Java API 开发中使用 Spring Security OAuth 进行安全授权

WBOY

发布时间：2023-06-18 08:01:27

1970人浏览过

来源于php中文网

原创

java api 开发中的一个常见需求就是实现用户的身份验证和授权功能。为了提供更加安全可靠的api服务，授权功能变得尤为重要。spring security oauth 是一个优秀的开源框架，可以帮助我们在 java api 中实现授权功能。本文将介绍如何使用 spring security oauth 进行安全授权。

什么是 Spring Security OAuth？

Spring Security OAuth 是 Spring Security 框架的一个扩展，它可以帮助我们实现 OAuth 认证和授权功能。

OAuth 是一个开放标准，用于授权第三方应用程序访问资源。它可以帮助我们实现业务逻辑解耦和安全性强的应用程序。OAuth 授权流程通常包含以下角色：

用户：资源的拥有者；
客户端：申请访问用户资源的应用程序；
授权服务器：处理用户授权的服务器；
资源服务器：存储用户资源的服务器；

授权流程

Spring Security OAuth 实现了 OAuth 授权流程中的四个端点：

/oauth/authorize：授权服务器的授权端点；
/oauth/token：授权服务器的令牌端点；
/oauth/confirm_access：用户端确认授权的端点；
/oauth/error：授权服务器错误信息的端点；

Spring Security OAuth 实现了 OAuth 2.0 的四大授权模式：

立即学习“Java免费学习笔记（深入）”；

授权码模式：使用场景为应用程序启动时需要用户授权；
密码模式：使用场景为客户端自主管理用户凭证；
简化模式：使用场景为客户端跑在浏览器中，不需要客户端保护用户凭证；
客户端模式：使用场景为客户端不需要用户授权，请求的访问令牌只代表了客户端自身；

添加 Spring Security OAuth 依赖

在项目中添加 Spring Security OAuth 依赖。在 pom.xml 中进行如下配置：


    org.springframework.security.oauth
    spring-security-oauth2
    2.3.4.RELEASE

配置授权服务器

我们需要定义授权服务器以便进行授权。在 Spring Security OAuth 中，可以通过启用 OAuth2 认证服务器和实现 AuthorizationServerConfigurer 接口来定义授权服务器。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    TokenStore tokenStore;

    @Autowired
    AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("client")
            .secret("{noop}secret")
            .authorizedGrantTypes("client_credentials", "password")
            .scopes("read", "write")
            .accessTokenValiditySeconds(3600)
            .refreshTokenValiditySeconds(7200);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore)
            .authenticationManager(authenticationManager);
    }
}

在上面的代码中，我们定义了一个基于内存的客户端细节服务，并配置了授权类型为 client_credentials 和 password，也指定了访问令牌的有效期和刷新令牌的有效期。另外，我们还定义了 endpoints 以及他们所需的 tokenStore 和 authenticationManager。

配置资源服务器

要使用 Spring Security OAuth 安全授权，我们还需要配置资源服务器。在 Spring Security OAuth 中，我们可以通过实现 ResourceServerConfigurer 接口来定义资源服务器。

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/**").authenticated()
            .anyRequest().permitAll();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer config) throws Exception {
        config.resourceId("my_resource_id");
    }
}

在上面的代码中，我们定义了 /api/** 给予身份验证，而其他请求允许匿名访问。我们也配置了资源 ID "my_resource_id" 以便在后续的授权流程中使用。

配置 Web 安全性

为了使用 Spring Security OAuth 安全授权，我们还需要配置 Web 安全性。在 Spring Security OAuth 中，可以通过实现 SecurityConfigurer 接口来定义安全性。

独响

一个轻笔记+角色扮演的app

下载

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user")
            .password("{noop}password")
            .roles("USER");
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/oauth/**")
            .permitAll()
            .anyRequest()
            .authenticated()
            .and()
            .formLogin()
            .permitAll();
    }
}

在上面的代码中，我们定义了一个基于内存的用户详细信息服务，并声明了需要身份验证的请求（也就是 /oauth/** 后面的路径都需要身份验证，其他的路径都可以匿名访问）。我们还配置了一个简单的表单登录以便用户登录应用程序。

实现 UserDetailsService

我们需要实现 UserDetailsService 接口以便在安全授权中使用。这里我们直接使用内存来保存用户账号和密码，并不涉及到数据库操作。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if ("user".equals(username)) {
            return new User("user", "{noop}password",
                    AuthorityUtils.createAuthorityList("ROLE_USER"));
        } else {
            throw new UsernameNotFoundException("username not found");
        }
    }
}

实现 API

接下来我们需要实现一个简单的 API。我们在 /api/** 路径下添加了一个 getGreeting() API，用于向客户端返回一条问候语。

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/greeting")
    public String getGreeting() {
        return "Hello, World!";
    }
}

测试授权流程

最后，我们需要测试一下授权流程是否按照预期运行。首先，我们使用授权码模式获取授权码：

http://localhost:8080/oauth/authorize?response_type=code&client_id=client&redirect_uri=http://localhost:8080&scope=read

在你的浏览器中访问上面的 URL，你将会被要求输入用户名和密码以便授权。输入用户名 user 和密码 password 然后点击授权，你将被重定向到 http://localhost:8080/?code=xxx，其中 xxx 是授权码。

接下来，我们使用密码模式获取访问令牌：

curl -X POST 
  http://localhost:8080/oauth/token 
  -H 'content-type: application/x-www-form-urlencoded' 
  -d 'grant_type=password&username=user&password=password&client_id=client&client_secret=secret'

你将会收到一条 JSON 响应，其中包含访问令牌和刷新令牌：

{
    "access_token":"...",
    "token_type":"bearer",
    "refresh_token":"...",
    "expires_in":3600,
    "scope":"read"
}

现在你可以使用这个访问令牌访问 API 服务：

curl -X GET 
  http://localhost:8080/api/greeting 
  -H 'authorization: Bearer xxx'

其中 xxx 是你的访问令牌。你将会收到一条 JSON 响应，其中包含问候语 "Hello, World!"。

在这篇文章中，我们介绍了如何使用 Spring Security OAuth 进行安全授权。Spring Security OAuth 是一个非常强大的框架，可以帮助我们实现 OAuth 授权流程中的所有角色。在实际应用中，我们可以根据不同的安全需求选择不同的授权模式和服务配置。

如何在Java中精确控制星号三角形图案的换行，避免多余空行

如何在Java中精确控制星号三角形图案的换行以消除多余空行

Java并发编程中ConcurrentHashMap怎么实现_原理与优势解析

在Java里如何使用Semaphore控制并发访问量_Java信号量并发控制说明

在Java中Date类有哪些设计缺陷_Java旧日期类问题解析

java速学教程(入门到精通)

java怎么学习？java怎么入门？java在哪学？java怎么学才快？不用担心，这里为大家提供了java速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

拼多多赚钱的5种方法拼多多赚钱的5种方法

在拼多多上赚钱主要可以通过无货源模式一件代发、精细化运营特色店铺、参与官方高流量活动、利用拼团机制社交裂变，以及成为多多进宝推广员这5种方法实现。核心策略在于通过低成本、高效率的供应链管理与营销，利用平台社交电商红利实现盈利。

2026.01.26

edge浏览器怎样设置主页 edge浏览器自定义设置教程

在Edge浏览器中设置主页，请依次点击右上角“...”图标 > 设置 > 开始、主页和新建标签页。在“Microsoft Edge 启动时”选择“打开以下页面”，点击“添加新页面”并输入网址。若要使用主页按钮，需在“外观”设置中开启“显示主页按钮”并设定网址。

2026.01.26

苹果官方查询网站苹果手机正品激活查询入口

苹果官方查询网站主要通过 checkcoverage.apple.com/cn/zh/ 进行，可用于查询序列号（SN）对应的保修状态、激活日期及技术支持服务。此外，查找丢失设备请使用 iCloud.com/find，购买信息与物流可访问 Apple (中国大陆) 订单状态页面。

2026.01.26

npd人格什么意思 npd人格有什么特征

NPD（Narcissistic Personality Disorder）即自恋型人格障碍，是一种心理健康问题，特点是极度夸大自我重要性、需要过度赞美与关注，同时极度缺乏共情能力，背后常掩藏着低自尊和不安全感，影响人际关系、工作和生活，通常在青少年时期开始显现，需由专业人士诊断。

2026.01.26

windows安全中心怎么关闭 windows安全中心怎么执行操作

关闭Windows安全中心（Windows Defender）可通过系统设置暂时关闭，或使用组策略/注册表永久关闭。最简单的方法是：进入设置 > 隐私和安全性 > Windows安全中心 > 病毒和威胁防护 > 管理设置，将实时保护等选项关闭。

2026.01.26

2026年春运抢票攻略大全春运抢票攻略教你三招手【技巧】

铁路12306提供起售时间查询、起售提醒、购票预填、候补购票及误购限时免费退票五项服务，并强调官方渠道唯一性与信息安全。

2026.01.26

个人所得税税率表2026 个人所得税率最新税率表

以工资薪金所得为例，应纳税额 = 应纳税所得额 × 税率 - 速算扣除数。应纳税所得额 = 月度收入 - 5000 元 - 专项扣除 - 专项附加扣除 - 依法确定的其他扣除。假设某员工月工资 10000 元，专项扣除 1000 元，专项附加扣除 2000 元，当月应纳税所得额为 10000 - 5000 - 1000 - 2000 = 2000 元，对应税率为 3%，速算扣除数为 0，则当月应纳税额为 2000×3% = 60 元。

2026.01.26