Spring security интеграция JustAuth для реализации сторонней авторизации:

1. Особенности

Spring security интегрирует JustAuth для обеспечения сторонней аутентификации: этот проект был выделен из проекта каркаса управления пользователями (UMS): https://github.com/ZeroOrInfinity/UMS | https://gitee .com/pcore/UMS).

1. Поддерживает все сторонние методы входа, поддерживаемые JustAuth, с автоматической регистрацией или привязкой или созданием временных пользователей (TemporaryUser).
2. Поддерживает периодическое обновление accessToken с помощью распределённой задачи таймера.
3. Поддерживает функции кэширования Redis для пользовательской информации и токенов сторонних методов входа.
4. Поддерживает интерфейсы привязки, отмены привязки и запроса для сторонних методов входа.
5. Поддерживает функцию единого входа.

Диаграмма процесса входа

Группа WeChat: UMS добавить WeChat (z56133) примечание (UMS)

2. Maven:

<dependency>
    <groupId>top.dcenter</groupId>
    <artifactId>justAuth-spring-security-starter</artifactId>
    <version>latest</version>
</dependency>

3. Использование

1. Импорт зависимостей

<dependency>
    <groupId>top.dcenter</groupId>
    <artifactId>justAuth-spring-security-starter</artifactId>
    <version>latest</version>
</dependency>

2. Необходимые интерфейсы

• Локальный сервис пользователя: UmsUserDetailsService
• При активации функции единого входа: OneClickLoginService

3. Необходимо добавить Auth2AutoConfigurer в HttpSecurity

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private Auth2AutoConfigurer auth2AutoConfigurer;
    @Autowired
    private Auth2Properties auth2Properties;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // ========= start: использование justAuth-spring-security-стартера обязательно ========= 
        // Добавление Auth2AutoConfigurer для включения OAuth2 (justAuth) login.
        http.apply(this.auth2AutoConfigurer);

        http.csrf().disable();

        // Разрешение доступа к точкам входа и обратного вызова для сторонних методов входа
        // @formatter:off
        http.authorizeRequests()
                .antMatchers(HttpMethod.GET,
                             auth2Properties.getRedirectUrlPrefix() + "/*",
                             auth2Properties.getAuthLoginUrlPrefix() + "/*")
                .permitAll();
        // @formatter:on
        // ========= end: использование justAuth-spring-security-стартера обязательно =========

    }
}

4. Свойства конфигурации

• Большинство функций justAuth-spring-security-стартера реализуются через настройку свойств. Подробные настройки свойств см. в разделе «Список свойств конфигурации».

4. Интерфейсы

• UmsUserDetailsService: необходимо реализовать

• Auth2StateCoder: пользователь должен реализовать, если необходимо настроить кодирование и декодирование состояния в процессе стороннего входа. Можно передать необходимую информацию, например, целевой URL после успешного входа третьей стороны. Обратите внимание, что два метода этого интерфейса должны быть реализованы одновременно. После реализации интерфейса его можно внедрить в контейнер IOC. Если есть интерфейс переднего плана для получения authorizeUrl, который передаёт дополнительные параметры на задний план, и используется для регистрации, он должен быть реализован вместе с методом UmsUserDetailsService.registerUser(AuthUser, String, String, String).

• Auth2UserService: интерфейс для получения информации о пользователе третьей стороны. Обычно не требует реализации пользователем, за исключением случаев, когда требуется настроить получение информации о пользователе третьей стороны. Реализуйте этот интерфейс и внедрите его в контейнер IOC, чтобы заменить его. ConnectionService (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/signup/ConnectionService.java):

Интерфейс для регистрации, привязки, обновления информации о пользователях и accessToken третьих сторон при авторизации. Обычно не требует реализации со стороны пользователя.

Исключение составляют случаи, когда необходимо настроить логику получения информации о пользователе третьей стороны. В таких случаях достаточно реализовать интерфейс и внедрить его в IOC контейнер.

UsersConnectionRepository (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/repository/UsersConnectionRepository.java):

Интерфейс для операций добавления, изменения и удаления информации о пользователях третьих сторон, а также для привязки и отвязки пользователей. Обычно не требует реализации со стороны пользователя.

Исключения составляют случаи, когда необходима настройка логики получения информации о пользователе третьей стороны. Тогда достаточно реализовать интерфейс и внедрить его в IOC контейнер.

UsersConnectionTokenRepository (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/repository/UsersConnectionTokenRepository.java):

Интерфейс для работы с информацией о токенах доступа пользователей третьих сторон. Обычно не требует реализации со стороны пользователя.

Исключением являются случаи, когда требуется настроить логику получения информации о пользователе третьей стороны. Для этого достаточно реализовать интерфейс и внедрить его в IOC контейнер.

Отмена встроенной базы данных OAuth2

Для отмены встроенной базы данных необходимо выполнить следующие шаги:

1. Отключить поддержку встроенных таблиц user_connection и auth_token, установив значение свойства enable-user-connection-and-auth-token-table равным false.

2. Если поддержка таблицы auth_token отключена, необходимо реализовать интерфейс ConnectionService.

Расширение интерфейса OAuth2 Login

В системе предусмотрены два пользовательских провайдера: ums.oauth.customize и ums.oauth.gitlabPrivate.

• AuthGitlabPrivateSource (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/justauth/source/AuthGitlabPrivateSource.java) — абстрактный класс. При реализации и внедрении в IOC-контейнер необходимо также реализовать AuthCustomizeRequest. После этого AuthGitlabPrivateSource будет автоматически интегрирован в процесс аутентификации OAuth2 Login. Достаточно настроить соответствующие свойства (ums.oauth.gitlabPrivate.[clientId|clientSecret] и др.).

• AuthCustomizeSource (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/justauth/source/AuthCustomizeSource.java) — ещё один абстрактный класс, который работает аналогично AuthGitlabPrivateSource.

• AuthCustomizeRequest (https://gitee.com/pcore/just-auth-spring-security-starter/blob/master/src/main/java/top/dcenter/ums/security/core/oauth/justauth/request/AuthCustomizeRequest.java) — также абстрактный класс. Его реализация и внедрение в IOC-контейнер требуют одновременной реализации AuthCustomizeSource или AuthGitlabPrivateSource. После внедрения AuthCustomizeRequest будет автоматически включён в процесс аутентификации OAuth2 Login. Настройка соответствующих свойств (ums.oauth.customize.[clientId|clientSecret]) аналогична настройке для AuthGitlabPrivateSource.

OneClickLoginService

При активации функции однократного входа необходимо реализовать этот интерфейс. Он позволяет получить номер телефона пользователя на основе токена доступа от поставщика услуг.

Сериализация и десериализация с использованием Jackson

Чтобы решить проблему с невозможностью десериализации некоторых типов данных из Redis, добавлены некоторые десериализаторы для Authentication и UserDetails.

Конкретные настройки десериализатора Redis можно найти в методе RedisCacheAutoConfiguration.getJackson2JsonRedisSerializer().

Обратите внимание, что класс UmsUserDetailsService уже имеет реализацию десериализатора для своего метода регистрации пользователей. Однако если вы создаёте собственный подкласс, вам придётся самостоятельно реализовать десериализатор.

Быстрый старт

Добавление зависимостей

Необходимо добавить зависимости в проект. Класс UserDetailsServiceImpl реализует сервис UmsUserDetailsService:

1. Используется для логики сторонних логинов, а также паролей и SMS-логинов.
2. Реализует логику парольного входа пользователя.
3. Реализует регистрацию пользователей.

@author YongWu zheng @version V1.0 Created by 2020/9/20 11:06

import org.springframework.security.crypto.password.PasswordEncoder;
import top.dcenter.ums.security.core.oauth.enums.ErrorCodeEnum;
import top.dcenter.ums.security.core.oauth.exception.RegisterUserFailureException;
import top.dcenter.ums.security.core.oauth.exception.UserNotExistException;
import top.dcenter.ums.security.core.oauth.service.UmsUserDetailsService;

import java.util.List;

/**
 *  Сервис регистрации и авторизации пользователей с помощью пароля и SMS:
 *  1. Для сторонних логинов и парольных логинов.
 *  2. Для парольного входа.
 *  3. Регистрация пользователей.
 */
@Service
public class UserDetailsServiceImpl implements UmsUserDetailsService {
    
    private final Logger log = LoggerFactory.getLogger(this.getClass());

    @SuppressWarnings("SpringJavaAutowiredFieldsWarningInspection")
    @Autowired(required = false)
    private UserCache userCache;
    /**
     * Для шифрования и дешифрования паролей.
     */
    @SuppressWarnings("SpringJavaAutowiredFieldsWarningInspection")
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            // Извлекаем информацию о пользователе из кэша:
            if (this.userCache != null) {
                UserDetails userDetails = this.userCache.getUserFromCache(username);
                if (userDetails != null) {
                    return userDetails;
                }
            }
            // Получаем информацию о пользователе:

            // Логика получения информации о пользователе...
            // ...

            log.info("Demo ======>: Логин пользователя: {}, успешная авторизация", username);
            return new User(username,
                            passwordEncoder.encode("admin"),
                            true,
                            true,
                            true,
                            true,
                            AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_VISIT, ROLE_USER"));

        } catch (Exception e) {
            String msg = String.format("Demo ======>: Логин пользователя: %s, ошибка авторизации: %s", username, e.getMessage());
            log.error(msg);
            throw new UserNotExistException(ErrorCodeEnum.QUERY_USER_INFO_ERROR, e, username);
        }
    }

   @Override
    public UserDetails registerUser(AuthUser authUser, String username, String defaultAuthority, String decodeState) throws RegisterUserFailureException {

        // Для сторонних логинов пароль не требуется, здесь он устанавливается произвольно для генерации среды в соответствии с собственной логикой.
        String encodedPassword = passwordEncoder.encode(authUser.getUuid());

        final RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        requestAttributes.setAttribute("redirectUrl", decodeState, RequestAttributes.SCOPE_REQUEST);

        List<GrantedAuthority> grantedAuthorities = AuthorityUtils.commaSeparatedStringToAuthorityList(defaultAuthority);

        log.info("Demo ======>: Имя пользователя: {}, регистрация прошла успешно", username);

        UserDetails user = User.builder()
                               .username(username)
                               .password(encodedPassword)
                               .disabled(false)
                               .accountExpired(false)
                               .accountLocked(false)
                               .credentialsExpired(false)
                               .authorities(grantedAuthorities)
                               .build();

        if (userCache != null) {

}}
``` ### 4. Страницы фронтенда:

#### login.html: разместить в classpath:/static

```html
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>Вход</title>
</head>
<body>
<h2>Страница входа</h2>
<h3>Социальный вход</h3>
<a href="/demo/auth2/authorization/gitee">Вход через gitee</a>
<a href="/demo/auth2/authorization/github">Вход через github</a>
<a href="/demo/auth2/authorization/qq">Вход через qq</a>
</body>
</html>

index.html: разместить в classpath:/static

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>Индекс</title>
</head>
<body>
hello world!<br>
    <form action="/demo/logout?logout" method="post">
        <input type="submit" value="Выход post"/>
    </form>

<br>
<br>
<a href="/demo/auth2/authorization/gitee">Войти через gitee</a>
<a href="/demo/auth2/authorization/github">Войти через github</a>
<a href="/demo/auth2/authorization/qq">Войти через qq</a>
</body>
</html>

5. Доступ к страницам фронтенда

• Откройте браузер и перейдите по адресу http://localhost:9090/demo/login.html. Это интегрирует сторонний вход (justAuth-spring-security-starter) и обеспечивает быструю разработку.
• Подробная конфигурация доступна по ссылке: justAuth-security-oauth2-example.

7. Временная диаграмма: изменения с течением времени

8. Список свойств конфигурации

OAuth2 / refreshToken периодическая задача / JustAuth свойства конфигурации

Примечание: в ответе переведён только текст без кода. | 线程池名称, по умолчанию: updateConnection | | | ----------------------------------------------------------------------- | ------------------------------------------------------------ | | ums.executor.updateConnection.rejectedExecutionHandlerPolicy | RejectedExecutionHandlerPolicy | CALLER_RUNS | Стратегия отказа, по умолчанию: CALLER_RUNS. Обратите внимание: обычно не рекомендуется изменять настройки по умолчанию, если только вы не реализуете собственную логику обновления Auth2LoginAuthenticationProvider; также поддерживается ABORT, по умолчанию реализация Auth2LoginAuthenticationProvider является асинхронным обновлением, которое будет выполнено после отказа в выполнении, оно будет выполняться синхронно. | ABORT/CALLER_RUNS/DISCARD_OLDEST/DISCARD | | ums.executor.updateConnection.executorShutdownTimeout | Duration | PT10S | Время ожидания завершения работы пула потоков, по умолчанию: PT10S | |

Настройка сохранения данных о сторонних авторизованных пользователях и их токенах в базе данных (jdbc) с использованием кэширования Redis

Конфигурация таблицы user_connection sql для информации о сторонних авторизованных пользователях

%s | Запрос к таблице пользователей базы данных сторонних логинов. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на : databaseName, tableName | | ums.repository.findUserIdsWithConnectionSql | String | select %s from %s where %s = ? and %s = ? | Запрос к таблице пользователей базы данных сторонних логинов для получения идентификаторов пользователей (userIds). Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: userIdColumnName, tableName, providerIdColumnName, providerUserIdColumnName |

Запрос 2

| ums.repository.findUserIdsConnectedToSql | String | select %s from %S where %s = :%s and %s in (:%s) | Запрос через стороннего поставщика услуг для получения userIds из таблицы пользователей по providerId и providerUserIds. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: userIdColumnName, tableName, providerIdColumnName, providerUserIdColumnName |

Запрос 3

| ums.repository.selectFromUserConnectionSql | String | select %s, %s, %s, %s, %s, %s, %s, %s, %s, %s from %s | Запрос через стороннего поставщика услуг для получения информации о пользователях по providerId и providerUserIds из таблицы пользователей. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: userIdColumnName, providerIdColumnName, providerUserIdColumnName, displayNameColumnName, profileUrlColumnName, imageUrlColumnName, accessTokenColumnName, tokenIdColumnName, refreshTokenColumnName, expireTimeColumnName, tableName |

Запрос 4

| ums.repository.updateConnectionSql | String | update %s set %s = ?, %s = ?, %s = ?, %s = ?, %s = ?, %s = ?, %s = ? where %s = ? and %s = ? and %s = ? | Запрос на обновление таблицы пользователей сторонних логинов. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: tableName, displayNameColumnName, profileUrlColumnName, imageUrlColumnName, accessTokenColumnName, tokenIdColumnName, refreshTokenColumnName, expireTimeColumnName, userIdColumnName, providerIdColumnName, providerUserIdColumnName |

Запрос 5

| ums.repository.addConnectionSql | String | insert into %s(%s, %s, %s, %s, %s, %s, %s, %s, %s, %s, %s) values (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?) | Запрос на добавление пользователя в таблицу пользователей сторонних логинов. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: tableName, userIdColumnName, providerIdColumnName, providerUserIdColumnName, rankColumnName, displayNameColumnName, profileUrlColumnName, imageUrlColumnName, accessTokenColumnName, tokenIdColumnName, refreshTokenColumnName, expireTimeColumnName |

Запрос 6

| ums.repository.addConnectionQueryForRankSql | String | select coalesce(max(%s) + 1, 1) as %s from %s where %s = ? and %s = ? | Запрос для определения необходимого значения ранга при добавлении пользователя в таблицу пользователей. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: rankColumnName, rankColumnName, tableName, userIdColumnName, providerIdColumnName |

Запрос 7

| ums.repository.removeConnectionsSql | String | delete from %s where %s = ? and %s = ? | Запрос на удаление нескольких пользователей из таблицы пользователей на основе userId и providerId. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: tableName, userIdColumnName, providerIdColumnName |

Запрос 8

| ums.repository.removeConnectionSql | String | delete from %s where %s = ? and %s = ? and %s = ? | Запрос на удаление одного пользователя из таблицы пользователей на основе userId, providerId, providerUserId. Обратите внимание: в запросе необходимо заполнить %s, знаки вопроса должны соответствовать указанным %s, а %s будут последовательно заменены на: tableName, userIdColumnName, providerIdColumnName, providerUserIdColumnName |