在本教程中,我们将讨论如何使用 Spring Security OAuth 和 Spring Boot 实现 SSO(单点登录)。
本示例将使用到三个独立应用
简而言之,当用户尝试访问客户端应用的安全页面时,他们首先通过身份验证服务器重定向进行身份验证。
我们将使用 OAuth2 中的 Authorization Code
授权类型来驱动授权。
先从客户端应用下手,使用 Spring Boot 来最小化配置:
首先,需要在 pom.xml
中添加以下依赖:
接下来,最重要的部分就是客户端应用的安全配置:
当然,该配置的核心部分是 @EnableOAuth2Sso
注解,我们用它来启用单点登录。
请注意,我们需要继承 WebSecurityConfigurerAdapter
— 如果没有它,所有路径都将被保护 — 因此用户在尝试访问任何页面时将被重定向到登录页面。 在当前这个示例中,索引页面和登录页面可以在没有身份验证的情况下可以访问。
最后,我们还定义了一个 RequestContextListener
bean 来处理请求。
application.yml
:
有几点需要说明:
accessTokenUri
是获取访问令牌的 URIuserAuthorizationUri
是用户将被重定向到的授权 URIuserInfoUri
URI 用于获取当前用户的详细信息另外需要注意,在本例中,我们使用了自己搭建的授权服务器,当然,我们也可以使用其他第三方提供商的授权服务器,例如 Facebook 或 GitHub。
现在来看看客户端应用的前端配置。我们不想把太多时间花费在这里
客户端应用有一个非常简单的前端:
index.html:
securedPage.html:
securedPage.html
页面需要用户进行身份验证。 如果未经过身份验证的用户尝试访问 securedPage.html
,他们将首先被重定向到登录页面。
现在让我们开始来讨论授权服务器。
首先,在 pom.xml
中定义依赖:
理解我们为什么要在这里将授权服务器和资源服务器作为一个单独的可部署单元一起运行这一点非常重要。
让我们从配置资源服务器开始探讨:
之后,配置授权服务器:
需要注意的是我们使用 authorization_code
授权类型来开启一个简单的客户端。
首先,我们将通过 application.properties
禁用默认的 Basic Authentication:
现在,让我们到配置定义一个简单的表单登录机制:
请注意,虽然我们使用了简单的内存认证,但可以很简单地将其替换为自定义的 userDetailsService
。
最后,我们将创建之前在配置中使用到的用户端点:
用户数据将以 JSON 形式返回。