第5章 Spring Security 的高级认证技术(2024 最新版)(上)+https://developer.aliyun.com/article/1487149
5.2.3 拓展案例 1:刷新令牌
在实际应用中,为了提高安全性和改善用户体验,通常采用较短的 JWT 有效期,并提供刷新令牌机制来允许用户在访问令牌过期后,无需重新登录即可获取新的访问令牌。刷新令牌通常具有比访问令牌更长的有效期,并且可以用来多次获取新的访问令牌,直到刷新令牌本身过期。
案例 Demo
假设我们正在开发一个博客系统,用户登录后将获得一个访问令牌和一个刷新令牌。
步骤 1: 扩展 JwtUtil 类
首先,我们需要扩展之前创建的 JwtUtil 类,添加生成刷新令牌的方法。
public class JwtUtil { private String secretKey = "secret"; // 实际应用中应更安全 private long validityInMilliseconds = 3600000; // 访问令牌有效期: 1小时 private long refreshTokenValidityInMilliseconds = 28_800_000; // 刷新令牌有效期: 8小时 // 原有的 createToken 方法... public String createRefreshToken(String username) { Date now = new Date(); Date validity = new Date(now.getTime() + refreshTokenValidityInMilliseconds); return Jwts.builder() .setSubject(username) .setIssuedAt(now) .setExpiration(validity) .signWith(SignatureAlgorithm.HS256, secretKey) .compact(); } // 原有的 validateToken 和 getUsernameFromJWT 方法... }
步骤 2: 实现刷新令牌的存储
为了跟踪刷新令牌,我们需要在服务器端存储它们。在简单的示例中,可以将刷新令牌存储在内存或数据库中。
@Component public class RefreshTokenStore { private final Map<String, String> refreshTokenStore = new ConcurrentHashMap<>(); public void storeToken(String username, String refreshToken) { refreshTokenStore.put(username, refreshToken); } public String getRefreshToken(String username) { return refreshTokenStore.get(username); } // 添加验证刷新令牌的方法等... }
步骤 3: 处理刷新令牌请求
接下来,实现一个端点来处理刷新令牌请求,验证刷新令牌,并发放新的访问令牌。
@RestController public class RefreshTokenController { @Autowired private JwtUtil jwtUtil; @Autowired private RefreshTokenStore refreshTokenStore; @PostMapping("/refresh") public ResponseEntity<?> refreshAuthentication(@RequestParam String refreshToken) { // 简化示例,实际应更严格地验证刷新令牌 String username = jwtUtil.getUsername(refreshToken); String storedRefreshToken = refreshTokenStore.getRefreshToken(username); if (refreshToken.equals(storedRefreshToken) && jwtUtil.validateToken(refreshToken)) { String newToken = jwtUtil.createToken(username); return ResponseEntity.ok(newToken); } else { return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Invalid refresh token"); } } }
步骤 4: 调整登录逻辑
最后,调整登录逻辑以同时发放访问令牌和刷新令牌。
@PostMapping("/login") public ResponseEntity<?> login(@RequestParam String username, @RequestParam String password) { // 验证用户凭据(省略) String token = jwtUtil.createToken(username); String refreshToken = jwtUtil.createRefreshToken(username); refreshTokenStore.storeToken(username, refreshToken); return ResponseEntity.ok(Map.of("accessToken", token, "refreshToken", refreshToken)); }
通过实现刷新令牌机制,你的应用可以提供更安全且用户友好的认证体验,使用户在访问令牌过期后能够轻松地继续访问应用资源,而无需频
繁地重新登录。
5.2.4 拓展案例 2:微服务间的 JWT 验证
在基于微服务架构的系统中,服务间的安全通信至关重要。利用 JWT 进行服务间的认证是一种有效的方法,可以确保只有授权的服务能够访问受保护的资源。以下是如何在 Java 中实现微服务间的 JWT 验证的案例。
案例 Demo
假设我们有两个微服务:ServiceA 和 ServiceB。ServiceA 需要调用 ServiceB 的受保护接口。
步骤 1: 在 ServiceB 中验证 JWT
首先,ServiceB 需要验证从 ServiceA 发来的请求中的 JWT。这可以通过配置一个 JWT 过滤器来完成,类似于前面提到的用户认证过程。
在 ServiceB 的 SecurityConfig 中配置 JWT 过滤器:
@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenFilter jwtTokenFilter; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/api/protected").authenticated() .anyRequest().permitAll() .and() .addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class); } }
步骤 2: 在 ServiceA 中生成 JWT
ServiceA 需要生成一个有效的 JWT,用于调用 ServiceB 的接口。这个 JWT 可以是由专门的认证服务生成,或者 ServiceA 本身生成,具体取决于你的架构设计。
这里假设 ServiceA 自行生成 JWT:
@Service public class JwtService { public String generateTokenForServiceB() { // 生成 JWT 逻辑,可能包括设置特定的 claims,如服务标识 return jwtUtil.createToken("ServiceA"); } }
步骤 3: ServiceA 调用 ServiceB 时携带 JWT
当 ServiceA 需要调用 ServiceB 的受保护接口时,它应在 HTTP 请求的 Authorization 头中携带 JWT。
@Service public class ServiceAClient { private RestTemplate restTemplate = new RestTemplate(); @Autowired private JwtService jwtService; public String callProtectedServiceB() { HttpHeaders headers = new HttpHeaders(); headers.set("Authorization", "Bearer " + jwtService.generateTokenForServiceB()); HttpEntity<String> entity = new HttpEntity<>(headers); return restTemplate.exchange( "http://ServiceB/api/protected", HttpMethod.GET, entity, String.class).getBody(); } }
这个简化的例子演示了如何在微服务间使用 JWT 进行安全通信。ServiceA 生成一个 JWT 并在调用 ServiceB 时将其包含在请求中,而 ServiceB 则验证这个 JWT 来确保只有授权的服务可以访问其受保护的接口。
通过实现这种机制,你可以确保你的微服务架构中的服务间通信是安全的,只有拥有正确 JWT 的服务才能访问特定的资源或执行特定的操作。这对于构建可扩展且安全的微服务系统至关重要。
5.3 社交登录集成
社交登录集成允许用户使用他们现有的社交媒体账户,如 Facebook、Google 或 Twitter,来直接登录到其他应用或服务中,无需创建新的用户名和密码。这不仅提高了用户体验,还有助于提高注册转化率和用户参与度。
5.3.1 基础知识详解
社交登录集成,允许用户使用他们在社交平台上的账户(如 Facebook、Google 或 Twitter)来登录其他在线服务和应用,是现代网络应用中提升用户体验的重要特性。这种认证方式不仅简化了登录过程,还有助于降低新用户注册的门槛。下面是实现社交登录的一些关键基础知识点。
关键组件
- OAuth 2.0:
- 社交登录的核心是基于 OAuth 2.0 授权框架,它是一个开放标准,用于提供安全的客户端应用访问资源的授权。
- OpenID Connect:
- 在 OAuth 2.0 的基础上,OpenID Connect 为用户身份提供了一个标准化框架。它在 OAuth 2.0 的授权流程中添加了身份层,使得应用能够获取用户的身份信息。
OAuth 2.0 和 OpenID Connect 工作流程
- 用户选择社交登录:
- 用户在应用登录页面选择使用社交平台账户登录。
- 重定向到社交平台:
- 应用将用户重定向到社交平台的授权页面,请求用户授权应用访问其在该平台上的个人信息。
- 用户授权:
- 用户在社交平台上登录(如果尚未登录)并授权应用访问其信息。
- 授权码交换:
- 社交平台将用户重定向回应用,并附带一个授权码。应用使用此授权码向社交平台请求访问令牌。
- 获取用户信息:
- 应用使用访问令牌调用社交平台的 API,获取用户信息,如姓名和邮箱地址。
实现社交登录的挑战
- 配置多个社交登录提供者:
- 应用可能需要支持多个社交登录平台,每个平台都有其特定的配置要求和流程。
- 安全性:
- 需要确保在整个授权过程中保护用户信息和访问令牌的安全,防止中间人攻击等安全威胁。
- 用户数据一致性:
- 应用需要处理将社交平台返回的用户信息与应用内现有用户记录正确匹配和同步的逻辑。
- 用户体验:
- 社交登录应无缝集成到应用的登录和注册流程中,提供简洁明了的用户界面和指引。
通过深入理解社交登录的基础知识和相关挑战,开发者可以更有效地集成和管理社交登录功能,为用户提供安全、便捷的登录体验,同时确保应用的安全性和用户数据的一致性。
5.3.2 重点案例:集成 Google 社交登录
社交登录极大地简化了用户的登录过程,并提高了用户体验。在本案例中,我们将通过实际示例演示如何在 Spring Boot 应用中集成 Google 社交登录。
案例 Demo
步骤 1: 添加依赖
为了支持社交登录,首先需要在 pom.xml 中添加 Spring Security OAuth2 客户端依赖。
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency>
步骤 2: 配置 OAuth2 客户端
在 application.yml 文件中配置 Google 作为 OAuth2 客户端。你需要前往 Google Cloud Platform 创建一个 OAuth 2.0 客户端 ID 并获取客户端 ID 和客户端密钥。
spring: security: oauth2: client: registration: google: clientId: <YOUR_CLIENT_ID> clientSecret: <YOUR_CLIENT_SECRET> scope: - email - profile
步骤 3: 创建登录控制器
实现一个控制器来处理登录成功后的逻辑。Spring Security 会自动重定向到 /login/oauth2/code/google 路径以处理 OAuth2 登录流程,但我们可以定义一个控制器来处理登录成功后的重定向。
@Controller public class SocialLoginController { @GetMapping("/loginSuccess") public String getLoginInfo(@AuthenticationPrincipal OAuth2User principal, Model model) { String name = principal.getAttribute("name"); model.addAttribute("name", name); return "loginSuccess"; } }
在这个控制器中,@AuthenticationPrincipal OAuth2User principal 参数用于接收 OAuth2 登录成功后的用户信息。
步骤 4: 配置安全性
确保 Spring Security 配置支持 OAuth2 登录,并正确处理登录成功后的重定向。
@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests(authorizeRequests -> authorizeRequests .antMatchers("/", "/error", "/webjars/**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2Login -> oauth2Login .loginPage("/login") .defaultSuccessUrl("/loginSuccess", true) ); } }
在这个配置中,.defaultSuccessUrl("/loginSuccess", true) 指定了登录成功后的重定向 URL。
测试社交登录
启动应用并访问主页,你应该会看到一个选项让用户通过 Google 账户登录。登录成功后,用户将被重定向到 /loginSuccess 路径,并显示用户的名称。
通过这个案例,你可以看到集成 Google 社交登录的基本步骤。这种方法不仅为用户提供了便捷的登录方式,还可以通过用户的社交账户信息来丰富应用的用户体验。
5.3.3 拓展案例 1:集成 Facebook 登录
在现代Web应用中,提供多种社交登录选项可以显著提升用户体验。在本案例中,我们将探讨如何在Spring Boot应用中集成Facebook社交登录,以便用户可以使用他们的Facebook账户进行登录。
案例 Demo
步骤 1: 添加依赖
确保你的pom.xml中已经包含了Spring Security OAuth2客户端依赖。
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency>
步骤 2: 配置 OAuth2 客户端
在application.yml中配置Facebook作为OAuth2客户端。首先,你需要在Facebook开发者平台创建一个应用,获取客户端ID和客户端密钥。
spring: security: oauth2: client: registration: facebook: clientId: <YOUR_FACEBOOK_CLIENT_ID> clientSecret: <YOUR_FACEBOOK_CLIENT_SECRET> scope: - email - public_profile
步骤 3: 创建登录成功控制器
创建一个控制器来处理登录成功后的逻辑。Spring Security将自动处理OAuth2登录流程,我们只需要定义登录成功后的行为。
@Controller public class SocialLoginController { @GetMapping("/loginSuccess") public String loginSuccess(@AuthenticationPrincipal OAuth2User principal, Model model) { String name = principal.getAttribute("name"); model.addAttribute("name", name); // 可以添加更多的用户信息到模型 return "loginSuccess"; } }
步骤 4: 配置 Spring Security
更新你的Spring Security配置以支持OAuth2登录,并处理登录成功后的重定向。
@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests(authorizeRequests -> authorizeRequests .antMatchers("/", "/error", "/webjars/**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2Login -> oauth2Login .loginPage("/login") .defaultSuccessUrl("/loginSuccess", true) ); } }
在这个配置中,.defaultSuccessUrl("/loginSuccess", true)指定了登录成功后的重定向URL。
测试 Facebook 登录
启动应用并访问主页,你现在应该可以看到一个选项让用户通过Facebook账户登录。登录成功后,用户将被重定向到/loginSuccess路径,并可以看到他们的名称等信息。
通过集成Facebook登录,你的应用不仅为用户提供了一种便利的登录方式,还可以利用Facebook提供的丰富用户数据来提升应用的个性化体验。这种社交登录集成方式能够有效提高用户的注册和登录率,从而提升整体的用户参与度。
5.3.4 拓展案例 2:自定义用户注册和登录流程
在集成社交登录(如Google或Facebook)后,应用通常需要将社交账户与现有的用户账户系统集成。这可能涉及到在用户首次使用社交账户登录时创建一个新的应用内用户记录,或者将社交账户链接到现有的用户记录。以下是如何在Spring Boot应用中自定义用户注册和登录流程的示例。
案例 Demo
步骤 1: 定义用户实体
首先,定义一个用户实体来存储用户信息。在这个实体中,你可以存储用户的基本信息以及与社交账户相关的标识符(如Google的sub字段)。
@Entity public class ApplicationUser { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String username; // 可能是电子邮件地址 private String name; private String googleSub; // 用于存储Google账户的唯一标识符 // 构造函数、Getter和Setter省略 }
步骤 2: 实现用户服务
实现一个用户服务来处理用户的创建和查找逻辑。这个服务将检查使用社交账户登录的用户是否已经存在于系统中,并据此创建新用户或更新现有用户记录。
@Service public class UserService { @Autowired private UserRepository userRepository; public ApplicationUser processUserLogin(OAuth2User oAuth2User) { String googleSub = oAuth2User.getAttribute("sub"); // 从Google登录信息中获取sub ApplicationUser user = userRepository.findByGoogleSub(googleSub); if (user == null) { user = new ApplicationUser(); user.setGoogleSub(googleSub); } user.setUsername(oAuth2User.getAttribute("email")); user.setName(oAuth2User.getAttribute("name")); return userRepository.save(user); } }
步骤 3: 自定义OAuth2登录成功处理器
创建一个登录成功处理器,它在用户通过社交账户登录成功后,调用UserService来处理用户记录。
@Component public class CustomAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler { @Autowired private UserService userService; @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException { OAuth2AuthenticationToken authToken = (OAuth2AuthenticationToken) authentication; OAuth2User oAuth2User = authToken.getPrincipal(); ApplicationUser user = userService.processUserLogin(oAuth2User); // 可以在这里将用户信息添加到会话中 super.onAuthenticationSuccess(request, response, authentication); } }
步骤 4: 配置Spring Security使用自定义成功处理器
在Spring Security配置中,指定OAuth2登录成功后使用自定义的成功处理器。
@EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationSuccessHandler successHandler; @Override protected void configure(HttpSecurity http) throws Exception { http // 其他配置... .oauth2Login(oauth2Login -> oauth2Login .successHandler(successHandler) ); } }
测试自定义流程
现在,当用户通过Google社交账户登录时,应用将自动检查用户是否已存在,并据此创建或更新用户记录。登录成功后,用户将被重定向到默认成功URL,此时用户的会话已经包含了其信息。
通过这个案例,你可以看到如何将社交登录与自定义的用户注册和登录流程集成。这种方法不仅能够提高用户体验,还能够确保应用能够有效地管理和利用用户数据。
