使用 Spring Security OAuth2 实现 SSO 单点登录(传统技术栈)
1、概览
本文将带你了解如何使用 Spring Security OAuth 和 Spring Boot 实现单点登录(SSO)。
我们会使用三个不同的应用:
- 授权服务器 - 中央认证机制
- 两个客户端应用:使用 SSO 的应用
简单来说,当用户试图访问客户端应用中受保护的页面时,他们会被重定向到过身份认证服务器进行身份验。使用 OAuth2 的 “授权码(Authorization Code)模式”。
注:本文使用的是 Spring OAuth 传统技术。如果你想查看新版 Spring Security 的版本,请参阅《使用 Spring Security OAuth2 实现 SSO 单点登录》。
2、客户端应用
从客户端应用开始。当然,使用 Spring Boot 构建。
2.1、Maven 依赖
在 pom.xml
中加入以下依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.0.1.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
2.2、Security 配置
接下来是最重要的部分,即客户端应用的 Security 配置:
@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.antMatcher("/**")
.authorizeRequests()
.antMatchers("/", "/login**")
.permitAll()
.anyRequest()
.authenticated();
}
}
该配置的核心部分是用来启用单点登录的 @EnableOAuth2Sso
注解。
注意,需要继承 WebSecurityConfigurerAdapter
,否则,所有路径都将会到保护,因此用户在尝试访问任何页面时都将被重定向到登录页面。在本例中,只有主页(index)和登录页(login)可以在没有身份认证的情况下访问。
最后,还定义了一个 RequestContextListener
Bean 来处理 Requests Scope。
添加 application.yml
:
server:
port: 8082
servlet:
context-path: /ui
session:
cookie:
name: UISESSION
security:
basic:
enabled: false
oauth2:
client:
clientId: SampleClientId
clientSecret: secret
accessTokenUri: http://localhost:8081/auth/oauth/token
userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
resource:
userInfoUri: http://localhost:8081/auth/user/me
spring:
thymeleaf:
cache: false
简要说明:
- 禁用了默认的 Basic Authentication
accessTokenUri
是获取 Access Token 的 URIuserAuthorizationUri
是用户将被重定向到的授权 URIuserInfoUri
是用于获取当前用户详细信息的用户端点的 URI
还要注意的是,在本例中,配置的授权服务器也可以使用其他第三方提供商,如 Facebook 或 GitHub 来代替。
2.3、前端
现在,来看看客户端应用的前端配置。使用 thymeleaf 模板引擎。
非常简单,index.html
如下:
<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>
securedPage.html
如下:
<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>
securedPage.html
页面需要用户通过身份认证。如果未通过身份认证的用户试图访问 securedPage.html
,则会被重定向到登录页面。
3、授权服务器
现在,创建授权服务器。
3.1、Maven 依赖
首先,在 pom.xml
中定义依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
<version>2.3.3.RELEASE</version>
</dependency>
3.2、OAuth 配置
注意,这里我们把授权服务器和资源服务器作为一个可部署的单元,同时运行。
首先是资源服务器,同时也是 main 程序:
@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
public static void main(String[] args) {
SpringApplication.run(AuthorizationServerApplication.class, args);
}
}
然后,配置授权服务器:
@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
@Override
public void configure(
AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()");
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("SampleClientId")
.secret(passwordEncoder.encode("secret"))
.authorizedGrantTypes("authorization_code")
.scopes("user_info")
.autoApprove(true)
.redirectUris(
"http://localhost:8082/ui/login","http://localhost:8083/ui2/login");
}
}
注意,只启用了一个使用 authorization_code
(授权码模式)的简单客户端。
此外,autoApprove
设置为 true
,这样就不会被重定向并需要手动批准任何 scope。
3.3、Security 配置
首先,通过 application.properties
禁用默认的 Basic Authentication:
server.port=8081
server.servlet.context-path=/auth
然后,进入配置,定义一个简单的表单登录:
@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers()
.antMatchers("/login", "/oauth/authorize")
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin().permitAll();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("john")
.password(passwordEncoder().encode("123"))
.roles("USER");
}
@Bean
public BCryptPasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
这里使用的是简单的内存认证,也可以用自定义的 userDetailsService
进行替换。
3.4、User 端点
最后,创建之前在配置中使用的用户端点:
@RestController
public class UserController {
@GetMapping("/user/me")
public Principal user(Principal principal) {
return principal;
}
}
该端点以 JSON 的形式返回用户数据。
4、总结
本文介绍了如何使用 Spring Security Oauth2 和 Spring Boot 实现单点登录。
Ref:https://www.baeldung.com/sso-spring-security-oauth2-legacy