Demo

索引.html

<script type="text/javascript">    $.get("/user", function(data) {        $("#user").html(data.name);        $(".unauthenticated").hide()        $(".authenticated").show()    });</script>

请注意，此 JavaScript 需要调用服务器端端点。​​/user​​

端点​​/user​​

现在，您将添加刚才提到的服务器端终结点，调用它。它将发回当前登录的用户，我们可以在主类中轻松完成此操作：​​/user​​

社交应用.java

@SpringBootApplication@RestControllerpublic class SocialApplication {    @GetMapping("/user")    public Map user(@AuthenticationPrincipal OAuth2User principal) {        return Collections.singletonMap("name", principal.getAttribute("name"));    }    public static void main(String[] args) {        SpringApplication.run(SocialApplication.class, args);    }}

请注意 、 和注入到处理程序方法中的用法。​​@RestController​​​​@GetMapping​​​​OAuth2User​​

公开主页

您需要进行最后一项更改。

此应用程序现在可以正常工作并像以前一样进行身份验证，但它仍然会在显示页面之前重定向。为了使链接可见，我们还需要通过扩展来关闭主页上的安全性：​​WebSecurityConfigurerAdapter​​

社交应用

@SpringBootApplication@RestControllerpublic class SocialApplication extends WebSecurityConfigurerAdapter {    // ...    @Override    protected void configure(HttpSecurity http) throws Exception {        // @formatter:off        http            .authorizeRequests(a -> a                .antMatchers("/", "/error", "/webjars/**").permitAll()                .anyRequest().authenticated()            )            .exceptionHandling(e -> e                .authenticationEntryPoint(new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED))            )            .oauth2Login();        // @formatter:on    }}

Spring Boot 对 a 附加了特殊含义，该类的注释为 ： 它使用它来配置携带 OAuth 2.0 身份验证处理器的安全过滤器链。​​WebSecurityConfigurerAdapter​​​​@SpringBootApplication​​

上述配置指示允许的端点的白名单，其他每个端点都需要身份验证。

您希望允许：

但是，您不会在此配置中看到任何有关此配置的内容。所有内容（包括）都保持安全，除非由于最后的配置而指明。​​/user​​​​/user​​​​.anyRequest().authenticated()​​

最后，由于我们通过 Ajax 与后端接口，因此我们希望将端点配置为使用 401 响应，而不是重定向到登录页面的默认行为。配置为我们实现了这一目标。​​authenticationEntryPoint​​

完成这些更改后，应用程序就完成了，如果您运行它并访问主页，您应该会看到一个样式精美的 HTML 链接，指向“使用 GitHub 登录”。该链接不会将您直接带到 GitHub，而是转到处理身份验证（并将重定向发送到 GitHub）的本地路径。进行身份验证后，您将被重定向回本地应用程序，它现在显示您的姓名（假设您已在 GitHub 中设置权限以允许访问该数据）。

添加注销按钮

在本节中，我们将修改点击我们通过添加一个允许用户注销应用程序的按钮来构建应用程序。这似乎是一个简单的功能，但它需要一点小心来实现，所以值得花一些时间讨论如何做到这一点。大多数更改都与以下事实有关：我们正在将应用程序从只读资源转换为读写资源（注销需要更改状态），因此在任何不仅仅是静态内容的实际应用程序中都需要相同的更改。

客户端更改

在客户端上，我们只需要提供一个注销按钮和一些 JavaScript 来回调服务器以请求取消身份验证。首先，在 UI 的“经过身份验证”部分，我们添加按钮：

索引.html

  Logged in as:   
    Logout  

然后我们提供它在 JavaScript 中引用的函数：​​logout()​​

索引.html

var logout = function() {    $.post("/logout", function() {        $("#user").html("");        $(".unauthenticated").show();        $(".authenticated").hide();    })    return true;}

该函数执行 POST 操作，然后清除动态内容。现在我们可以切换到服务器端来实现该端点。​​logout()​​​​/logout​​

添加注销端点

Spring 安全性内置了对端点的支持，该端点将为我们做正确的事情（清除会话并使 cookie 无效）。要配置端点，我们只需扩展以下中的现有方法：​​/logout​​​​configure()​​​​WebSecurityConfigurerAdapter​​

社交应用.java

@Overrideprotected void configure(HttpSecurity http) throws Exception {    // @formatter:off    http        // ... existing code here        .logout(l -> l            .logoutSuccessUrl("/").permitAll()        )        // ... existing code here    // @formatter:on}

端点要求我们向其 POST 并保护用户免受跨站点请求伪造（CSRF，发音为“海上冲浪”）的侵害，它需要将令牌包含在请求中。令牌的值链接到当前会话，这是提供保护的原因，因此我们需要一种方法将这些数据放入我们的 JavaScript 应用程序中。​​/logout​​

许多JavaScript框架都内置了对CSRF的支持（例如，在Angular中，他们称之为XSRF），但它的实现方式通常与Spring Security的开箱即用行为略有不同。例如，在Angular中，前端希望服务器向它发送一个名为“XSRF-TOKEN”的cookie，如果它看到这一点，它将把值作为名为“X-XSRF-TOKEN”的标头发送回去。我们可以用简单的jQuery客户端实现相同的行为，然后服务器端的更改将与其他前端实现一起工作，没有或很少的更改。为了向 Spring Security 传授这一点，我们需要添加一个创建 cookie 的过滤器。

在我们执行以下操作：​​WebSecurityConfigurerAdapter​​

社交应用.java

@Overrideprotected void configure(HttpSecurity http) throws Exception {    // @formatter:off    http        // ... existing code here        .csrf(c -> c            .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())        )        // ... existing code here    // @formatter:on}

在客户端中添加 CSRF 令牌

由于此示例中我们没有使用更高级别的框架，因此您需要显式添加 CSRF 令牌，您刚刚将其作为后端的 cookie 提供。为了使代码更简单一些，请包含库：​​js-cookie​​

绒球.xml

    org.webjars    js-cookie    2.1.0

然后，您可以在 HTML 中引用它：

索引.html

<script type="text/javascript" src="/webjars/js-cookie/js.cookie.js"></script>

最后，您可以在 XHR 中使用方便的方法：​​Cookies​​

索引.html

$.ajaxSetup({  beforeSend : function(xhr, settings) {    if (settings.type == "POST" || settings.type == "PUT"        || settings.type == "DELETE") {      if (!(/^http:.*/.test(settings.url) || /^https:.*/        .test(settings.url))) {        // Only send the token to relative URLs i.e. locally.        xhr.setRequestHeader("X-XSRF-TOKEN",          Cookies.get("XSRF-TOKEN"));      }    }  }});

准备滚动！

完成这些更改后，我们已准备好运行应用程序并尝试新的注销按钮。启动应用并在新的浏览器窗口中加载主页。单击“登录”链接将您带到GitHub（如果您已经登录，则可能不会注意到重定向）。单击“注销”按钮以取消当前会话并将应用程序返回到未经身份验证的状态。如果您好奇，您应该能够在浏览器与本地服务器交换的请求中看到新的 cookie 和标头。

请记住，现在注销端点正在与浏览器客户端一起使用，然后所有其他HTTP请求（POST，PUT，DELETE等）也将正常工作。因此，对于具有一些更现实功能的应用程序来说，这应该是一个很好的平台。

使用 GitHub 登录

在本部分中，您将修改注销您已经构建的应用程序，添加贴纸页面，以便最终用户可以在多组凭据之间进行选择。

让我们将Google添加为最终用户的第二个选项。

初始设置

要使用 Google 的 OAuth 2.0 身份验证系统进行登录，您必须在 Google API 控制台中设置一个项目以获取 OAuth 2.0 凭据。

按照OpenID Connect页面，从“设置 OAuth 2.0”部分开始。

完成“获取 OAuth 2.0 凭据”说明后，您应该有一个新的 OAuth 客户端，其凭据由客户端 ID 和客户端密钥组成。

设置重定向 URI

此外，还需要提供重定向 URI，就像之前为 GitHub 所做的那样。

在“设置重定向 URI”子部分中，确保“授权的重定向 URI”字段设置为 。​​http://localhost:8080/login/oauth2/code/google​​

添加客户端注册

然后，您需要将客户端配置为指向谷歌。由于 Spring Security 是在考虑多个客户端的情况下构建的，因此您可以将我们的 Google 凭据添加到您为 GitHub 创建的凭据旁边：

应用程序.yml

spring:  security:    oauth2:      client:        registration:          github:            clientId: github-client-id            clientSecret: github-client-secret          google:            client-id: google-client-id            client-secret: google-client-secret

如您所见，Google是Spring Security提供开箱即用支持的另一个提供商。

添加登录链接

在客户端中，更改是微不足道的 - 您只需添加另一个链接：

索引.html

  
    With GitHub: click here  
  
    With Google: click here  

如何添加本地用户数据库

许多应用程序需要在本地保存有关其用户的数据，即使身份验证委托给外部提供程序也是如此。我们不在这里显示代码，但很容易通过两个步骤完成。

提示：在对象中添加一个字段以链接到外部提供程序中的唯一标识符（不是用户名，而是外部提供程序中帐户的唯一名称）。​​User​​

为未经身份验证的用户添加错误页面

在本部分中，您将修改两个提供商之前构建的应用，用于向无法进行身份验证的用户提供一些反馈。同时，您将扩展身份验证逻辑以包含仅允许属于特定 GitHub 组织的用户的规则。“组织”是GitHub特定领域的概念，但可以为其他提供商设计类似的规则。例如，对于 Google，您可能只想对来自特定网域的用户进行身份验证。

切换到 GitHub

这两个提供商示例使用 GitHub 作为 OAuth 2.0 提供程序：

应用程序.yml

spring:  security:    oauth2:      client:        registration:          github:            client-id: bd1c0a783ccdd1c9b9e4            client-secret: 1a9030fbca47a5b2c28e92f19050bb77824b5ad1          # ...

检测客户端中的身份验证失败

在客户端上，您可能希望为无法进行身份验证的用户提供一些反馈。为了促进这一点，您可以添加一个 div，您最终将向其添加一条信息性消息。

索引.html

然后，添加对终结点的调用，并用结果填充 ：​​/error​​​​

$.get("/error", function(data) {    if (data) {        $(".error").html(data);    } else {        $(".error").html("");    }});

protected void configure(HttpSecurity http) throws Exception {  // @formatter:off  http      // ... existing configuration      .oauth2Login(o -> o            .failureHandler((request, response, exception) -> {          request.getSession().setAttribute("error.message", exception.getMessage());          handler.onAuthenticationFailure(request, response, exception);            })        );}

@GetMapping("/error")public String error(HttpServletRequest request) {  String message = (String) request.getSession().getAttribute("error.message");  request.getSession().removeAttribute("error.message");  return message;}

@Beanpublic OAuth2UserService oauth2UserService(WebClient rest) {    DefaultOAuth2UserService delegate = new DefaultOAuth2UserService();    return request -> {        OAuth2User user = delegate.loadUser(request);        if (!"github".equals(request.getClientRegistration().getRegistrationId())) {            return user;        }        OAuth2AuthorizedClient client = new OAuth2AuthorizedClient                (request.getClientRegistration(), user.getName(), request.getAccessToken());        String url = user.getAttribute("organizations_url");        List> orgs = rest                .get().uri(url)                .attributes(oauth2AuthorizedClient(client))                .retrieve()                .bodyToMono(List.class)                .block();        if (orgs.stream().anyMatch(org -> "spring-projects".equals(org.get("login")))) {            return user;        }        throw new OAuth2AuthenticationException(new OAuth2Error("invalid_token", "Not in Spring Team", ""));    };}

@Beanpublic WebClient rest(ClientRegistrationRepository clients, OAuth2AuthorizedClientRepository authz) {    ServletOAuth2AuthorizedClientExchangeFilterFunction oauth2 =            new ServletOAuth2AuthorizedClientExchangeFilterFunction(clients, authz);    return WebClient.builder()            .filter(oauth2).build();}