コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ Java &#&チュートリアル Java API開発における安全な認可のためのSpring Security OAuthの使用

Java API開発における安全な認可のためのSpring Security OAuthの使用

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 18, 2023 am 08:01 AM
java oauth spring security

Java API 開発における一般的な要件は、ユーザーの認証および認可機能を実装することです。より安全で信頼性の高いAPIサービスを提供するためには、特に認可機能が重要になっています。 Spring Security OAuth は、Java API での認可機能の実装に役立つ優れたオープンソース フレームワークです。この記事では、Spring Security OAuth を使用して安全な認証を行う方法を紹介します。

  1. Spring Security OAuth とは何ですか?

Spring Security OAuth は Spring Security フレームワークの拡張機能であり、OAuth 認証および認可機能の実装に役立ちます。

OAuth は、サードパーティ アプリケーションがリソースにアクセスすることを承認するためのオープン スタンダードです。これは、ビジネス ロジックの分離とアプリケーションの安全性を実現するのに役立ちます。 OAuth 承認プロセスには通常、次の役割が含まれます:

  • ユーザー: リソースの所有者;
  • クライアント: ユーザー リソースへのアクセスに適用されるアプリケーション;
  • 認可サーバー: ユーザーの認可を処理するサーバー;
  • リソースサーバー: ユーザーのリソースを格納するサーバー;
  1. 認可プロセス

Spring Security OAuth OAuth を実装します 認可プロセスの 4 つのエンドポイント:

  • /oauth/authorize: 認可サーバーの認可エンドポイント;
  • /oauth/token: 認可サーバーのトークン エンドポイント;
  • /oauth/confirm_access: クライアントが承認を確認するためのエンドポイント;
  • /oauth/error: 承認サーバーのエラー メッセージのエンドポイント;

Spring Security OAuth は、OAuth 2.0 の 4 つの側面を実装します 大規模認可モード:

  • 認可コード モード: 使用シナリオは、アプリケーションの起動時にユーザー認可が必要であることです;
  • パスワード モード: 使用シナリオは、クライアントがユーザー資格情報を独立して管理することです。
  • 簡易モード: 使用シナリオは、クライアントがブラウザーで実行され、クライアントはユーザー資格情報を保護する必要がありません。
  • クライアント モード: 使用シナリオでは、クライアントはユーザー認証を必要とせず、要求されたアクセス トークンはクライアント自体のみを表します;
    #Spring Security OAuth 依存関係を追加します
Spring Security OAuth 依存関係をプロジェクトに追加します。 pom.xml で以下を構成します。 

<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>
ログイン後にコピー

    認可サーバーの構成
認可のために認可サーバーを定義する必要があります。 Spring Security OAuth では、OAuth2 認証サーバーを有効にし、AuthorizationServerConfigurer インターフェイスを実装することで、認可サーバーを定義できます。 

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    TokenStore tokenStore;

    @Autowired
    AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("client")
            .secret("{noop}secret")
            .authorizedGrantTypes("client_credentials", "password")
            .scopes("read", "write")
            .accessTokenValiditySeconds(3600)
            .refreshTokenValiditySeconds(7200);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore)
            .authenticationManager(authenticationManager);
    }
}
ログイン後にコピー

上記のコードでは、メモリベースのクライアント詳細サービスを定義し、認証タイプを client_credentials とパスワードとして構成し、アクセス トークンの有効期間とリフレッシュ トークンの有効期間も指定します。さらに、エンドポイントと、それに必要な tokenStore および authenticationManager を定義します。

    リソース サーバーの構成
Spring Security OAuth セキュリティ認証を使用するには、リソース サーバーも構成する必要があります。 Spring Security OAuth では、ResourceServerConfigurer インターフェイスを実装することでリソース サーバーを定義できます。 

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/api/**").authenticated()
            .anyRequest().permitAll();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer config) throws Exception {
        config.resourceId("my_resource_id");
    }
}
ログイン後にコピー

上記のコードでは、認証を与えるために /api/** を定義し、他のリクエストは匿名アクセスを許可します。また、後続の認可プロセスで使用するリソース ID「my_resource_id」も構成します。

    Web セキュリティの構成
Spring Security OAuth セキュリティ認証を使用するには、Web セキュリティも構成する必要があります。 Spring Security OAuth では、SecurityConfigurer インターフェースを実装することでセキュリティを定義できます。 

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user")
            .password("{noop}password")
            .roles("USER");
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/oauth/**")
            .permitAll()
            .anyRequest()
            .authenticated()
            .and()
            .formLogin()
            .permitAll();
    }
}
ログイン後にコピー

上記のコードでは、メモリベースのユーザー詳細サービスを定義し、認証を必要とするリクエストを宣言します (つまり、/oauth/** に続くすべてのパスは認証を必要とし、その他のパスは匿名でアクセスできます) 。また、ユーザーがアプリケーションにログインできるように、簡単なフォーム ログインも構成しました。

    UserDetailsS​​ervice の実装
セキュリティ認証で使用するために、UserDetailsS​​ervice インターフェイスを実装する必要があります。ここでは、メモリを直接使用してユーザー アカウントとパスワードを保存し、データベース操作は関与しません。 

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if ("user".equals(username)) {
            return new User("user", "{noop}password",
                    AuthorityUtils.createAuthorityList("ROLE_USER"));
        } else {
            throw new UsernameNotFoundException("username not found");
        }
    }
}
ログイン後にコピー

    API の実装
次に、単純な API を実装する必要があります。クライアントに挨拶を返すための getGreeting() API を /api/** パスの下に追加しました。 

@RestController
@RequestMapping("/api")
public class ApiController {

    @GetMapping("/greeting")
    public String getGreeting() {
        return "Hello, World!";
    }
}
ログイン後にコピー

    認可プロセスのテスト
最後に、認可プロセスが期待どおりに実行されているかどうかをテストする必要があります。まず、認証コード モードを使用して認証コードを取得します。 

http://localhost:8080/oauth/authorize?response_type=code&client_id=client&redirect_uri=http://localhost:8080&scope=read
ログイン後にコピー

ブラウザで上記の URL にアクセスすると、認証のためのユーザー名とパスワードの入力を求められます。ユーザー名userとパスワードpasswordを入力して「認証」をクリックすると、http://localhost:8080/?code=xxxにリダイレクトされます。xxxは認証コードです。

次に、パスワード パターンを使用してアクセス トークンを取得します: 

curl -X POST 
  http://localhost:8080/oauth/token 
  -H 'content-type: application/x-www-form-urlencoded' 
  -d 'grant_type=password&username=user&password=password&client_id=client&client_secret=secret'
ログイン後にコピー

アクセス トークンとリフレッシュ トークンを含む JSON 応答を受け取ります: 

{
    "access_token":"...",
    "token_type":"bearer",
    "refresh_token":"...",
    "expires_in":3600,
    "scope":"read"
}
ログイン後にコピー

これで、次のことが可能になります。このアクセス トークンを使用して API サービスにアクセスします: 

curl -X GET 
  http://localhost:8080/api/greeting 
  -H 'authorization: Bearer xxx'
ログイン後にコピー

ここで、xxx はアクセス トークンです。 「Hello, World!」という挨拶を含む JSON 応答を受け取ります。

この記事では、Spring Security OAuth を使用して安全な認証を行う方法を紹介します。 Spring Security OAuth は、OAuth 認証プロセスにおけるすべてのロールの実装に役立つ非常に強力なフレームワークです。実際のアプリケーションでは、さまざまなセキュリティ要件に応じて、さまざまな認証モードとサービス構成を選択できます。

以上がJava API開発における安全な認可のためのSpring Security OAuthの使用の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前 By DDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.チャットコマンドとそれらの使用方法
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7540
15
CakePHP チュートリアル
1380
52
Steamのアカウント名の形式は何ですか
83
11
Win11 Activation Key Permanent
55
19
NYTの接続はヒントと回答です
21
86
もっと見る
Related knowledge
Javaの完全数 Javaの完全数 Aug 30, 2024 pm 04:28 PM

Java における完全数のガイド。ここでは、定義、Java で完全数を確認する方法、コード実装の例について説明します。

ジャワのウェカ ジャワのウェカ Aug 30, 2024 pm 04:28 PM

Java の Weka へのガイド。ここでは、weka java の概要、使い方、プラットフォームの種類、利点について例を交えて説明します。

Javaのスミス番号 Javaのスミス番号 Aug 30, 2024 pm 04:28 PM

Java のスミス番号のガイド。ここでは定義、Java でスミス番号を確認する方法について説明します。コード実装の例。

Java Springのインタビューの質問 Java Springのインタビューの質問 Aug 30, 2024 pm 04:29 PM

この記事では、Java Spring の面接で最もよく聞かれる質問とその詳細な回答をまとめました。面接を突破できるように。

Java 8 Stream Foreachから休憩または戻ってきますか? Java 8 Stream Foreachから休憩または戻ってきますか? Feb 07, 2025 pm 12:09 PM

Java 8は、Stream APIを導入し、データ収集を処理する強力で表現力のある方法を提供します。ただし、ストリームを使用する際の一般的な質問は次のとおりです。 従来のループにより、早期の中断やリターンが可能になりますが、StreamのForeachメソッドはこの方法を直接サポートしていません。この記事では、理由を説明し、ストリーム処理システムに早期終了を実装するための代替方法を調査します。 さらに読み取り:JavaストリームAPIの改善 ストリームを理解してください Foreachメソッドは、ストリーム内の各要素で1つの操作を実行する端末操作です。その設計意図はです

Java での日付までのタイムスタンプ Java での日付までのタイムスタンプ Aug 30, 2024 pm 04:28 PM

Java での日付までのタイムスタンプに関するガイド。ここでは、Java でタイムスタンプを日付に変換する方法とその概要について、例とともに説明します。

カプセルの量を見つけるためのJavaプログラム カプセルの量を見つけるためのJavaプログラム Feb 07, 2025 am 11:37 AM

カプセルは3次元の幾何学的図形で、両端にシリンダーと半球で構成されています。カプセルの体積は、シリンダーの体積と両端に半球の体積を追加することで計算できます。このチュートリアルでは、さまざまな方法を使用して、Javaの特定のカプセルの体積を計算する方法について説明します。 カプセルボリュームフォーミュラ カプセルボリュームの式は次のとおりです。 カプセル体積=円筒形の体積2つの半球体積 で、 R:半球の半径。 H:シリンダーの高さ(半球を除く)。 例1 入力 RADIUS = 5ユニット 高さ= 10単位 出力 ボリューム= 1570.8立方ユニット 説明する 式を使用してボリュームを計算します。 ボリューム=π×R2×H(4

Spring Tool Suiteで最初のSpring Bootアプリケーションを実行するにはどうすればよいですか? Spring Tool Suiteで最初のSpring Bootアプリケーションを実行するにはどうすればよいですか? Feb 07, 2025 pm 12:11 PM

Spring Bootは、Java開発に革命をもたらす堅牢でスケーラブルな、生産対応のJavaアプリケーションの作成を簡素化します。 スプリングエコシステムに固有の「構成に関する慣習」アプローチは、手動のセットアップを最小化します。

See all articles