1. 概述
本教程中我们将讨论,如何使用 Spring Security OAuth 与 Spring Boot 实现单点登录(SSO)。
我们将创建3个独立的应用:
- 一个授权服务器 —— 中心身份认证机制
- 二个客户端:使用单点登录
简而言之,当用户尝试访问客户端受保护的页面时,将首先重定向到身份认证服务器进行身份认证。
我们准备采用OAuth2的授权码模式进行身份认证。
注意:本文使用的是Spring OAuth项目 官方已经不推荐。本文最新的Spring Security 5实现版本,请参看我们这篇文章Spring Security OAuth2 实现单点登录。
2. 客户端
让我们先从客户端开始。当然,我们使用Spring Boot来最小化配置:
2.1. Maven 依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.0.1.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
2.2. Security 配置
接下来,最重要的部分,客户端的Security配置:
@Configuration
@EnableOAuth2Sso
public class UiSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.antMatcher("/**")
.authorizeRequests()
.antMatchers("/", "/login**")
.permitAll()
.anyRequest()
.authenticated();
}
}
核心配置是我们使用@EnableOAuth2Sso注解来启用SSO。
请注意,我们需要继承WebSecurityConfigurerAdapter。如果没有此配置,所有路径都会被保护,这会导致用户访问任意页面都会被重定向到登录页面。
本例中,首页和登录页面是唯一无需身份验证即可访问的页面。
application.yml配置文件:
server:
port: 8082
servlet:
context-path: /ui
session:
cookie:
name: UISESSION
security:
basic:
enabled: false
oauth2:
client:
clientId: SampleClientId
clientSecret: secret
accessTokenUri: http://localhost:8081/auth/oauth/token
userAuthorizationUri: http://localhost:8081/auth/oauth/authorize
resource:
userInfoUri: http://localhost:8081/auth/user/me
spring:
thymeleaf:
cache: false
简单说明:
- 我们禁止了默认的Basic认证
-
accessTokenUri是我们获取Access Tokens的地址 -
userAuthorizationUri是用户将被重定向的授权地址 -
userInfoUri是获取当前用户详细信息的地址
顺带一提,本例子使用的是我们自己搭建的授权服务器,我们也可以使用第三方的,例如Facebook或GitHub。
2.3. 前端
现在,看下客户端的前端配置。因为本站之前已经介绍过了,所以这里不再做过多讨论。
index.html页面:
<h1>Spring Security SSO</h1>
<a href="securedPage">Login</a>
以及securedPage.html:
<h1>Secured Page</h1>
Welcome, <span th:text="${#authentication.name}">Name</span>
securePage.html页面需要对用户进行身份认证。如果未认证用户尝试访问securedPage.html,则他们将首先被重定向到登录页面。
3. 授权服务器
现在讨论授权服务器。
3.1. Maven 依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
<version>2.3.3.RELEASE</version>
</dependency>
3.2. OAuth 配置
首先要说明的是,授权服务器和资源服务器是集成在同一个项目里的,会同时运行。
先配置资源服务器,并兼做主引导程序:
@SpringBootApplication
@EnableResourceServer
public class AuthorizationServerApplication extends SpringBootServletInitializer {
public static void main(String[] args) {
SpringApplication.run(AuthorizationServerApplication.class, args);
}
}
然后配置授权服务器:
@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
@Override
public void configure(
AuthorizationServerSecurityConfigurer oauthServer) throws Exception {
oauthServer.tokenKeyAccess("permitAll()")
.checkTokenAccess("isAuthenticated()");
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("SampleClientId")
.secret(passwordEncoder.encode("secret"))
.authorizedGrantTypes("authorization_code")
.scopes("user_info")
.autoApprove(true)
.redirectUris(
"http://localhost:8082/ui/login","http://localhost:8083/ui2/login");
}
}
备注,我们只开启了授权码模式。
同时autoApprove设置为true,这样就可以不会重定向到授权页面,实现自动授权。
3.3. Security 配置
首先, 通过application.properties禁用掉默认的Basic认证:
server.port=8081
server.servlet.context-path=/auth
然后到SecurityConfig中:
@Configuration
@Order(1)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requestMatchers()
.antMatchers("/login", "/oauth/authorize")
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin().permitAll();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("john")
.password(passwordEncoder().encode("123"))
.roles("USER");
}
@Bean
public BCryptPasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
注意我们使用了简单的内存方式进行认证,但可以通过自定义userDetailsService替换。
3.4. User 接口
最后,创建UserController
@RestController
public class UserController {
@GetMapping("/user/me")
public Principal user(Principal principal) {
return principal;
}
}
结果返回JSON格式的user数据。
4. 总结
本教程中,我们学校了如何使用Spring Security Oauth2 与 Spring Boot实现单点登录。
惯例,本教程完整源代码,可从GitHub上获取。