第5章 Spring Security 的高级认证技术(2024 最新版)(下)

简介: 第5章 Spring Security 的高级认证技术(2024 最新版)

第5章 Spring Security 的高级认证技术(2024 最新版)(上)+https://developer.aliyun.com/article/1487149


5.2.3 拓展案例 1:刷新令牌

在实际应用中,为了提高安全性和改善用户体验,通常采用较短的 JWT 有效期,并提供刷新令牌机制来允许用户在访问令牌过期后,无需重新登录即可获取新的访问令牌。刷新令牌通常具有比访问令牌更长的有效期,并且可以用来多次获取新的访问令牌,直到刷新令牌本身过期。

案例 Demo

假设我们正在开发一个博客系统,用户登录后将获得一个访问令牌和一个刷新令牌。

步骤 1: 扩展 JwtUtil

首先,我们需要扩展之前创建的 JwtUtil 类,添加生成刷新令牌的方法。

public class JwtUtil {
    private String secretKey = "secret"; // 实际应用中应更安全
    private long validityInMilliseconds = 3600000; // 访问令牌有效期: 1小时
    private long refreshTokenValidityInMilliseconds = 28_800_000; // 刷新令牌有效期: 8小时
    // 原有的 createToken 方法...
    public String createRefreshToken(String username) {
        Date now = new Date();
        Date validity = new Date(now.getTime() + refreshTokenValidityInMilliseconds);
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(now)
                .setExpiration(validity)
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }
    // 原有的 validateToken 和 getUsernameFromJWT 方法...
}

步骤 2: 实现刷新令牌的存储

为了跟踪刷新令牌,我们需要在服务器端存储它们。在简单的示例中,可以将刷新令牌存储在内存或数据库中。

@Component
public class RefreshTokenStore {
    private final Map<String, String> refreshTokenStore = new ConcurrentHashMap<>();
    public void storeToken(String username, String refreshToken) {
        refreshTokenStore.put(username, refreshToken);
    }
    public String getRefreshToken(String username) {
        return refreshTokenStore.get(username);
    }
    // 添加验证刷新令牌的方法等...
}

步骤 3: 处理刷新令牌请求

接下来,实现一个端点来处理刷新令牌请求,验证刷新令牌,并发放新的访问令牌。

@RestController
public class RefreshTokenController {
    @Autowired
    private JwtUtil jwtUtil;
    @Autowired
    private RefreshTokenStore refreshTokenStore;
    @PostMapping("/refresh")
    public ResponseEntity<?> refreshAuthentication(@RequestParam String refreshToken) {
        // 简化示例,实际应更严格地验证刷新令牌
        String username = jwtUtil.getUsername(refreshToken);
        String storedRefreshToken = refreshTokenStore.getRefreshToken(username);
        if (refreshToken.equals(storedRefreshToken) && jwtUtil.validateToken(refreshToken)) {
            String newToken = jwtUtil.createToken(username);
            return ResponseEntity.ok(newToken);
        } else {
            return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Invalid refresh token");
        }
    }
}

步骤 4: 调整登录逻辑

最后,调整登录逻辑以同时发放访问令牌和刷新令牌。

@PostMapping("/login")
public ResponseEntity<?> login(@RequestParam String username, @RequestParam String password) {
    // 验证用户凭据(省略)
    String token = jwtUtil.createToken(username);
    String refreshToken = jwtUtil.createRefreshToken(username);
    refreshTokenStore.storeToken(username, refreshToken);
    return ResponseEntity.ok(Map.of("accessToken", token, "refreshToken", refreshToken));
}

通过实现刷新令牌机制,你的应用可以提供更安全且用户友好的认证体验,使用户在访问令牌过期后能够轻松地继续访问应用资源,而无需频

繁地重新登录。

5.2.4 拓展案例 2:微服务间的 JWT 验证

在基于微服务架构的系统中,服务间的安全通信至关重要。利用 JWT 进行服务间的认证是一种有效的方法,可以确保只有授权的服务能够访问受保护的资源。以下是如何在 Java 中实现微服务间的 JWT 验证的案例。

案例 Demo

假设我们有两个微服务:ServiceAServiceBServiceA 需要调用 ServiceB 的受保护接口。

步骤 1: 在 ServiceB 中验证 JWT

首先,ServiceB 需要验证从 ServiceA 发来的请求中的 JWT。这可以通过配置一个 JWT 过滤器来完成,类似于前面提到的用户认证过程。

ServiceBSecurityConfig 中配置 JWT 过滤器:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtTokenFilter jwtTokenFilter;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
                .authorizeRequests()
                .antMatchers("/api/protected").authenticated()
                .anyRequest().permitAll()
            .and()
                .addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

步骤 2: 在 ServiceA 中生成 JWT

ServiceA 需要生成一个有效的 JWT,用于调用 ServiceB 的接口。这个 JWT 可以是由专门的认证服务生成,或者 ServiceA 本身生成,具体取决于你的架构设计。

这里假设 ServiceA 自行生成 JWT:

@Service
public class JwtService {
    public String generateTokenForServiceB() {
        // 生成 JWT 逻辑,可能包括设置特定的 claims,如服务标识
        return jwtUtil.createToken("ServiceA");
    }
}

步骤 3: ServiceA 调用 ServiceB 时携带 JWT

ServiceA 需要调用 ServiceB 的受保护接口时,它应在 HTTP 请求的 Authorization 头中携带 JWT。

@Service
public class ServiceAClient {
    private RestTemplate restTemplate = new RestTemplate();
    @Autowired
    private JwtService jwtService;
    public String callProtectedServiceB() {
        HttpHeaders headers = new HttpHeaders();
        headers.set("Authorization", "Bearer " + jwtService.generateTokenForServiceB());
        HttpEntity<String> entity = new HttpEntity<>(headers);
        
        return restTemplate.exchange(
                "http://ServiceB/api/protected", HttpMethod.GET, entity, String.class).getBody();
    }
}

这个简化的例子演示了如何在微服务间使用 JWT 进行安全通信。ServiceA 生成一个 JWT 并在调用 ServiceB 时将其包含在请求中,而 ServiceB 则验证这个 JWT 来确保只有授权的服务可以访问其受保护的接口。

通过实现这种机制,你可以确保你的微服务架构中的服务间通信是安全的,只有拥有正确 JWT 的服务才能访问特定的资源或执行特定的操作。这对于构建可扩展且安全的微服务系统至关重要。

5.3 社交登录集成

社交登录集成允许用户使用他们现有的社交媒体账户,如 Facebook、Google 或 Twitter,来直接登录到其他应用或服务中,无需创建新的用户名和密码。这不仅提高了用户体验,还有助于提高注册转化率和用户参与度。

5.3.1 基础知识详解

社交登录集成,允许用户使用他们在社交平台上的账户(如 Facebook、Google 或 Twitter)来登录其他在线服务和应用,是现代网络应用中提升用户体验的重要特性。这种认证方式不仅简化了登录过程,还有助于降低新用户注册的门槛。下面是实现社交登录的一些关键基础知识点。

关键组件

  1. OAuth 2.0:
  • 社交登录的核心是基于 OAuth 2.0 授权框架,它是一个开放标准,用于提供安全的客户端应用访问资源的授权。
  1. OpenID Connect:
  • 在 OAuth 2.0 的基础上,OpenID Connect 为用户身份提供了一个标准化框架。它在 OAuth 2.0 的授权流程中添加了身份层,使得应用能够获取用户的身份信息。

OAuth 2.0 和 OpenID Connect 工作流程

  1. 用户选择社交登录:
  • 用户在应用登录页面选择使用社交平台账户登录。
  1. 重定向到社交平台:
  • 应用将用户重定向到社交平台的授权页面,请求用户授权应用访问其在该平台上的个人信息。
  1. 用户授权:
  • 用户在社交平台上登录(如果尚未登录)并授权应用访问其信息。
  1. 授权码交换:
  • 社交平台将用户重定向回应用,并附带一个授权码。应用使用此授权码向社交平台请求访问令牌。
  1. 获取用户信息:
  • 应用使用访问令牌调用社交平台的 API,获取用户信息,如姓名和邮箱地址。
实现社交登录的挑战
  • 配置多个社交登录提供者:
  • 应用可能需要支持多个社交登录平台,每个平台都有其特定的配置要求和流程。
  • 安全性:
  • 需要确保在整个授权过程中保护用户信息和访问令牌的安全,防止中间人攻击等安全威胁。
  • 用户数据一致性:
  • 应用需要处理将社交平台返回的用户信息与应用内现有用户记录正确匹配和同步的逻辑。
  • 用户体验:
  • 社交登录应无缝集成到应用的登录和注册流程中,提供简洁明了的用户界面和指引。

通过深入理解社交登录的基础知识和相关挑战,开发者可以更有效地集成和管理社交登录功能,为用户提供安全、便捷的登录体验,同时确保应用的安全性和用户数据的一致性。

5.3.2 重点案例:集成 Google 社交登录

社交登录极大地简化了用户的登录过程,并提高了用户体验。在本案例中,我们将通过实际示例演示如何在 Spring Boot 应用中集成 Google 社交登录。

案例 Demo

步骤 1: 添加依赖

为了支持社交登录,首先需要在 pom.xml 中添加 Spring Security OAuth2 客户端依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

步骤 2: 配置 OAuth2 客户端

application.yml 文件中配置 Google 作为 OAuth2 客户端。你需要前往 Google Cloud Platform 创建一个 OAuth 2.0 客户端 ID 并获取客户端 ID 和客户端密钥。

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            clientId: <YOUR_CLIENT_ID>
            clientSecret: <YOUR_CLIENT_SECRET>
            scope:
              - email
              - profile

步骤 3: 创建登录控制器

实现一个控制器来处理登录成功后的逻辑。Spring Security 会自动重定向到 /login/oauth2/code/google 路径以处理 OAuth2 登录流程,但我们可以定义一个控制器来处理登录成功后的重定向。

@Controller
public class SocialLoginController {
    @GetMapping("/loginSuccess")
    public String getLoginInfo(@AuthenticationPrincipal OAuth2User principal, Model model) {
        String name = principal.getAttribute("name");
        model.addAttribute("name", name);
        return "loginSuccess";
    }
}

在这个控制器中,@AuthenticationPrincipal OAuth2User principal 参数用于接收 OAuth2 登录成功后的用户信息。

步骤 4: 配置安全性

确保 Spring Security 配置支持 OAuth2 登录,并正确处理登录成功后的重定向。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests(authorizeRequests ->
                authorizeRequests
                    .antMatchers("/", "/error", "/webjars/**").permitAll()
                    .anyRequest().authenticated()
            )
            .oauth2Login(oauth2Login ->
                oauth2Login
                    .loginPage("/login")
                    .defaultSuccessUrl("/loginSuccess", true)
            );
    }
}

在这个配置中,.defaultSuccessUrl("/loginSuccess", true) 指定了登录成功后的重定向 URL。

测试社交登录

启动应用并访问主页,你应该会看到一个选项让用户通过 Google 账户登录。登录成功后,用户将被重定向到 /loginSuccess 路径,并显示用户的名称。

通过这个案例,你可以看到集成 Google 社交登录的基本步骤。这种方法不仅为用户提供了便捷的登录方式,还可以通过用户的社交账户信息来丰富应用的用户体验。

5.3.3 拓展案例 1:集成 Facebook 登录

在现代Web应用中,提供多种社交登录选项可以显著提升用户体验。在本案例中,我们将探讨如何在Spring Boot应用中集成Facebook社交登录,以便用户可以使用他们的Facebook账户进行登录。

案例 Demo

步骤 1: 添加依赖

确保你的pom.xml中已经包含了Spring Security OAuth2客户端依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

步骤 2: 配置 OAuth2 客户端

application.yml中配置Facebook作为OAuth2客户端。首先,你需要在Facebook开发者平台创建一个应用,获取客户端ID和客户端密钥。

spring:
  security:
    oauth2:
      client:
        registration:
          facebook:
            clientId: <YOUR_FACEBOOK_CLIENT_ID>
            clientSecret: <YOUR_FACEBOOK_CLIENT_SECRET>
            scope:
              - email
              - public_profile

步骤 3: 创建登录成功控制器

创建一个控制器来处理登录成功后的逻辑。Spring Security将自动处理OAuth2登录流程,我们只需要定义登录成功后的行为。

@Controller
public class SocialLoginController {
    @GetMapping("/loginSuccess")
    public String loginSuccess(@AuthenticationPrincipal OAuth2User principal, Model model) {
        String name = principal.getAttribute("name");
        model.addAttribute("name", name);
        // 可以添加更多的用户信息到模型
        return "loginSuccess";
    }
}

步骤 4: 配置 Spring Security

更新你的Spring Security配置以支持OAuth2登录,并处理登录成功后的重定向。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests(authorizeRequests ->
                authorizeRequests
                    .antMatchers("/", "/error", "/webjars/**").permitAll()
                    .anyRequest().authenticated()
            )
            .oauth2Login(oauth2Login ->
                oauth2Login
                    .loginPage("/login")
                    .defaultSuccessUrl("/loginSuccess", true)
            );
    }
}

在这个配置中,.defaultSuccessUrl("/loginSuccess", true)指定了登录成功后的重定向URL。

测试 Facebook 登录

启动应用并访问主页,你现在应该可以看到一个选项让用户通过Facebook账户登录。登录成功后,用户将被重定向到/loginSuccess路径,并可以看到他们的名称等信息。

通过集成Facebook登录,你的应用不仅为用户提供了一种便利的登录方式,还可以利用Facebook提供的丰富用户数据来提升应用的个性化体验。这种社交登录集成方式能够有效提高用户的注册和登录率,从而提升整体的用户参与度。

5.3.4 拓展案例 2:自定义用户注册和登录流程

在集成社交登录(如Google或Facebook)后,应用通常需要将社交账户与现有的用户账户系统集成。这可能涉及到在用户首次使用社交账户登录时创建一个新的应用内用户记录,或者将社交账户链接到现有的用户记录。以下是如何在Spring Boot应用中自定义用户注册和登录流程的示例。

案例 Demo

步骤 1: 定义用户实体

首先,定义一个用户实体来存储用户信息。在这个实体中,你可以存储用户的基本信息以及与社交账户相关的标识符(如Google的sub字段)。

@Entity
public class ApplicationUser {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String username; // 可能是电子邮件地址
    private String name;
    private String googleSub; // 用于存储Google账户的唯一标识符
    // 构造函数、Getter和Setter省略
}

步骤 2: 实现用户服务

实现一个用户服务来处理用户的创建和查找逻辑。这个服务将检查使用社交账户登录的用户是否已经存在于系统中,并据此创建新用户或更新现有用户记录。

@Service
public class UserService {
    @Autowired
    private UserRepository userRepository;
    public ApplicationUser processUserLogin(OAuth2User oAuth2User) {
        String googleSub = oAuth2User.getAttribute("sub"); // 从Google登录信息中获取sub
        ApplicationUser user = userRepository.findByGoogleSub(googleSub);
        if (user == null) {
            user = new ApplicationUser();
            user.setGoogleSub(googleSub);
        }
        user.setUsername(oAuth2User.getAttribute("email"));
        user.setName(oAuth2User.getAttribute("name"));
        return userRepository.save(user);
    }
}

步骤 3: 自定义OAuth2登录成功处理器

创建一个登录成功处理器,它在用户通过社交账户登录成功后,调用UserService来处理用户记录。

@Component
public class CustomAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    @Autowired
    private UserService userService;
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws ServletException, IOException {
        OAuth2AuthenticationToken authToken = (OAuth2AuthenticationToken) authentication;
        OAuth2User oAuth2User = authToken.getPrincipal();
        ApplicationUser user = userService.processUserLogin(oAuth2User);
        
        // 可以在这里将用户信息添加到会话中
        super.onAuthenticationSuccess(request, response, authentication);
    }
}

步骤 4: 配置Spring Security使用自定义成功处理器

在Spring Security配置中,指定OAuth2登录成功后使用自定义的成功处理器。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomAuthenticationSuccessHandler successHandler;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 其他配置...
            .oauth2Login(oauth2Login ->
                oauth2Login
                    .successHandler(successHandler)
            );
    }
}

测试自定义流程

现在,当用户通过Google社交账户登录时,应用将自动检查用户是否已存在,并据此创建或更新用户记录。登录成功后,用户将被重定向到默认成功URL,此时用户的会话已经包含了其信息。

通过这个案例,你可以看到如何将社交登录与自定义的用户注册和登录流程集成。这种方法不仅能够提高用户体验,还能够确保应用能够有效地管理和利用用户数据。

目录
相关文章
|
1月前
|
安全 Java 数据库
安全无忧!在 Spring Boot 3.3 中轻松实现 TOTP 双因素认证
【10月更文挑战第8天】在现代应用程序开发中,安全性是一个不可忽视的重要环节。随着技术的发展,双因素认证(2FA)已经成为增强应用安全性的重要手段之一。本文将详细介绍如何在 Spring Boot 3.3 中实现基于时间的一次性密码(TOTP)双因素认证,让你的应用安全无忧。
79 5
|
3月前
|
SQL Java 测试技术
在Spring boot中 使用JWT和过滤器实现登录认证
在Spring boot中 使用JWT和过滤器实现登录认证
220 0
|
3月前
|
开发框架 负载均衡 Java
当热门技术负载均衡遇上 Spring Boot,开发者的梦想与挑战在此碰撞,你准备好了吗?
【8月更文挑战第29天】在互联网应用开发中,负载均衡至关重要,可避免单服务器过载导致性能下降或崩溃。Spring Boot 作为流行框架,提供了强大的负载均衡支持,通过合理分配请求至多台服务器,提升系统可用性与可靠性,优化资源利用。本文通过示例展示了如何在 Spring Boot 中配置负载均衡,包括添加依赖、创建负载均衡的 `RestTemplate` 实例及服务接口调用等步骤,帮助开发者构建高效、稳定的应用。随着业务扩展,掌握负载均衡技术将愈发关键。
75 6
|
1月前
|
存储 Java API
简单两步,Spring Boot 写死的定时任务也能动态设置:技术干货分享
【10月更文挑战第4天】在Spring Boot开发中,定时任务通常通过@Scheduled注解来实现,这种方式简单直接,但存在一个显著的限制:任务的执行时间或频率在编译时就已经确定,无法在运行时动态调整。然而,在实际工作中,我们往往需要根据业务需求或外部条件的变化来动态调整定时任务的执行计划。本文将分享一个简单两步的解决方案,让你的Spring Boot应用中的定时任务也能动态设置,从而满足更灵活的业务需求。
82 4
|
2月前
|
存储 缓存 Java
在Spring Boot中使用缓存的技术解析
通过利用Spring Boot中的缓存支持,开发者可以轻松地实现高效和可扩展的缓存策略,进而提升应用的性能和用户体验。Spring Boot的声明式缓存抽象和对多种缓存技术的支持,使得集成和使用缓存变得前所未有的简单。无论是在开发新应用还是优化现有应用,合理地使用缓存都是提高性能的有效手段。
39 1
|
2月前
|
前端开发 安全 Java
技术进阶:使用Spring MVC构建适应未来的响应式Web应用
【9月更文挑战第2天】随着移动设备的普及,响应式设计至关重要。Spring MVC作为强大的Java Web框架,助力开发者创建适应多屏的应用。本文推荐使用Thymeleaf整合视图,通过简洁的HTML代码提高前端灵活性;采用`@ResponseBody`与`Callable`实现异步处理,优化应用响应速度;运用`@ControllerAdvice`统一异常管理,保持代码整洁;借助Jackson简化JSON处理;利用Spring Security增强安全性;并强调测试的重要性。遵循这些实践,将大幅提升开发效率和应用质量。
63 7
|
3月前
|
缓存 NoSQL Java
SpringBoot的三种缓存技术(Spring Cache、Layering Cache 框架、Alibaba JetCache 框架)
Spring Cache 是 Spring 提供的简易缓存方案,支持本地与 Redis 缓存。通过添加 `spring-boot-starter-data-redis` 和 `spring-boot-starter-cache` 依赖,并使用 `@EnableCaching` 开启缓存功能。JetCache 由阿里开源,功能更丰富,支持多级缓存和异步 API,通过引入 `jetcache-starter-redis` 依赖并配置 YAML 文件启用。Layering Cache 则提供分层缓存机制,需引入 `layering-cache-starter` 依赖并使用特定注解实现缓存逻辑。
953 1
SpringBoot的三种缓存技术(Spring Cache、Layering Cache 框架、Alibaba JetCache 框架)
|
3月前
|
Java Spring
【Azure Spring Cloud】Spring Cloud Azure 4.0 调用Key Vault遇见认证错误 AADSTS90002: Tenant not found.
【Azure Spring Cloud】Spring Cloud Azure 4.0 调用Key Vault遇见认证错误 AADSTS90002: Tenant not found.
|
2月前
|
JavaScript 前端开发 Java
【颠覆传统】Spring框架如何用WebSocket技术重塑实时通信格局?揭秘背后的故事与技术细节!
【9月更文挑战第4天】随着Web应用对实时交互需求的增长,传统的HTTP模型已无法满足现代应用的要求,特别是在需要持续、双向通信的场景下。WebSocket协议由此诞生,提供全双工通信渠道,使服务器与客户端能实时互发消息。作为Java开发中最受欢迎的框架之一,Spring通过其WebSocket模块支持这一协议,简化了WebSocket在Spring应用中的集成。
55 0
|
3月前
|
前端开发 Java Spring
Spring与Angular/React/Vue:当后端大佬遇上前端三杰,会擦出怎样的火花?一场技术的盛宴,你准备好了吗?
【8月更文挑战第31天】Spring框架与Angular、React、Vue等前端框架的集成是现代Web应用开发的核心。通过RESTful API、WebSocket及GraphQL等方式,Spring能与前端框架高效互动,提供快速且功能丰富的应用。RESTful API简单有效,适用于基本数据交互;WebSocket支持实时通信,适合聊天应用和数据监控;GraphQL则提供更精确的数据查询能力。开发者可根据需求选择合适的集成方式,提升用户体验和应用功能。
92 0