Implementierung von OAuth2 und OpenID Connect in einer Java -Anwendung

OAuth2 wird zur Autorisierung verwendet. OpenID Connect (OIDC) bietet eine Identitätsauthentifizierung basierend auf OAuth2, um die Benutzeridentität zu bestätigen. 2. Die Verwendung von Spring Boot und Spring Security ist die empfohlene Möglichkeit, OIDC in Java zu implementieren, und die Abhängigkeit von Spring-Boot-Starter-OAUTH2-Client-Clients muss eingeführt werden. 3. Konfigurieren Sie Client-ID, Client-Sekret, Umfang (einschließlich OpenID, Profil, E-Mail) und Emittenten-URI von IDP (wie Google) in application.yml, um die automatische Metadatenerfassung zu ermöglichen. 4. Konfigurieren Sie SecurityConfig über @enableWebecurity, aktivieren Sie OAuth2Login und setzen Sie die Standard -Erfolgsseite. 5. Verwenden Sie @AuthenticationPrincipal, um das OAuth2user -Objekt zu erhalten und Benutzerinformationen wie Name, E -Mail, Bild usw. aus seinen Eigenschaften zu extrahieren. 6. Wenn Sie mehrere Anbieter (z. B. Google und GitHub) unterstützen, registrieren Sie mehrere Clients in der Konfiguration und geben Sie entsprechende Anmeldeverbindungen an. 7. Spring überprüft automatisch die Signatur-, Emittenten-, Publikums- und Gültigkeitsdauer des ID -Tokens. Die Produktionsumgebung muss HTTPS verwenden und empfindliche Token müssen verschlüsselt werden. 8. Benutzerinformationskartierung und Persistenz können über benutzerdefinierte OAuth2USERService behandelt werden. Zusammenfassung: Mithilfe der Spring -Boot -Konfigurations -Treiber ermöglicht Treiber eine schnelle und sichere Integration von OIDC, ohne die zugrunde liegende Protokolllogik zu schreiben, und verwaltete Benutzerauthentifizierung durch vertrauenswürdige Identitätsanbieter.

Durch die Implementierung von OAuth2 und OpenID Connect (OIDC) in einer Java -Anwendung können Sie die Benutzerauthentifizierung und -autorisierung sicher behandeln, insbesondere wenn Sie in Identitätsanbieter wie Google, GitHub oder Enterprise -Lösungen wie Okta und Auth0 integriert werden. Hier ist ein praktischer Leitfaden, um es effektiv zum Laufen zu bringen.

1. Verstehen Sie den Unterschied zwischen OAuth2 und OpenID Connect

Vor dem Tauchen in Code:

• OAuth2 dient zur Autorisierung - sie ermöglicht Ihre App den Zugriff auf Ressourcen im Namen eines Benutzers.
• OpenID Connect (OIDC) basiert auf OAuth2 und fügt Authentifizierung hinzu. Es wird überprüft, wer der Benutzer ist, und gibt Identitätsinformationen zurück (wie E -Mail, Name).

Kurz gesagt: Verwenden Sie OIDC , wenn Sie Benutzer anmelden müssen und wissen, wer sie sind.

2. Wählen Sie das richtige Java -Framework

Der einfachste Weg, OIDC in Java zu implementieren, ist die Verwendung von Spring Security mit Spring Boot . Es wird ein integrierter Unterstützung für OAuth2-Login und OIDC unterstützt.

Abhängigkeiten (Maven)

 <De vorangehen>
    <gruppeID> org.springframework.boot </Groupid>
    <artifactid> Spring-Boot-Starter-OAUTH2-Client </artifactid>
</abhängig>
<De vorangehen>
    <gruppeID> org.springframework.boot </Groupid>
    <artifactid> Spring-Boot-Starter-Web </artifactid>
</abhängig>

Hinweis: Sie benötigen keinen starter-oauth2-resource-server es sei denn, Ihre App akzeptiert auch Zugriffstoken aus anderen Diensten.

3. Konfigurieren Sie Anwendungseigenschaften

Richten Sie Ihren Identitätsanbieter (IDP) in application.yml oder application.properties ein.

Beispiel: Verwenden von Google als OIDC -Anbieter

 Frühling:
  Sicherheit:
    OAuth2:
      Kunde:
        Anmeldung:
          Google:
            Client-ID: Ihr Klient
            Client-Sekret: Ihr Klare-Sekret
            Umfang: OpenID, Profil, E -Mail
            Redirect-URI: "{Basisurl}/login/oAuth2/code/{RegistrierungID}"
        Anbieter:
          Google:
            Issuer-uri: https://accounts.google.com

• client-id und client-secret : Holen Sie sich diese aus dem IDP (z. B. Google Cloud Console).
• scope : openid ermöglicht OIDC; profile und email -Benutzerinformationen.
• issuer-uri : Spring verwendet dies, um oidc-Metadaten automatisch zu entdecken (JWKs, Autorisierungsendpunkt usw.).

TIPP: Sie können jeden Anbieter verwenden, der OIDC (Auth0, Azure Ad, Okta usw.) unterstützt.

V.

Erstellen Sie eine Sicherheitskonfigurationsklasse:

 @Konfiguration
@EnableWebecurity
öffentliche Klasse SecurityConfig {

    @Bohne
    Public SecurityFilterChain Filterchain (Httpecurity http) löst eine Ausnahme {aus {
        http
            .AuthorizeHttprequests (Authz -> Authz
                .RequestMatchers ("/", "/login **", "/error **"). erlaubtenAll ()
                .anyRequest (). authentifiziert ()
            )
            .OAUTH2LOGIN (OAuth2 -> OAuth2
                .DefaultSuccessurl ("/home")
            );
        return http.build ();
    }
}

Wenn ein Benutzer nun auf eine gesicherte Seite zugreift, wird er an Google (oder Ihren IDP) weitergeleitet, um sich anzumelden.

5. Zugriff auf Benutzerinformationen nach dem Anmeldung

Sobald Sie authentifiziert sind, können Sie Benutzerdetails vom OAuth2User abrufen.

Beispiel Controller

 @Getmapping ("/home")
public String Home (Modellmodell, @AuthenticationPrincipal oAuth2user Principal) {
    if (Principal! = null) {
        model.addattribute ("name", Principal.getAttribute ("Name"));
        model.addattribute ("E -Mail", Principal.getAttribute ("E -Mail"));
        model.addattribute ("picture", Principal.getAttribute ("picture"));
    }
    Heimkehr";
}

Die Attribute ( name , email usw.) stammen vom ID -Token und/oder dem UserInfo -Endpunkt, abhängig vom Anbieter.

6. Umgang mit mehreren Anbietern

Sie können mehrere OIDC -Anbieter unterstützen (z. B. Google, GitHub, Microsoft):

 Frühling:
  Sicherheit:
    OAuth2:
      Kunde:
        Anmeldung:
          Google:
            Client-id: ...
            Client-Sekret: ...
            Umfang: OpenID, Profil, E -Mail
          Github:
            Client-id: ...
            Client-Sekret: ...
            Bereich: Benutzer: E -Mail
            Autorisierungs-Grant-Typ: Authorization_Code
            Client-Authentication-Methode: Client_secret_Post

Dann auf Ihrer Anmeldeseite:

 <a href = "/oAuth2/Autorisierung/Google"> Melden Sie sich bei Google an </a>
<a href = "/oAuth2/Autorisierung/GitHub"> Melden Sie sich mit GitHub an </a> an

Feder setzt diese Endpunkte automatisch ein.

7. Token -Validierung und Sicherheitsüberlegungen

• ID-Token-Validierung : Die Spring Security bestätigt automatisch das JWT-ID-Token (Signature, Emittent, Publikum, Ablauf) bei Verwendung von issuer-uri .
• Verwenden Sie HTTPS in der Produktion - OIDC stützt sich auf sichere Kommunikation.
• Vermeiden Sie es, Token in einfachem Text aufzubewahren . Wenn Sie Aktualisierungstoken speichern müssen, verschlüsseln Sie sie.

8. Benutzerverarbeitung anpassen (optional)

Wenn Sie OIDC -Ansprüche auf das Benutzermodell Ihrer App zuordnen müssen, definieren Sie einen OAuth2UserService :

 @Bohne
public oauth2uSerService <OAuth2UserRequest, oAuth2user> CustomOAuth2USERService () {
    userRequest zurückgeben -> {
        OAuth2USERService <OAuth2UserRequest, oAuth2user> delegate = new DefaultOAuth2USERService ();
        OAuth2user oAuth2user = delegate.loaduser (userRequest);

        // Benutzerdefinierte Logik hinzufügen: Kartenrollen, Benutzer in DB speichern usw.
        return New CustomoAuth2User (OAuth2User);
    };
}

Verdrahten Sie dann es in den Anmeldeblust:

 .OAUTH2LOGIN (OAuth2 -> OAuth2
    .Serinfoendpoint (userInfo -> userInfo
        .Userservice (CustomoAuth2USERService ())
    )
)

Zusammenfassung

Das Implementieren von OAuth2 und OpenID Connect in Java (insbesondere mit Spring Boot) ist unkompliziert:

• Verwenden Sie spring-boot-starter-oauth2-client von Spring Security
• Konfigurieren Sie Ihren IDP über application.yml
• Aktivieren Sie die OAuth2 -Login in der Sicherheitskonfiguration
• Abrufen Sie Benutzerinformationen über @AuthenticationPrincipal ab
• Optional die Benutzerverarbeitung anpassen oder mehrere Anbieter unterstützen

Es ist sicher, skalierbar und hält Sie davon ab, Passwörter zu verwalten.

Sobald Sie die Umleitungs-URIs eingerichtet und die Client-Anmeldeinformationen erhalten haben, ist der Rest konfigurationsgetrieben und muss nicht selbst eine OIDC-Logik auf niedriger Ebene schreiben.

Das obige ist der detaillierte Inhalt vonImplementierung von OAuth2 und OpenID Connect in einer Java -Anwendung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!