Java
javaDidacticiel
Sécurité Spring du serveur d'autorisation Spring avec service de détails utilisateur personnalisé pour une authentification flexible basée sur les données
Sécurité Spring du serveur d'autorisation Spring avec service de détails utilisateur personnalisé pour une authentification flexible basée sur les données
Jan 23, 2025 pm 12:07 PM
Serveur d'autorisation Spring
Le Spring Authorization Server est un framework con?u pour implémenter les spécifications OAuth 2.1 et OpenID Connect 1.0, ainsi que d'autres normes connexes. Construit sur Spring Security, il offre une base sécurisée, légère et personnalisable pour créer des fournisseurs d'identité compatibles avec les solutions OpenID Connect 1.0 et OAuth2 Authorization Server.
Liste des fonctionnalités
Qu’est-ce que Spring Security et comment ?a marche ?
réponse courte
Spring Security est un cadre d'authentification et de contr?le d'accès puissant et hautement personnalisable. Il s'agit de la norme de facto pour sécuriser les applications basées sur Spring.
En son c?ur, Spring Security est essentiellement un ensemble de filtres de servlets con?us pour améliorer votre application Web avec des fonctionnalités d'authentification et d'autorisation robustes.
Spring Security s'intègre également bien avec des frameworks comme Spring Web MVC ou Spring Boot, prenant en charge des normes telles que OAuth2 et SAML. Il génère automatiquement des interfaces de connexion et de déconnexion et protège votre application contre les vulnérabilités de sécurité courantes telles que CSRF.
Eh bien, ce n'est pas très utile, n'est-ce pas??
Plongeons-nous dans la sécurité Web pour comprendre l'essentiel de son flux de travail de sécurité.
Pour devenir un expert Spring Security, vous devez d'abord ma?triser ces trois concepts fondamentaux?:
- Authentification
- Autorisation
- Filtres de servlets
Remarque - Ne contournez pas cette section?; il jette les bases de toutes les fonctionnalités de Spring Security.
Authentification
Vous devez accéder à votre compte bancaire en ligne pour vérifier votre solde ou effectuer une transaction. Cela se fait généralement en utilisant le nom d'utilisateur et le mot de passe
Utilisateur?: "Je m'appelle John Doe. Mon nom d'utilisateur est?: johndoe1985."
Système de la banque?: "Veuillez vérifier votre identité. Quel est votre mot de passe ?"
Utilisateur?: "Mon mot de passe est?: secureB@nk2023."
Système de la banque?: "Bienvenue, John Doe. Voici l'aper?u de votre compte."
Autorisation
Pour les applications de base, l'authentification seule peut suffire?: une fois qu'un utilisateur se connecte, il a accès à toutes les zones de l'application.
Cependant, dans la plupart des applications, des autorisations ou des r?les sont en jeu.
Utilisateur?: "Laissez-moi jouer avec cette transaction…?."
Système de la banque?: "Une seconde, je dois d'abord vérifier vos autorisations…?..oui M. John Doe, vous avez le bon niveau d'autorisation. Profitez-en."
Utilisateur?: "Je vais transférer 1M ha ha ha …? Je plaisante, je plaisante"
Filtres de servlets
Maintenant, explorons les filtres de servlet. Quel est leur rapport avec l'authentification et l'autorisation??
Pourquoi utiliser les filtres servlet??
Chaque application Web Spring s'articule autour d'un seul servlet : le fidèle DispatcherServlet. Son r?le principal est d'acheminer les requêtes HTTP entrantes (telles que celles provenant d'un navigateur) vers le @Controller ou @RestController approprié pour leur traitement.
Voici le problème?: le DispatcherServlet lui-même n'a aucune fonctionnalité de sécurité intégrée, et vous ne souhaitez probablement pas gérer les en-têtes HTTP Basic Auth bruts directement dans vos @Controllers. Idéalement, l'authentification et l'autorisation devraient être prises en charge avant même qu'une demande n'atteigne vos @Controllers
Heureusement, dans l'environnement Web Java, vous pouvez y parvenir en pla?ant des filtres avant les servlets. Cela signifie que vous pouvez envisager de créer un SecurityFilter et de le configurer dans votre Tomcat (conteneur de servlet/serveur d'applications) pour intercepter et traiter chaque requête HTTP entrante avant qu'elle n'atteigne votre servlet.
Un SecurityFilter a environ 4 taches
- Tout d'abord, le filtre doit extraire un nom d'utilisateur/mot de passe de la requête. Cela peut être via un en-tête HTTP Basic Auth, ou des champs de formulaire, ou un cookie, etc.
- Ensuite, le filtre doit valider cette combinaison nom d'utilisateur/mot de passe par rapport à quelque chose, comme une base de données.
- Le filtre doit vérifier, après une authentification réussie, que l'utilisateur est autorisé à accéder à l'URI demandé.
- Si la requête survit à toutes ces vérifications, alors le filtre peut et la requête passe par votre DispatcherServlet, c'est à dire vos @Controllers.
Cha?nes de filtres
En pratique, nous décomposions un seul filtre en plusieurs, que vous relieriez ensuite entre eux.
Voici comment une requête HTTP entrante serait acheminée?:
- Tout d'abord, il passe par un LoginMethodFilter...
- Ensuite, il passe par un AuthenticationFilter...
- Ensuite, il passe à un AuthorizationFilter...
- Et enfin, il atteint votre servlet.
Cette configuration est connue sous le nom de FilterChain.
En utilisant un filtre (ou une cha?ne de filtres), vous pouvez gérer efficacement tous les défis d'authentification et d'autorisation dans votre application sans altérer l'implémentation de base de vos @RestControllers ou @Controllers.
DefaultSecurityFilterChain de Spring
Imaginez que vous avez correctement configuré Spring Security et démarré votre application Web. Vous remarquerez un message de journal qui ressemble à ceci?:
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
L'expansion de cette seule ligne révèle que Spring Security n'ajoute pas seulement un filtre, il met en place une cha?ne de filtres complète avec 15 (!) filtres différents.
Lorsqu'une requête HTTP arrive, elle passe par chacun de ces 15 filtres en séquence avant d'atteindre finalement vos @RestControllers. L'ordre de ces filtres est crucial, car la demande est traitée du haut de la cha?ne vers le bas.
Analyse de la FilterChain de Spring
Plonger dans les détails de chaque filtre de la cha?ne nous mènerait trop loin, mais voici des explications pour quelques filtres clés. Pour une compréhension plus approfondie des autres, vous pouvez explorer le code source de Spring Security.
- BasicAuthenticationFilter?: essaie de trouver un en-tête HTTP d'authentification de base sur la requête et, s'il est trouvé, essaie d'authentifier l'utilisateur avec le nom d'utilisateur et le mot de passe de l'en-tête.
- UsernamePasswordAuthenticationFilter?: essaie de trouver un paramètre de demande de nom d'utilisateur/mot de passe/corps POST et s'il est trouvé, essaie d'authentifier l'utilisateur avec ces valeurs.
- DefaultLoginPageGeneratingFilter?: génère une page de connexion pour vous, si vous ne désactivez pas explicitement cette fonctionnalité. CE filtre est la raison pour laquelle vous obtenez une page de connexion par défaut lors de l'activation de Spring Security.
- DefaultLogoutPageGeneratingFilter?: génère une page de déconnexion pour vous, si vous ne désactivez pas explicitement cette fonctionnalité.
- FilterSecurityInterceptor?: Effectue votre autorisation.
Blague
Question - Pourquoi la requête HTTP a-t-elle été interrompue avec le filtre Spring Security??
Réponse - Parce qu'à chaque fois qu'il essayait de se rapprocher, le filtre disait : "Attends ! Laisse-moi d'abord te vérifier !" ?Ouais, pause ........ Whoa, attends... c'était beaucoup trop de discours de sécurité pour une seule fois?!
Configurer le serveur d'autorisation Spring
Le moyen le plus simple de commencer à utiliser Spring Authorization Server consiste à créer une application basée sur Spring Boot. Vous pouvez utiliser start.spring.io pour générer un projet de base.
La seule dépendance requise est l'implémentation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
Nous en ajouterons deux autres pour faire plus d'action
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
Comment configurer Spring Security
Avec les dernières versions de Spring Security et/ou Spring Boot, la fa?on de configurer Spring Security consiste à avoir une classe qui : Est annotée avec @EnableWebSecurity.
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
(1) : Une cha?ne de filtres Spring Security pour les points de terminaison du protocole.
(2) : Une cha?ne de filtres Spring Security pour l'authentification.
(3) : Une instance de com.nimbusds.jose.jwk.source.JWKSource pour signer les jetons d'accès.
(4) : Une instance de JwtDecoder pour décoder les jetons d'accès signés.
(5) : Une instance de AuthorizationServerSettings pour configurer Spring Authorization Server.
Configurons CORS pour autoriser certaines URL vers notre application
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
CorsConfiguration
Cette classe est utilisée pour définir les règles CORS. Dans ce cas?:
- addAllowedOrigin("http://localhost:3000/")?: autorise les requêtes de http://localhost:3000. Ceci est utile pour le développement local lorsque votre interface s'exécute sur un port différent. En production, remplacez-le par vos domaines réels.
- addAllowedMethod("*")?: autorise toutes les méthodes HTTP (par exemple, GET, POST, PUT, DELETE, etc.).
- addAllowedHeader("*")?: autorise tous les en-têtes HTTP dans les requêtes.
UrlBasedCorsConfigurationSource
- Une classe qui mappe les modèles d'URL (comme /**) à des configurations CORS spécifiques.
- registerCorsConfiguration("/", configuration) : applique les règles CORS définies (configuration) à tous les points de terminaison (/) de l'application.
Wow, ?a fait beaucoup de configuration?! Mais c’est la magie du Spring Framework?: il gère tout le gros du travail en coulisses.
Il est temps de configurer les clients
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
Peu de choses que nous avons faites ci-dessus
- clientId?: Un identifiant unique pour autoriser l'accès
- clientAuthenticationMethod : Définition de la méthode d'authentification
- redirectUris Autoriser uniquement les URL définies
- authorizationGrantTypes authorisation_code
ServiceDétailsUtilisateur
UserDetailsService est utilisé par DaoAuthenticationProvider pour récupérer un nom d'utilisateur, un mot de passe et d'autres attributs pour s'authentifier avec un nom d'utilisateur et un mot de passe. Spring Security fournit des implémentations en mémoire, JDBC et en cache de UserDetailsService.
Vous pouvez définir une authentification personnalisée en exposant un UserDetailsService personnalisé en tant que bean.
InMemoryUserDetailsManager
@Configuration
@EnableWebSecurity
public class SecurityConfig {
private static final String[] ALLOW_LIST = {"/oauth2/token", "/userinfo"};
//This is primarily configured to handle OAuth2 and OpenID Connect specific endpoints. It sets up the security for the authorization server, handling token endpoints, client authentication, etc.
@Bean (1)
@Order(1)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
OAuth2AuthorizationServerConfigurer authorizationServerConfigurer = OAuth2AuthorizationServerConfigurer.authorizationServer();
http
.cors(Customizer.withDefaults())
.authorizeHttpRequests(authz -> authz
.requestMatchers(ALLOW_LIST).permitAll()
.requestMatchers("/**", "/oauth2/jwks/").hasAuthority("SCOPE_keys.write")
.anyRequest()
.authenticated())
.securityMatchers(matchers ->
matchers.requestMatchers(antMatcher("/oauth2/**"), authorizationServerConfigurer.getEndpointsMatcher()))
.with(authorizationServerConfigurer, (authorizationServer) ->
authorizationServer
.oidc(Customizer.withDefaults())) // Enable OpenID Connect 1.0
// Redirect to the login page when not authenticated from the
// authorization endpoint
.exceptionHandling((exceptions) -> exceptions
.defaultAuthenticationEntryPointFor(
new LoginUrlAuthenticationEntryPoint("/login"),
new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
))
// Accept access tokens for User Info and/or Client Registration
.oauth2ResourceServer((oauth2) -> oauth2.jwt(Customizer.withDefaults()));
return http.build();
}
// This configuration is set up for general application security, handling standard web security features like form login for paths not specifically managed by the OAuth2 configuration.
@Bean (2)
@Order(2)
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/login", "/error", "/main.css")
.permitAll()
.anyRequest()
.authenticated()
)
// Form login handles the redirect to the login page from the
// authorization server filter chain
.formLogin((login) -> login.loginPage("/login"));
return http.build();
}
@Bean (3)
public JWKSource<SecurityContext> jwkSource() {
KeyPair keyPair = generateRsaKey();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
RSAKey rsaKey = new RSAKey.Builder(publicKey)
.privateKey(privateKey)
.keyID(UUID.randomUUID().toString())
.build();
JWKSet jwkSet = new JWKSet(rsaKey);
return new ImmutableJWKSet<>(jwkSet);
}
private static KeyPair generateRsaKey() {
KeyPair keyPair;
try {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
keyPair = keyPairGenerator.generateKeyPair();
} catch (Exception ex) {
throw new IllegalStateException(ex);
}
return keyPair;
}
@Bean (4)
public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
}
@Bean (5)
public AuthorizationServerSettings authorizationServerSettings() {
return AuthorizationServerSettings
.builder()
.build();
}
}
Une fois l'application lancée, notre configuration OIDC et OAuth2 avec Spring Authorization Server devrait fonctionner correctement. Cependant, vous remarquerez que nous avons utilisé InMemoryUserDetailsManager, ce qui convient parfaitement aux démos ou au prototypage. Mais pour un environnement de production, ce n'est pas conseillé car toutes les données disparaissent au redémarrage de l'application.
JdbcUserDetailsManager dans Spring Security
JdbcUserDetailsManager est une fonctionnalité de Spring Security qui utilise JDBC pour gérer les informations d'identification et les r?les des utilisateurs en se connectant à une base de données relationnelle. C'est idéal lorsque votre application peut fonctionner avec le schéma standard pour les tables utilisateur attendu par Spring Security.
Le schéma disponible sur Spring security org/springframework/security/core/userdetails/jdbc/users.ddl
@Configuration
public class CorsConfig {
@Bean
public UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.addAllowedOrigin("http://localhost:3000/"); // Change to specific domains in production
configuration.addAllowedMethod("*");
configuration.addAllowedHeader("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
Le seul ajustement nécessaire pour passer de InMemoryUserDetailsManager à JdbcUserDetailsManager
2020-02-25 10:24:27.875 INFO 11116 --- [ main] o.s.s.web.DefaultSecurityFilterChain : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@46320c9a, org.springframework.security.web.context.SecurityContextPersistenceFilter@4d98e41b, org.springframework.security.web.header.HeaderWriterFilter@52bd9a27, org.springframework.security.web.csrf.CsrfFilter@51c65a43, org.springframework.security.web.authentication.logout.LogoutFilter@124d26ba, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@61e86192, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@10980560, org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@32256e68, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@52d0f583, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@5696c927, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@5f025000, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@5e7abaf7, org.springframework.security.web.session.SessionManagementFilter@681c0ae6, org.springframework.security.web.access.ExceptionTranslationFilter@15639d09, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@4f7be6c8]|
Cette configuration est efficace pour les applications qui respectent le schéma de table standard de Spring Security. Mais, si vous avez besoin de personnaliser (comme utiliser un e-mail pour vous connecter au lieu d'un nom d'utilisateur), la mise en ?uvre d'un UserDetailsService personnalisé offre l'adaptabilité nécessaire.
UserDetailsService personnalisé avec une entité client
Ajoutons un CustomUserDetailsService personnalisé au fournisseur. Dans AuthenticationProvider, définissez le service personnalisé en utilisant setUserDetailsService
dependencies {
implementation("org.springframework.boot:spring-boot-starter-oauth2-authorization-server")
implementation("org.springframework.boot:spring-boot-starter-webflux")
implementation("org.springframework.boot:spring-boot-starter-validation")
}
Service personnalisé
@Configuration
@EnableWebSecurity
public class SecurityConfig {
private static final String[] ALLOW_LIST = {"/oauth2/token", "/userinfo"};
//This is primarily configured to handle OAuth2 and OpenID Connect specific endpoints. It sets up the security for the authorization server, handling token endpoints, client authentication, etc.
@Bean (1)
@Order(1)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
OAuth2AuthorizationServerConfigurer authorizationServerConfigurer = OAuth2AuthorizationServerConfigurer.authorizationServer();
http
.cors(Customizer.withDefaults())
.authorizeHttpRequests(authz -> authz
.requestMatchers(ALLOW_LIST).permitAll()
.requestMatchers("/**", "/oauth2/jwks/").hasAuthority("SCOPE_keys.write")
.anyRequest()
.authenticated())
.securityMatchers(matchers ->
matchers.requestMatchers(antMatcher("/oauth2/**"), authorizationServerConfigurer.getEndpointsMatcher()))
.with(authorizationServerConfigurer, (authorizationServer) ->
authorizationServer
.oidc(Customizer.withDefaults())) // Enable OpenID Connect 1.0
// Redirect to the login page when not authenticated from the
// authorization endpoint
.exceptionHandling((exceptions) -> exceptions
.defaultAuthenticationEntryPointFor(
new LoginUrlAuthenticationEntryPoint("/login"),
new MediaTypeRequestMatcher(MediaType.TEXT_HTML)
))
// Accept access tokens for User Info and/or Client Registration
.oauth2ResourceServer((oauth2) -> oauth2.jwt(Customizer.withDefaults()));
return http.build();
}
// This configuration is set up for general application security, handling standard web security features like form login for paths not specifically managed by the OAuth2 configuration.
@Bean (2)
@Order(2)
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http)
throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.requestMatchers("/login", "/error", "/main.css")
.permitAll()
.anyRequest()
.authenticated()
)
// Form login handles the redirect to the login page from the
// authorization server filter chain
.formLogin((login) -> login.loginPage("/login"));
return http.build();
}
@Bean (3)
public JWKSource<SecurityContext> jwkSource() {
KeyPair keyPair = generateRsaKey();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
RSAKey rsaKey = new RSAKey.Builder(publicKey)
.privateKey(privateKey)
.keyID(UUID.randomUUID().toString())
.build();
JWKSet jwkSet = new JWKSet(rsaKey);
return new ImmutableJWKSet<>(jwkSet);
}
private static KeyPair generateRsaKey() {
KeyPair keyPair;
try {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
keyPairGenerator.initialize(2048);
keyPair = keyPairGenerator.generateKeyPair();
} catch (Exception ex) {
throw new IllegalStateException(ex);
}
return keyPair;
}
@Bean (4)
public JwtDecoder jwtDecoder(JWKSource<SecurityContext> jwkSource) {
return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource);
}
@Bean (5)
public AuthorizationServerSettings authorizationServerSettings() {
return AuthorizationServerSettings
.builder()
.build();
}
}
Référentiel
@Configuration
public class CorsConfig {
@Bean
public UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.addAllowedOrigin("http://localhost:3000/"); // Change to specific domains in production
configuration.addAllowedMethod("*");
configuration.addAllowedHeader("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
Entité
@Configuration
public class Clients {
@Bean
public RegisteredClientRepository registeredClientRepository() {
RegisteredClient oidcClient = RegisteredClient.withId(UUID.randomUUID().toString())
.clientId("stomble")
.clientAuthenticationMethod(ClientAuthenticationMethod.NONE)
.authorizationGrantTypes(types -> {
types.add(AuthorizationGrantType.AUTHORIZATION_CODE);
types.add(AuthorizationGrantType.REFRESH_TOKEN);
})
.redirectUris(redirectUri -> {
redirectUri.add("http://localhost:3000");
redirectUri.add("https://oauth.pstmn.io/v1/callback");
redirectUri.add("http://localhost:3000/signin-callback");
})
.postLogoutRedirectUri("http://localhost:3000")
.scopes(score -> {
score.add(OidcScopes.OPENID);
score.add(OidcScopes.PROFILE);
score.add(OidcScopes.EMAIL);
})
.clientSettings(ClientSettings.builder()
.requireAuthorizationConsent(false)
.requireProofKey(true)
.build())
.build();
return new InMemoryRegisteredClientRepository(oidcClient);
}
}
Dans le filtre de sécurité, nous devons dire à Spring Security d'utiliser ce service
.clientAuthentication(clientAuth -> clientAuth.authenticationProvider(authenticationProvider))
@Configuration
public class UserConfig {
@Bean
public UserDetailsService userDetailsService(PasswordEncoder passwordEncoder) {
UserDetails userDetailFirst = User.builder()
.username("user1")
.password(passwordEncoder.encode("password"))
.roles("USER")
.build();
UserDetails userDetailSecond = User.builder()
.username("user2")
.password(passwordEncoder.encode("password"))
.roles("USER")
.build();
return new InMemoryUserDetailsManager(List.of(userDetailFirst, userDetailSecond));
}
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
Conclusion
Ici, vous disposez de deux choix robustes pour gérer l'authentification?:
- JdbcUserDetailsManager?: une option simple si votre application s'aligne sur le schéma par défaut de Spring.
- Custom UserDetailsService?: offre la flexibilité nécessaire pour gérer les champs et les r?les spéciaux.
Peu importe si vous choisissez JdbcUserDetailsManager ou décidez d'implémenter un UserDetailsService personnalisé, les deux équiperont votre application d'un système d'authentification évolutif pris en charge par une base de données.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Différence entre le hashmap et le hashtable?
Jun 24, 2025 pm 09:41 PM
La différence entre le hashmap et le hashtable se reflète principalement dans la sécurité des threads, la prise en charge de la valeur nul et les performances. 1. En termes de sécurité des threads, le hashtable est en filetage et ses méthodes sont principalement des méthodes synchrones, tandis que HashMAP n'effectue pas de traitement de synchronisation, qui n'est pas un filetage; 2. En termes de support de valeur nulle, HashMap permet une clé nul et plusieurs valeurs nulles, tandis que le hashtable ne permet pas les clés ou les valeurs nulles, sinon une nulpointerexception sera lancée; 3. En termes de performances, le hashmap est plus efficace car il n'y a pas de mécanisme de synchronisation et le hashtable a une faible performance de verrouillage pour chaque opération. Il est recommandé d'utiliser à la place ConcurrentHashMap.
Pourquoi avons-nous besoin de cours d'emballage?
Jun 28, 2025 am 01:01 AM
Java utilise des classes de wrapper car les types de données de base ne peuvent pas participer directement aux opérations orientées objet, et les formulaires d'objets sont souvent nécessaires dans les besoins réels; 1. Les classes de collecte ne peuvent stocker que des objets, tels que les listes, l'utilisation de la boxe automatique pour stocker des valeurs numériques; 2. Les génériques ne prennent pas en charge les types de base et les classes d'emballage doivent être utilisées comme paramètres de type; 3. Les classes d'emballage peuvent représenter les valeurs nulles pour distinguer les données non définies ou manquantes; 4. Les cours d'emballage fournissent des méthodes pratiques telles que la conversion de cha?nes pour faciliter l'analyse et le traitement des données, donc dans les scénarios où ces caractéristiques sont nécessaires, les classes de packaging sont indispensables.
Quelles sont les méthodes statiques dans les interfaces?
Jun 24, 2025 pm 10:57 PM
StaticMethodsinInterfaceswereintrocedInjava8TollowutilityfonctionwithIntheInterface self.beforejava8, telfunctionsrequuresepatehelperclasses, leadstodisorganizedCode.now, staticmethodsprovidethrekeyefits: 1) ils sont en train
Comment le compilateur JIT optimise-t-il le code?
Jun 24, 2025 pm 10:45 PM
Le compilateur JIT optimise le code à travers quatre méthodes: méthode en ligne, détection et compilation de points chauds, spéculation et dévigtualisation de type et élimination redondante. 1. La méthode en ligne réduit les frais généraux d'appel et inserte fréquemment appelées petites méthodes directement dans l'appel; 2. Détection de points chauds et exécution de code haute fréquence et optimiser de manière centralisée pour économiser des ressources; 3. Type Speculations collecte les informations de type d'exécution pour réaliser des appels de déviptualisation, améliorant l'efficacité; 4. Les opérations redondantes éliminent les calculs et les inspections inutiles en fonction de la suppression des données opérationnelles, améliorant les performances.
Qu'est-ce qu'un bloc d'initialisation d'instance?
Jun 25, 2025 pm 12:21 PM
Les blocs d'initialisation d'instance sont utilisés dans Java pour exécuter la logique d'initialisation lors de la création d'objets, qui sont exécutés avant le constructeur. Il convient aux scénarios où plusieurs constructeurs partagent le code d'initialisation, l'initialisation du champ complexe ou les scénarios d'initialisation de classe anonyme. Contrairement aux blocs d'initialisation statiques, il est exécuté à chaque fois qu'il est instancié, tandis que les blocs d'initialisation statiques ne s'exécutent qu'une seule fois lorsque la classe est chargée.
Quel est le mot-clé ?final? des variables?
Jun 24, 2025 pm 07:29 PM
Injava, thefinalkeywordpreventsavariable'svaluefrombeingchangedafterAsssignment, mais cetsbehaviDiffersFortimitives et objectreferences.forprimitivevariables, finalMakeShevalueConstant, AsinfininTMax_peed = 100; whitereSsignmentCausAnesanerror.ForobjectRe
Quel est le modèle d'usine?
Jun 24, 2025 pm 11:29 PM
Le mode d'usine est utilisé pour encapsuler la logique de création d'objets, ce qui rend le code plus flexible, facile à entretenir et à couplé de manière lache. La réponse principale est: en gérant de manière centralisée la logique de création d'objets, en cachant les détails de l'implémentation et en soutenant la création de plusieurs objets liés. La description spécifique est la suivante: Le mode d'usine remet la création d'objets à une classe ou une méthode d'usine spéciale pour le traitement, en évitant directement l'utilisation de newClass (); Il convient aux scénarios où plusieurs types d'objets connexes sont créés, la logique de création peut changer et les détails d'implémentation doivent être cachés; Par exemple, dans le processeur de paiement, Stripe, PayPal et d'autres instances sont créés par le biais d'usines; Son implémentation comprend l'objet renvoyé par la classe d'usine en fonction des paramètres d'entrée, et tous les objets réalisent une interface commune; Les variantes communes incluent des usines simples, des méthodes d'usine et des usines abstraites, qui conviennent à différentes complexités.
Qu'est-ce que le casting de type?
Jun 24, 2025 pm 11:09 PM
Il existe deux types de conversion: implicite et explicite. 1. La conversion implicite se produit automatiquement, comme la conversion INT en double; 2. La conversion explicite nécessite un fonctionnement manuel, comme l'utilisation de (int) MyDouble. Un cas où la conversion de type est requise comprend le traitement de l'entrée des utilisateurs, les opérations mathématiques ou le passage de différents types de valeurs entre les fonctions. Les problèmes qui doivent être notés sont les suivants: transformer les nombres à virgule flottante en entiers tronqueront la partie fractionnaire, transformer les grands types en petits types peut entra?ner une perte de données, et certaines langues ne permettent pas la conversion directe de types spécifiques. Une bonne compréhension des règles de conversion du langage permet d'éviter les erreurs.
