讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
当前位置:首页 > Java > java教程 > 正文

0

0

Spring Boot应用中集成JWT与OAuth2认证的策略与实践

碧海醫心

碧海醫心

发布时间:2025-09-29 15:38:02

|

730人浏览过

|

来源于php中文网

原创

Spring Boot应用中集成JWT与OAuth2认证的策略与实践

本文深入探讨了在Spring Boot应用中实现用户认证的策略,特别是在需要同时支持传统用户名/密码登录和社交媒体(OAuth2/OpenID Connect)登录的场景。核心思想是利用专业的第三方授权服务(如Keycloak、Auth0)作为统一的认证中心,将Spring Boot应用定位为资源服务器和/或OAuth2客户端,从而简化认证流程、增强安全性并提升开发效率。

理解现代认证架构

在构建现代web应用时,用户认证往往需要兼顾多种方式:既要支持用户通过在应用中注册的用户名和密码登录,又要提供通过google、facebook等社交媒体账户快速登录的便捷性。对于前者,通常会想到基于json web token (jwt) 的认证机制;对于后者,oauth2和openid connect (oidc) 是行业标准。

初学者可能会疑惑是否需要同时集成这两种机制。实际上,更推荐的做法是采用一个统一的授权服务(Authorization Server)来处理所有认证和授权逻辑。您的Spring Boot应用则扮演不同的角色:

  1. 授权服务 (Authorization Server / OpenID Provider):负责用户注册、登录、身份验证、令牌颁发(包括JWT)以及社交身份联邦。强烈建议不要自行构建此服务,而是选用成熟的解决方案,如Keycloak(开源,可自部署)、Auth0、Amazon Cognito等云服务。这些服务天然支持多种认证方式,包括用户名/密码和各种社交媒体登录。
  2. 资源服务器 (Resource Server):您的Spring Boot应用的核心后端服务,负责提供受保护的API接口和业务逻辑。它不处理用户登录,只负责验证客户端提交的访问令牌(通常是JWT),并根据令牌中的信息(如用户ID、角色)来授权访问。
  3. 客户端 (Client):可以是前端应用(如Angular、React应用,直接与授权服务交互获取令牌),也可以是后端服务(如BFF - Backend For Frontend,作为前端的代理,代表前端与授权服务交互)。

Spring Boot作为资源服务器的实现

当您的Spring Boot应用作为资源服务器时,它只关心验证传入请求中携带的JWT是否有效,并从中提取用户信息进行授权。Spring Security OAuth2 Resource Server模块为此提供了强大支持。

1. 添加依赖

首先,在您的pom.xml中添加Spring Security OAuth2 Resource Server的依赖:


    org.springframework.boot
    spring-boot-starter-oauth2-resource-server


    org.springframework.boot
    spring-boot-starter-security


    org.springframework.boot
    spring-boot-starter-web

2. 配置资源服务器

application.yml或application.properties中配置JWT的验证方式。最常见的是通过JWK Set URI来获取公钥进行签名验证:

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          # JWK Set URI指向授权服务提供的公钥端点
          jwk-set-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs"
          # 如果授权服务使用自定义的JWT颁发者,需要指定
          # issuer-uri: "http://localhost:8080/auth/realms/your-realm"

请将http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs替换为您实际授权服务的JWK Set URI。

3. 保护API端点

配置Spring Security,确保所有或部分API需要认证:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorizeRequests ->
                authorizeRequests
                    .requestMatchers("/public/**").permitAll() // 允许公共访问
                    .anyRequest().authenticated() // 其他所有请求都需要认证
            )
            .oauth2ResourceServer(oauth2ResourceServer ->
                oauth2ResourceServer.jwt(jwt -> {}) // 启用JWT资源服务器
            );
        return http.build();
    }
}

4. 访问用户信息

在控制器中,您可以轻松访问认证用户的信息:

10Web
10Web

AI驱动的WordPress网站自动构建器,托管和页面速度助推器

下载 
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.oauth2.jwt.Jwt;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class MyResourceController {

    @GetMapping("/api/me")
    public String getAuthenticatedUser(@AuthenticationPrincipal Jwt jwt) {
        // Jwt对象包含了令牌中的所有声明 (claims)
        String username = jwt.getClaimAsString("preferred_username"); // 或 sub, email等
        return "Hello, " + username + "! Your user ID is: " + jwt.getSubject();
    }

    @GetMapping("/api/admin")
    // 假设JWT中包含"ROLE_ADMIN"权限
    // @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    public String getAdminData() {
        return "This is sensitive admin data.";
    }
}

Spring Boot作为OAuth2客户端的实现 (BFF模式)

在某些场景下,为了避免将访问令牌直接暴露给浏览器端的JavaScript(例如出于安全考虑或简化前端逻辑),可以采用BFF(Backend For Frontend)模式。此时,一个Spring Boot应用(或spring-cloud-gateway)充当OAuth2客户端,与授权服务交互,获取并管理令牌。浏览器与BFF之间通过会话(Session)进行安全通信,BFF则使用获取到的访问令牌调用下游的资源服务器。

1. 添加依赖


    org.springframework.boot
    spring-boot-starter-oauth2-client


    org.springframework.boot
    spring-boot-starter-security


    org.springframework.boot
    spring-boot-starter-web

2. 配置OAuth2客户端

在application.yml中配置客户端注册信息:

spring:
  security:
    oauth2:
      client:
        registration:
          # 您的自定义客户端ID,例如 'my-app-client'
          my-app-client:
            client-id: "your-client-id-from-auth-server"
            client-secret: "your-client-secret-from-auth-server"
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope: openid, profile, email
        provider:
          # 授权服务提供者配置,例如Keycloak
          my-app-client:
            issuer-uri: "http://localhost:8080/auth/realms/your-realm"
            # authorization-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/auth"
            # token-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/token"
            # jwk-set-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/certs"
            # user-info-uri: "http://localhost:8080/auth/realms/your-realm/protocol/openid-connect/userinfo"

issuer-uri通常足够让Spring Security自动发现其他端点。

3. 启用OAuth2客户端登录

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorizeRequests ->
                authorizeRequests
                    .anyRequest().authenticated() // 所有请求都需要认证
            )
            .oauth2Login(oauth2Login ->
                oauth2Login.loginPage("/oauth2/authorization/my-app-client") // 自动重定向到授权服务登录页
            )
            .logout(logout -> logout.logoutSuccessUrl("/")); // 配置登出
        return http.build();
    }
}

当用户访问受保护资源时,如果未认证,Spring Security会自动重定向到授权服务的登录页面。成功登录后,授权服务会将用户重定向回redirect-uri,Spring Security会处理授权码并获取令牌。

总结与注意事项

  • 授权服务是核心: 无论您是使用JWT进行传统登录还是OAuth2进行社交登录,都应将认证和令牌管理职责委托给一个成熟的授权服务。它统一处理用户管理、认证流程和令牌颁发。
  • 职责分离: 您的Spring Boot应用作为资源服务器,专注于业务逻辑和令牌验证;作为OAuth2客户端(如BFF),则专注于代理前端请求和令牌管理。
  • 安全性: 始终使用HTTPS保护所有通信。妥善保管客户端密钥。在BFF模式下,将访问令牌存储在服务器端会话中,避免在浏览器端JavaScript中直接处理。
  • 可扩展性: 外部授权服务通常具备高可用性和可扩展性,能够应对大量用户和复杂的认证需求。
  • 避免重复造轮子: Spring Security提供了强大的模块来支持OAuth2资源服务器和客户端功能,充分利用这些模块可以大大简化开发工作,并确保遵循行业最佳实践。

通过这种架构,您可以有效地在Spring Boot应用中实现灵活、安全且可扩展的认证机制,同时支持传统注册用户和社交媒体用户登录。

相关文章

Java里如何实现在线课堂管理系统_在线课堂管理项目开发方法说明

解决React fetch()请求Spring Boot API时遇到的问题

React Native 实现画中画 (PIP) 模式的完整指南

React Native 中实现画中画 (PIP) 模式的解决方案

React Native画中画(PIP)模式下的实时数据与UI更新指南

相关标签:

react javascript java js 前端 json go 浏览器 app 云服务 facebook JavaScript spring spring boot 架构 gateway json angular Resource for Session xml Token 接口 委托 http https

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

上一篇:如何将整数的每个数字用空格分隔输出 下一篇:如何在Java中使用静态方法和静态变量

作者最新文章

Cursor AI代码编辑器:自动化测试与效率提升终极指南

2026-01-01 10:05

《金币云商》账号注销方法

2026-01-01 10:11

DaVinci Resolve 20:AI加持下的视频编辑新纪元

2026-01-01 10:12

如何用Minitab指定cpk值并随机生成数据

2026-01-01 10:13

高级职位面试:12个策略助你完美胜出

2026-01-01 10:13

《顺网云电脑》添加游戏方法

2026-01-01 10:14

《乐刻运动》日历提醒设置方法

2026-01-01 10:14

Alex Hormozi 增长策略:2025 年提升潜在客户转化率

2026-01-01 10:17

boss直聘如何更改手机号

2026-01-01 10:21

《sketchbook》打开psd文件方法

2026-01-01 10:23

热门AI工具

更多
DeepSeek

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台
豆包大模型

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型
通义千问

通义千问

阿里巴巴推出的全能AI助手

AI大模型
腾讯元宝

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格
文心一言

文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

AI大模型

中文写作
讯飞写作

讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具
即梦AI

即梦AI

一站式AI创作平台,免费AI图片和视频生成。

图片拼接

图画生成
ChatGPT

ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作
智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

AI大模型

PDF 文档

相关专题

更多
js获取数组长度的方法
js获取数组长度的方法

在js中,可以利用array对象的length属性来获取数组长度,该属性可设置或返回数组中元素的数目,只需要使用“array.length”语句即可返回表示数组对象的元素个数的数值,也就是长度值。php中文网还提供JavaScript数组的相关下载、相关课程等内容,供大家免费下载使用。

544

2023.06.20

js刷新当前页面
js刷新当前页面

js刷新当前页面的方法:1、reload方法,该方法强迫浏览器刷新当前页面,语法为“location.reload([bForceGet]) ”;2、replace方法,该方法通过指定URL替换当前缓存在历史里(客户端)的项目,因此当使用replace方法之后,不能通过“前进”和“后退”来访问已经被替换的URL,语法为“location.replace(URL) ”。php中文网为大家带来了js刷新当前页面的相关知识、以及相关文章等内容

372

2023.07.04

js四舍五入
js四舍五入

js四舍五入的方法:1、tofixed方法,可把 Number 四舍五入为指定小数位数的数字;2、round() 方法,可把一个数字舍入为最接近的整数。php中文网为大家带来了js四舍五入的相关知识、以及相关文章等内容

727

2023.07.04

js删除节点的方法
js删除节点的方法

js删除节点的方法有:1、removeChild()方法,用于从父节点中移除指定的子节点,它需要两个参数,第一个参数是要删除的子节点,第二个参数是父节点;2、parentNode.removeChild()方法,可以直接通过父节点调用来删除子节点;3、remove()方法,可以直接删除节点,而无需指定父节点;4、innerHTML属性,用于删除节点的内容。

470

2023.09.01

JavaScript转义字符
JavaScript转义字符

JavaScript中的转义字符是反斜杠和引号,可以在字符串中表示特殊字符或改变字符的含义。本专题为大家提供转义字符相关的文章、下载、课程内容,供大家免费下载体验。

392

2023.09.04

js生成随机数的方法
js生成随机数的方法

js生成随机数的方法有:1、使用random函数生成0-1之间的随机数;2、使用random函数和特定范围来生成随机整数;3、使用random函数和round函数生成0-99之间的随机整数;4、使用random函数和其他函数生成更复杂的随机数;5、使用random函数和其他函数生成范围内的随机小数;6、使用random函数和其他函数生成范围内的随机整数或小数。

990

2023.09.04

如何启用JavaScript
如何启用JavaScript

JavaScript启用方法有内联脚本、内部脚本、外部脚本和异步加载。详细介绍:1、内联脚本是将JavaScript代码直接嵌入到HTML标签中;2、内部脚本是将JavaScript代码放置在HTML文件的`<script>`标签中;3、外部脚本是将JavaScript代码放置在一个独立的文件;4、外部脚本是将JavaScript代码放置在一个独立的文件。

654

2023.09.12

Js中Symbol类详解
Js中Symbol类详解

javascript中的Symbol数据类型是一种基本数据类型,用于表示独一无二的值。Symbol的特点:1、独一无二,每个Symbol值都是唯一的,不会与其他任何值相等;2、不可变性,Symbol值一旦创建,就不能修改或者重新赋值;3、隐藏性,Symbol值不会被隐式转换为其他类型;4、无法枚举,Symbol值作为对象的属性名时,默认是不可枚举的。

544

2023.09.20

php源码安装教程大全
php源码安装教程大全

本专题整合了php源码安装教程,阅读专题下面的文章了解更多详细内容。

74

2025.12.31

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

相关下载

更多
php商城系统
淘源码商城PHP淘宝查信誉
PHP房产程序[BBWPS]
PHP简约自动发卡平台个人版
ERMEB域名PHP离线网络授权系统
Difeye-敏捷的轻量级PHP框架
大泉州汽车网PHP整站程序

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
React 教程
React 教程

共58课时 | 3.2万人学习

国外Web开发全栈课程全集
国外Web开发全栈课程全集

共12课时 | 0.9万人学习

React核心原理新老生命周期精讲
React核心原理新老生命周期精讲

共12课时 | 1万人学习

最新文章

更多
如何使用 iText 7 在 Java 中精准删除 PDF 文档中的指定段落
Java里this关键字有什么作用_Java对象引用机制说明
Java 中使用 Stream.map() 方法提取对象字段的简洁写法
在Java里自动类型转换如何发生_隐式转换机制解析
在Java中如何在IDE中配置断点与调试工具_断点调试实践指南
在Java中如何配置JRE与JDK的默认版本_默认版本切换设置解析
在Java中实现控制台记账程序_Java输入输出综合练习说明
Java多线程调试困难怎么办_并发问题排查技巧
Java中对象是如何创建的_Java对象实例化流程说明
使用Maven前需要哪些Java环境准备_Maven与Java关系解析
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部