Салют, друзья! Уже завтра стартуют первые занятия в новом потоке курса «Разработчик на Spring Framework». В связи с этим традиционно делимся полезным материалом по теме.
В этой статье мы изучим использование OAuth2 и JWT совместно со Spring Boot и Spring Security.
Сервер авторизации (Authorization Server) является наиболее важным компонентом в архитектуре безопасности Web API. Сервер авторизации действует как единая точка авторизации и позволяет вашим приложениям и HTTP endpoints определять функции вашего приложения.
Сервер авторизации предоставляет клиентам токен доступа для доступа к HTTP Endpoints сервера ресурсов (Resource Server). Сервер ресурсов — это коллекция библиотек, которая содержит HTTP Endpoints, статические ресурсы и динамические веб-страницы.
OAuth2 — это протокол авторизации, который позволяет клиенту (третьей стороне) получить доступ к ресурсам вашего приложения. Для построения OAuth2-приложения нам необходимо знать Grant Type (код авторизации), Client ID и Client secret.
JWT-токен — это JSON Web Token. Он используется для представления защищенной идентификационной информации (claims) между двумя сторонами. Дополнительную информацию о JWT-токенах вы можете найти на сайте www.jwt.io.
Мы собираемся сделать OAuth2-приложение, использующее JWT-токены, которое будет включать в себя сервер авторизации и сервер ресурсов.
Для начала нам нужно добавить зависимости в наш файл сборки.
Пользователи maven могут добавить следующие зависимости в
Примечание переводчика — для java старше 9 надо также добавить следующие зависимости:
Пользователи Gradle могут добавить следующие зависимости в файл
где,
Полный файл
Теперь в основной файл Spring Boot — приложения добавьте аннотации
Добавьте также простой HTTP Endpoint (/products) для доступа к API, защищенному Spring Security, с помощью JWT-токена.
Определите POJO-класс для хранения информации об аутентификации пользователя.
Далее для аутентификации добавьте класс CustomUser, который расширяет
Создайте
Для вызова DAO-репозитория вы можете создать свой
Долее создайте
Этот класс
Теперь добавьте класс для настройки OAuth2. В нем определите Client ID, Client Secret, JwtAccessTokenConverter, закрытый и открытый ключи для подписи и верификации токена, а также настройте
Теперь создайте закрытый и открытый ключи с помощью
Для генерации закрытого ключа можно использовать следующие команды —
Для открытого ключа —
Для Spring Boot старше версии 1.5, добавьте в файл
Если вы используете YAML-файл, то добавьте следующее.
Теперь создайте файлы
Файл
Для Maven вы можете использовать команду, приведенную ниже —
После “BUILD SUCCESS” вы можете найти JAR-файлы в каталоге
Для Gradle вы можете использовать команду —
После “BUILD SUCCESSFUL” вы можете найти JAR-файлы в каталоге
Теперь запустите файл JAR с помощью команды —
Приложение запустилось в Tomcat на порту 8080.
Теперь отправьте POST-запрос через POSTMAN для получения OAUTH2-токена.
Теперь добавьте заголовки запроса —
И параметры запроса —
Теперь запустите и получите
Теперь создайте запрос к API сервера ресурсов с Bearer-токеном в заголовке.
Получаем результат, как показано ниже.
Ждем ваши комментарии, а также сообщаем о том, что до 31 мая можно присоединиться к курсу по специальной цене.
В этой статье мы изучим использование OAuth2 и JWT совместно со Spring Boot и Spring Security.
Сервер авторизации (Authorization Server)
Сервер авторизации (Authorization Server) является наиболее важным компонентом в архитектуре безопасности Web API. Сервер авторизации действует как единая точка авторизации и позволяет вашим приложениям и HTTP endpoints определять функции вашего приложения.
Сервер ресурсов (Resource Server)
Сервер авторизации предоставляет клиентам токен доступа для доступа к HTTP Endpoints сервера ресурсов (Resource Server). Сервер ресурсов — это коллекция библиотек, которая содержит HTTP Endpoints, статические ресурсы и динамические веб-страницы.
OAuth2
OAuth2 — это протокол авторизации, который позволяет клиенту (третьей стороне) получить доступ к ресурсам вашего приложения. Для построения OAuth2-приложения нам необходимо знать Grant Type (код авторизации), Client ID и Client secret.
JWT Token
JWT-токен — это JSON Web Token. Он используется для представления защищенной идентификационной информации (claims) между двумя сторонами. Дополнительную информацию о JWT-токенах вы можете найти на сайте www.jwt.io.
Мы собираемся сделать OAuth2-приложение, использующее JWT-токены, которое будет включать в себя сервер авторизации и сервер ресурсов.
Для начала нам нужно добавить зависимости в наш файл сборки.
Пользователи maven могут добавить следующие зависимости в
pom.xml.<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency>
Примечание переводчика — для java старше 9 надо также добавить следующие зависимости:
<dependency> <groupId>javax.xml.bind</groupId> <artifactId>jaxb-api</artifactId> <version>2.3.0</version> </dependency> <dependency> <groupId>com.sun.xml.bind</groupId> <artifactId>jaxb-impl</artifactId> <version>2.2.11</version> </dependency> <dependency> <groupId>com.sun.xml.bind</groupId> <artifactId>jaxb-core</artifactId> <version>2.2.11</version> </dependency>
Пользователи Gradle могут добавить следующие зависимости в файл
build.gradle.compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-boot-starter-web') testCompile('org.springframework.boot:spring-boot-starter-test') testCompile('org.springframework.security:spring-security-test') compile("org.springframework.security.oauth:spring-security-oauth2") compile('org.springframework.security:spring-security-jwt') compile("org.springframework.boot:spring-boot-starter-jdbc") compile("com.h2database:h2:1.4.191")
где,
- Spring Boot Starter Security − реализует Spring Security
- Spring Security OAuth2 − реализует структуры OAUTH2 для работы сервера авторизации и сервера ресурсов.
- Spring Security JWT − генерирует JWT-токены
- Spring Boot Starter JDBC − доступ к базе данных для проверки пользователя.
- Spring Boot Starter Web − предоставляет HTTP Endpoints.
- H2 Database − хранит информацию о пользователях для аутентификации и авторизации.
Полный файл
pom.xml приведен ниже.<?xml version = "1.0" encoding = "UTF-8"?> <project xmlns = "http://maven.apache.org/POM/4.0.0" xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation = "http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.tutorialspoint</groupId> <artifactId>websecurityapp</artifactId> <version>0.0.1-SNAPSHOT</version> <packaging>jar</packaging> <name>websecurityapp</name> <description>Demo project for Spring Boot</description> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.9.RELEASE</version> <relativePath /> <!-- lookup parent from repository --> </parent> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>
Gradle — build.gradle buildscript { ext { springBootVersion = '1.5.9.RELEASE' } repositories { mavenCentral() } dependencies { classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}") } } apply plugin: 'java' apply plugin: 'eclipse' apply plugin: 'org.springframework.boot' group = 'com.tutorialspoint' version = '0.0.1-SNAPSHOT' sourceCompatibility = 1.8 repositories { mavenCentral() } dependencies { compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-boot-starter-web') testCompile('org.springframework.boot:spring-boot-starter-test') testCompile('org.springframework.security:spring-security-test') compile("org.springframework.security.oauth:spring-security-oauth2") compile('org.springframework.security:spring-security-jwt') compile("org.springframework.boot:spring-boot-starter-jdbc") compile("com.h2database:h2:1.4.191") }
Теперь в основной файл Spring Boot — приложения добавьте аннотации
@EnableAuthorizationServer и @EnableResourceServer, чтобы приложение работало и как сервер авторизации и как сервер ресурсов.Добавьте также простой HTTP Endpoint (/products) для доступа к API, защищенному Spring Security, с помощью JWT-токена.
package com.tutorialspoint.websecurityapp; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @SpringBootApplication @EnableAuthorizationServer @EnableResourceServer @RestController public class WebsecurityappApplication { public static void main(String[] args) { SpringApplication.run(WebsecurityappApplication.class, args); } @RequestMapping(value = "/products") public String getProductName() { return "Honey"; } }
Определите POJO-класс для хранения информации об аутентификации пользователя.
package com.tutorialspoint.websecurityapp; import java.util.ArrayList; import java.util.Collection; import org.springframework.security.core.GrantedAuthority; public class UserEntity { private String username; private String password; private Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>(); public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public Collection<GrantedAuthority> getGrantedAuthoritiesList() { return grantedAuthoritiesList; } public void setGrantedAuthoritiesList(Collection<GrantedAuthority> grantedAuthoritiesList) { this.grantedAuthoritiesList = grantedAuthoritiesList; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } }
Далее для аутентификации добавьте класс CustomUser, который расширяет
org.springframework.security.core.userdetails.User.package com.tutorialspoint.websecurityapp; import org.springframework.security.core.userdetails.User; public class CustomUser extends User { private static final long serialVersionUID = 1L; public CustomUser(UserEntity user) { super(user.getUsername(), user.getPassword(), user.getGrantedAuthoritiesList()); } }
Создайте
@Repository-класс для получения информации о пользователе из базы данных и добавления прав «ROLE_SYSTEMADMIN». Этот класс также будет использоваться в CustomDetailsService.package com.tutorialspoint.websecurityapp; import java.sql.ResultSet; import java.util.ArrayList; import java.util.Collection; import java.util.List; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.jdbc.core.JdbcTemplate; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.stereotype.Repository; @Repository public class OAuthDao { @Autowired private JdbcTemplate jdbcTemplate; public UserEntity getUserDetails(String username) { Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>(); String userSQLQuery = "SELECT * FROM USERS WHERE USERNAME=?"; List<UserEntity> list = jdbcTemplate.query(userSQLQuery, new String[] { username }, (ResultSet rs, int rowNum) -> { UserEntity user = new UserEntity(); user.setUsername(username); user.setPassword(rs.getString("PASSWORD")); return user; }); if (list.size() > 0) { GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_SYSTEMADMIN"); grantedAuthoritiesList.add(grantedAuthority); list.get(0).setGrantedAuthoritiesList(grantedAuthoritiesList); return list.get(0); } return null; } }
Для вызова DAO-репозитория вы можете создать свой
UserDetailsService, унаследовавшись от org.springframework.security.core.userdetails.UserDetailsService, как показано ниже.package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; @Service public class CustomDetailsService implements UserDetailsService { @Autowired OAuthDao oauthDao; @Override public CustomUser loadUserByUsername(final String username) throws UsernameNotFoundException { UserEntity userEntity = null; try { userEntity = oauthDao.getUserDetails(username); CustomUser customUser = new CustomUser(userEntity); return customUser; } catch (Exception e) { e.printStackTrace(); throw new UsernameNotFoundException("User " + username + " was not found in the database"); } } }
Долее создайте
@Сonfiguration-класс, чтобы включить Web Security. Определите в нем параметры шифрования паролей (BCryptPasswordEncoder) и бин AuthenticationManager.Этот класс
SecurityConfiguration должен наследоваться от класса WebSecurityConfigurerAdapter.package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomDetailsService customDetailsService; @Bean public PasswordEncoder encoder() { return new BCryptPasswordEncoder(); } @Override @Autowired protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customDetailsService).passwordEncoder(encoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.NEVER); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } }
Теперь добавьте класс для настройки OAuth2. В нем определите Client ID, Client Secret, JwtAccessTokenConverter, закрытый и открытый ключи для подписи и верификации токена, а также настройте
ClientDetailsServiceConfigurer для допустимых областей действия токена.package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore; @Configuration public class OAuth2Config extends AuthorizationServerConfigurerAdapter { private String clientid = "tutorialspoint"; private String clientSecret = "my-secret-key"; private String privateKey = "private key"; private String publicKey = "public key"; @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager; @Bean public JwtAccessTokenConverter tokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey(privateKey); converter.setVerifierKey(publicKey); return converter; } @Bean public JwtTokenStore tokenStore() { return new JwtTokenStore(tokenEnhancer()); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager).tokenStore(tokenStore()) .accessTokenConverter(tokenEnhancer()); } @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()"); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory().withClient(clientid).secret(clientSecret).scopes("read", "write") .authorizedGrantTypes("password", "refresh_token").accessTokenValiditySeconds(20000) .refreshTokenValiditySeconds(20000); } }
Теперь создайте закрытый и открытый ключи с помощью
openssl.Для генерации закрытого ключа можно использовать следующие команды —
openssl genrsa -out jwt.pem 2048 openssl rsa -in jwt.pem
Для открытого ключа —
openssl rsa -in jwt.pem -pubout
Для Spring Boot старше версии 1.5, добавьте в файл
application.properties следующее свойство (чтобы определить порядок фильтрации ресурсов OAuth2).security.oauth2.resource.filter-order=3
Если вы используете YAML-файл, то добавьте следующее.
security: oauth2: resource: filter-order: 3
Теперь создайте файлы
schema.sql и data.sql в classpath в каталоге src/main/resources/directory для подключения приложения к базе данных H2.Файл
schema.sql выглядит так:CREATE TABLE USERS (ID INT PRIMARY KEY, USERNAME VARCHAR(45), PASSWORD VARCHAR(60)); Файл data.sql: INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES ( 1, 'tutorialspoint@gmail.com','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG'); INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES ( 2, 'myemail@gmail.com','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG');
Примечание — Пароль в таблице базы данных должен храниться в формате Bcrypt Encoder.
Вы можете создать исполняемый JAR-файл и запустить приложение Spring Boot, используя следующие команды Maven или Gradle.
Для Maven вы можете использовать команду, приведенную ниже —
mvn clean install
После “BUILD SUCCESS” вы можете найти JAR-файлы в каталоге
target.Для Gradle вы можете использовать команду —
gradle clean build
После “BUILD SUCCESSFUL” вы можете найти JAR-файлы в каталоге
build/libs.Теперь запустите файл JAR с помощью команды —
java –jar <JARFILE>Приложение запустилось в Tomcat на порту 8080.
Теперь отправьте POST-запрос через POSTMAN для получения OAUTH2-токена.
http://localhost:8080/oauth/tokenТеперь добавьте заголовки запроса —
- Authorization — Basic с вашим Client Id и Client secret.
- Content-Type — application/x-www-form-urlencoded
И параметры запроса —
- grant_type = password
- username = ваше имя
- password = ваш пароль
Теперь запустите и получите
access_token, как показано на рисунке.Теперь создайте запрос к API сервера ресурсов с Bearer-токеном в заголовке.
Получаем результат, как показано ниже.
Ждем ваши комментарии, а также сообщаем о том, что до 31 мая можно присоединиться к курсу по специальной цене.
