核心配置
Spring Boot 示例
Spring Boot 为 OAuth 2.0 登录提供了完整的自动配置功能。
本节演示了如何配置OAuth 2.0 登录示例,使用 Google 作为认证提供者,并涵盖以下主题:
初始设置
要使用 Google 的 OAuth 2.0 认证系统进行登录,您必须在 Google API Console 中设置一个项目以获取 OAuth 2.0 凭据。
|
Google 的 OAuth 2.0 认证实现符合 OpenID Connect 1.0 规范,并已获得 OpenID 认证。 |
按照 OpenID Connect 页面上的说明进行操作,从“Setting up OAuth 2.0”(设置 OAuth 2.0)部分开始。
完成“Obtain OAuth 2.0 credentials”(获取 OAuth 2.0 凭据)说明后,您将获得一个新的 OAuth 客户端,其凭据包括客户端 ID 和客户端 Secret。
设置重定向 URI
重定向 URI 是应用中的路径,最终用户的用户代理在通过 Google 认证并在同意页面上授予 OAuth 客户端(在上一步中创建)访问权限后,将被重定向回该路径。
在“Set a redirect URI”(设置重定向 URI)子部分中,确保“Authorized redirect URIs”(授权重定向 URI)字段设置为 localhost:8080/login/oauth2/code/google。
|
默认的重定向 URI 模板是 |
配置 application.yml
现在您已经拥有了一个新的 Google OAuth 客户端,您需要配置应用以使用该 OAuth 客户端进行认证流程。具体步骤如下:
-
转到
application.yml并设置以下配置:spring: security: oauth2: client: registration: (1) google: (2) client-id: google-client-id client-secret: google-client-secretOAuth 客户端属性1 spring.security.oauth2.client.registration是 OAuth 客户端属性的基本属性前缀。2 基本属性前缀后面是 ClientRegistration的 ID,例如 Google。 -
用您之前创建的 OAuth 2.0 凭据替换
client-id和client-secret属性中的值。
启动应用
启动 Spring Boot 示例并访问 localhost:8080。然后您将被重定向到默认的自动生成的登录页面,该页面显示一个 Google 链接。
点击 Google 链接,然后您将被重定向到 Google 进行认证。
使用您的 Google 账户凭据认证后,您将看到同意界面。同意界面会询问您是否允许或拒绝访问您之前创建的 OAuth 客户端。点击允许以授权 OAuth 客户端访问您的电子邮件地址和基本资料信息。
此时,OAuth 客户端会从 UserInfo Endpoint 获取您的电子邮件地址和基本资料信息,并建立一个认证会话。
Spring Boot 属性映射
下表概述了 Spring Boot OAuth 客户端属性与 ClientRegistration 属性的映射关系。
| Spring Boot | ClientRegistration |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
CommonOAuth2Provider
CommonOAuth2Provider 为一些知名的提供者预定义了一组默认客户端属性:Google、GitHub、Facebook 和 Okta。
例如,提供者的 authorization-uri、token-uri 和 user-info-uri 不经常变化。因此,提供默认值以减少所需的配置是合理的。
如前所述,当我们配置 Google 客户端时,只需要 client-id 和 client-secret 属性。
以下列出了一个示例:
spring:
security:
oauth2:
client:
registration:
google:
client-id: google-client-id
client-secret: google-client-secret这里的客户端属性自动默认设置可以无缝工作,因为 registrationId (google) 与 CommonOAuth2Provider 中的 GOOGLE 枚举(不区分大小写)匹配。 |
如果您想指定不同的 registrationId,例如 google-login,您仍然可以通过配置 provider 属性来利用客户端属性的自动默认设置。
以下列出了一个示例:
spring:
security:
oauth2:
client:
registration:
google-login: (1)
provider: google (2)
client-id: google-client-id
client-secret: google-client-secret| 1 | registrationId 设置为 google-login。 |
| 2 | provider 属性设置为 google,这将利用 CommonOAuth2Provider.GOOGLE.getBuilder() 中设置的客户端属性自动默认设置。 |
配置自定义提供者属性
有些 OAuth 2.0 提供者支持多租户,这会导致每个租户(或子域)具有不同的协议端点。
例如,在 Okta 注册的 OAuth 客户端被分配到一个特定的子域,并拥有自己的协议端点。
对于这些情况,Spring Boot 提供了以下基本属性用于配置自定义提供者属性:spring.security.oauth2.client.provider.[providerId]。
以下列出了一个示例:
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
provider:
okta: (1)
authorization-uri: https://your-subdomain.oktapreview.com/oauth2/v1/authorize
token-uri: https://your-subdomain.oktapreview.com/oauth2/v1/token
user-info-uri: https://your-subdomain.oktapreview.com/oauth2/v1/userinfo
user-name-attribute: sub
jwk-set-uri: https://your-subdomain.oktapreview.com/oauth2/v1/keys| 1 | 基本属性 (spring.security.oauth2.client.provider.okta) 允许自定义配置协议端点的位置。 |
覆盖 Spring Boot 自动配置
Spring Boot 用于 OAuth 客户端支持的自动配置类是 OAuth2ClientAutoConfiguration。
它执行以下任务:
-
注册一个
ClientRegistrationRepository@Bean,该 Bean 由配置的 OAuth 客户端属性中的ClientRegistration(s) 组成。 -
注册一个
SecurityFilterChain@Bean并通过httpSecurity.oauth2Login()启用 OAuth 2.0 登录。
如果您需要根据您的特定需求覆盖自动配置,您可以通过以下方式进行:
注册 ClientRegistrationRepository @Bean
以下示例演示了如何注册 ClientRegistrationRepository @Bean
-
Java
-
Kotlin
@Configuration
public class OAuth2LoginConfig {
@Bean
public ClientRegistrationRepository clientRegistrationRepository() {
return new InMemoryClientRegistrationRepository(this.googleClientRegistration());
}
private ClientRegistration googleClientRegistration() {
return ClientRegistration.withRegistrationId("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
.scope("openid", "profile", "email", "address", "phone")
.authorizationUri("https://#/o/oauth2/v2/auth")
.tokenUri("https://www.googleapis.com/oauth2/v4/token")
.userInfoUri("https://www.googleapis.com/oauth2/v3/userinfo")
.userNameAttributeName(IdTokenClaimNames.SUB)
.jwkSetUri("https://www.googleapis.com/oauth2/v3/certs")
.clientName("Google")
.build();
}
}@Configuration
class OAuth2LoginConfig {
@Bean
fun clientRegistrationRepository(): ClientRegistrationRepository {
return InMemoryClientRegistrationRepository(googleClientRegistration())
}
private fun googleClientRegistration(): ClientRegistration {
return ClientRegistration.withRegistrationId("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
.scope("openid", "profile", "email", "address", "phone")
.authorizationUri("https://#/o/oauth2/v2/auth")
.tokenUri("https://www.googleapis.com/oauth2/v4/token")
.userInfoUri("https://www.googleapis.com/oauth2/v3/userinfo")
.userNameAttributeName(IdTokenClaimNames.SUB)
.jwkSetUri("https://www.googleapis.com/oauth2/v3/certs")
.clientName("Google")
.build()
}
}注册 SecurityFilterChain @Bean
以下示例演示了如何使用 @EnableWebSecurity 注册 SecurityFilterChain @Bean 并通过 httpSecurity.oauth2Login() 启用 OAuth 2.0 登录
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults());
return http.build();
}
}@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
}
return http.build()
}
}完全覆盖自动配置
以下示例演示了如何通过注册 ClientRegistrationRepository @Bean 和 SecurityFilterChain @Bean 来完全覆盖自动配置。
-
Java
-
Kotlin
@Configuration
public class OAuth2LoginConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults());
return http.build();
}
@Bean
public ClientRegistrationRepository clientRegistrationRepository() {
return new InMemoryClientRegistrationRepository(this.googleClientRegistration());
}
private ClientRegistration googleClientRegistration() {
return ClientRegistration.withRegistrationId("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
.scope("openid", "profile", "email", "address", "phone")
.authorizationUri("https://#/o/oauth2/v2/auth")
.tokenUri("https://www.googleapis.com/oauth2/v4/token")
.userInfoUri("https://www.googleapis.com/oauth2/v3/userinfo")
.userNameAttributeName(IdTokenClaimNames.SUB)
.jwkSetUri("https://www.googleapis.com/oauth2/v3/certs")
.clientName("Google")
.build();
}
}@Configuration
class OAuth2LoginConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
}
return http.build()
}
@Bean
fun clientRegistrationRepository(): ClientRegistrationRepository {
return InMemoryClientRegistrationRepository(googleClientRegistration())
}
private fun googleClientRegistration(): ClientRegistration {
return ClientRegistration.withRegistrationId("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
.scope("openid", "profile", "email", "address", "phone")
.authorizationUri("https://#/o/oauth2/v2/auth")
.tokenUri("https://www.googleapis.com/oauth2/v4/token")
.userInfoUri("https://www.googleapis.com/oauth2/v3/userinfo")
.userNameAttributeName(IdTokenClaimNames.SUB)
.jwkSetUri("https://www.googleapis.com/oauth2/v3/certs")
.clientName("Google")
.build()
}
}不使用 Spring Boot 的 Java 配置
如果您无法使用 Spring Boot 并想配置 CommonOAuth2Provider 中预定义的提供者之一(例如 Google),请应用以下配置:
-
Java
-
Kotlin
-
Xml
@Configuration
@EnableWebSecurity
public class OAuth2LoginConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults());
return http.build();
}
@Bean
public ClientRegistrationRepository clientRegistrationRepository() {
return new InMemoryClientRegistrationRepository(this.googleClientRegistration());
}
@Bean
public OAuth2AuthorizedClientService authorizedClientService(
ClientRegistrationRepository clientRegistrationRepository) {
return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository);
}
@Bean
public OAuth2AuthorizedClientRepository authorizedClientRepository(
OAuth2AuthorizedClientService authorizedClientService) {
return new AuthenticatedPrincipalOAuth2AuthorizedClientRepository(authorizedClientService);
}
private ClientRegistration googleClientRegistration() {
return CommonOAuth2Provider.GOOGLE.getBuilder("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.build();
}
}@Configuration
@EnableWebSecurity
open class OAuth2LoginConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
}
return http.build()
}
@Bean
open fun clientRegistrationRepository(): ClientRegistrationRepository {
return InMemoryClientRegistrationRepository(googleClientRegistration())
}
@Bean
open fun authorizedClientService(
clientRegistrationRepository: ClientRegistrationRepository?
): OAuth2AuthorizedClientService {
return InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository)
}
@Bean
open fun authorizedClientRepository(
authorizedClientService: OAuth2AuthorizedClientService?
): OAuth2AuthorizedClientRepository {
return AuthenticatedPrincipalOAuth2AuthorizedClientRepository(authorizedClientService)
}
private fun googleClientRegistration(): ClientRegistration {
return CommonOAuth2Provider.GOOGLE.getBuilder("google")
.clientId("google-client-id")
.clientSecret("google-client-secret")
.build()
}
}<http auto-config="true">
<intercept-url pattern="/**" access="authenticated"/>
<oauth2-login authorized-client-repository-ref="authorizedClientRepository"/>
</http>
<client-registrations>
<client-registration registration-id="google"
client-id="google-client-id"
client-secret="google-client-secret"
provider-id="google"/>
</client-registrations>
<b:bean id="authorizedClientService"
class="org.springframework.security.oauth2.client.InMemoryOAuth2AuthorizedClientService"
autowire="constructor"/>
<b:bean id="authorizedClientRepository"
class="org.springframework.security.oauth2.client.web.AuthenticatedPrincipalOAuth2AuthorizedClientRepository">
<b:constructor-arg ref="authorizedClientService"/>
</b:bean>
