java oauth2.0_OAuth 2.0 Java指南：5分钟保护您的应用程序安全

java oauth2.0

使用Okta的身份管理平台轻松部署您的应用程序 使用Okta的API在几分钟之内即可对任何应用程序中的用户进行身份验证，管理和保护。今天尝试Okta。

现代应用程序依赖于用户身份验证，但是它可能给Java开发人员带来困难的挑战，以及一系列特定于框架的选项供您选择。我们已经看到许多Spring开发人员从一个简单的本地身份验证服务开始，他们计划用一个更强大的选项替换“后来的”……只是为了让该本地服务将其方式扩展到堆栈中的永久位置。为了结束这一令人心碎的循环，这篇文章将展示即使在一个简单的应用程序中，实现企业级身份验证服务也是如此简单。

在本教程中，您将创建一个显示用户信息的应用程序。您将首先手动配置它，以查看其缺点。然后，我们将使用更专业的方法。在本教程结束时，您将拥有一个基于Spring的Java应用程序，该应用程序使用OAuth 2.0对用户进行身份验证，并且需要5分钟的时间进行这些更改！

使用Spring创建Java应用程序

让我们从创建项目结构开始。您将使用Spring Initializer创建应用程序。转到start.spring.io并填写以下信息：

项目： Maven项目
语言： Java
组： com.okta.authorizationapp
工件： oauth
依存关系：
- Spring网

您也可以从命令行生成项目。将以下命令粘贴到终端中，以使用与上述相同的配置下载项目：

curl https://start.spring.io/starter.zip \-d dependencies=web,thymeleaf,security \-d packageName=com.okta.authorizationapp \-d name=authorization-app \-d type=maven-project \-o java-authorization-app.zip

而已！现在，您的Java项目结构已创建，您可以开始开发应用程序了。

自行构建用户安全性

本教程将使用Maven，但您可以根据需要轻松使用Gradle进行操作。

首先，将项目导入您喜欢的IDE /编辑器中。现在，您的项目只有一个类，即引导应用程序的style="font-size:13px" class="highlighter-rouge">AuthorizationAppApplication 。运行此类时，服务器将启动，并且可以转到浏览器以查看结果。

但是，您首先需要一个页面才能访问，因此让我们创建一个主页。

内部style="font-size:13px" class="highlighter-rouge">src/main/java/com/okta/authorizationapp/controller/创建类style="font-size:13px" class="highlighter-rouge">HomeController ：

@Controller
public class HomeController {private Map<String, LocalDateTime> usersLastAccess = new HashMap<>();@GetMapping("/")public String getCurrentUser(@AuthenticationPrincipal User user, Model model) {String username = user.getUsername();model.addAttribute("username", username);model.addAttribute("lastAccess", usersLastAccess.get(username));usersLastAccess.put(username, LocalDateTime.now());return "home";}
}

此类定义了/路径的控制器。当您在未定义任何其他路径的情况下访问应用程序时，将执行此代码。

控制器的第一个重要操作将检索当前用户的信息。由于您使用AuthenticationPrincipal注释了user属性，因此Spring Security将自动检索此信息。

控制器还接收一个model参数，该参数存储用于呈现页面的数据。现在，此数据是username和用户上次访问您的应用程序的时间。

最后一步是更新用户的上次访问日期，并定义应呈现请求HTML模板。在您的情况下，端点称为home 。 Spring将在src/main/resources/templates文件夹中搜索home.html文件。

您还没有此文件，所以让我们去创建它：

<html><head><title>Java OAuth 2.0 Tutorial - Homepage</title></head><body><h1 th:text="'Welcome, ' + ${username} + '!'"></h1><ul><li th:if="${lastAccess}" th:text="'Last access: ' + ${lastAccess}"></li></ul></body>
</html>

这是一个HTML文件，由Thymeleaf稍作更改， Thymeleaf是您在创建项目时导入的库之一。 Thymeleaf从服务器接收模型对象，并以HTML呈现该对象的值。只需键入${variable}即可引用model对象中的变量。

通过th:text属性，您可以在HTML元素中定义动态文本。在这里，我们使用它来显示动态问候语，以及用户上次访问该应用程序的时间。

用户首次访问您的应用时，不会记录任何先前的访问。为了确保您不会出现无意义的字段，请使用th:if 。如果该字段为null ，则不会呈现li标签，并且用户将看不到它。

现在有了端点，您只需要为应用程序添加安全性即可。

在src/main/javacom/okta/authorizationapp/configuration/创建类SecurityConfiguration ：

@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {private PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().passwordEncoder(passwordEncoder()).withUser("john.doe").password(passwordEncoder().encode("secret")).roles("USER");}@Beanpublic PasswordEncoder passwordEncoder() {return passwordEncoder;}
}

此类将确保用户必须登录才能访问您的应用程序。目前只有一个名为john.doe用户可以登录该应用程序。

通过调用AuthorizationAppApplication内部的main方法来运行应用程序。您也可以从命令行运行它。在项目文件夹中，运行以下命令：

mvn spring-boot:run

当您访问http://localhost:8080 ，应该看到以下登录页面：

键入john.doe和secret作为用户名和密码。您应该被重定向到主页。第一次访问时，只有Welcome, john.doe! 将显示。在第二次访问中，您还应该看到最后一次访问：

现在，您有了一个管理安全性的应用程序。做得好！

但是，有一个大问题……现在您只能以一个用户身份登录。更糟糕的是，用户信息被硬编码在您的应用程序中。为了简化用户访问和安全性，您可以使用Okta来管理身份验证。它将在5分钟内为您提供一种非常简单的方法来与OAuth 2.0集成。让我们在示例应用中配置OAuth 2.0，以了解它的简易性。首先创建一个Okta帐户。

创建一个Okta帐户

如果您没有Okta帐户，请继续创建一个。注册后，请执行以下步骤：

登录到您的帐户
单击应用程序 > 添加应用程序

您将被重定向到以下页面：

选择网站，然后单击下一步。

在表格中填写以下选项：

名称： hello-world
基本URI： http://localhost:8080
登录重定向URL： http://localhost:8080/login/oauth2/code/okta
允许的授予类型：
- 客户凭证
单击完成。

现在，您可以使用Okta应用程序对应用程序的用户进行身份验证。

使用OAuth 2.0：一种快速，专业的方法

首先，将Okta的库添加到您的项目中。

转到pom.xml并添加Okta的Spring Boot启动器：

<dependency><groupId>com.okta.spring</groupId><artifactId>okta-spring-boot-starter</artifactId><version>1.3.0</version>
</dependency>

Okta将管理您的应用程序身份验证，因此您可以删除SecurityConfiguration类。

在HomeController ，进行以下更改：

@GetMapping("/")
public String getCurrentUser(@AuthenticationPrincipal OidcUser user, Model model) {String email = user.getEmail();model.addAttribute("email", email);model.addAttribute("lastAccess", usersLastAccess.get(email));model.addAttribute("firstName", user.getGivenName());model.addAttribute("lastName", user.getFamilyName());usersLastAccess.put(email, LocalDateTime.now());return "home";
}

您的端点现在将收到与OAuth 2.0兼容的OidcUser 。此类提供了比以前更多的用户信息，因此您可以修改HTML以显示它。用email替换username ，并添加firstName和lastName ，这是您之前没有的字段。为此，请转到hello.html并进行以下更改：

<body><h1 th:text="'Welcome, ' + ${email} + '!'"></h1><ul><li th:if="${lastAccess}" th:text="'Last access: ' + ${lastAccess}"></li><li th:if="${firstName}" th:text="'First name: ' + ${firstName}"></li><li th:if="${lastName}" th:text="'Last name: ' + ${lastName}"></li></ul>
</body>

您仍然像以前一样向用户打招呼，但同时还显示来自端点的新信息。您已经对所有代码进行了更改，现在只需要添加一些配置即可。使用以下环境变量在应用程序的根目录中创建okta.env文件。

export OKTA_OAUTH2_ISSUER=https://{yourOktaDomain}/oauth2/default
export OKTA_OAUTH2_CLIENT_ID={CLIENT_ID}
export OKTA_OAUTH2_CLIENT_SECRET={CLIENT_SECRET}

您可以从Okta信息中心的应用程序页面中找到{CLIENT_ID}和{CLIENT_SECRET} 。要访问它，请按照以下步骤操作：