SpringSecurity(14)——OAuth2简化模式

最新推荐文章于 2024-09-30 09:27:29 发布
最新推荐文章于 2024-09-30 09:27:29 发布
阅读量542 收藏 7
点赞数 8
分类专栏: SpringSecurity 文章标签: java spring oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng_gx/article/details/135875573
版权

工作流程

在这里插入图片描述

基本使用

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.3.12.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.3.12.RELEASE</version>
</dependency>

@Configuration
public class MyOAuth2Config {

    /**
    * 加密方式
    */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}
  1. 创建安全配置类:指定认证用户的用户名和密码,用户和密码是资源的所有者,
  2. 创建认证服务器:这个客户端id和密码跟上面的用户名和密码是不一样的,客户端id和密码是应用系统的标识,每个应用系统对应一个客户端id和密码
/**
 * 安全配置类
 */
@EnableWebSecurity
public class OAuth2SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 用户类信息
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder.encode("123456"))
                .authorities("admin_roles");
    }
}

/**
 * 认证服务器
 */
@Configuration
@EnableAuthorizationServer //开启认证服务器
public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 配置被允许访问此认证服务器的客户端详细信息
     * 1.内存管理
     * 2.数据库管理方式
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                //客户端名称
                .withClient("test-pc")
                //客户端密码
                .secret(passwordEncoder.encode("123456"))
                //资源id,商品资源
                .resourceIds("oauth2-server")
                /**
                 * 授权类型,可同时支持多种授权类型
                 * authorization_code:授权码模式
                 * password:密码模式
                 * implicit:简化模式
                 * client_credentials:客户端模式
                 * refresh_token:更新令牌
                 */
                .authorizedGrantTypes("implicit","refresh_token")
                //授权范围标识,哪部分资源可访问(all是标识,不是代表所有)
                //比如指定微服务名称,则只可以访问指定的微服务
                .scopes("all")
                //false跳转到授权页面手动点击授权,true不用手动授权,直接响应授权码
                .autoApprove(false)
                //客户端回调地址,一定要和申请授权码时用的redirect_uri一致
                //当获取授权码后,认证服务器会重定向到指定的这个URL,并且带着一个授权码code响应
                .redirectUris("http://www.baidu.com/");
    }
}

获取Access Token

接口获取

Authorization Request

  • response_type:必须的。值必须是"token"。
  • client_id:必须的。
  • redirect_uri:可选的。
  • scope:可选的。

例如:

  1. http://localhost:8080/oauth/authorize?response_type=token&client_id=banana&redirect_uri=http://baidu.com
  2. http://localhost:8080/oauth/authorize?response_type=token&client_id=client1

浏览器获取

  1. 输入访问地址:http://localhost:8080/oauth/authorize?client_id=test-pc&response_type=token
  2. 当请求到达认证服务器的AuthorizationEndpoint后,它会要求资源所有者做身份验证.

image.png

  1. 点击登录后,会跳转到指定的redirect_uri,回调路径会携带者令牌access_token、expires_in、scope等

image.png

OAuth2.0系列之简化模式实践教程(三)
Nicky's blog
06-11 3806
OAuth2.0系列之简化模式实践教程(三)1、授权码模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试 OAuth2.0系列博客: OAuth2.0系列之基本概念和运作流程(一) OAuth2.0系列之授权码模式实践教程(二) OAuth2.0系列之简化模式实践教程(三) OAuth2.0系列之集成JWT实现单点登录 1、授权码模式简介 1.1 前言简介 在上一篇文章中我
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3557
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
OAuth2简化模式
coffeesunshine的博客
05-24 910
版本:springboot2.2.6.RELEASE 参考文章:OAuth2 授权码模式 做如下修改: 1、auth-server(授权服务器) 修改configure(ClientDetailsServiceConfigurer) 方法部分:只需要在 authorizedGrantTypes 中增加 implicit 表示支持简化模式即可。 AuthorizationServer: package cn.linst.authserver.config; import org.springframewor
OAuth2.0系列四:OAuth2.0简化模式
青藤光年的博客
09-11 2107
简化模式 有些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏)来申请授权,颁发令牌。 浏览器向授权服务器申请授权,并设置response_type=token,表示直接返回令牌 授权服务器通过校验后跳转到重定向地址并返回token 浏览器通过token去申请资源 这种方把令牌直接传给前端是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通...
OAuth2.0 - 简化模式、密码模式、客户端模式讲解
小毕超博客
01-16 1万+
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权码模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权码模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
Spring Security Oauth2 oauth2 4种模式
kwame211的博客
07-22 1846
oauth2根据使用场景不同,分成了4种模式 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) 授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型: authorization code(授权码模式) implicit(简化模式) resource owner pa
Spring security】oauth2.0介绍
u014416842的博客
05-05 2045
OAuth2.0介绍 OAuth 2.0是用于授权的行业标准协议,允许用户让第三方应用访问该用户在某一网站受保护的资源(比如user API),而无需将用户名和密码提供给第三方应用。OAuth 2.0专注于简化客户端开发,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。 角色划分 resource owner:资源所有者,能够授予第三方应用访问特定保护资源的权限。 当资源所有者是个人时,它是被称为最终用户。 resource server: 资源服务器,受保护的资源一般通过..
基于SpringCloud2.1+spring-security-oauth2+nacos+feign的微服务开发脚手架.zip
02-02
这是一个基于SpringCloud 2.1版本的微服务开发框架,结合了spring-security-oauth2用于权限管理和认证,Nacos作为服务注册与配置中心,以及Feign进行服务间的调用。让我们详细了解一下这些技术栈的核心概念和作用。 ...
spring-security-oauth2官网的实例sparklr2与tonr2,可运行的Java Eclipse项目文件
10-11
- **Spring Boot集成**:这两个项目使用了Spring Boot,它简化了应用的启动和配置,同时也展示了如何与Spring Security OAuth2集成。 通过研究Sparklr2和Tonr2的实现,开发者可以更好地理解OAuth2的工作原理,以及...
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 3768
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方、基于token方等。
Spring-Security-OAuth2:Spring Security OAuth2 四中基本模式+JWT
05-11
Spring-Security-OAuth2 Spring Security OAuth2 四中基本模式 authcode-server 授权码模式 client-server 客户端模式 implicit-server 简化模式 password-server 密码模式 oauth-jwt JWT模式 Spring Security OAuth2 四中基本原理 Spring Security OAuth2 四中授权类型选择
Spring security oauth2-客户端模式简化模式,密码模式(Finchley版本)
AaronSimon的博客
11-22 8034
一、客户端模式原理解析(来自理解OAuth 2.0) 客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向&quot;服务提供商&quot;进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求&quot;服务提供商&quot;提供服务,其实不存在授权问题。 具体步骤: (A) 客户端向认证服务器进行身份认证...
小白也能看懂的OAuth2讲解
wendao76的专栏
09-30 5392
OAuth 2是一个重要的授权框架,它通过颁发令牌的方实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0四种模式的详解
weixin_47713590的博客
09-25 1807
授权码模式:最安全,适合 Web 应用程序,涉及用户授权和服务器端代码交换。简化模式:适用于前端应用,访问令牌直接暴露在 URL 中,适合不需要高安全性的应用。密码模式:用于高信任度的环境,用户直接向客户端提供凭证,安全性较低。客户端模式:用于应用之间的通信,没有用户参与,适合后台服务的交互。不同的授权模式根据应用场景、客户端类型和安全要求的不同有着各自的适用范围,选择合适的模式可以提高系统的安全性和易用性。
SpringSecurityOauth2(四种模式
justlpf的专栏
04-14 2331
说明:客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。说明:客户端直接向用户获取账号密码(不安全),之后向授权服务器获取token。说明:正宗的oauth模式,先获取授权码,在通过授权码获取token。.0是目前流行的授权机制,用于授权第三方应用,获取数据。说明 :和授权模式相比取消了授权过程,直接获取token。​​后,授权中心会要求资源所有者进行身份验证。​​,回调路径会,回调路径携带着令牌。当请求到达授权中心​​。
oauth2-简化模式案例
weixin_41359273的博客
04-16 1312
oauth2-简化模式案例1.项目结构图2.搭建授权服务器(auth-server)3.搭建资源服务器(user-server)4.搭建第三方应用服务器(client-app)5.测试 1.项目结构图 2.搭建授权服务器(auth-server) 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.
OAuth 2.0 授权认证详解
热门推荐
顺其自然~专栏
06-26 2万+
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 4041
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
springsecurity整合oauth2密码模式
最新发布
02-19
### 实现Spring Security OAuth2密码授权模式整合 为了在Spring Security中实现OAuth2密码授权模式的整合,需遵循一系列配置和编码实践。具体来说,在应用程序中引入必要的依赖项之后,还需设置认证服务器以及客户端的相关属性。 #### 添加Maven依赖 首先,在`pom.xml`文件中加入支持OAuth2自动配置的支持: ```xml <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.3.RELEASE</version> </dependency> ``` 此操作确保了应用能够利用Spring Boot Starter简化OAuth2组件的初始化过程[^3]。 #### 配置认证服务器 创建一个类来定义认证服务器的行为,并通过注解指定其作为资源服务端的角色。对于密码授权模式而言,重要的是要允许特定类型的令牌授予请求——即password类型。这通常涉及到重写默认的安全配置并注册自定义化的TokenEndpointAuthenticationFilter过滤器以处理来自用户的凭证提交。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("my-trusted-client") .authorizedGrantTypes("password", "authorization_code", "refresh_token") .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT") .scopes("read", "write", "trust") .resourceIds("oauth2-resource") .secret("{noop}secret"); } @Bean @Primary public DefaultTokenServices tokenServices() { final DefaultTokenServices defaultTokenServices = new DefaultTokenServices(); defaultTokenServices.setSupportRefreshToken(true); return defaultTokenServices; } } ``` 上述代码片段展示了如何声明内存中的客户端详情服务实例及其权限范围;同时也启用了刷新令牌的功能以便于长期访问控制[^1]。 #### 客户端发起token请求 当一切准备就绪后,客户端可以通过POST方法向`/auth/oauth/token`发送HTTP请求获取access token。此时应携带基本身份验证头信息(Base64编码后的client_id:client_secret),并将用户名、密码以及其他必要参数放在查询字符串或表单数据内传递给服务器。 ```javascript return request({ url: '/auth/oauth/token', headers: { 'isToken': false, 'Authorization': 'Basic YWRtaW46YWRtaW4=' // Base64 encoded admin:admin }, method: 'post', params: { username: 'yourUsernameHere', password: 'yourPasswordHere', grant_type: 'password', scope: 'read write' } }); ``` 这段JavaScript AJAX调用模拟了一个典型的场景,其中包含了必需的身份验证头部字段与body内的参数列表[^4]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值