7 客户端认证方式 之 client_secret_jwt

已于 2022-09-29 11:22:32 修改
阅读量3.3k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Spring Authorization Server 文章标签: 客户端认证 客户端认证方式 SAS client_secret jwt
于 2022-09-28 23:42:07 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_31772441/article/details/127084134
本文详细介绍了OAuth2中client_secret_jwt的认证方式,包括原理、步骤和代码实现。首先,客户端使用HMAC算法和client_secret生成JWT,然后在授权请求中携带JWT。授权服务器通过相同算法和secret验证JWT,从而认证客户端。文中还展示了Postman测试和curl命令示例,完整呈现了整个认证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇文章来讲讲 client_secret_jwt 方式。

client_secret_jwt

client_secret_jwt方式就是利用 JWT 进行认证。请求方和授权服务器,两者都知道客户端的 client_secret,通过相同的 HMAC 算法(对称签名算法)去加签和验签 JWT ,可以达到客户端认证的目的。
请求方 通过 HMAC算法,以 client_secret 作为密钥,将客户端信息加签生成 JWT
授权服务器 使用相同的 HMAC算法和client_secret,对请求方的 JWT 进行验签以认证客户端。

了解 JWT 的签名算法

示例

请求方传参:

  • client_id
  • client_assertion_type:固定值 urn:ietf:params:oauth:client-assertion-type:jwt-bearer
  • client_assertion:client生成的jwt

环境准备

授权服务器

同样的,基于 快速搭建一个授权服务器 文章中的示例,修改 SecurityConfigurationregisteredClientRepository() 方法,如下:

    @Bean
    public RegisteredClientRepository registeredClientRepository() {
        RegisteredClient registeredClient3 = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("client3")
                // jwt方式验证,密码作为签名算法的密钥,不能配前缀!
                .clientSecret("01234567890123456789012345678912")
                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_JWT)
                .clientSettings(ClientSettings.builder()
                        // JWT 方式必须配置,确定jwt的签名算法(CLIENT_SECRET_JWT 方式使用 MacAlgorithm(对称加密算法),密钥为client_secret)
                        .tokenEndpointAuthenticationSigningAlgorithm(MacAlgorithm.HS256)
                        .build())
                .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
                .build();

        return new InMemoryRegisteredClientRepository(registeredClient3 );
    }

测试

  1. 生成 JWT
public class ClientJwtTest {
    public static void main(String[] args) throws JOSEException {
        String clientId = "client3";
        String clientSecret = "01234567890123456789012345678912";

        // 至少以下四项信息
        JWTClaimsSet claimsSet = new JWTClaimsSet.Builder()
                // 主体:固定clientId
                .subject(clientId)
                // 发行者:固定clientId
                .issuer(clientId)
                // 授权中心的地址
                .audience("http://localhost:9000")
                // 过期时间
                .expirationTime(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
                .build();

        String jwt = hmacSign(claimsSet, clientSecret);
        System.out.println(jwt);
        // eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbGllbnQxIiwic3ViIjoiY2xpZW50MSIsImF1ZCI6Imh0dHA6XC9cL2xvY2FsaG9zdDo5MDAwIiwiZXhwIjoxNjYxNjk5ODAzfQ.xpv_8w_R8LTZFID3uoQPn3CyQK_Bli3G-WTmrSrwayE
    }

    /**
     * 使用 HMAC 算法加签生成jwt
     */
    private static String hmacSign(JWTClaimsSet claimsSet, String secret) throws JOSEException {
        SecretKeySpec secretKeySpec = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
        JWSSigner signer = new MACSigner(secretKeySpec);

        SignedJWT signedJWT = new SignedJWT(new JWSHeader(JWSAlgorithm.HS256), claimsSet);
        signedJWT.sign(signer);
        String token = signedJWT.serialize();
        return token;
    }

}
  1. 使用Postman测试,在 Body栏,填入’client_idclient_assertion_typeclient_assertiongrant_type’,发送请求。
    在这里插入图片描述
    可以看到,使用此方式能成功获取到 access_token,说明授权服务器确实支持此认证方式。
  • 相应的curl命令如下:
curl --location --request POST 'localhost:9000/oauth2/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id=client3' \
--data-urlencode 'client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer' \
--data-urlencode 'client_assertion=eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbGllbnQzIiwic3ViIjoiY2xpZW50MyIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6OTAwMCIsImV4cCI6MTY3Mjk5OTgwM30.Cu0JobiFyhyn0mS4rc8pMogI5eOE8uM84v8w5011Gkg'

源码分析

JwtClientAssertionAuthenticationConverter

从请求中解析出 client_idclient_assertion_typeclient_assertion 参数。

JwtClientAssertionAuthenticationProvider

JwtClientAssertionAuthenticationProvider 的核心就是对JWT进行解析和验证。
核心流程如下:

  1. 使用请求携带的 clientId 查询客户端信息,若不存在则直接抛出异常。
  2. 创建解析 JWT 的核心类 JwtDecoder
  3. 解析 JWT,并验签
    在这里插入图片描述

解析:
我们在文章开头就说到 授权服务器 需要使用相同的 HMAC算法和client_secret,对请求方的 JWT 进行验签以认证客户端。事实也确实如此,一路跟踪创建 JwtDecoder 的代码就会发现,JwtDecoder 的创建过程就会用到客户端的配置(签名算法、密钥)
在这里插入图片描述
创建完 JwtDecoder 之后,就要执行解析和验签了:jwtDecoder.decode(clientAuthentication.getCredentials().toString());
从上面可以看出,jwtDecoder 的实际类型为 NimbusJwtDecoder,其解析JWT和验签逻辑如下:
在这里插入图片描述
到这,已经梳理完整个主干流程。另外像比如一些规范性的校验逻辑,读者就可以自行去扩展了解。

下集预告:客户端认证方式 之 private_key_jwt,敬请期待。

end

39-Spring Authorization Server实现client_secret_jwt客户端认证
码农小胖哥
04-10 2492
上一篇对Spring Authorization Server利用JWT认证OAuth2客户端的逻辑进行了分析,本篇我们将对private_key_jwt类型的认证方式进行实战练习。 private_key_jwt客户端认证 关于private_key_jwt客户端认证,在我相关的文章中已经多次提及和讲述,基于篇幅的原因这里不再赘述。 不过还要提一下,这种认证方式的作用就是让OAuth2客户端认证更加安全,它摒弃了传统的密码认证机制,充分利用了JWT可以携带元信息的能力。接下来我们来看看Spring Aut
Oauth2.0基于Spring Authorization Server模块client_secret_basic或者post
Lance
03-15 2872
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 基于项目:Spring Authorization Server 1. maven项目依赖 spring-authorization-server v0.2.2 2.application.yml配置 spring:
基于client_secret_jwt客户端身份验证方法
m13012606980的专栏
03-15 1304
基于client_secret_jwt客户端身份验证方法
SpringSecurity OAuth2 Server认证方式client_secret_jwt采用jwt签名加密的方式,更加安全!
07-10 1123
JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上该文章中的项目代码是基于的代码进行改进的。如果不了解,可以直接下载,或看之前的文章。
【SpringBoot】基于mybatisPlus的博客管理系统(2)
最新发布
深夜敲代码
04-30 1062
调用JwtUtils中我们写的方法进行校验不符合预期的话再拦截之前记得向response传入一些值哦@Slf4j@Component@Override//从header中获取token//利用token获取信息进行校验//token不符合预期。
Client ID 与Client Secret
ershuiyan的博客
06-05 6513
了解Client ID与Client Secret
Spring Oauth2-Authorization-Server client_secret_jwt
面朝大海,春暖花开
05-04 2372
Spring Oauth2-Authorization-Server client_secret_jwt过程 基于 spring-security-oauth2-authorization-server 0.2.3 客户端使用 client_id和client_secret 进行认证,且使用Jwt加密请求时,加密的方式 JwsAlgorithm有: MacAlgorithm SignatureAlgorithm JWT 签名算法 MacAlgorithm: MAC(Message Authentica
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2149
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
Oauth2.0基于Spring Authorization Server模块private_key_jwt模式
Lance
03-18 1241
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 private_key_jwt JwtClientAssertionAuthenticationConverter 基于项目:Sp
6 客户端认证方式client_secret_basic & client_secret_post
Markix的博客
09-28 6472
client_secret_basic 和 client_secret_post 认证方式都是将客户端client_id 和 client_secret 传递给授权服务器,授权服务器接收到请求,则根据不同的认证方式从请求中解析出来客户端信息,对 client_secret 进行验证。
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7501
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
Google授权登录获取客户端ID(client_id)和客户端密钥(client_secret)及配置
热门推荐
龚清林的博客
05-07 3万+
1、获取客户端ID(client_id)和客户端密钥(client_secret) 需要去这里https://console.developers.google.com/apis/credentials创建 应用凭据 2、创建好应用凭据之后,可以去https://console.developers.google.com/apis/library把对应的API服务启用(获取授权信息,如果只是获取默认授权信息就不需要操作),这里是Web端(对应的是社交>G+和Google People API) 3、
HttpClient认证(1)
我的梦想,我去追!
01-15 358
J2EE 站点认证简介 出于安全性的需要和用户授权管理的考虑,常见的 J2EE 站点对特定资源都会加入认证/授权机制。例如一个公网上的论坛,一个只对特定用户开放的 RSS 或 Atom Feed,这些资源都必须在确信访问者为被授权用户时才能向访问者开放。为了实现这样的功能,J2EE 站点通常会采用某种站点认证机制,其中常见的有 HTTP Basic 认证和 J2EE Form-Based 认证。...
openid 客户端认证方法(Client Authentication methods)简介
fggdgh的博客
06-06 1859
openid 客户端认证方法(Client Authentication methods)简介
HttpClient认证(2)
我的梦想,我去追!
01-15 299
Form-Based 认证方式在 J2EE 站点中更为常见。这一方面是由于它提供了自定义的用户名密码输入界面;另一方面它的传输也更为安全,通常情况下 login.jsp 会被配置为需要使用 SSL 信道访问,这样在步骤 2、3 中对用户名和密码的传送就被安全信道所保护,而较难被非法截取。 Apache HttpClient 认证功能简介 Apache HttpClient 是 Apache 开...
Client. Secret. 刷新。token
12-20 131
http://stackoverflow.com/questions/8947437/how-to-generate-oauth-client-identifier-and-client-secret http://developers.douban.com/wiki/?title=o...
python sdk开发,【老土云|开发日记】7-Python SDK使用自己的client_id和client_secret
weixin_42117267的博客
03-25 669
PythonSDK虽然问题很多,但还是要继续,今天继续照着帮助进行下一步,使用自己的client_id和client_secret唤醒小度。首先登录百度DuerOS开放平台后台,打开控制台创建一个产品。选择创建一个音箱选Linux系统起个名字,叫“个人助理”吧。点击创建后,就会自动跳转到这个“个人助理”的基础信息页上,记下client_id和client_secret对应的两个值。点击OAUTH...
spring security oauth2 client_id或client_secret错误信息自定义
dechengtju的博客
08-03 1万+
在我们开发系统时,返回给前端的信息均具有统一的格式,但在使用spring security oauth2时,遇到client_id或client_secret错误时,返回信息为如下格式: { "timestamp": "2020-08-03T20:41:54.776+0800", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/uaa/oauth/token"
加密与授权 Oauth2.0
ys.hubery
01-05 5901
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username=zhangsan&password=111111
04-23
<think>好的,我现在需要帮助用户解决关于OAuth密码授权流程生成token的问题。用户希望得到请求示例和相关配置的说明,具体涉及client_id、client_secret、grant_type、username和password的使用。首先,我应该回忆OAuth 2.0密码授权模式的基本流程,然后结合提供的引用内容来构建回答。 根据引用[1],Laravel中使用密码授权模式需要提交特定的参数,包括client_id、client_secret、grant_type等。用户提供的示例代码显示了一个POST请求到/oauth/token端点,参数以form_params形式传递。这可以作为请求示例的基础。 接下来,引用[2]和[3]提到了验证流程,包括通过client_id查询客户端信息,以及授权服务器如何验证这些参数。需要强调client_id和client_secret的作用,即客户端应用在授权服务器注册后获得的凭证,确保请求的合法性。 引用[4]和[5]讨论了不同客户端认证方法,比如client_secret_jwt,但用户的问题是关于密码授权模式,所以主要关注client_secret_basic或client_secret_post。在请求示例中,Authorization头使用Basic认证,这是将client_id和client_secret进行Base64编码后的结果,如引用[3]中的示例所示。 用户可能需要知道如何配置客户端和用户信息。根据引用[5],oauth_client_details表存储了客户端的详细信息,如client_id、client_secret、权限范围等。因此,配置步骤应包括在数据库中注册客户端,并确保用户存在且有效。 此外,需要解释每个参数的意义:grant_type必须设为password,client_id和client_secret客户端凭证,username和password是资源所有者的凭据。还要提到scope参数可选,用于限制令牌权限。 在生成请求示例时,应展示正确的HTTP方法和头部,如Content-Type和Authorization头。同时,需要指出可能的响应字段,如access_token、token_type、expires_in等,如引用[2]提到的响应流返回的内容。 安全注意事项也很重要,比如使用HTTPS、保护client_secret、避免明文存储密码等,这些在引用中虽然没有直接提到,但属于OAuth最佳实践,应该包含在回答中。 最后,根据用户要求生成相关问题,考虑常见的后续问题,如刷新令牌、客户端注册步骤、安全措施、不同授权模式比较等,这些能帮助用户进一步理解相关主题。 总结回答结构:先概述密码授权流程,给出配置步骤和请求示例,解释参数,最后注意事项和相关问题。</think>### OAuth密码授权流程生成Token的配置与请求示例 #### 一、核心流程说明 OAuth密码授权模式(Resource Owner Password Credentials Grant)允许客户端直接使用**用户名/密码**换取访问令牌,适用于受信任的客户端(如第一方应用)[^1][^3]。 #### 二、配置步骤 1. **注册客户端** 在授权服务器的`oauth_client_details`表中创建客户端记录,包含以下关键字段[^3][^5]: ```sql client_id: 'my-client-id' -- 客户端唯一标识 client_secret: 'my-client-secret' -- 客户端密钥 authorized_grant_types: 'password' -- 授权类型需包含password scope: 'read write' -- 权限范围 ``` 2. **用户账户验证** 确保用户凭据(username/password)在系统中有效,且客户端具备访问权限[^2][^5]。 --- #### 三、HTTP请求示例 ```http POST /oauth/token HTTP/1.1 Host: auth-server.com Authorization: Basic base64(client_id:client_secret) Content-Type: application/x-www-form-urlencoded grant_type=password&[email protected]&password=myPassword&scope=read ``` * **参数说明**: - `Authorization: Basic`头:将`client_id:client_secret`进行Base64编码(如`bXktY2xpZW50LWlkOm15LWNsaWVudC1zZWNyZXQ=`)[^3][^4] - `grant_type=password`:固定参数声明授权类型 - `username/password`:资源所有者的登录凭证[^2] - `scope`(可选):限制令牌权限范围[^5] * **成功响应**: ```json { "access_token": "eyJhbGciOi...", "token_type": "bearer", "expires_in": 3600, "refresh_token": "def50200...", "scope": "read" } ``` --- #### 四、安全注意事项 1. **仅限受信任客户端**:此模式需直接处理用户密码,需确保客户端代码安全[^1] 2. **强制HTTPS**:防止凭证在传输中被截获 3. **避免存储明文密码**:客户端不应保存用户密码[^2] 4. **定期轮换密钥**:更新`client_secret`降低泄露风险[^5] ---
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值