在构建现代web应用时,用户认证往往需要兼顾多种方式:既要支持用户通过在应用中注册的用户名和密码登录,又要提供通过google、facebook等社交媒体账户快速登录的便捷性。对于前者,通常会想到基于json web token (jwt) 的认证机制;对于后者,oauth2和openid connect (oidc) 是行业标准。
初学者可能会疑惑是否需要同时集成这两种机制。实际上,更推荐的做法是采用一个统一的授权服务(Authorization Server)来处理所有认证和授权逻辑。您的Spring Boot应用则扮演不同的角色:
当您的Spring Boot应用作为资源服务器时,它只关心验证传入请求中携带的JWT是否有效,并从中提取用户信息进行授权。Spring Security OAuth2 Resource Server模块为此提供了强大支持。
首先,在您的pom.xml中添加Spring Security OAuth2 Resource Server的依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>在application.yml或application.properties中配置JWT的验证方式。最常见的是通过JWK Set URI来获取公钥进行签名验证:
spring:
security:
oauth2:
resourceserver:
jwt:
# JWK Set URI指向授权服务提供的公钥端点
jwk-set-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs"
# 如果授权服务使用自定义的JWT颁发者,需要指定
# issuer-uri: "http://localhost:8080/auth/realms/your-realm"请将http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs替换为您实际授权服务的JWK Set URI。
配置Spring Security,确保所有或部分API需要认证:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorizeRequests ->
authorizeRequests
.requestMatchers("/public/**").permitAll() // 允许公共访问
.anyRequest().authenticated() // 其他所有请求都需要认证
)
.oauth2ResourceServer(oauth2ResourceServer ->
oauth2ResourceServer.jwt(jwt -> {}) // 启用JWT资源服务器
);
return http.build();
}
}在控制器中,您可以轻松访问认证用户的信息:
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class MyResourceController {
@GetMapping("/api/me")
public String getAuthenticatedUser(@AuthenticationPrincipal Jwt jwt) {
// Jwt对象包含了令牌中的所有声明 (claims)
String username = jwt.getClaimAsString("preferred_username"); // 或 sub, email等
return "Hello, " + username + "! Your user ID is: " + jwt.getSubject();
}
@GetMapping("/api/admin")
// 假设JWT中包含"ROLE_ADMIN"权限
// @PreAuthorize("hasAuthority('ROLE_ADMIN')")
public String getAdminData() {
return "This is sensitive admin data.";
}
}在某些场景下,为了避免将访问令牌直接暴露给浏览器端的JavaScript(例如出于安全考虑或简化前端逻辑),可以采用BFF(Backend For Frontend)模式。此时,一个Spring Boot应用(或spring-cloud-gateway)充当OAuth2客户端,与授权服务交互,获取并管理令牌。浏览器与BFF之间通过会话(Session)进行安全通信,BFF则使用获取到的访问令牌调用下游的资源服务器。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>在application.yml中配置客户端注册信息:
spring:
security:
oauth2:
client:
registration:
# 您的自定义客户端ID,例如 'my-app-client'
my-app-client:
client-id: "your-client-id-from-auth-server"
client-secret: "your-client-secret-from-auth-server"
authorization-grant-type: authorization_code
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
scope: openid, profile, email
provider:
# 授权服务提供者配置,例如Keycloak
my-app-client:
issuer-uri: "http://localhost:8080/auth/realms/your-realm"
# authorization-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/auth"
# token-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/token"
# jwk-set-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs"
# user-info-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/userinfo"issuer-uri通常足够让Spring Security自动发现其他端点。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorizeRequests ->
authorizeRequests
.anyRequest().authenticated() // 所有请求都需要认证
)
.oauth2Login(oauth2Login ->
oauth2Login.loginPage("/oauth2/authorization/my-app-client") // 自动重定向到授权服务登录页
)
.logout(logout -> logout.logoutSuccessUrl("/")); // 配置登出
return http.build();
}
}当用户访问受保护资源时,如果未认证,Spring Security会自动重定向到授权服务的登录页面。成功登录后,授权服务会将用户重定向回redirect-uri,Spring Security会处理授权码并获取令牌。
通过这种架构,您可以有效地在Spring Boot应用中实现灵活、安全且可扩展的认证机制,同时支持传统注册用户和社交媒体用户登录。
以上就是Spring Boot应用中集成JWT与OAuth2认证的策略与实践的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
775
收藏
