-

import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.
AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.
WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.
EnableResourceServer;
import org.springframework.security.web.authentication. www.BasicAuthenticationFilter ;
@Configuration
@EnableResourceServer
@EnableWebSecurity
public class ResourceServerSecurityConfig extends WebSecurityConfigurerAdapter {
   @Autowired
   ResourceServerProperties resourceServerProperties;
   @Bean
   @Override
   public AuthenticationManager authenticationManagerBean() throws Exception {
   return super.authenticationManagerBean();
   }
   @Override
   protected void configure(HttpSecurity http) throws Exception {
   http
   .authorizeRequests()
   .anyRequest().authenticated()
   .and()
   .addFilterBefore(new OAuth2AuthenticationFilter(), BasicAuthenticationFilter.class)
   .csrf().disable()
   .httpBasic().disable()
   .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
   }
   @Autowired
   public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

   auth.authenticationProvider(new OAuth2AuthenticationProvider(resourceServerProperties));
   }
}
As you can see in the preceding configuration file, we used a custom OAuth2AuthenticationFilter file to resolve the access token passed by the
client application. Let’s see the code of the custom filter:
package com.dineshonjava.prodos.security;
import java.io.IOException;
\import javax.servlet.FilterChain;
\import javax.servlet.ServletException;
\import javax.servlet.ServletRequest;
\import javax.servlet.ServletResponse;
\import javax.servlet.http.HttpServletRequest;
\import org.springframework.security.core.Authentication;
\import org.springframework.security.core.context.SecurityContextHolder;
\import org.springframework.util.StringUtils;
\import org.springframework.web.filter.GenericFilterBean;
public class OAuth2AuthenticationFilter extends GenericFilterBean {
   private static final String AUTHORIZATION = “Authorization”;
   private static final String PREFIX = “Bearer”;
   private static final String EMPTY = “”;
   @Override
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
   throws IOException, ServletException {
   String accessToken = ((HttpServletRequest) request).getHeader(AUTHORIZATION);
   if (accessToken != null && accessToken.startsWith(PREFIX)) {
   accessToken= accessToken.replace(PREFIX, EMPTY).trim();
   }
   if(!StringUtils.isEmpty(accessToken)) {
   Authentication auth = new OAuth2AuthenticationToken(accessToken);
   SecurityContextHolder.getContext().setAuthentication(auth);
   }
   filterChain.doFilter(request, response);
   }
}

The previous filter will be applied before calling the actual controller class, and this filter resolves the Authentication object from the access token
using the OAuth2AuthenticationToken class. We will also create a custom authentication provider to provide the authentication using the access
token, and this class will call the authorization server to validate the access token.
We will define the user info URI in the resource server application configuration file as shown in the following code:

Download 8,6 Mb.

Do'stlaringiz bilan baham: