OAuth与Spring Security

摘自Wikipedia： OAuth （ 开放式身份验证 ）是一种开放式身份验证标准。它允许用户与其他站点共享存储在一个站点上的私有资源（例如照片，视频，联系人列表），而不必发出其凭据（通常是用户名和密码）。

有很多关于客户端的 OAuth的帖子，例如如何连接到Twitter或Facebook之类的服务提供商，但是关于OAuth的帖子却很少，但是来自服务器端的帖子，更具体地讲，如何使用OAuth实施身份验证机制来保护用户资源，而不用于访问它们（ 客户端部分 ）。

在本文中，我将讨论如何使用Spring Security （ Spring Security OAuth ）保护您的资源。该示例非常简单，足以了解实现OAuth服务提供商的基础知识。

我发现这篇文章通过一个简单的示例说明了OAuth是什么以及它如何工作。我认为这是使用OAuth的良好起点http://hueniverse.com/2007/10/beginners-guide-to-oauth-part-ii-protocol-workflow/

现在是时候开始编写我们的服务提供商了。首先，我将解释我们的服务提供商将提供什么。

想象您正在开发一个网站（称为CV ），用户可以在该网站上注册，然后可以上传自己的简历。现在，我们将把这个网站转换为服务提供商，在其中OAuth将用于保护资源（注册用户的简历）。再次想象一下，有些公司已经与简历人员达成协议，当他们发布职位空缺时，用户将可以直接从简历站点上载课程到人力资源部门，而无需通过电子邮件发送或从文档中复制粘贴。如您所见，这里是OAuth开始管理CV网站和Company RH网站之间的安全性的地方。

总而言之，我们有一个具有受保护的资源（文档本身）的履历服务提供者 （ CV ）。消费者是向用户提供直接从简历中获取其简历的可能性的公司。因此，当用户访问公司职位空缺（在我们的示例中为fooCompany ）并想要申请职位时，他只需要授权FooCompany “职位空缺”网站就可以从CV网站下载其简历。

因为我们将使用Spring Security OAuth认证，首先我们要配置Spring Security 用SpringMVC进入CV应用。这里没什么特别的：

在web.xml文件中，我们定义了安全过滤器 ：

<filter><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern>
</filter-mapping>

在root-context.xml中，我们定义了受保护的资源和身份验证管理器。在这种情况下，使用内存中的方法：

<http auto-config='true'><intercept-url pattern="/**" access="ROLE_USER" />
</http><authentication-manager><authentication-provider><user-service><user name="leonard" password="nimoy" authorities="ROLE_USER" /></user-service></authentication-provider>
</authentication-manager>

下一步，创建一个Spring控制器 ，该控制器返回已登录用户的履历：

@RequestMapping(value="/cvs", method=RequestMethod.GET)
@ResponseBody
public String loadCV() {StringBuilder cv = new StringBuilder();cv.append("Curriculum Vitae -- Name: ").append(getUserName()).append(" Experience: Java, Spring Security, ...");return cv.toString();
}private String getUserName() {Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();String username;if (principal instanceof UserDetails) {username = ((UserDetails)principal).getUsername();} else {username = principal.toString();}return username;
}

该控制器直接返回String，而不是ModelView对象。该字符串直接作为HttpServletResponse发送。

现在，我们有一个简单的网站，可以返回已登录用户的简历。如果您尝试访问/ cvs资源，如果您未通过身份验证， Spring Security将显示一个登录页面，并且如果您已经登录，则将返回您的工作经验。与使用Spring Security的任何其他网站一样工作。

下一步是修改此项目，以允许外部站点可以使用OAuth 2身份验证协议访问受保护的资源。

在root-context.xml中：

<beans:bean id="tokenServices"class="org.springframework.security.oauth2.provider.token.InMemoryOAuth2ProviderTokenServices"><beans:property name="supportRefreshToken" value="true" />
</beans:bean><oauth:provider client-details-service-ref="clientDetails"token-services-ref="tokenServices"><oauth:verification-code user-approval-page="/oauth/confirm_access" />
</oauth:provider><oauth:client-details-service id="clientDetails"><oauth:client clientId="foo" authorizedGrantTypes="authorization_code" />
</oauth:client-details-service>

第一个bean是具有id tokenServices的OAuth2ProviderTokenServices接口实现。 OAuth2ProviderTokenServices接口定义了管理OAuth 2.0令牌所需的操作。这些令牌应被存储，以供后续访问令牌引用。对于此示例，InMemory存储就足够了。

下一个bean是<oauth：provider>。此标记用于配置OAuth 2.0提供程序机制。并且在这种情况下，配置了三个参数。第一个是对定义客户详细信息服务的Bean的引用，将在下一段中进行解释。第二个是在前面的段落中说明的用于提供令牌的令牌服务，最后一个是将为授权令牌提供服务的URL。这是通常的Authorize / Denny页面，服务提供商在该页面上询问用户是否允许消费者（在我们的情况下为fooCompany ）访问受保护的资源（其履历表 ）。

最后一个bean是<oauth：client-details-service>。在此标签中，您可以定义您授权哪些客户端使用先前的身份验证来访问受保护的资源。在这种情况下，由于CV公司已与foo公司达成协议，他们可以连接到其Curitaulum Vitae Service，因此使用id foo定义了一个客户端。

现在，我们使用OAuth配置了应用程序。最后一步是创建一个控制器，用于接收来自/ oauth / confirm_access URL的请求。

private ClientAuthenticationCache authenticationCache = new DefaultClientAuthenticationCache();
private ClientDetailsService clientDetailsService;@RequestMapping(value="/oauth/confirm_access")
public ModelAndView accessConfirmation(HttpServletRequest request, HttpServletResponse response) {ClientAuthenticationToken clientAuth = getAuthenticationCache().getAuthentication(request, response);if (clientAuth == null) {throw new IllegalStateException("No client authentication request to authorize.");}ClientDetails client = getClientDetailsService().loadClientByClientId(clientAuth.getClientId());TreeMap<String, Object> model = new TreeMap<String, Object>();model.put("auth_request", clientAuth);model.put("client", client);return new ModelAndView("access_confirmation", model);
}

该控制器返回带有客户信息的ModelAndView对象，应显示哪个页面以授予对受保护资源的权限。这个JSP页面称为access_confirmation.jsp ，最重要的部分是：

<div id="content"><% if (session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION) != null && !(session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION) instanceof UnapprovedClientAuthenticationException)) { %><div class="error"><p>Access could not be granted. (<%= ((AuthenticationException) session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION)).getMessage() %>)</p></div><% } %><c:remove scope="session" var="SPRING_SECURITY_LAST_EXCEPTION"/><authz:authorize ifAllGranted="ROLE_USER"><h2>Please Confirm</h2><p>You hereby authorize <c:out value="${client.clientId}"/> to access your protected resources.</p><form id="confirmationForm" name="confirmationForm" action="<%=request.getContextPath() + VerificationCodeFilter.DEFAULT_PROCESSING_URL%>" method="post"><input name="<%=BasicUserApprovalFilter.DEFAULT_APPROVAL_REQUEST_PARAMETER%>" value="<%=BasicUserApprovalFilter.DEFAULT_APPROVAL_PARAMETER_VALUE%>" type="hidden"/><label><input name="authorize" value="Authorize" type="submit"/></label></form><form id="denialForm" name="denialForm" action="<%=request.getContextPath() + VerificationCodeFilter.DEFAULT_PROCESSING_URL%>" method="post"><input name="<%=BasicUserApprovalFilter.DEFAULT_APPROVAL_REQUEST_PARAMETER%>" value="not_<%=BasicUserApprovalFilter.DEFAULT_APPROVAL_PARAMETER_VALUE%>" type="hidden"/><label><input name="deny" value="Deny" type="submit"/></label></form></authz:authorize></div>

如您所见， Spring Security OAuth提供了用于创建确认表单和拒绝表单的帮助程序类。提交结果后，将调用URL / cv / oauth / user / authorize （内部管理）， OAuth会根据用户选择的选项来决定是否将受保护的资源（由loadCV （）方法返回的字符串）返回给调用者。

这就是使用Spring Security OAuth创建OAuth 2系统的全部内容。但是我想您想知道如何对其进行测试，因此以同样的价格，我还将解释如何使用Spring Security OAuth编写客户端部分（Consumer）。

客户端应用程序（称为fooCompany ）也是具有Spring Security的SpringMVC Web应用程序。

Spring Security部分在这里将被忽略。

客户端应用程序包含一个主页（ home.jsp ），该主页具有指向Spring Controller的链接，该链接将负责从CV站点下载Curriculum Vitae ，并将内容重定向到视图（ show.jsp ）。

@RequestMapping(value="/cv")
public ModelAndView getCV() {String cv = cvService.getCVContent();Map<String, String> params = new HashMap<String, String>();params.put("cv", cv);ModelAndView modelAndView = new ModelAndView("show", params);return modelAndView;}

如您所见，它是一个简单的Controller，它调用了Curitaulum Vitae服务。此服务将负责连接到简历网站，并下载所需的简历。当然，它也处理OAuth通信协议。

服务外观：

public String getCVContent() {byte[] content = (getCvRestTemplate().getForObject(URI.create(cvURL), byte[].class));return new String(content);
}

建议的访问这些资源的方法是使用Rest。为此， Spring Security OAuth提供了RestTemplate的扩展，用于处理OAuth协议。此类（ OAuth2RestTemplate ）管理与所需资源的连接，还管理令牌， OAuth授权协议等。

OAuth2RestTemplate被注入到CVService中，并被配置到root-context.xml中：

<oauth:client token-services-ref="oauth2TokenServices" /><beans:bean id="oauth2TokenServices"class="org.springframework.security.oauth2.consumer.token.InMemoryOAuth2ClientTokenServices" /><oauth:resource id="cv" type="authorization_code"clientId="foo" accessTokenUri="http://localhost:8080/cv/oauth/authorize"userAuthorizationUri="http://localhost:8080/cv/oauth/user/authorize" /><beans:bean id="cvService" class="org.springsource.oauth.CVServiceImpl"><beans:property name="cvURL" value="http://localhost:8080/cv/cvs"></beans:property><beans:property name="cvRestTemplate"><beans:bean class="org.springframework.security.oauth2.consumer.OAuth2RestTemplate"><beans:constructor-arg ref="cv"/></beans:bean>
</beans:property>
<beans:property name="tokenServices" ref="oauth2TokenServices"></beans:property>
</beans:bean>

看到OAuth2RestTemplate是使用OAuth资源创建的，其中包含有关授权访问受保护资源的连接位置的所有信息，并且在本例中是CV网站，请参见我们引用的是外部网站，尽管在此示例中，我们使用的是localhost。还设置了服务提供者URL（http：// localhost：8080 / cvs / cv），因此RestTemplate可以建立与内容提供者的连接，并在授权过程成功结束的情况下，检索请求的信息。

<oauth：resource>定义OAuth资源，在这种情况下，定义为客户端的名称（请记住，此值是在服务器端客户端详细信息标签中配置的，用于授予对OAuth协议的访问权限）。还定义了userAuthorizationUri 。这是URI到用户是否曾经需要授权访问的资源（这是Spring Security中的OAuth管理内部URI）的用户将被重定向。最后是accessTokenUri ，它是提供访问令牌（也是内部URI）的URI OAuth提供者端点。

使用Spring Security OAuth创建使用者也很简单。

现在，我将解释当用户希望授予foo公司以获取其履历的访问权时发生的事件的顺序。

首先，用户连接到foo网站，然后单击发布履历链接。然后调用控制器的getCV方法。此方法调用cvService ，同时使用OAuth2RestTemplate创建与资源URI（CV）的 连接。这个类作为一个黑盒子 ，从客户端，你不知道到底是什么这个类会做的，但它返回你的简历存储在简历的网站。可以想象，该类管理与OAuth有关的所有工作流程，例如管理令牌，执行所需的URL重定向以获取权限等……并且，如果所有步骤都成功执行，则CV站点中存储的Curitaulum Vitae将发送到foo公司站点。