OAuth2及sa-token框架实践

已于 2022-08-08 09:19:21 修改
阅读量6k 收藏 15
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java oauth2 sa-token
于 2022-08-07 18:31:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SakuraInLuoJia/article/details/126215156

1、OAuth2解决什么问题

1.1 bilibili故事

https://www.bilibili.com/

以上,打开尚未登录的哔哩哔哩,选择登录,会看到其他登录方式有微信、微博以及QQ。
登录页

举例微博来说,这里,就是bilibili想要使用作为用户的“你”在微博的账号信息,简单地,你可以把微博的账户名、密码告诉B站,B站登录微博,就可以获取到它想要的信息。

但是这种方式存在一些问题:

  • 信任问题;通过账户名+密码,B站可以拿到你微博账号的所有权限,万一给你发了条不可描述的微博咋办
  • 取消授权;如果想要不让B站继续访问你的微博账号信息,唯一可以做的就是修改密码了

OAuth2就是解决以上的问题,它能保证B站能够得到“账号信息”的权限,而又不能发微博,在你想要取消授权的时候又不用大动干戈修改密码。

1.2 下个定义

OAuth(Open Authorization,开放授权)是一种发布和与受保护数据交互的简单方式。它是互联网中基于令牌的身份验证和授权的开放标准,它允许第三方服务(例如bilibili)使用用户的账户信息,而不用暴露用户密码。OAuth规范描述了用于获取访问令牌的5种授权方式:

  • 授权码授权
  • 隐式授权
  • 资源所有者凭据授权;用户的用户名+密码,就是一种资源所有者凭据
  • 客户端凭据授权
  • 刷新令牌授权

简单来说,OAuth规范中,首先需要获取访问令牌,后续对用户资源的访问,都是需要将访问令牌带上的。

2、授权码授权模式

OAuth2.0规范提供的5中获取访问令牌的方式中,授权码授权是最为安全、且广泛使用的。在正式介绍授权码授权之前,首先声明几个概念,如上Bilibili的故事中:

  • Resource Owner 资源所有者;“你”,想要登录bilibili的你,拥有微博账号信息所有权的你
  • Client Application 客户端应用;bilibili,它想要使用resource owner的某些资源
  • Resource Server 资源服务器;微博,承载resource owner资源的网络服务器
  • Authorization Server 授权服务器;微博,负责验证用户身份,然后向客户端应用颁发访问令牌的网络服务器

2.1 bilibili故事续

回到bilibili的登录故事,选择“微博登录”,这时我们可以看到以下页面

登录授权

扫码登录微博,同意授权

同意授权

同意授权后自动跳转

跳转页

因为尚未登录微博,所以需要先登录微博,整个流程是

  • 微博进行用户身份验证,确认资源所有者的身份
  • 微博进行授权,让资源所有者选择授予的权限,这里的权限有个人信息、分享、联系邮箱
  • 通过微博授权服务器的重定向,bilibili得到了授权码
  • bilibili通过授权码请求微博,得到访问令牌(acess token),这一步是在后台进行的,前端页面不可见

这是一个标准的OAuth2.0 授权码授权流程:

授权流程

有必要对Client Application做一下单独说明;授权之前,client application需要到resource server关联的 authorization server注册一次,authorization server会为client application分配一个client id以及client secret(密码)。

2.2 授权码授权流程

通过授权码方式获取访问令牌,总体来说分为两步,一是获取授权码,而是授权码换取访问令牌。结合bilibili请求微博授权的实例说明。更多详细参考规范 https://www.tech-invite.com/y65/tinv-ietf-rfc-6749-2.html#e-4-1

2.2.1 授权请求

对应以上流程第2步。授权请求是客户端应用发送给授权服务器,获取授权码的过程。

// bilibili发给微博的授权请求是这样的
https://api.weibo.com/oauth2/authorize?
client_id=2841902482&
redirect_uri=https%3A%2F%2Fpassport.bilibili.com%2Flogin%2Fsnsback%3Fsns%3Dweibo%26state%3Ddaee0470162b11edbd071613e9886b23%26source%3Dnew_main_mini&
scope=email###

// OAuth2 rfc 规范中的授权请求
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

这些参数的意义是,

可以看到微博的授权方式,与标准的OAuth2.0有一定有差异,但是大体上流程是按照流程来的。

2.2.2 授权响应(重定向)

对应以上流程第5步。怎么就直接从第2步到了第5步,步骤3、4呢?其实3、4步骤产生的结果是资源拥有者同意授权,这个过程不涉及客户端应用,完全是授权服务器内部的逻辑,所以在OAuth2.0规范中不涉及。

在bilibili的故事中,如果用户事先登录了微博,那么bilibili请求授权的时候就不会触发扫码登录,而是直接展示bilibili要求授权的页面,让用户同意;同样,身份认证方式也可以不是扫码,而是用户名密码登录。总之,这都是授权服务器的内部事宜,产出结果是资源拥有者同意/不同意授权。

规范中,如果资源拥有者同意了授权,授权服务器的响应是

HTTP/1.1 302 Found
     Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
               &state=xyz

注意到这是一个重定向的响应(http status 302)。user-agent(通常是浏览器)获得该响应后,会重定向访问地址,规范中在重定向地址中附加了参数 code,这就是授权码,后续客户端应用可以通过code换取访问令牌。

规范中,若资源拥有者不同意授权,会进行一些说明,如下

HTTP/1.1 302 Found
   Location: https://client.example.com/cb?error=access_denied&state=xyz

具体参考rfc规范,实现上也不是必须的。

微博的授权响应是,可以看到与规范差异比较大,关注snsAcessToken,嗯?好像是用隐式授权,访问令牌直接暴露了,不怀好意的第三方可以通过这个访问令牌,访问用户在微博的一些资源了,哔哩哔哩的故事到此结束。

https://passport.bilibili.com/register/snsback.html?
sns=weibo&
snsUid=7780546299&
snsAccessToken=2.00PW4YUIoe11GD940dc91c8apEMysD&
snsAccessExpires=2644318&
csrf=21e50500160811eda02a22f04cb09b9e&
source=new_main_mini&
gourl=https%3A%2F%2Fwww.bilibili.com%2F#/
2.2.3 访问令牌请求

客户端应用使用授权码,请求授权服务器获取访问令牌。

POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
     &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

可以看到,最重要的参数就是授权码code。成功的响应试是这样的:

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

其中refresh token可以用于在acess token过期后,直接向授权服务器获取新的访问令牌,而不用资源拥有者参与。

3、sa-token实践OAuth2.0授权码

sa-token是一个国产的轻量级Java权限认证框架,官方文档地址是: https://sa-token.dev33.cn/doc/index.html#/

根据官网的指引,搭建一个OAuth2.0授权服务及其简单,直接参考官方指引即可: https://sa-token.dev33.cn/doc/index.html#/oauth2/oauth2-server

最后可以下载官方的完整示例

image.png

但是目前的版本(v1.30.0)中并没有直接介绍资源服务器侧的相关信息,即资源服务器如何根据访问令牌来做对应的访问权限控制

权限控制这一块sa-token已经提供了基础的信息以及API:

  • acess-token对应的scope,即权限,可以用一些逗号分隔的字符串来抽象表示一些权限,比如示例中的userinfo,可以抽象为用户信息访问权限
  • 权限验证的API, 如 cn.dev33.satoken.oauth2.logic.SaOAuth2Util#checkScope(accessToken, scpes),接受acess-token和需要校验的权限列表,检查acess-token是否具备这些权限
  • 构建url<->scope权限模型,访问哪个url,必须具备什么scope;可以通过servlet filter技术校验这个模型。

3.1 实践资源服务器

访问受保护资源时,规定通过请求头X-ACCESS-TOKEN传递授权获得访问令牌,通过以上分析,定义一个Filter,在filter中校验请求携带的访问令牌,是否具备要求的scope权限。

部分代码如下:

private void accessTokenPermissionVerify(SaRequest request) {
    if (SaRouter.isMatchCurrURI("/info/**")) {
        // 获取请求头中的 access-token
        String accessToken = request.getHeader(AC_TOKEN_HEADER);
        if (StringUtils.isEmpty(accessToken)) {
            throw new NotPermissionException("未通过授权");
        }
        // 验证 access-token 是否有效
        AccessTokenModel acTokenEntity = SaOAuth2Util.getAccessToken(accessToken);
        if (null == acTokenEntity) {
            throw new NotPermissionException("未通过授权");
        }
        SaOAuth2Util.checkScope(accessToken, "userinfo");
    }
}

这里构建的权限模型是,访问url/info/**代表的资源,需要访问令牌,且具备scopeuserinfo权限。可以看到这里将url抽象为资源,匹配scope,并不能做到数据级别的权限控制,如用户A不能访问用户B的userinfo数据。数据权限是更加复杂的课题,已经不在OAuth2的范围内了。

资源服务器的搭建完整示例: https://gitee.com/Z-A/sa-token-all

重点关注类com.example.authserver.config.SaTokenConfigurefilter对于权限模型的定义以及校验方法。

效果展示

胡乱填写的acess-token or 无权限的acess-token

GET http://localhost:8001/info/student?id=1
Accept: */*
X-ACCESS-TOKEN: ABG2ImmKfCKQXiIYlgtY9rotc2WDLojvfhzVY860aQsJk77j9GM9BKl6CtJm

###响应
{
  "code": 500,
  "msg": "无此权限:未通过授权",
  "data": null
}

有效&有权限的acess-token

GET http://localhost:8001/info/student?id=1
Accept: */*
X-ACCESS-TOKEN: ABG2ImmKfCKQXiIYlgtY9rotc2WDLojvfhzVY860aQsJk77j9GM9BKl6CtJm

###响应
{
  "id": "1",
  "name": "张三",
  "gender": "man",
  "age": 18,
  "mail": "zhangsan@qq.com"
}
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Sa-Token框架工具类(StpUtil、SaSession、SaRouter、SaTokenConfig等)全解析
最新发布
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-18 248
本文深入解析了Sa-Token框架的StpUtil工具类功能,主要包含三方面:1)登录认证系列方法(login/isLogin/logout等),详解基础登录、状态检查和注销流程;2)权限验证功能(角色/权限检查),介绍API和注解两种使用方式;3)会话管理机制,包括获取会话信息和多端登录控制。文章通过代码示例展示了各类方法的实际应用,并分析了底层实现原理,为开发者提供了Sa-Token在用户认证和权限控制方面的完整解决方案。
Sa-Token 实现分布式登录鉴权(轻量级,超简单)
Java笔记虾
02-19 6621
点击关注公众号,利用碎片时间学习1. Sa-Token 介绍Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。功能结构图2. 登录认证对于一些登录之后才能访问的接口(例如:查询我的账号资料),我们通常的做法是增加一层接口校验:如果校验通过,则:正常返回数据。如果校验未通过...
微服务通信安全:OAuth2 从入门到实践
like21a的博客
06-06 1067
🔥「炎码工坊」技术弹药已装填!点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】在云原生架构中,微服务之间的通信安全至关重要。OAuth2 作为主流的授权协议,广泛应用于保护分布式系统中的资源访问。本文将从基础概念到实践细节,为初学者解析 OAuth2 在微服务通信中的应用。
sa-token整合oauth2
u014308676的博客
04-24 1669
需要注意的是,Spring Security 5 提供了对 OAuth 2.0 的原生支持,如果你使用的是 Spring Boot,那么整合 Spring Security 和 OAuth 2.0 可能是更直接的选择。:你需要实现 OAuth 2.0 的登录流程,包括重定向用户到授权服务器、处理授权服务器的回调等。具体的实现细节会根据你的项目需求、使用的技术栈和 OAuth 2.0 服务器的具体实现而有所不同。:对你的整合进行彻底的测试,确保 OAuth 2.0 登录流程正常工作,并且。
从内到外,彻底搞懂sa-tokenOauth2.0的防线
todoitbo的博客
12-22 3277
本文将带你深入了解sa-tokenOauth2.0两大安全框架。通过对这两者的对比与结合应用场景,我们将揭示它们的强大功能,帮助你构建更安全、可靠的应用。无论你是初次接触还是已经使用过其中一个,都能在本文中找到实用的安全建议和最佳实践
Sa-Token整合OAuth2实现单点登录
weixin_47303191的博客
06-21 4588
今天春天太苦了!!先后经历了失恋,然后住院,春招也就找了半个月,幸亏秋招的时候有公司捞我了,不然今年要失业了!!! 话不多说,步入正题,单点登录这个问题我很久之前有研究过,但是使用SpringSecurity写的,只感觉很离谱,要的配置实在是太多了,这个月公司提前配置,要整这个东西,我用SpringSecurity这个Oauth2实现单点登录又做了一次,但这次死活不行,前后弄了一个多星期,真离谱!! 后来发现了Sa-token的这款工具,发现挺好用的,查了查,好像说比Shiro和SpringSecurity
Sa-Token】Demo OAuth2 授权码模式(静默授权)调用流程分析
MichelleChung的星球
05-17 6071
基于 Sa-Token Demo 的 OAuth2 授权码模式调用流程源码分析。
Sa-Token-OAuth2.0
kelvin的博客
01-17 1324
OAuth2.0的应用场景可以理解为单点登录的升级版,单点登录解决了多个系统间会话的共享,OAuth2.0 在此基础上增加了应用之间的权限控制。oauth2-client 第三方公司端。oauth2-server 平台端。
Spring Boot 整合 SA-Token 使用详解
m0_74825093的博客
12-31 1366
SA-Token是一个基于TokenJava权限认证框架,主要解决:登录认证、权限认证、Session会话、踢出登录、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。SA-Token以“简单、易用、安全”为设计目标,致力于打造一个轻量级的权限认证框架SA-Token允许你通过实现接口来自定义Token的生成、解析和验证逻辑。这对于有特殊Token格式或加密需求的应用非常有用。@Component// 实现自定义的Token处理逻辑// 在配置类中指定自定义的Token处理器。
Springboot 权限认证框架 -- SA-Token 简介(一)
dazhong2012的专栏
06-18 1711
SA-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0等功能。你可以使用SA-Token来轻松地实现项目的权限控制,并且几乎零学习成本。SA-Token以简单、易用、安全为主要设计目标,提供了丰富的API和灵活的扩展机制,可以满足大多数项目的需求。Gitee开源地址:GitHub开源地址:SA-Token提供了一系列的API方法,使得在Java项目中实现权限认证变得简单和直观。登录与登出。
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2 这可能是史上功能最全的Java权限认证框架! 在线资料 Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,单点登录,OAuth2.0等长度权限相关问题 框架针对踢人下线,自动续签,前后台分离,分散会话……等常见业务进行N多适应,通过sa-token,你可以以一种极简的方式实现系统的权限认证部分 与其他权限认证框架索引, sa-token具有以下优点: 简单:可零配置启动框架,真正的开箱即用,规定上手 强大:目前已集成数十项权限相关特性,涵盖了大部分业务场景的解决方案 易用:如丝般顺滑的API调用,大量高级特性统统立即一行代码即可实现 高扩展:几乎所有组件都提供了扩展接口,90%以上的逻辑都可以按需重写 有了sa-token,你所有的权限认证问题,都不再是问题! Sa-Token能做什么?
sa-token 使用oauth2 搭建认证中心
weixin_42575505的博客
02-15 1573
Sa-Token 是一个基于 Spring Boot 的轻量级权限认证框架,可以用于快速实现认证与权限控制功能。Sa-Token 内置了 OAuth2 认证中心,可以帮助开发者快速搭建一个完整的 OAuth2 认证中心。 使用 Sa-Token 搭建 OAuth2 认证中心,可以通过简单的配置来实现 OAuth2 的授权码模式、密码模式、客户端模式等多种认证方式。开发者只需要在配置文件中设置好客户...
Sa-Token OAuth2 单点登陆实战(适用于spring boot + spring cloud)及常见问题解答
Treasure的博客
10-27 1万+
看本文前,请熟悉OAuth2的的基本概念及原理。本文主要讲解授权码模式的实战。同时请仔细阅读官方文档。OAuth2.0简述 - Sa-Token (dev33.cn)Sa-Token OAuth2 可以帮你把oauth2的事情都搞定,你只需要实现自己的用户认证(doLogin方法)即可!
Sa-token基本使用教程(全网最详细!!!)
可乐要加冰!!!
04-11 1万+
Sa-Token登录认证权限认证Session会话单点登录OAuth2.0微服务网关鉴权等一系列权限相关问题。功能简单示例Sa-Token 的 API 设计非常简单,有多简单呢?以登录认证// 在登录时写入当前会话的账号id// 然后在需要校验登录处调用以下方法:// 如果当前会话未登录,这句代码会抛出 `NotLoginException` 异常权限认证示例(只有具备user:add权限的会话才可以进入请求)// ...return "用户增加";将某个账号踢下线。
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 18万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
springcloud集成Oauth2权限项目-token存入redis(九)
穷水叮咚的博客
09-03 3514
目的:将token存入redis是为了将token失效,防止以前的token还可以继续使用 oauth pom加入redis 包 <!--redis--> <dependency> <groupId>org.springframework.boot</groupId> &lt...
前后端分离架构下使用 Sa-Token 完成登录认证
shengzhang_的博客
06-05 2213
此时后端如果不做任何特殊处理,框架将会把Bearer视为token的一部分,无法正常读取token信息,导致鉴权失败。sa-token : # token前缀 token-prefix : Bearer此时 Sa-Token 便可在读取 Token 时裁剪掉Bearer,成功获取。Token前缀 与 Token值 之间必须有一个空格。一旦配置了 Token前缀,则前端提交Token时,必须带有前缀,否则会导致框架无法读取 Token。由于Cookie。
SpringBoot集成权限认证框架(Sa-Token)
孙霸天的专栏
03-28 6574
SpringBoot集成权限认证框架(Sa-Token) 介绍 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活中,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身份。 在互联网中身份验证极为重要,不论是web端还是移动端、小程序等,在与后台交互的过程中都是需要携带身份信息的,只有通过身份认证后,后台才会执行相关请求。 常见的认证模式 Cookie模式 所谓 Cookie ,本质上是
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值