那些遇到过的问题

一个应用程序中的 Spring Security OAuth2 和 FormLogin

ale*_*oid 4 spring spring-security spring-boot spring-security-oauth2

在我的 Spring Boot 应用程序中,我有 RESTful API 和 MVC Web 仪表板用于管理。

是否可以在一个应用程序中同时拥有用于 RESTful API 的 Spring Security OAuth2 身份验证/授权(基于令牌,无状态)和用于 Spring MVC Web 仪表板的 FormLogin(有状态)?

如何使用 Spring Boot 正确配置它?

小智 10

您需要为基于表单的登录和资源服务器安全表单 REST 端点配置您的网络安全

这是一个工作配置,它使用单点登录和单独部署的授权服务器。

@Configuration
@EnableOAuth2Sso
@EnableWebSecurity
protected static class ResourceConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${sso.url}")
    private String ssoUrl;

    @Autowired
    private  RedisConnectionFactory redisConnectionFactory;

    @Bean
    protected TokenStore tokenStore() {
        return new RedisTokenStore(redisConnectionFactory);
    }

    @Bean
    @Primary
    protected ResourceServerTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);

        return defaultTokenServices;
    }


    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        OAuth2AuthenticationManager authenticationManager = new OAuth2AuthenticationManager();
        authenticationManager.setTokenServices(tokenServices());
        return authenticationManager;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {      
        http.requestMatchers()
        .and().authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers(HttpMethod.GET, "/static/**").permitAll()
            .antMatchers(HttpMethod.GET, "/profile/**").permitAll()
            .antMatchers(HttpMethod.GET, "/services/**").permitAll()
            .anyRequest().authenticated()
        .and().logout()
                .invalidateHttpSession(true)
                .logoutSuccessUrl(ssoUrl+"/logout")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .deleteCookies("JSESSIONID").invalidateHttpSession(true)
                .permitAll();
    }

}

@Configuration
@EnableResourceServer
@Order(1)
protected static class ResourceServerConfig extends ResourceServerConfigurerAdapter {



    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("resource-id");
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatcher(new OAuthRequestedMatcher())
            .authorizeRequests().anyRequest().fullyAuthenticated();

    }
}

private static class OAuthRequestedMatcher implements RequestMatcher {
    public boolean matches(HttpServletRequest request) {
        String auth = request.getHeader("Authorization");
        boolean haveOauth2Token = (auth != null) && auth.startsWith("Bearer");
        boolean haveAccessToken = request.getParameter("access_token")!=null;
        return haveOauth2Token || haveAccessToken;
    }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

5203 次

最近记录:

7 年,5 月 前
相关归档
我真的需要服务层吗? 27
新的Spring boot版本中是否添加了snakeyaml 2.0? 22
在thymeleaf中包含JavaScript变量 15
将Hibernate查询结果映射到自定义类? 14
记住 - 我不工作..抛出java.lang.IllegalStateException:UserDetailsS​​ervice是必需的 8
入站和出站网关AMQP注释 6
Spring Boot应用程序日志级别 6
在SpringSecurity 4中重写BasicAuthenticationEntryPoint的最简单方法是什么? 5
Spring Security中@PreAuthorize和@PostAuthorize有什么区别 5
如何在 keycloak 登录页面上实现 Recaptcha 4
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
在一行中初始化ArrayList 2626
如何使用保存实例状态保存Android Activity状态? 2538
什么是MVP和MVC,有什么区别? 2081
使div填充剩余屏幕空间的高度 1743
为什么Java有瞬态字段? 1406
我如何开始使用Node.js 1264
无法绑定到'ngModel',因为它不是'input'的已知属性 1173
在Python中检查类型的规范方法是什么? 1171
按列名从pandas DataFrame中删除列 1136