Java API 개발에서 인증을 위해 Spring Security OAuth2 사용

인터넷의 지속적인 발전과 함께 분산 아키텍처를 사용하여 점점 더 많은 애플리케이션이 개발되고 있습니다. 분산 아키텍처에서 인증은 가장 중요한 보안 문제 중 하나입니다. 이 문제를 해결하기 위해 개발자는 일반적으로 OAuth2 인증을 구현합니다. Spring Security OAuth2는 OAuth2 인증을 위해 일반적으로 사용되는 보안 프레임워크이며 Java API 개발에 매우 ​​적합합니다. 이 기사에서는 Java API 개발에서 인증을 위해 Spring Security OAuth2를 사용하는 방법을 소개합니다.

1. Spring Security OAuth2 소개

Spring Security OAuth(이하 SS OAuth)는 Spring Security 4.x 버전의 핵심 모듈이 되었으며 OAuth2 인증을 통합하도록 설계되었습니다. Spring 애플리케이션에 대해 지원을 제공할 권리가 있습니다. OAuth2 인증 엔드포인트(/oauth/token, /oauth/authorize 등)를 제공하고 다양한 인증 방법(인증 코드, 비밀번호, 클라이언트 자격 증명 등)은 물론 JWT 및 엔드포인트 보안도 지원합니다.

2. Spring Security OAuth2 구성

Spring Security OAuth2는 주로 다음 구성요소로 구성됩니다.

(1) Authorization Server:

OAuth2 프로토콜의 핵심 관련 기능을 제공하고 토큰 발급, 인증, 새로 고침을 관리합니다. 및 기타 작업. 이는 주로 클라이언트 등록 센터, 인증 요청 프로세서, 토큰 관리자 및 사용자 인증기의 네 가지 구성 요소로 구성됩니다.

(2) 리소스 서버:

리소스 액세스에 대한 보안 보장을 제공하고 인터페이스 인터페이스의 액세스 제어를 구현합니다. 리소스 서버는 요청이 합법적인지 확인하기 위해 전달된 액세스 토큰을 확인해야 합니다. 일반적으로 인증 서버는 리소스 서버로 직접 사용될 수도 있습니다.

(3) 클라이언트:

클라이언트는 OAuth2 프로토콜의 애플리케이션입니다. 클라이언트는 인증 서버에서 토큰을 얻습니다. 토큰은 보호되는 리소스 서버에 액세스하는 데 사용됩니다.

3. Spring Security OAuth2 구성

다음은 Spring Security OAuth2의 기본 구성 예입니다.

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)
                .accessTokenConverter(accessTokenConverter())
                .userDetailsService(userDetailsService);
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("my-jwt-key");
        return converter;
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
    }

위 구성 코드에서는 먼저 이 모듈의 Annotation을 사용합니다.@EnableAuthorizationServer来标记要开启授权服务器的功能。然后我们实现了 AuthorizationServerConfigurer 接口，在这个接口中可以重写 configure(ClientDetailsServiceConfigurer clients) 方法来配置客户端详情服务（客户端库信息，如客户端ID、密钥、授权机制等）。在 configure(AuthorizationServerEndpointsConfigurer endpoints) 方法中，我们配置了授权 URL 和令牌 URL，并构建了 OAuth2AccessToken 对象，该配置对象包括了身份认证管理器和 token 储存拦截器等相关信息。接下来我们通过使用 JwtAccessTokenConverter bean 对象在 token 签名中间件生成 JWT 并返回给客户端。最后，在 configure(AuthorizationServerSecurityConfigurer security)메서드에서는 해당 OAuth2를 정의합니다. 서비스 및 리소스 서버 보안 액세스 규칙.

4. Spring Security OAuth2 인증 사용

위의 SS OAuth 구성을 완료한 후 OAuth2 인증을 사용할 수 있습니다. 인증 서버에서 토큰을 받아야 하는 경우 인증 URL에 요청해야 하며 요청에는 클라이언트 ID와 비밀번호가 포함되어야 합니다. 요청이 승인되면 승인 서버는 액세스 토큰(access_token)을 클라이언트에 반환하고 클라이언트는 토큰을 사용하여 보호되는 리소스 서버의 리소스에 액세스할 수 있습니다. Spring Security OAuth2에서는 RestTemplate 또는 Feign을 사용하여 토큰 요청을 할 수 있으며, 요청 시 인증을 위해 기본 인증을 사용할 수 있습니다.

5. Summary

이 글에서는 SS OAuth의 기본 구성과 구성 방법, 사용법 등 Java API 개발에서 인증을 위해 Spring Security OAuth2를 사용하는 방법을 소개합니다. 이 기사의 소개를 통해 우리는 Spring Security OAuth2를 사용하는 방법에 대해 더 깊이 이해할 수 있으며 동시에 분산 애플리케이션의 보안을 더 잘 보호할 수 있습니다.

위 내용은 Java API 개발에서 인증을 위해 Spring Security OAuth2 사용의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!