स्प्रिंग बूट - JWT के साथ OAuth2
इस अध्याय में, आप JWT के साथ स्प्रिंग बूट सुरक्षा तंत्र और OAuth2 के बारे में विस्तार से जानेंगे।
प्राधिकरण सर्वर
प्राधिकरण सर्वर वेब एपीआई सुरक्षा के लिए एक सर्वोच्च वास्तुशिल्प घटक है। ऑथराइजेशन सर्वर एक केंद्रीकरण ऑथराइजेशन पॉइंट काम करता है जो आपके ऐप्स और HTTP के एंडपॉइंट्स को आपके एप्लिकेशन की विशेषताओं की पहचान करने की अनुमति देता है।
संसाधन सर्वर
संसाधन सर्वर एक ऐसा अनुप्रयोग है जो संसाधन सर्वर HTTP समापन बिंदु तक पहुँचने के लिए ग्राहकों को पहुँच टोकन प्रदान करता है। यह उन पुस्तकालयों का संग्रह है जिनमें HTTP समापन बिंदु, स्थिर संसाधन और डायनामिक वेब पेज शामिल हैं।
OAuth2
OAuth2 एक प्राधिकरण ढांचा है जो क्लाइंट से संसाधनों तक पहुंचने के लिए एप्लिकेशन वेब सुरक्षा को सक्षम बनाता है। OAuth2 एप्लिकेशन का निर्माण करने के लिए, हमें अनुदान प्रकार (प्राधिकरण कोड), क्लाइंट आईडी और क्लाइंट रहस्य पर ध्यान देने की आवश्यकता है।
JWT टोकन
JWT टोकन एक JSON वेब टोकन है, जिसका उपयोग दो पक्षों के बीच सुरक्षित दावों का प्रतिनिधित्व करने के लिए किया जाता है। आप JWT टोकन के बारे में www.jwt.io/ पर अधिक जान सकते हैं ।
अब, हम एक OAuth2 एप्लिकेशन का निर्माण करने जा रहे हैं जो JWT टोकन की सहायता से प्राधिकरण सर्वर, संसाधन सर्वर का उपयोग करने में सक्षम बनाता है।
आप डेटाबेस को एक्सेस करके JWT टोकन के साथ स्प्रिंग बूट सिक्योरिटी को लागू करने के लिए निम्न चरणों का उपयोग कर सकते हैं।
सबसे पहले, हमें अपनी बिल्ड कॉन्फ़िगरेशन फ़ाइल में निम्न निर्भरताएं जोड़ने की आवश्यकता है।
Maven उपयोगकर्ता आपकी pom.xml फ़ाइल में निम्न निर्भरताएँ जोड़ सकते हैं।
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
ग्रेडल उपयोगकर्ता बिल्ड.ग्रेड फ़ाइल में निम्न निर्भरताएँ जोड़ सकते हैं।
compile('org.springframework.boot:spring-boot-starter-security')
compile('org.springframework.boot:spring-boot-starter-web')
testCompile('org.springframework.boot:spring-boot-starter-test')
testCompile('org.springframework.security:spring-security-test')
compile("org.springframework.security.oauth:spring-security-oauth2")
compile('org.springframework.security:spring-security-jwt')
compile("org.springframework.boot:spring-boot-starter-jdbc")
compile("com.h2database:h2:1.4.191")
कहाँ पे,
Spring Boot Starter Security - वसंत सुरक्षा लागू करता है
Spring Security OAuth2 - प्राधिकरण सर्वर और संसाधन सर्वर को सक्षम करने के लिए OAUTH2 संरचना को लागू करता है।
Spring Security JWT - वेब सुरक्षा के लिए JWT टोकन जेनरेट करता है
Spring Boot Starter JDBC - उपयोगकर्ता उपलब्ध है या नहीं, यह सुनिश्चित करने के लिए डेटाबेस तक पहुँचता है।
Spring Boot Starter Web - HTTP एंडपॉइंट लिखता है।
H2 Database - प्रमाणीकरण और प्राधिकरण के लिए उपयोगकर्ता जानकारी संग्रहीत करता है।
पूर्ण बिल्ड कॉन्फ़िगरेशन फ़ाइल नीचे दी गई है।
<?xml version = "1.0" encoding = "UTF-8"?>
<project xmlns = "http://maven.apache.org/POM/4.0.0"
xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation = "http://maven.apache.org/POM/4.0.0
http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.tutorialspoint</groupId>
<artifactId>websecurityapp</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>jar</packaging>
<name>websecurityapp</name>
<description>Demo project for Spring Boot</description>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.9.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
Gradle – build.gradle
buildscript {
ext {
springBootVersion = '1.5.9.RELEASE'
}
repositories {
mavenCentral()
}
dependencies {
classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}")
}
}
apply plugin: 'java'
apply plugin: 'eclipse'
apply plugin: 'org.springframework.boot'
group = 'com.tutorialspoint'
version = '0.0.1-SNAPSHOT'
sourceCompatibility = 1.8
repositories {
mavenCentral()
}
dependencies {
compile('org.springframework.boot:spring-boot-starter-security')
compile('org.springframework.boot:spring-boot-starter-web')
testCompile('org.springframework.boot:spring-boot-starter-test')
testCompile('org.springframework.security:spring-security-test')
compile("org.springframework.security.oauth:spring-security-oauth2")
compile('org.springframework.security:spring-security-jwt')
compile("org.springframework.boot:spring-boot-starter-jdbc")
compile("com.h2database:h2:1.4.191")
}
अब, मुख्य स्प्रिंग बूट एप्लिकेशन में, उसी एप्लिकेशन में एक प्रामाणिक सर्वर और संसाधन सर्वर के रूप में कार्य करने के लिए @EnableAuthorizationServer और @EnableResourceServer एनोटेशन जोड़ें।
इसके अलावा, आप JWT टोकन का उपयोग करके वसंत सुरक्षा के साथ एपीआई तक पहुंचने के लिए एक सरल HTTP समापन बिंदु लिखने के लिए निम्न कोड का उपयोग कर सकते हैं।
package com.tutorialspoint.websecurityapp;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@SpringBootApplication
@EnableAuthorizationServer
@EnableResourceServer
@RestController
public class WebsecurityappApplication {
public static void main(String[] args) {
SpringApplication.run(WebsecurityappApplication.class, args);
}
@RequestMapping(value = "/products")
public String getProductName() {
return "Honey";
}
}
प्रमाणीकरण के लिए उपयोगकर्ता जानकारी संग्रहीत करने के लिए POJO वर्ग को परिभाषित करने के लिए निम्न कोड का उपयोग करें।
package com.tutorialspoint.websecurityapp;
import java.util.ArrayList;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
public class UserEntity {
private String username;
private String password;
private Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>();
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
public Collection<GrantedAuthority> getGrantedAuthoritiesList() {
return grantedAuthoritiesList;
}
public void setGrantedAuthoritiesList(Collection<GrantedAuthority> grantedAuthoritiesList) {
this.grantedAuthoritiesList = grantedAuthoritiesList;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
}
अब, निम्न कोड का उपयोग करें और CustomUser वर्ग को परिभाषित करें जो स्प्रिंग बूट प्रमाणीकरण के लिए org.springframework.security.core.userdetails.User वर्ग का विस्तार करता है।
package com.tutorialspoint.websecurityapp;
import org.springframework.security.core.userdetails.User;
public class CustomUser extends User {
private static final long serialVersionUID = 1L;
public CustomUser(UserEntity user) {
super(user.getUsername(), user.getPassword(), user.getGrantedAuthoritiesList());
}
}
आप डेटाबेस से उपयोगकर्ता की जानकारी को पढ़ने और कस्टम उपयोगकर्ता सेवा को भेजने के लिए @Repository वर्ग बना सकते हैं और दी गई प्राधिकारी "ROLE_SYSTEMADMIN" भी जोड़ सकते हैं।
package com.tutorialspoint.websecurityapp;
import java.sql.ResultSet;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.stereotype.Repository;
@Repository
public class OAuthDao {
@Autowired
private JdbcTemplate jdbcTemplate;
public UserEntity getUserDetails(String username) {
Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>();
String userSQLQuery = "SELECT * FROM USERS WHERE USERNAME=?";
List<UserEntity> list = jdbcTemplate.query(userSQLQuery, new String[] { username },
(ResultSet rs, int rowNum) -> {
UserEntity user = new UserEntity();
user.setUsername(username);
user.setPassword(rs.getString("PASSWORD"));
return user;
});
if (list.size() > 0) {
GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_SYSTEMADMIN");
grantedAuthoritiesList.add(grantedAuthority);
list.get(0).setGrantedAuthoritiesList(grantedAuthoritiesList);
return list.get(0);
}
return null;
}
}
आप एक कस्टम उपयोगकर्ता विवरण सेवा वर्ग बना सकते हैं, जो DAO रिपॉजिटरी वर्ग को दिखाने के लिए org.springframework.security.core.userdetails.UserDetailsService का विस्तार करता है।
package com.tutorialspoint.websecurityapp;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class CustomDetailsService implements UserDetailsService {
@Autowired
OAuthDao oauthDao;
@Override
public CustomUser loadUserByUsername(final String username) throws UsernameNotFoundException {
UserEntity userEntity = null;
try {
userEntity = oauthDao.getUserDetails(username);
CustomUser customUser = new CustomUser(userEntity);
return customUser;
} catch (Exception e) {
e.printStackTrace();
throw new UsernameNotFoundException("User " + username + " was not found in the database");
}
}
}
इसके बाद, पासवर्ड एन्कोडर (BCryptPasswordEncoder) को परिभाषित करने और AuthenticationManager बीन को परिभाषित करने के लिए, वेब सुरक्षा को सक्षम करने के लिए एक @configuration क्लास बनाएं। सुरक्षा कॉन्फ़िगरेशन वर्ग को WebSecurityConfigurerAdapter वर्ग का विस्तार करना चाहिए।
package com.tutorialspoint.websecurityapp;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Autowired
private CustomDetailsService customDetailsService;
@Bean
public PasswordEncoder encoder() {
return new BCryptPasswordEncoder();
}
@Override
@Autowired
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(customDetailsService).passwordEncoder(encoder());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated().and().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.NEVER);
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring();
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
}
अब, क्लाइंट आईडी, क्लाइंट सीक्रेट को जोड़ने के लिए OAuth2 कॉन्फ़िगरेशन क्लास को परिभाषित करें, टोकन कुंजीक और सत्यापनकर्ता कुंजी के लिए JwtAccessTokenConverter, निजी कुंजी और सार्वजनिक कुंजी को परिभाषित करें, और टोकन के साथ टोकन वैधता के लिए ClientDetServiceConfigurer कॉन्फ़िगर करें।
package com.tutorialspoint.websecurityapp;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
@Configuration
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {
private String clientid = "tutorialspoint";
private String clientSecret = "my-secret-key";
private String privateKey = "private key";
private String publicKey = "public key";
@Autowired
@Qualifier("authenticationManagerBean")
private AuthenticationManager authenticationManager;
@Bean
public JwtAccessTokenConverter tokenEnhancer() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey(privateKey);
converter.setVerifierKey(publicKey);
return converter;
}
@Bean
public JwtTokenStore tokenStore() {
return new JwtTokenStore(tokenEnhancer());
}
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager).tokenStore(tokenStore())
.accessTokenConverter(tokenEnhancer());
}
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
security.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()");
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory().withClient(clientid).secret(clientSecret).scopes("read", "write")
.authorizedGrantTypes("password", "refresh_token").accessTokenValiditySeconds(20000)
.refreshTokenValiditySeconds(20000);
}
}
अब, Opensl का उपयोग करके एक निजी कुंजी और सार्वजनिक कुंजी बनाएं।
आप निजी कुंजी बनाने के लिए निम्न आदेशों का उपयोग कर सकते हैं।
openssl genrsa -out jwt.pem 2048
openssl rsa -in jwt.pem
आप उपयोग कर सकते हैं सार्वजनिक कुंजी पीढ़ी के लिए नीचे दिए गए आदेशों का उपयोग करें।
openssl rsa -in jwt.pem -pubout
1.5 रिलीज से अधिक बाद वाले स्प्रिंग बूट के संस्करण के लिए, OAuth2 रिसोर्स फ़िल्टर ऑर्डर को परिभाषित करने के लिए अपने एप्लिकेशन में नीचे की संपत्ति जोड़ें।
security.oauth2.resource.filter-order=3
YAML फ़ाइल उपयोगकर्ता YAML फ़ाइल में नीचे की संपत्ति जोड़ सकते हैं।
security:
oauth2:
resource:
filter-order: 3
अब, classpath संसाधनों के तहत schema.sql और data.sql फ़ाइल बनाएँ src/main/resources/directory H2 डेटाबेस के लिए आवेदन कनेक्ट करने के लिए।
स्कीमा। एसक्यूएल फ़ाइल निम्नानुसार है -
CREATE TABLE USERS (ID INT PRIMARY KEY, USERNAME VARCHAR(45), PASSWORD VARCHAR(60));
Data.sql फ़ाइल निम्नानुसार है -
INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES (
1, '[email protected]','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG');
INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES (
2, '[email protected]','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG');
Note - पासवर्ड को डेटाबेस तालिका में Bcrypt एनकोडर के प्रारूप में संग्रहीत किया जाना चाहिए।
आप एक निष्पादन योग्य JAR फ़ाइल बना सकते हैं, और निम्न Maven या Gradle कमांड का उपयोग करके स्प्रिंग बूट एप्लिकेशन चला सकते हैं।
मावेन के लिए, आप नीचे दिए गए कमांड का उपयोग कर सकते हैं -
mvn clean install
"बिल्ड सफलता" के बाद, आप लक्ष्य निर्देशिका के तहत जार फ़ाइल पा सकते हैं।
ग्रेडल के लिए, आप कमांड को दिखाए अनुसार उपयोग कर सकते हैं -
gradle clean build
“BUILD SUCCESSFUL” के बाद, आप JAR फाइल को बिल्ड / लिबास डायरेक्टरी के तहत पा सकते हैं।
अब, यहाँ दिखाए गए कमांड का उपयोग करके JAR फ़ाइल चलाएँ -
java –jar <JARFILE>
आवेदन Tomcat पोर्ट 8080 पर शुरू किया गया है।
अब OAUTH2 टोकन प्राप्त करने के लिए POSTMAN के माध्यम से POST विधि URL को हिट करें।
http://localhost:8080/oauth/token
अब, अनुरोध हेडर को इस प्रकार जोड़ें -
Authorization - अपने क्लाइंट आईडी और ग्राहक रहस्य के साथ मूल प्रामाणिक।
Content Type - आवेदन / x-www-form-urlencoded
अब, अनुरोध पैरामीटर्स को इस प्रकार जोड़ें -
- अनुदान_प्रकार = पासवर्ड
- उपयोगकर्ता नाम = आपका उपयोगकर्ता नाम
- पासवर्ड = आपका पासवर्ड
अब, एपीआई को हिट करें और दिखाए गए अनुसार access_token प्राप्त करें -
अब, रिक्वेस्ट हेडर में बियरर एक्सेस टोकन के साथ रिसोर्स सर्वर एपीआई को दिखाए गए अनुसार हिट करें।
फिर आप नीचे दिखाए अनुसार आउटपुट देख सकते हैं -