Spring授權伺服器
Spring 授權伺服器是一個旨在實作 OAuth 2.1 和 OpenID Connect 1.0 規格以及其他相關標準的框架。它基於 Spring Security 構建,為創建符合 OpenID Connect 1.0 和 OAuth2 授權伺服器解決方案的身份提供者提供了安全、輕量級和可自訂的基礎。
功能列表
什麼是 Spring Security 以及它是如何運作的?
簡短回答
Spring Security 是一個功能強大且高度可自訂的身份驗證和存取控制框架。它是保護基於 Spring 的應用程式的事實標準。
本質上,Spring Security 本質上是 servlet 過濾器的集合,旨在透過強大的身份驗證和授權功能來增強您的 Web 應用程式。
Spring Security 也與 Spring Web MVC 或 Spring Boot 等框架配合,支援 OAuth2 和 SAML 等標準。它會自動產生登入和登出接口,並保護您的應用程式免受 CSRF 等常見安全漏洞的影響。
嗯,這不是很有幫助,不是嗎?
讓我們深入研究網路安全,以掌握其安全工作流程的要點。
要成為Spring Security專家,首先要掌握這三個核心概念:
- 驗證
- 授權
- Servlet 過濾器
注意 - 不要繞過此部分;它為所有 Spring Security 功能奠定了基礎。
驗證
您需要在線上存取您的銀行帳戶以查看餘額或進行交易。通常這是使用使用者名稱和密碼完成的
使用者:「我是 John Doe。我的使用者名稱是:johndoe1985。」
銀行系統:「請驗證您的身分。您的密碼是多少?」
使用者:「我的密碼是:secureB@nk2023。」
銀行系統:「歡迎,John Doe。這是您的帳戶概覽。」
授權
對於基本應用程序,僅進行身份驗證就足夠了:用戶登入後,他們將被授予訪問應用程式所有區域的權限。
但是,在大多數應用程式中,都有權限或角色在發揮作用。
使用者:「讓我來玩一下該交易...」
銀行系統:「等一下,我需要先檢查您的權限…是的,John Doe 先生,您的權限等級正確。盡情享受吧。」
使用者:「我轉1M哈哈哈…開玩笑開玩笑」
小服務程序過濾器
現在,讓我們來探索 Servlet 濾鏡。它們與身分驗證和授權有何關係?
為什麼要使用 Servlet 濾鏡?
每個 Spring Web 應用程式都圍繞著一個 servlet 展開:值得信賴的 DispatcherServlet。它的主要作用是將傳入的 HTTP 請求(例如來自瀏覽器的請求)路由到適當的 @Controller 或 @RestController 進行處理。
事情是這樣的:DispatcherServlet 本身沒有任何內建的安全功能,您可能不想直接在 @Controller 中處理原始 HTTP Basic Auth 標頭。理想情況下,在請求到達您的 @Controllers
之前就應該處理身份驗證和授權幸運的是,在 Java Web 環境中,您可以透過在 servlet 之前放置過濾器來實現這一點。這意味著您可以考慮建立一個 SecurityFilter 並將其設定在 Tomcat(servlet 容器/應用程式伺服器)中,以在每個傳入的 HTTP 請求到達您的 servlet 之前攔截和處理它。
SecurityFilter 大約有 4 個任務
- 首先,過濾器需要從請求中提取使用者名稱/密碼。它可以透過基本驗證 HTTP 標頭、表單欄位或 cookie 等實作。
- 然後過濾器需要根據資料庫等內容驗證使用者名稱/密碼組合。
- 過濾器需要在身份驗證成功後檢查使用者是否有權存取所要求的 URI。
- 如果請求通過了所有這些檢查,那麼過濾器就可以 讓請求傳遞到您的 DispatcherServlet,即您的 @Controllers。
過濾器鏈
在實踐中,我們會將一個過濾器分解為多個過濾器,然後您可以將它們連結在一起。
以下是傳入 HTTP 請求的傳輸方式:
- 首先,它透過 LoginMethodFilter...
- 接下來,它會通過 AuthenticationFilter...
- 然後,它移到 AuthorizationFilter...
- 最後,它到達您的 servlet。
此設定稱為 FilterChain。
透過使用過濾器(或一系列過濾器),您可以有效地管理應用程式中的所有身份驗證和授權挑戰,而無需更改 @RestControllers 或 @Controllers 的核心實作。
Spring 的 DefaultSecurityFilterChain
假設您已經正確配置了 Spring Security 並啟動了您的 Web 應用程式。您會注意到一條日誌訊息,如下所示:
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
擴充這一行表示 Spring Security 不僅僅添加一個過濾器,它還設定了一個包含 15 個(!)不同過濾器的完整過濾器鏈。
當 HTTP 請求到達時,它會依次通過這 15 個過濾器中的每一個,然後最終到達您的 @RestControllers。這些過濾器的順序至關重要,因為請求是從鏈的頂部到底部處理的。
分析 Spring 的 FilterChain
深入研究鏈中每個過濾器的細節會讓我們走得太遠,但這裡是一些關鍵過濾器的解釋。為了更深入地了解其他內容,您可以探索 Spring Security 的原始程式碼。
- BasicAuthenticationFilter:嘗試在請求中尋找基本驗證 HTTP 標頭,如果找到,請嘗試使用標頭的使用者名稱和密碼對使用者進行驗證。
- UsernamePasswordAuthenticationFilter:嘗試尋找使用者名稱/密碼請求參數/POST 正文,如果找到,請嘗試使用這些值對使用者進行驗證。
- DefaultLoginPageGenerateFilter:如果您沒有明確停用該功能,則會為您產生登入頁面。這個過濾器就是您在啟用 Spring Security 時獲得預設登入頁面的原因。
- DefaultLogoutPageGenerateFilter:如果您沒有明確停用該功能,則會為您產生一個登出頁面。
- FilterSecurityInterceptor:是否經過您的授權。
開玩笑
問題 - 為什麼 HTTP 請求會被 Spring Security 過濾器破壞?
回答 - 因為每次它試圖靠近時,過濾器都會說:「等一下!讓我先檢查一下你!」 ?是的,休息......哇,等等......這次的安全討論太多了!
設定 Spring 授權伺服器
開始使用 Spring 授權伺服器的最簡單方法是建立基於 Spring Boot 的應用程式。您可以使用start.spring.io產生一個基本專案。
唯一需要的依賴是實作(“org.springframework.boot:spring-boot-starter-oauth2-authorization-server”)
我們將增加另外兩個來執行更多操作
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
如何設定 Spring Security
使用最新的 Spring Security 和/或 Spring Boot 版本,設定 Spring Security 的方法是使用一個類別: 使用 @EnableWebSecurity 註解。
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
(1):協定端點的 Spring Security 過濾器鏈。
(2) :用於身份驗證的 Spring Security 過濾器鏈。
(3) : com.nimbusds.jose.jwk.source.JWKSource 的實例,用於簽署存取權杖。
(4) : 用於解碼簽章存取權杖的 JwtDecoder 實例。
(5) : AuthorizationServerSettings 實例,用於設定 Spring Authorization Server。
讓我們設定 CORS 以允許某些 URL 存取我們的應用程式
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
Cors配置
該類別用於定義CORS規則。在這種情況下:
- addAllowedOrigin("http://localhost:3000/"):允許來自 http://localhost:3000 的請求。當您的前端在不同連接埠上運行時,這對於本地開發非常有用。在生產中,將其替換為您的實際網域。
- addAllowedMethod("*"):允許所有 HTTP 方法(例如 GET、POST、PUT、DELETE 等)。
- addAllowedHeader("*"):允許請求中的所有 HTTP 標頭。
UrlBasedCorsConfigurationSource
- 將 URL 模式(如 /**)對應到特定 CORS 配置的類別。
- registerCorsConfiguration("/", configuration):將定義的 CORS 規則(配置)應用於應用程式中的所有端點 (/)。
哇,配置太多了!但這就是 Spring 框架的魔力——它處理幕後的所有繁重工作。
是時候配置客戶端了
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
上面我們做了一些事情
- clientId:允許存取的唯一識別碼
- clientAuthenticationMethod :定義驗證方法
- redirectUris 僅允許定義的 URL
- authorizationGrantTypes 授權代碼
用戶詳情服務
UserDetailsService 由 DaoAuthenticationProvider 用於擷取 使用者名稱、密碼以及其他用於使用使用者名稱和密碼進行驗證的屬性。 Spring Security 提供了 UserDetailsService 的記憶體、JDBC 和快取實作。
您可以透過將自訂 UserDetailsService 公開為 bean 來定義自訂驗證。
記憶體中使用者詳細資訊管理器
@Configuration
@EnableWebSecurity
public class SecurityConfig {
private static final String[] ALLOW_LIST = {"/oauth2/token", "/userinfo"};
//This is primarily configured to handle OAuth2 and OpenID Connect specific endpoints. It sets up the security for the authorization server, handling token endpoints, client authentication, etc.
@Bean (1)
@Order(1)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
OAuth2AuthorizationServerConfigurer authorizationServerConfigurer = OAuth2AuthorizationServerConfigurer.authorizationServer();
http
.cors(Customizer.withDefaults())
.authorizeHttpRequests(authz -> authz
.requestMatchers(ALLOW_LIST).permitAll()
.requestMatchers("/**", "/oauth2/jwks/").hasAuthority("SCOPE_keys.write")
.anyRequest()
.authenticated())
.securityMatchers(matchers ->
matchers.requestMatchers(antMatcher("/oauth2/**"), authorizationServerConfigurer.getEndpointsMatcher()))
.with(authorizationServerConfigurer, (authorizationServer) ->
authorizationServer
.oidc(Customizer.withDefaults())) // Enable OpenID Connect 1.0
// Redirect to the login page when not authenticated from the
// authorization endpoint
.exceptionHandling((exceptions) -> exceptions
.defaultAuthenticationEntryPointFor(
new LoginUrlAuthenticationEntryPoint("/login"),
new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
))
// Accept access tokens for User Info and/or Client Registration
.oauth2ResourceServer((oauth2) -> oauth2.jwt(Customizer.withDefaults()));
return http.build();
}
// This configuration is set up for general application security, handling standard web security features like form login for paths not specifically managed by the OAuth2 configuration.
@Bean (2)
@Order(2)
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/login", "/error", "/main.css")
.permitAll()
.anyRequest()
.authenticated()
)
// Form login handles the redirect to the login page from the
// authorization server filter chain
.formLogin((login) -> login.loginPage("/login"));
return http.build();
}
@Bean (3)
public JWKSource<securitycontext> jwkSource() {
KeyPair keyPair = generateRsaKey();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
RSAKey rsaKey = new RSAKey.Builder(publicKey)
.privateKey(privateKey)
.keyID(UUID.randomUUID().toString())
.build();
JWKSet jwkSet = new JWKSet(rsaKey);
return new ImmutableJWKSet(jwkSet);
}
private static KeyPair generateRsaKey() {
KeyPair keyPair;
try {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
keyPair = keyPairGenerator.generateKeyPair();
} catch (Exception ex) {
throw new IllegalStateException(ex);
}
return keyPair;
}
@Bean (4)
public JwtDecoder jwtDecoder(JWKSource<securitycontext> jwkSource) {
return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
}
@Bean (5)
public AuthorizationServerSettings authorizationServerSettings() {
return AuthorizationServerSettings
.builder()
.build();
}
}
</securitycontext></securitycontext>
一旦我們啟動應用程序,我們的 OIDC 和 OAuth2 設定與 Spring 授權伺服器應該可以正常運作。但是,您會注意到我們使用了 InMemoryUserDetailsManager,它非常適合演示或原型設計。但對於生產環境,這是不可取的,因為應用程式重新啟動後所有資料都會消失。
Spring Security 中的 JdbcUserDetailsManager
JdbcUserDetailsManager 是 Spring Security 中的一項功能,它使用 JDBC 透過連接到關聯式資料庫來處理使用者憑證和角色。當您的應用程式可以使用 Spring Security 期望的使用者表的標準架構時,這是理想的選擇。
可從 Spring security org/springframework/security/core/userdetails/jdbc/users.ddl
取得的架構
@Configuration
public class CorsConfig {
@Bean
public UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.addAllowedOrigin("http://localhost:3000/"); // Change to specific domains in production
configuration.addAllowedMethod("*");
configuration.addAllowedHeader("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
從 InMemoryUserDetailsManager 轉換到 JdbcUserDetailsManager 所需的唯一調整
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
此配置對於堅持 Spring Security 標準表模式的應用程式有效。但是,如果您需要自訂(例如使用電子郵件而不是使用者名稱登入),則實作自訂 UserDetailsService 可提供必要的適應性。
帶有客戶實體的自訂 UserDetailservice
讓我們在提供者中新增自訂 CustomUserDetailservice。在 AuthenticationProvider 中使用 setUserDetailsService
設定自訂服務
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
客製化服務
@Configuration
@EnableWebSecurity
public class SecurityConfig {
private static final String[] ALLOW_LIST = {"/oauth2/token", "/userinfo"};
//This is primarily configured to handle OAuth2 and OpenID Connect specific endpoints. It sets up the security for the authorization server, handling token endpoints, client authentication, etc.
@Bean (1)
@Order(1)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
OAuth2AuthorizationServerConfigurer authorizationServerConfigurer = OAuth2AuthorizationServerConfigurer.authorizationServer();
http
.cors(Customizer.withDefaults())
.authorizeHttpRequests(authz -> authz
.requestMatchers(ALLOW_LIST).permitAll()
.requestMatchers("/**", "/oauth2/jwks/").hasAuthority("SCOPE_keys.write")
.anyRequest()
.authenticated())
.securityMatchers(matchers ->
matchers.requestMatchers(antMatcher("/oauth2/**"), authorizationServerConfigurer.getEndpointsMatcher()))
.with(authorizationServerConfigurer, (authorizationServer) ->
authorizationServer
.oidc(Customizer.withDefaults())) // Enable OpenID Connect 1.0
// Redirect to the login page when not authenticated from the
// authorization endpoint
.exceptionHandling((exceptions) -> exceptions
.defaultAuthenticationEntryPointFor(
new LoginUrlAuthenticationEntryPoint("/login"),
new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
))
// Accept access tokens for User Info and/or Client Registration
.oauth2ResourceServer((oauth2) -> oauth2.jwt(Customizer.withDefaults()));
return http.build();
}
// This configuration is set up for general application security, handling standard web security features like form login for paths not specifically managed by the OAuth2 configuration.
@Bean (2)
@Order(2)
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/login", "/error", "/main.css")
.permitAll()
.anyRequest()
.authenticated()
)
// Form login handles the redirect to the login page from the
// authorization server filter chain
.formLogin((login) -> login.loginPage("/login"));
return http.build();
}
@Bean (3)
public JWKSource<securitycontext> jwkSource() {
KeyPair keyPair = generateRsaKey();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
RSAKey rsaKey = new RSAKey.Builder(publicKey)
.privateKey(privateKey)
.keyID(UUID.randomUUID().toString())
.build();
JWKSet jwkSet = new JWKSet(rsaKey);
return new ImmutableJWKSet(jwkSet);
}
private static KeyPair generateRsaKey() {
KeyPair keyPair;
try {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
keyPair = keyPairGenerator.generateKeyPair();
} catch (Exception ex) {
throw new IllegalStateException(ex);
}
return keyPair;
}
@Bean (4)
public JwtDecoder jwtDecoder(JWKSource<securitycontext> jwkSource) {
return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
}
@Bean (5)
public AuthorizationServerSettings authorizationServerSettings() {
return AuthorizationServerSettings
.builder()
.build();
}
}
</securitycontext></securitycontext>
儲存庫
@Configuration
public class CorsConfig {
@Bean
public UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.addAllowedOrigin("http://localhost:3000/"); // Change to specific domains in production
configuration.addAllowedMethod("*");
configuration.addAllowedHeader("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
實體
@Configuration
public class Clients {
@Bean
public RegisteredClientRepository registeredClientRepository() {
RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
.clientId("stomble")
.clientAuthenticationMethod(ClientAuthenticationMethod.NONE)
.authorizationGrantTypes(types -> {
types.add(AuthorizationGrantType.AUTHORIZATION_CODE);
types.add(AuthorizationGrantType.REFRESH_TOKEN);
})
.redirectUris(redirectUri -> {
redirectUri.add("http://localhost:3000");
redirectUri.add("https://oauth.pstmn.io/v1/callback");
redirectUri.add("http://localhost:3000/signin-callback");
})
.postLogoutRedirectUri("http://localhost:3000")
.scopes(score -> {
score.add(OidcScopes.OPENID);
score.add(OidcScopes.PROFILE);
score.add(OidcScopes.EMAIL);
})
.clientSettings(ClientSettings.builder()
.requireAuthorizationConsent(false)
.requireProofKey(true)
.build())
.build();
return new InMemoryRegisteredClientRepository(oidcClient);
}
}
在安全過濾器中,我們必須告訴 spring security 使用此服務
.clientAuthentication(clientAuth -> clientAuth.authenticationProvider(authenticationProvider))
@Configuration
public class UserConfig {
@Bean
public UserDetailsService userDetailsService(PasswordEncoder passwordEncoder) {
UserDetails userDetailFirst = User.builder()
.username("user1")
.password(passwordEncoder.encode("password"))
.roles("USER")
.build();
UserDetails userDetailSecond = User.builder()
.username("user2")
.password(passwordEncoder.encode("password"))
.roles("USER")
.build();
return new InMemoryUserDetailsManager(List.of(userDetailFirst, userDetailSecond));
}
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
結論
在這裡,您有兩個強大的選擇來處理身份驗證:
- JdbcUserDetailsManager:如果您的應用程式與 Spring 的預設架構一致,這是一個簡單的選項。
- 自訂 UserDetailsService:提供管理特殊欄位和角色的彈性。
無論您選擇 JdbcUserDetailsManager 或決定實作自訂 UserDetailsService,兩者都將為您的應用程式配備可擴充的、資料庫支援的驗證系統。
以上是Spring 授權伺服器 spring security 具有自訂使用者詳細資訊服務,用於靈活的資料驅動身份驗證的詳細內容。更多資訊請關注PHP中文網其他相關文章!
平台獨立性如何使企業級的Java應用程序受益?May 03, 2025 am 12:23 AMJava在企業級應用中被廣泛使用是因為其平台獨立性。 1)平台獨立性通過Java虛擬機(JVM)實現,使代碼可在任何支持Java的平台上運行。 2)它簡化了跨平台部署和開發流程,提供了更大的靈活性和擴展性。 3)然而,需注意性能差異和第三方庫兼容性,並採用最佳實踐如使用純Java代碼和跨平台測試。
考慮到平台獨立性,Java在物聯網(物聯網)設備的開發中扮演什麼角色?May 03, 2025 am 12:22 AMJavaplaysigantroleiniotduetoitsplatFormentence.1)itallowscodeTobewrittenOnCeandrunonVariousDevices.2)Java'secosystemprovidesuseusefidesusefidesulylibrariesforiot.3)
描述一個方案,您在Java中遇到了一個特定於平台的問題以及如何解決。May 03, 2025 am 12:21 AMThesolutiontohandlefilepathsacrossWindowsandLinuxinJavaistousePaths.get()fromthejava.nio.filepackage.1)UsePaths.get()withSystem.getProperty("user.dir")andtherelativepathtoconstructthefilepath.2)ConverttheresultingPathobjecttoaFileobjectifne
Java平台獨立對開發人員有什麼好處?May 03, 2025 am 12:15 AMJava'splatFormIndenceistificantBecapeitAllowSitallowsDevelostWriTecoDeonCeandRunitonAnyPlatFormwithAjvm.this“ writeonce,runanywhere”(era)櫥櫃櫥櫃:1)交叉plat formcomplibility cross-platformcombiblesible,enablingDeploymentMentMentMentMentAcrAptAprospOspOspOssCrossDifferentoSswithOssuse; 2)
將Java用於需要在不同服務器上運行的Web應用程序的優點是什麼?May 03, 2025 am 12:13 AMJava適合開發跨服務器web應用。 1)Java的“一次編寫,到處運行”哲學使其代碼可在任何支持JVM的平台上運行。 2)Java擁有豐富的生態系統,包括Spring和Hibernate等工具,簡化開發過程。 3)Java在性能和安全性方面表現出色,提供高效的內存管理和強大的安全保障。
JVM如何促進Java的'寫作一次,在任何地方運行”(WORA)功能?May 02, 2025 am 12:25 AMJVM通過字節碼解釋、平台無關的API和動態類加載實現Java的WORA特性:1.字節碼被解釋為機器碼,確保跨平台運行;2.標準API抽像操作系統差異;3.類在運行時動態加載,保證一致性。
Java的較新版本如何解決平台特定問題?May 02, 2025 am 12:18 AMJava的最新版本通過JVM優化、標準庫改進和第三方庫支持有效解決平台特定問題。 1)JVM優化,如Java11的ZGC提升了垃圾回收性能。 2)標準庫改進,如Java9的模塊系統減少平台相關問題。 3)第三方庫提供平台優化版本,如OpenCV。
說明JVM執行的字節碼驗證的過程。May 02, 2025 am 12:18 AMJVM的字節碼驗證過程包括四個關鍵步驟:1)檢查類文件格式是否符合規範,2)驗證字節碼指令的有效性和正確性,3)進行數據流分析確保類型安全,4)平衡驗證的徹底性與性能。通過這些步驟,JVM確保只有安全、正確的字節碼被執行,從而保護程序的完整性和安全性。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
Atom編輯器mac版下載
最受歡迎的的開源編輯器
WebStorm Mac版
好用的JavaScript開發工具
Dreamweaver Mac版
視覺化網頁開發工具
SublimeText3 Linux新版
SublimeText3 Linux最新版
