Spring Security OAuth2.0(18):资源服务测试

文章目录

资源服务器配置

@EnableResourceServer注解到一个@Configuration配置类上,并且必须使用ResourceServerConfigurer这个配置对象来进行配置(可以选择继承自ResourceServerConfigurerAdapter然后覆写其中的方法,参数就是这个对象的实例),下面是一些可以配置的属性:

ResourceServerSecurityConfigurer中主要包括:

  • tokenServices: ResourceServerTokenServices类的实例,用来实现令牌服务。
  • tokenStore:TokenStore类的实例,指定令牌如何访问,与tokenServices配置可选
  • resourceId:这个资源服务的ID,这个属性是可选的,但是推荐设置并在授权服务中进行验证。
  • 其他的扩展属性例如tokenExtrator令牌提取器用来提取请求中的令牌。

HttpSecurity配置这个与Spring Security 类似:

  • 请求匹配器,用来设置需要进行保护的资源路径,默认的情况下是保护资源服务的全部路径。
  • 通过http.authorizeRequests()来设置受保护的访问规则
  • 其他的自定义权限保护规则通过HttpSecurity来进行配置。

@EnableResourceServer 注解自动增加了一个类型为OAuth2AuthenticationProcessingFilter的过滤器链。

编写资源

在order模块下创一个资源

java 复制代码
@RestController
public class OrderController {

    @GetMapping("r1")
    @PreAuthorize("hasAnyAuthority('p1')")  // 拥有p1权限可以访问此资源
    public String r1(){
        return "资源1";
    }
}

配置资源服务

在order模块下,创建配置 ResourceServerConfig

java 复制代码
package com.it2.security.distributed.order.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {


    public static final String RESOURCE_ID ="res1";

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId(RESOURCE_ID) //资源id
                .tokenServices(tokenService()) //验证令牌的服务
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
       http.authorizeRequests()
               .antMatchers("/**").access("#oauth2.hasScope('all')")
               .and().csrf().disable()
               .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

}

验证token

ResourceServerTokenServices 是组成授权服务的另一半,如果你的授权服务器和资源服务在同一个应用程序的话,你可以使用DefaultTokenServices,这样的话,你就不用考虑关于实现所有必要接口的接口的一致性问题。如果你的资源服务器是分离开的,那么你就需必须确保能够有匹配授权服务提供的ResourceServerTokenServices,它知道如何对令牌进行解码。

令牌解析方法:

使用DefaultTokenServices 在资源服务器本地配置令牌存储,解码,解析方式

使用RemoteTokenServices 资源服务器通过HTTP 请求来解码令牌,每次都请求授权服务器端点/oauth/check_token

使用授权服务的/oauth/check_token 端点你需要在授权服务将这个端点暴露出去,以便资源服务可以进行访问,这在授权服务配置中提到过,下面是一个例子,已经在授权中配置了 /oauth/check_token和/oauth/token_key这两个端点

java 复制代码
 @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
      security.tokenKeyAccess("permitAll()") //oauth/token_key 公开
              .checkTokenAccess("permitAll()") //oauth/check_token 公开
              .allowFormAuthenticationForClients();  //表单认证,申请令牌
    }

添加安全访问控制

*必须配置HttpSecurity ,否则会导致没有该资源权限也能访问。

在order的config下添加安全访问控制

java 复制代码
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true) //开启不同的方法权限注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {



    //配置安全拦截机制
    protected void configure(HttpSecurity security) throws Exception {
        security.csrf().disable().authorizeRequests()
                .antMatchers("/r/**").authenticated()//所有的/r/**的请求必须认证通过
                .anyRequest().permitAll(); //除此之外的请求,都可以访问
    }


}

查看令牌权限

http://localhost:53020/uaa/oauth/check_token

问题

这种方式的缺点:每次请求进行鉴权时,都需要请求远程接口,请求量大时,这种网络请求将会占用大量网络资源。

相关推荐
用户99045017780091 小时前
若依工作流主流方案对接
后端
触底反弹2 小时前
🚀 Node.js path 和 fs 模块,从回调地狱到 async/await 的进化之路!
javascript·后端·node.js
极光代码工作室2 小时前
基于SpringBoot的订单管理系统
java·springboot·web开发·后端开发
xiaoduzi19912 小时前
ConcurrentHashMap学习
java·学习
折哥的程序人生 · 物流技术专研2 小时前
《Java 100 天进阶之路》第53篇:volatile与JMM(2026版)
java·volatile·内存屏障·可见性·java内存模型·jmm·java100天进阶
米饭不加菜2 小时前
使用万用表判断三极管(BJT)好坏
java·开发语言
Csvn3 小时前
Python 开发技巧 · 生成器(Generator)进阶 —— 从 yield 到 yield from,写出省内存的生产者-消费者模式
后端·python
geovindu3 小时前
CSharp: Dijkstra Algorithms
开发语言·后端·算法·c#
Maynor9963 小时前
AI Coding 零基础实战教程|第五部分:完整项目案例实操
java·前端·人工智能·claude code·ai coding