Spring Security — мощный инструмент для обеспечения безопасности веб-приложений, который позволяет легко настраивать различные механизмы аутентификации и авторизации. Один из таких механизмов — OAuth2, который позволяет делегировать доступ к защищенным ресурсам от имени пользователя.
Для настройки OAuth2 авторизации в Spring Security необходимо выполнить несколько шагов. Во-первых, необходимо добавить зависимости на библиотеки Spring Security OAuth2 и Spring Security Web в файл pom.xml:
Затем необходимо создать класс конфигурации, который будет содержать настройки OAuth2 авторизации. В этом классе необходимо определить бины для AuthenticationManager и AuthorizationServerConfigurerAdapter:
@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {
@Autowired
private AuthenticationManager authenticationManager;
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient(client-id)
.secret(client-secret)
.authorizedGrantTypes(authorization_code, refresh_token)
.scopes(read, write);
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager);
}
}
Далее необходимо настроить класс SecurityConfig, который будет содержать настройки безопасности веб-приложения:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(/oauth/token).permitAll()
.anyRequest().authenticated()
.and().csrf().disable();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser(user).password(password).roles(USER);
}
}
Теперь необходимо добавить класс контроллера, который будет обрабатывать запросы на аутентификацию и выдачу токенов:
@RestController
public class OAuth2Controller {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private TokenStore tokenStore;
@RequestMapping(value = /oauth/token, method = RequestMethod.POST)
public ResponseEntity getToken(@RequestParam String username, @RequestParam String password) {
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
Authentication authentication = authenticationManager.authenticate(authenticationToken);
SecurityContextHolder.getContext().setAuthentication(authentication);
OAuth2AccessToken token = tokenStore.getAccessToken(authentication);
return ResponseEntity.ok(token);
}
}
Наконец, необходимо добавить конфигурацию веб-приложения в классе Application:
@SpringBootApplication
public class Application extends SpringBootServletInitializer {
@Override
protected SpringApplicationBuilder configure(SpringApplicationBuilder application) {
return application.sources(Application.class);
}
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
Теперь приложение готово к использованию OAuth2 авторизации с помощью Spring Security. Не забудьте также настроить клиентское приложение для работы с выданными токенами и защищенными ресурсами.
© KiberSec.ru – 04.04.2025, обновлено 04.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.