在配置文件中配
通过修改修改其createAccessToken方法来修改access_token 的生成方式:
复制代码
private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
String access_tokens = UUID.randomUUID().toString().replaceAll("-","");
DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(access_tokens);
int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());if(validitySeconds > 0) {
token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
token.setRefreshToken(refreshToken);
token.setScope(authentication.getOAuth2Request().getScope());
return (OAuth2AccessToken)(this.accessTokenEnhancer != null?this.accessTokenEnhancer.enhance(token, authentication):token);
}
源码下载:https://pan.baidu.com/s/1eS1sQSM
获取access_token URL :
http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=password&username=aa&password=aa
这时候会返回一个access_token:
{“access_token”:”4219a91f-45d5-4a07-9e8e-3acbadd0c23e”,”token_type”:”bearer”,”refresh_token”:”d41df9fd-3d36-4a20-b0b7-1a1883c7439d”,”expires_in”:43199,”scope”:”read write trust”}
这之后再拿着这个access_token去访问资源:
http://localhost:8080/AOuth/admin?access_token=4219a91f-45d5-4a07-9e8e-3acbadd0c23e
刷新access_token:
http://localhost:8080/AOuth/oauth/token?client_id=mobile_1&client_secret=secret_1&grant_type=refresh_token&refresh_token=ad18fc89e1424278b675ca05bf8afbb3