स्प्रिंग बूट - OAuth2 और JWT

सलाम, दोस्तों! कल पाठ्यक्रम "डेवलपर ऑन स्प्रिंग फ्रेमवर्क" के नए धागे में पहली कक्षाएं शुरू करेगा। इस संबंध में, हम पारंपरिक रूप से विषय पर उपयोगी सामग्री साझा करते हैं।



इस लेख में, हम वसंत बूट और वसंत सुरक्षा के साथ संयोजन में OAuth2 और JWT के उपयोग का पता लगाएंगे।

प्राधिकरण सर्वर

वेब API सुरक्षा आर्किटेक्चर में एक प्राधिकरण सर्वर सबसे महत्वपूर्ण घटक है। प्राधिकरण सर्वर एक एकल प्राधिकरण बिंदु के रूप में कार्य करता है और आपके एप्लिकेशन और HTTP समापन बिंदु को आपके एप्लिकेशन के कार्यों को परिभाषित करने की अनुमति देता है।

संसाधन सर्वर

प्राधिकरण सर्वर क्लाइंट सर्वर के HTTP एंडपॉइंट तक पहुंचने के लिए एक एक्सेस टोकन प्रदान करता है। एक संसाधन सर्वर पुस्तकालयों का एक संग्रह है जिसमें HTTP समापन बिंदु, स्थिर संसाधन और गतिशील वेब पेज शामिल हैं।

OAuth2

OAuth2 एक प्राधिकरण प्रोटोकॉल है जो क्लाइंट (तृतीय पक्ष) को आपके एप्लिकेशन के संसाधनों तक पहुंचने की अनुमति देता है। OAuth2 एप्लिकेशन का निर्माण करने के लिए, हमें अनुदान प्रकार (प्राधिकरण कोड), क्लाइंट आईडी और क्लाइंट रहस्य जानना होगा।

JWT टोकन

एक JWT टोकन एक JSON वेब टोकन है। इसका उपयोग दो पक्षों के बीच सुरक्षित पहचान सूचना (दावों) का प्रतिनिधित्व करने के लिए किया जाता है। आप JWT tokens के बारे में और जानकारी www.jwt.io पर प्राप्त कर सकते हैं।

हम JWT टोकन का उपयोग करके एक OAuth2 एप्लिकेशन बनाने जा रहे हैं, जिसमें एक प्राधिकरण सर्वर और एक संसाधन सर्वर शामिल होगा।

सबसे पहले, हमें अपनी बिल्ड फ़ाइल पर निर्भरता को जोड़ना होगा।

Maven उपयोगकर्ता pom.xml में निम्न निर्भरताएँ जोड़ सकते हैं।

 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> 

अनुवादक का नोट - 9 वर्ष से अधिक पुराने जावा के लिए, आपको निम्नलिखित निर्भरताएं भी जोड़नी होंगी:

 <dependency> <groupId>javax.xml.bind</groupId> <artifactId>jaxb-api</artifactId> <version>2.3.0</version> </dependency> <dependency> <groupId>com.sun.xml.bind</groupId> <artifactId>jaxb-impl</artifactId> <version>2.2.11</version> </dependency> <dependency> <groupId>com.sun.xml.bind</groupId> <artifactId>jaxb-core</artifactId> <version>2.2.11</version> </dependency> 

ग्रेडल उपयोगकर्ता निम्न निर्भरताएँ build.gradle फ़ाइल में जोड़ सकते हैं।

 compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-boot-starter-web') testCompile('org.springframework.boot:spring-boot-starter-test') testCompile('org.springframework.security:spring-security-test') compile("org.springframework.security.oauth:spring-security-oauth2") compile('org.springframework.security:spring-security-jwt') compile("org.springframework.boot:spring-boot-starter-jdbc") compile("com.h2database:h2:1.4.191") 

जहां,

• स्प्रिंग बूट स्टार्टर सुरक्षा - स्प्रिंग सुरक्षा लागू करता है
• स्प्रिंग सुरक्षा OAuth2 - प्राधिकरण सर्वर और संसाधन सर्वर के संचालन के लिए OAUTH2 संरचनाओं को लागू करता है।
• स्प्रिंग सिक्योरिटी JWT - JWT टोकन जनरेट करता है
• स्प्रिंग बूट स्टार्टर JDBC - उपयोगकर्ता सत्यापन के लिए डेटाबेस एक्सेस।
• स्प्रिंग बूट स्टार्टर वेब - HTTP समापन बिंदु प्रदान करता है।
• H2 डेटाबेस - प्रमाणीकरण और प्राधिकरण के लिए उपयोगकर्ता जानकारी संग्रहीत करता है।

पूर्ण pom.xml फ़ाइल pom.xml नीचे दिखाया गया है।

 <?xml version = "1.0" encoding = "UTF-8"?> <project xmlns = "http://maven.apache.org/POM/4.0.0" xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation = "http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.tutorialspoint</groupId> <artifactId>websecurityapp</artifactId> <version>0.0.1-SNAPSHOT</version> <packaging>jar</packaging> <name>websecurityapp</name> <description>Demo project for Spring Boot</description> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.9.RELEASE</version> <relativePath /> <!-- lookup parent from repository --> </parent> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding> <java.version>1.8</java.version> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project> 

Gradle — build.gradle

 buildscript { ext { springBootVersion = '1.5.9.RELEASE' } repositories { mavenCentral() } dependencies { classpath("org.springframework.boot:spring-boot-gradle-plugin:${springBootVersion}") } } apply plugin: 'java' apply plugin: 'eclipse' apply plugin: 'org.springframework.boot' group = 'com.tutorialspoint' version = '0.0.1-SNAPSHOT' sourceCompatibility = 1.8 repositories { mavenCentral() } dependencies { compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-boot-starter-web') testCompile('org.springframework.boot:spring-boot-starter-test') testCompile('org.springframework.security:spring-security-test') compile("org.springframework.security.oauth:spring-security-oauth2") compile('org.springframework.security:spring-security-jwt') compile("org.springframework.boot:spring-boot-starter-jdbc") compile("com.h2database:h2:1.4.191") } 

अब, मुख्य स्प्रिंग बूट एप्लिकेशन फ़ाइल में @EnableAuthorizationServer और @EnableResourceServer एनोटेशन जोड़ें, ताकि एप्लिकेशन प्राधिकरण सर्वर और संसाधन सर्वर दोनों के रूप में काम करे।

JWT टोकन का उपयोग करके स्प्रिंग सिक्योरिटी-संरक्षित एपीआई तक पहुंचने के लिए एक साधारण HTTP एंडपॉइंट (/ उत्पाद) भी जोड़ें।

 package com.tutorialspoint.websecurityapp; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @SpringBootApplication @EnableAuthorizationServer @EnableResourceServer @RestController public class WebsecurityappApplication { public static void main(String[] args) { SpringApplication.run(WebsecurityappApplication.class, args); } @RequestMapping(value = "/products") public String getProductName() { return "Honey"; } } 

उपयोगकर्ता प्रमाणीकरण जानकारी संग्रहीत करने के लिए POJO वर्ग को परिभाषित करें।

 package com.tutorialspoint.websecurityapp; import java.util.ArrayList; import java.util.Collection; import org.springframework.security.core.GrantedAuthority; public class UserEntity { private String username; private String password; private Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>(); public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public Collection<GrantedAuthority> getGrantedAuthoritiesList() { return grantedAuthoritiesList; } public void setGrantedAuthoritiesList(Collection<GrantedAuthority> grantedAuthoritiesList) { this.grantedAuthoritiesList = grantedAuthoritiesList; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } } 

इसके बाद, प्रमाणीकरण के लिए, CustomUser वर्ग जोड़ें, जो org.springframework.security.core.userdetails.User का विस्तार करता है।

 package com.tutorialspoint.websecurityapp; import org.springframework.security.core.userdetails.User; public class CustomUser extends User { private static final long serialVersionUID = 1L; public CustomUser(UserEntity user) { super(user.getUsername(), user.getPassword(), user.getGrantedAuthoritiesList()); } } 

डेटाबेस से उपयोगकर्ता की जानकारी प्राप्त करने और ROLE_SYSTEMADMIN विशेषाधिकारों को जोड़ने के लिए एक @Repository- बनाएँ। इस कक्षा का उपयोग CustomDetailsService में भी किया जाएगा।

 package com.tutorialspoint.websecurityapp; import java.sql.ResultSet; import java.util.ArrayList; import java.util.Collection; import java.util.List; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.jdbc.core.JdbcTemplate; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.stereotype.Repository; @Repository public class OAuthDao { @Autowired private JdbcTemplate jdbcTemplate; public UserEntity getUserDetails(String username) { Collection<GrantedAuthority> grantedAuthoritiesList = new ArrayList<>(); String userSQLQuery = "SELECT * FROM USERS WHERE USERNAME=?"; List<UserEntity> list = jdbcTemplate.query(userSQLQuery, new String[] { username }, (ResultSet rs, int rowNum) -> { UserEntity user = new UserEntity(); user.setUsername(username); user.setPassword(rs.getString("PASSWORD")); return user; }); if (list.size() > 0) { GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_SYSTEMADMIN"); grantedAuthoritiesList.add(grantedAuthority); list.get(0).setGrantedAuthoritiesList(grantedAuthoritiesList); return list.get(0); } return null; } } 

DAO रिपॉजिटरी को कॉल करने के लिए, आप अपना UserDetailsService बना सकते हैं, जो UserDetailsService से विरासत में मिली है, जैसा कि नीचे दिखाया गया है।

 package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; @Service public class CustomDetailsService implements UserDetailsService { @Autowired OAuthDao oauthDao; @Override public CustomUser loadUserByUsername(final String username) throws UsernameNotFoundException { UserEntity userEntity = null; try { userEntity = oauthDao.getUserDetails(username); CustomUser customUser = new CustomUser(userEntity); return customUser; } catch (Exception e) { e.printStackTrace(); throw new UsernameNotFoundException("User " + username + " was not found in the database"); } } } 

इसके बाद, Web Security को सक्षम करने के लिए @onfiguration- बनाएं। पासवर्ड एन्क्रिप्शन पैरामीटर ( BCryptPasswordEncoder ) और इसमें मौजूद AuthenticationManager BCryptPasswordEncoder परिभाषित करें।
इस SecurityConfiguration वर्ग को WebSecurityConfigurerAdapter वर्ग से इनहेरिट करना होगा।

 package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Autowired private CustomDetailsService customDetailsService; @Bean public PasswordEncoder encoder() { return new BCryptPasswordEncoder(); } @Override @Autowired protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customDetailsService).passwordEncoder(encoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.NEVER); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } 

अब OAuth2 को कॉन्फ़िगर करने के लिए एक वर्ग जोड़ें। इसमें, टोकन के हस्ताक्षर और सत्यापन के लिए क्लाइंट आईडी, क्लाइंट सीक्रेट, JwtAccessTokenConverter, निजी और सार्वजनिक कुंजियों को परिभाषित करें और मान्य टोकन स्कोप के लिए ClientDetailsServiceConfigurer कॉन्फ़िगर करें।

 package com.tutorialspoint.websecurityapp; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Qualifier; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer; import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer; import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer; import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter; import org.springframework.security.oauth2.provider.token.store.JwtTokenStore; @Configuration public class OAuth2Config extends AuthorizationServerConfigurerAdapter { private String clientid = "tutorialspoint"; private String clientSecret = "my-secret-key"; private String privateKey = "private key"; private String publicKey = "public key"; @Autowired @Qualifier("authenticationManagerBean") private AuthenticationManager authenticationManager; @Bean public JwtAccessTokenConverter tokenEnhancer() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey(privateKey); converter.setVerifierKey(publicKey); return converter; } @Bean public JwtTokenStore tokenStore() { return new JwtTokenStore(tokenEnhancer()); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager).tokenStore(tokenStore()) .accessTokenConverter(tokenEnhancer()); } @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security.tokenKeyAccess("permitAll()").checkTokenAccess("isAuthenticated()"); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory().withClient(clientid).secret(clientSecret).scopes("read", "write") .authorizedGrantTypes("password", "refresh_token").accessTokenValiditySeconds(20000) .refreshTokenValiditySeconds(20000); } } 

अब निजी और सार्वजनिक कुंजी का निर्माण करता है।
एक निजी कुंजी उत्पन्न करने के लिए, आप निम्नलिखित कमांड का उपयोग कर सकते हैं -

 openssl genrsa -out jwt.pem 2048 openssl rsa -in jwt.pem 

सार्वजनिक कुंजी के लिए -

 openssl rsa -in jwt.pem -pubout 

संस्करण 1.5 से पुराने स्प्रिंग बूट के लिए, निम्न संपत्ति को application.properties फ़ाइल में जोड़ें (OAuth2 संसाधनों के फ़िल्टरिंग क्रम को निर्धारित करने के लिए)।

 security.oauth2.resource.filter-order=3 

यदि आप एक YAML फ़ाइल का उपयोग कर रहे हैं, तो निम्न जोड़ें।

 security: oauth2: resource: filter-order: 3 

अब एप्लिकेशन को H2 डेटाबेस से कनेक्ट करने के लिए src/main/resources/directory data.sql में classpath में schema.sql और data.sql बनाएं।

schema.sql । schema.sql फ़ाइल इस तरह दिखाई देती है:

 CREATE TABLE USERS (ID INT PRIMARY KEY, USERNAME VARCHAR(45), PASSWORD VARCHAR(60));  data.sql: INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES ( 1, 'tutorialspoint@gmail.com','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG'); INSERT INTO USERS (ID, USERNAME,PASSWORD) VALUES ( 2, 'myemail@gmail.com','$2a$08$fL7u5xcvsZl78su29x1ti.dxI.9rYO8t0q5wk2ROJ.1cdR53bmaVG'); 

नोट - डेटाबेस तालिका में पासवर्ड Bcrypt एनकोडर प्रारूप में संग्रहीत किया जाना चाहिए।
आप एक निष्पादन योग्य JAR फ़ाइल बना सकते हैं और निम्न Maven या Gradle कमांड का उपयोग करके स्प्रिंग बूट एप्लिकेशन चला सकते हैं।

मावेन के लिए, आप नीचे दिए गए कमांड का उपयोग कर सकते हैं -

 mvn clean install 

"निर्माण सफलता" के बाद आप target निर्देशिका में जार फाइलें पा सकते हैं।

ग्रेडल के लिए, आप कमांड का उपयोग कर सकते हैं -

 gradle clean build 

“BUILD SUCCESSFUL” के बाद आप JAR फाइलों को build/libs डायरेक्टरी में पा सकते हैं।
अब कमांड के साथ JAR फ़ाइल चलाएँ -

java –jar < JARFILE >

पोर्ट 8080 पर टॉमकैट में लॉन्च किया गया एप्लिकेशन।



अब OAUTH2 टोकन प्राप्त करने के लिए POSTMAN के माध्यम से एक POST अनुरोध भेजें।

http://localhost:8080/oauth/token
अब अनुरोध हेडर जोड़ें -

• प्राधिकरण - आपके क्लाइंट आईडी और क्लाइंट रहस्य के साथ बुनियादी।
• सामग्री-प्रकार - आवेदन / x-www-form-urlencoded

और अनुरोध पैरामीटर -

• अनुदान_प्रकार = पासवर्ड
• उपयोगकर्ता नाम = आपका नाम
• पासवर्ड = आपका पासवर्ड

अब चलाएं और दिखाए गए अनुसार access_token प्राप्त करें।



अब हेडर में बियरर टोकन के साथ रिसोर्स सर्वर एपीआई के लिए अनुरोध करें।



हमें नीचे दिखाए अनुसार परिणाम मिलता है।



हम आपकी टिप्पणियों की प्रतीक्षा कर रहे हैं, और हम आपको यह भी सूचित करते हैं कि 31 मई तक आप एक विशेष मूल्य पर पाठ्यक्रम में शामिल हो सकते हैं।