Dengan pembangunan berterusan Internet, semakin banyak aplikasi dibangunkan menggunakan seni bina teragih. Dalam seni bina yang diedarkan, pengesahan adalah salah satu isu keselamatan yang paling kritikal. Untuk menyelesaikan masalah ini, pembangun biasanya melaksanakan pengesahan OAuth2. Spring Security OAuth2 ialah rangka kerja keselamatan yang biasa digunakan untuk pengesahan OAuth2 dan sangat sesuai untuk pembangunan API Java. Artikel ini akan memperkenalkan cara menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java.
Spring Security OAuth (selepas ini dirujuk sebagai SS OAuth) ialah modul lanjutan Spring Security, yang telah menjadi modul Teras yang direka untuk menyediakan sokongan untuk menyepadukan pengesahan OAuth2 ke dalam aplikasi Spring. Ia menyediakan titik akhir pengesahan OAuth2 (/oauth/token, /oauth/authorize, dsb.), menyokong pelbagai kaedah pengesahan (kod kebenaran, kata laluan, bukti kelayakan klien, dll.), serta sokongan untuk keselamatan JWT dan titik akhir.
Spring Security OAuth2 terutamanya terdiri daripada komponen berikut:
(1) Pelayan Kebenaran:
Menyediakan fungsi teras berkaitan protokol OAuth2, mengurus pengeluaran token, kebenaran, muat semula dan operasi lain. Ia terutamanya terdiri daripada empat komponen: pusat pendaftaran pelanggan, pemproses permintaan kebenaran, pengurus token dan pengesah pengguna.
(2) Pelayan Sumber:
menyediakan jaminan keselamatan untuk akses sumber dan melaksanakan kawalan akses antara muka antara muka. Pelayan sumber perlu mengesahkan token akses yang diluluskan untuk memastikan permintaan itu sah. Secara umumnya, pelayan kebenaran juga boleh digunakan secara langsung sebagai pelayan sumber.
(3) Pelanggan:
Pelanggan ialah aplikasi dalam protokol OAuth2, dan Pelanggan memperoleh token daripada Pelayan Kebenaran. Token digunakan untuk mengakses pelayan sumber yang dilindungi.
Berikut ialah contoh konfigurasi asas Spring Security OAuth2:
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .accessTokenConverter(accessTokenConverter()) .userDetailsService(userDetailsService); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("my-jwt-key"); return converter; } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { oauthServer.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()"); }
Dalam kod konfigurasi di atas, kami mula-mula gunakan ini Anotasi @EnableAuthorizationServer
modul digunakan untuk menandakan fungsi mendayakan pelayan kebenaran. Kemudian kami melaksanakan antara muka AuthorizationServerConfigurer, di mana anda boleh mengatasi kaedah configure(ClientDetailsServiceConfigurer clients)
untuk mengkonfigurasi perkhidmatan butiran pelanggan (maklumat perpustakaan pelanggan, seperti ID pelanggan, kunci, mekanisme kebenaran, dll.). Dalam kaedah configure(AuthorizationServerEndpointsConfigurer endpoints)
, kami mengkonfigurasi URL kebenaran dan URL token, dan membina objek OAuth2AccessToken ini termasuk maklumat berkaitan seperti pengurus pengesahan dan pemintas storan token. Seterusnya kami menjana JWT dalam middleware tandatangan token dan mengembalikannya kepada klien dengan menggunakan objek kacang JwtAccessTokenConverter. Akhir sekali, dalam kaedah configure(AuthorizationServerSecurityConfigurer security)
kami mentakrifkan perkhidmatan OAuth2 yang sepadan dan peraturan akses keselamatan pelayan sumber.
Selepas melengkapkan konfigurasi SS OAuth di atas, kita boleh mula menggunakan pengesahan OAuth2. Jika anda perlu mendapatkan token daripada pelayan kebenaran, anda perlu membuat permintaan ke URL kebenaran dan permintaan itu perlu memasukkan ID klien dan rahsia. Jika permintaan itu dibenarkan, pelayan kebenaran akan mengembalikan token akses (access_token) kepada klien, dan klien boleh menggunakan token untuk mengakses sumber pelayan sumber yang dilindungi. Dalam Spring Security OAuth2, kami boleh membuat permintaan token dengan menggunakan RestTemplate atau Feign, dan menggunakan pengesahan asas untuk pengesahan dalam permintaan.
Artikel ini memperkenalkan kaedah menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java, termasuk komponen asas SS OAuth, kaedah konfigurasi dan Penggunaannya. Melalui pengenalan artikel ini, kami boleh mempunyai pemahaman yang lebih mendalam tentang cara menggunakan Spring Security OAuth2, dan pada masa yang sama, kami boleh melindungi keselamatan aplikasi yang diedarkan kami dengan lebih baik.
Atas ialah kandungan terperinci Menggunakan Spring Security OAuth2 untuk pengesahan dalam pembangunan API Java. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!