Menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java

Dengan pembangunan berterusan Internet, semakin banyak aplikasi dibangunkan menggunakan seni bina teragih. Dalam seni bina yang diedarkan, pengesahan adalah salah satu isu keselamatan yang paling kritikal. Untuk menyelesaikan masalah ini, pembangun biasanya melaksanakan pengesahan OAuth2. Spring Security OAuth2 ialah rangka kerja keselamatan yang biasa digunakan untuk pengesahan OAuth2 dan sangat sesuai untuk pembangunan API Java. Artikel ini akan memperkenalkan cara menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java.

1. Pengenalan kepada Spring Security OAuth2

Spring Security OAuth (selepas ini dirujuk sebagai SS OAuth) ialah modul lanjutan Spring Security, yang telah menjadi modul Teras yang direka untuk menyediakan sokongan untuk menyepadukan pengesahan OAuth2 ke dalam aplikasi Spring. Ia menyediakan titik akhir pengesahan OAuth2 (/oauth/token, /oauth/authorize, dsb.), menyokong pelbagai kaedah pengesahan (kod kebenaran, kata laluan, bukti kelayakan klien, dll.), serta sokongan untuk keselamatan JWT dan titik akhir.

2. Komposisi Spring Security OAuth2

Spring Security OAuth2 terutamanya terdiri daripada komponen berikut:

(1) Pelayan Kebenaran:

Menyediakan fungsi teras berkaitan protokol OAuth2, mengurus pengeluaran token, kebenaran, muat semula dan operasi lain. Ia terutamanya terdiri daripada empat komponen: pusat pendaftaran pelanggan, pemproses permintaan kebenaran, pengurus token dan pengesah pengguna.

(2) Pelayan Sumber:

menyediakan jaminan keselamatan untuk akses sumber dan melaksanakan kawalan akses antara muka antara muka. Pelayan sumber perlu mengesahkan token akses yang diluluskan untuk memastikan permintaan itu sah. Secara umumnya, pelayan kebenaran juga boleh digunakan secara langsung sebagai pelayan sumber.

(3) Pelanggan:

Pelanggan ialah aplikasi dalam protokol OAuth2, dan Pelanggan memperoleh token daripada Pelayan Kebenaran. Token digunakan untuk mengakses pelayan sumber yang dilindungi.

3. Konfigurasi Spring Security OAuth2

Berikut ialah contoh konfigurasi asas Spring Security OAuth2:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.authenticationManager(authenticationManager)
                .accessTokenConverter(accessTokenConverter())
                .userDetailsService(userDetailsService);
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("my-jwt-key");
        return converter;
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
        oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
    }

Dalam kod konfigurasi di atas, kami mula-mula gunakan ini Anotasi @EnableAuthorizationServer modul digunakan untuk menandakan fungsi mendayakan pelayan kebenaran. Kemudian kami melaksanakan antara muka AuthorizationServerConfigurer, di mana anda boleh mengatasi kaedah configure(ClientDetailsServiceConfigurer clients) untuk mengkonfigurasi perkhidmatan butiran pelanggan (maklumat perpustakaan pelanggan, seperti ID pelanggan, kunci, mekanisme kebenaran, dll.). Dalam kaedah configure(AuthorizationServerEndpointsConfigurer endpoints), kami mengkonfigurasi URL kebenaran dan URL token, dan membina objek OAuth2AccessToken ini termasuk maklumat berkaitan seperti pengurus pengesahan dan pemintas storan token. Seterusnya kami menjana JWT dalam middleware tandatangan token dan mengembalikannya kepada klien dengan menggunakan objek kacang JwtAccessTokenConverter. Akhir sekali, dalam kaedah configure(AuthorizationServerSecurityConfigurer security) kami mentakrifkan perkhidmatan OAuth2 yang sepadan dan peraturan akses keselamatan pelayan sumber.

4. Gunakan pengesahan Spring Security OAuth2

Selepas melengkapkan konfigurasi SS OAuth di atas, kita boleh mula menggunakan pengesahan OAuth2. Jika anda perlu mendapatkan token daripada pelayan kebenaran, anda perlu membuat permintaan ke URL kebenaran dan permintaan itu perlu memasukkan ID klien dan rahsia. Jika permintaan itu dibenarkan, pelayan kebenaran akan mengembalikan token akses (access_token) kepada klien, dan klien boleh menggunakan token untuk mengakses sumber pelayan sumber yang dilindungi. Dalam Spring Security OAuth2, kami boleh membuat permintaan token dengan menggunakan RestTemplate atau Feign, dan menggunakan pengesahan asas untuk pengesahan dalam permintaan.

5. Ringkasan

Artikel ini memperkenalkan kaedah menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java, termasuk komponen asas SS OAuth, kaedah konfigurasi dan Penggunaannya. Melalui pengenalan artikel ini, kami boleh mempunyai pemahaman yang lebih mendalam tentang cara menggunakan Spring Security OAuth2, dan pada masa yang sama, kami boleh melindungi keselamatan aplikasi yang diedarkan kami dengan lebih baik.

Atas ialah kandungan terperinci Menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!