`
阅读更多

      最近在了解第三方登录的内容,尝试对接了一下QQ登录,此次记录一下如何实现QQ登录的过程,在这个例子中是和spring secuirty整合的,不整合spring secuirty也是一样的。

 

需求: 整合QQ登录

步骤

     1、在QQ互联上注册开发者身份

     2、开发者身份审核通过后,创建一个自己的应用,此时需要记录如下三个信息

          |- APP ID

          |- APP Key

          |- 回调地址: 这个地址是你自己网站的回调地址,即QQ登录成功后,QQ会重定向到这个地址上

                                假设回调地址是 http://www.abc.com /login/qq

          注意:1、 如果是在本机测试需要修改host文件 增加一行  127.0.0.1 www.abc.com

                     2、记住上方的 /login/qq 在下方和spring security整合时需要用到

     3、需要查看 QQ互联-> 网站应用->网站开发流程  不然看不懂下方 QQLoginFilter 中的各个url是什么意思

     4、QQ登录流程(oauth2的授权码流程)

          |- 将用户引导向QQ的认证服务器

          |- 认证成功后QQ会重定向到 第二步 填写的回调地址,并会带上一个 code 参数,即授权码

          |- 然后再通过 code 去换去访问令牌 即 access_token

          |- 在通过访问令牌去获取用户的信息

     5、和spring security整合

          5.1 创建 QQLoginFilter 继承spring security 的 AbstractAuthenticationProcessingFilter,拦截地址为 /login/qq ,需要和上方的回调地址的后半部分一致

           判断是否存在 code 参数

                 不存在

                        说明用户是刚点击页面上的QQ登录按钮进来的,此时需要将用户引导向QQ的认证url,当用户认证成功后,在回调地址后会带上code参数,此时又会进入此过滤器中

                  存在

                          说明用户同意了授权,即用户使用QQ登录了,那么此时就可以进行下一步操作,获取access_token,即令牌。然后再获取用户的openId的值,因为在获取用户的QQ基本信息时需要用到用户的openId.有了这些参数,然后就可以交给spring security的认证管理器去认证

          5.2 编写认证提供者,在这个里面去获取QQ的用户信息,并返回spring security 的认证对象

 

代码实现:

 

一、编写 QQUserInfo 实体类,这个类表示的是当前QQ用户的基本信息

package com.huan.springsecurity.social.qq;

import com.google.gson.annotations.SerializedName;

import lombok.Data;

/**
 * QQ的用户信息
 * 
 * @描述
 * @作者 huan
 * @时间 2018年3月3日 - 下午5:54:30
 */
@Data
public class QQUserInfo {
	private int ret;
	private String msg;
	private int isLost;
	private String nickname;
	private String gender;
	private String province;
	private String city;
	private String year;
	private String figureurl;
	private String figureurl_1;
	private String figureurl_2;
	private String figureurl_qq_1;
	private String figureurl_qq_2;
	@SerializedName(value = "is_yellow_vip")
	private String isYellowVip;
	private String vip;
	@SerializedName(value = "yellow_vip_level")
	private String yellowVipLevel;
	private String level;
	@SerializedName(value = "is_yellow_year_vip")
	private String isYellowYearVip;
}

 

二、编写 QQLoginToken

package com.huan.springsecurity.social.qq;

import java.util.Collection;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

/**
 * QQ登录的令牌,由spring security的 QQLoginProvider来处理这种令牌的信息
 * 
 * @描述
 * @作者 huan
 * @时间 2018年3月3日 - 下午5:55:05
 */
public class QQLoginToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = 3363567749045247416L;
	private final Object principal;
	private Object credentials;
	private String accessToken;
	private String clientId;

	public QQLoginToken(Object principal, String accessToken, String clientId) {
		super(null);
		this.principal = principal;
		this.accessToken = accessToken;
		this.clientId = clientId;
		this.credentials = null;
		setAuthenticated(false);
	}

	public QQLoginToken(Object principal, String accessToken, String clientId, Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.accessToken = accessToken;
		this.clientId = clientId;
		this.credentials = null;
		super.setAuthenticated(true);
	}

	@Override
	public Object getCredentials() {
		return this.credentials;
	}

	@Override
	public Object getPrincipal() {
		return this.principal;
	}

	public String getAccessToken() {
		return accessToken;
	}

	public String getClientId() {
		return clientId;
	}

	@Override
	public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
		if (isAuthenticated) {
			throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
		}

		super.setAuthenticated(false);
	}

	@Override
	public void eraseCredentials() {
		super.eraseCredentials();
		credentials = null;
	}
}

 

三、创建 QQLoginFilter 用来拦截 /login/qq 完成oauth2授权码流程的基本步骤

package com.huan.springsecurity.social.qq;

import java.io.IOException;
import java.util.Arrays;
import java.util.UUID;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.web.client.RestTemplate;

import lombok.extern.slf4j.Slf4j;

/**
 * 拦截 /login/qq请求,用于引导用户到QQ的认证服务器,获取授权码(code),获取访问令牌(access_token)
 * 
 * @描述
 * @作者 huan
 * @时间 2018年3月3日 - 下午5:57:32
 */
@Slf4j
public class QQLoginFilter extends AbstractAuthenticationProcessingFilter {

	/**
	 * client_id 即在QQ互联上创建应用的APP ID
	 */
	private static final String CLIENT_ID = "自己应用的APP ID的值";

	/**
	 * client_secret 即在QQ互联上创建应用的APP Key
	 */
	private static final String CLIENT_SECRET = "自己应用的APP Key的值";

	/**
	 * redirect_uri 即在QQ互联上创建应用的回调地址
	 */
	private static final String REDIRECT_URI = "自己应用的回调地址,假设是http://www.abc.com/login/qq";

	private static final String CODE = "code";

	/**
	 * 需要获取那些接口的访问权限
	 */
	private static final String SCOPE = "get_user_info";

	/**
	 * 获取授权码url
	 */
	private static final String GET_AUTHORIZATION_CODE = "https://graph.qq.com/oauth2.0/authorize?response_type=%s&client_id=%s&redirect_uri=%s&state=%s&scope=%s";

	/**
	 * 获取access_token
	 */
	public static final String GET_ACCESS_TOKEN = "https://graph.qq.com/oauth2.0/token?grant_type=authorization_code&client_id=%s&client_secret=%s&code=%s&redirect_uri=%s";

	/**
	 * 获取openId
	 */
	public static final String GET_OPEN_ID = "https://graph.qq.com/oauth2.0/me?access_token=%s";
	/**
	 * 用于发送请求
	 */
	private final RestTemplate restTemplate;

	protected QQLoginFilter(String defaultFilterProcessesUrl, RestTemplate restTemplate) {
		super(new AntPathRequestMatcher(defaultFilterProcessesUrl, "GET"));
		this.restTemplate = restTemplate;
	}

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
		String code = obtainCode(request);
		if (StringUtils.isBlank(code)) {
			log.info("没有获取到code的值,引导用户到QQ授权页面");
			response.sendRedirect(String.format(GET_AUTHORIZATION_CODE, CODE, CLIENT_ID, REDIRECT_URI, UUID.randomUUID().toString(), SCOPE));
			return null;
		}
		log.info("当前是从QQ授权登录返回,获取到code的值为:{}", code);
		log.info("根据code:{}的值取换取access_token的值", code);
		String result = restTemplate.getForObject(String.format(GET_ACCESS_TOKEN, CLIENT_ID, CLIENT_SECRET, code, REDIRECT_URI), String.class);
		log.info("根据code:{}获取access_token的返回值是:{}", code, result);
		if (result.contains("error")) {
			throw new InternalAuthenticationServiceException("QQ登录失败");
		}
		String accessToken = Arrays.stream(result.split("&")).filter(s -> s.split("=")[0].equals("access_token")).map(s -> s.split("=")[1]).reduce("", String::concat);
		log.info("获取到的accessToken:{}", accessToken);
		log.info("根据accessToken去获取用户的openId的值。");
		result = restTemplate.getForObject(String.format(GET_OPEN_ID, accessToken), String.class);
		log.info("根据accessToken:{}换取openId的结果为:{}", accessToken, result);
		String openId = StringUtils.substringBetween(result, "\"openid\":\"", "\"}");
		log.info("根据accessToken:{}换取的openId的值为:{}", accessToken, openId);

		QQLoginToken qqLoginToken = new QQLoginToken(openId, accessToken, CLIENT_ID);
		qqLoginToken.setDetails(authenticationDetailsSource.buildDetails(request));

		return super.getAuthenticationManager().authenticate(qqLoginToken);
	}

	protected String obtainCode(HttpServletRequest request) {
		return request.getParameter(CODE);
	}

}

 

四、编写QQ认证提供者,用来获取QQ用户的信息

package com.huan.springsecurity.social.qq;

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.web.client.RestTemplate;

import com.google.gson.Gson;
import com.huan.springsecurity.security.User;

import lombok.extern.slf4j.Slf4j;

/**
 * 根据用户的openId去获取在系统中的实际用户信息
 * 
 * @描述
 * @作者 huan
 * @时间 2018年3月3日 - 下午6:04:21
 */
@Slf4j
public class QQLoginProvider implements AuthenticationProvider {

	/**
	 * 获取QQ的用户信息
	 */
	private static final String GET_USER_INFO = "https://graph.qq.com/user/get_user_info?access_token=%s&oauth_consumer_key=%s&openid=%s";

	private RestTemplate restTemplate;

	public QQLoginProvider(RestTemplate restTemplate) {
		this.restTemplate = restTemplate;
	}

	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		QQLoginToken qqLoginToken = (QQLoginToken) authentication;
		String openId = (String) qqLoginToken.getPrincipal();
		String accessToken = qqLoginToken.getAccessToken();
		String oauthConsumerKey = qqLoginToken.getClientId();
		String userInfo = restTemplate.getForObject(String.format(GET_USER_INFO, accessToken, oauthConsumerKey, openId), String.class);
		log.info("获取到的qq登录信息为:{}", userInfo);
		Gson gson = new Gson();
		QQUserInfo qqUserInfo = gson.fromJson(userInfo, QQUserInfo.class);
		if (qqUserInfo.getRet() < 0) {
			throw new InternalAuthenticationServiceException(qqUserInfo.getMsg());
		}
		User securityUser = new User(qqUserInfo.getNickname(), AuthorityUtils.createAuthorityList("ROLE_USER"));
		QQLoginToken token = new QQLoginToken(securityUser, qqLoginToken.getAccessToken(), qqLoginToken.getClientId(), securityUser.getAuthorities());
		return token;
	}

	@Override
	public boolean supports(Class<?> authentication) {
		return QQLoginToken.class.isAssignableFrom(authentication);
	}
}

 

五、编写QQ登录的配置

package com.huan.springsecurity.social.qq;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.SecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.DefaultSecurityFilterChain;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.preauth.AbstractPreAuthenticatedProcessingFilter;
import org.springframework.web.client.RestTemplate;

/**
 * QQ登录的配置
 * 
 * @描述
 * @作者 huan
 * @时间 2018年3月3日 - 下午6:05:01
 */
public class QQLoginConfigure extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

	@Autowired
	private RestTemplate restTemplate;

	@Autowired
	private AuthenticationSuccessHandler authenticationSuccessHandler;

	@Override
	public void configure(HttpSecurity http) throws Exception {

		QQLoginFilter qqLoginFilter = new QQLoginFilter("/login/qq", restTemplate);
		qqLoginFilter.setAuthenticationSuccessHandler(authenticationSuccessHandler);
		qqLoginFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
		http.authenticationProvider(new QQLoginProvider(restTemplate)).addFilterBefore(qqLoginFilter, AbstractPreAuthenticatedProcessingFilter.class);
	}
}

 

 六、将 QQLoginConfiger 加入到spring security的主配置中
    
 

七、登录页面: 看QQ登录的这个链接

<form action="auth" method="post">
		用户名:<input type="text" name="user_name" value="admin"/><br />
		密码:<input type="password" name="pass_word" value="admin"/><br/>
		记住我:<input type="checkbox" name="remember-me" value="true"><br/>
		<a href="login/qq">QQ登录</a>
		<input type="submit" value="登录">
	</form>

   注意:此时QQ的登录请求为  /login/qq 此时就会被 spring security 的 QQLoginFilter拦截到


八、登录结果

 注意:

   1、代码地址 : https://github.com/flyingDream/springsecurity

   2、完成代码中的 QQLoginFilter中 的 CLIENT_ID,CLIENT_SECRET,REDIRECT_URI就可以实现QQ登录了,参数是什么意思,代码中有注释。

 

                

 

  • 大小: 71.3 KB
  • 大小: 134.4 KB
分享到:
评论

相关推荐

    springboot springsecurity动态权限控制

    在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...

    SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证

    6. **security-jpa**:此文件名可能是某个模块或者配置文件,可能包含了与SpringSecurity和JPA整合的具体实现,比如用户Repository、安全配置类等。在项目中,它可能负责定义如何使用JPA来操作用户角色和权限数据,...

    spring boot +spring Security+ jwt+oauth2.rar

    Spring Boot、Spring Security、JWT 和 OAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...

    spring_security.zip

    1. **整合**:Spring Security 可以与OAuth2 结合,提供全面的认证和授权服务。例如,可以使用OAuth2 实现第三方登录,Spring Security 处理内部认证和授权。 2. **授权服务器**:Spring Security 提供OAuth2 提供者...

    Flex整合Hibernate,spring和spring security

    Flex整合Hibernate,spring和spring security 只有源代码,lib包太大了,没法上传! 我也只是初学,搞了十来天,有些也不是很懂! 有问题的话加我QQ:352457219

    TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架

    这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :

    Spring Boot + Security

    Spring Boot和Spring Security是Java开发领域中两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则提供了全面的安全管理解决...

    springBoot整合nacos、sentinel、SpringSecurity、RabbitMQ、redis、nginx

    这里我们详细探讨如何将`SpringBoot`与`Nacos`、`Sentinel`、`SpringSecurity`、`RabbitMQ`、`Redis`以及`Nginx`进行集成。 首先,`Nacos`作为服务发现和配置中心,它提供了动态配置、服务注册与发现、远程调用等...

    Java,Springboot,QQ扫码登录,主要是用于开发网页版页面qq扫码登录

    综上所述,实现Spring Boot项目中的QQ扫码登录涉及OAuth2.0授权、QQ互联API调用、Spring Security整合等多个技术点。虽然这个过程可能较为复杂,但一旦完成,就能显著提升应用的用户体验。在实际开发中,还应注意...

    springboot整合springcloud

    在实际开发中,可能还需要考虑其他因素,如安全(Spring Security)、监控(Actuator)、日志等,但以上内容已经涵盖了核心知识点。通过这样的整合,我们可以构建出一套具有高可用性、可扩展性和弹性的微服务系统。

    Spring Boot整合Mybatis入门Demo

    同时,Spring Boot还提供了许多其他特性,如安全控制(Spring Security)、邮件服务、任务调度等,可以进一步增强你的应用程序。在实际开发中,你还可以利用Spring Boot的自动化配置和丰富的生态来提高开发效率。

    java web 实现QQ第三方登录Demo

    如果Demo使用了Spring Security或Apache Shiro这样的安全框架,那么你可能会看到它们如何与QQ登录集成,设置过滤器链来处理授权过程。 8. **Session管理**: 登录成功后,通常会将用户信息存储在服务器的Session...

    SSM三大框架整合详细总结(Spring+SpringMVC+MyBatis).pdf

    ### SSM三大框架整合详细总结(Spring+...例如,可以通过引入Spring Security进行安全控制,或者利用Spring Boot快速搭建微服务架构等。总之,掌握SSM框架的整合和使用方法对于提升开发效率和项目质量具有重要意义。

    基于spring+spring mvc+hibernate的智能农业信息管理系统

    通过整合Spring、Spring MVC和Hibernate,系统能够实现高效的数据管理、灵活的业务流程和强大的安全防护,为智能农业信息管理提供有力的技术支撑。在实际应用中,开发者可以根据农业场景的具体需求,对系统进行定制...

    spring-mvc-qq-weibo:spring-mvn 第三方登录整合

    这篇教程“spring-mvc-qq-weibo:spring-mvn 第三方登录整合”显然关注的是如何在Spring MVC项目中整合QQ和微博的登录服务。下面将详细介绍这个过程涉及的关键知识点: 1. **Spring MVC**:Spring MVC是Spring框架的...

    使用springMVC+spring+mybaits 整合源码(mybatis 自动生成)

    此外,还可以结合其他技术如Redis缓存、Spring Security进行安全控制,或者使用Spring Boot简化项目启动和部署流程。 总的来说,这个压缩包提供的源码示例对于初学者理解SSM整合和MyBatis的自动化配置有着很好的...

    SSM整合(Spring+Struts+MyBatis)

    在实际开发中,我们还需要关注SSM整合的优化,例如,使用Spring AOP实现全局异常处理,利用Spring Security或Shiro进行权限控制,通过缓存技术(如Redis)提高系统性能,以及采用Maven Profile管理不同环境的配置等...

    基于Spring-plus spring springMVC的maven项目整合

    Spring Security或Apache Shiro可以用来实现用户认证和授权,确保只有授权的用户才能访问和修改成绩信息。 8. **异常处理和日志记录**:在项目中,使用AOP可以统一处理异常,提供友好的错误信息。同时,通过集成Log...

    qq第三方登录web版demo很简单

    - 在Java Web项目中,你可以使用Spring Security或自定义过滤器处理OAuth流程。 - 配置拦截器,检测用户是否已经登录,如果未登录,重定向到QQ授权页面。 - 实现回调逻辑,处理授权码并获取Access Token,然后...

    Spring 4.21 全部jar

    6. **Spring Security**:Spring的安全模块提供了一整套安全解决方案,包括认证、授权等。4.21版本可能强化了对OAuth2、JWT等现代安全协议的支持。 7. **WebSocket支持**:Spring 4.21可能加强了WebSocket的支持,...

Global site tag (gtag.js) - Google Analytics