10分钟搞定OAuth2,java开发工程师面试技巧

最新推荐文章于 2024-06-16 19:53:53 发布
最新推荐文章于 2024-06-16 19:53:53 发布
阅读量684 收藏 20
点赞数 15
分类专栏: 2024年程序员学习 文章标签: java 面试 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83740129/article/details/136925026
版权

然后将其进行base64加密,得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

signature

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)

  • payload (base64后的)

  • secret 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

// javascript

var encodedString = base64UrlEncode(header) + ‘.’ + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, ‘secret’); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

二、案例demo

JWT的概念讲完了,接下来就给大家详细的介绍一下代码的具体实现,客户端和服务器调用的流程,可以参照下面过程:

引入JWT和Spring Security依赖

org.springframework.boot

spring-boot-starter-security

io.jsonwebtoken

jjwt

0.9.1

添加Web配置文件,我们需要将除了登陆授权以外的接口,都进行过滤拦截,校验Token的合法性。

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

private UserDetailsService userDetailsService;

@Autowired

public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {

authenticationManagerBuilder

// 设置UserDetailsService

.userDetailsService(userDetailsService)

// 使用BCrypt进行密码的hash

.passwordEncoder(passwordEncoder());

}

// 装载BCrypt密码编码器

@Bean

public PasswordEncoder passwordEncoder() {

return new BCryptPasswordEncoder();

}

@Bean

public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {

return new JwtAuthenticationTokenFilter();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService);

}

@Bean

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Override

protected void configure(HttpSecurity httpSecurity) throws Exception {

httpSecurity

// 由于使用的是JWT,我们这里不需要csrf

.csrf().disable()

// 基于token,所以不需要session

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

.authorizeRequests()

.antMatchers(HttpMethod.OPTIONS, “/**”).permitAll()

// 允许对于网站静态资源的无授权访问

.antMatchers(

HttpMethod.GET,

“/”,

“/*.html”,

“/favicon.ico”,

“/**/*.html”,

“/**/*.css”,

“/**/*.js”

).permitAll()

// 授权接口放通token校验

.antMatchers(“/authority/**/authorization/”).permitAll()

// 除上面外的所有请求全部需要鉴权认证

.anyRequest().authenticated();

// 添加JWT filter

httpSecurity.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

// 禁用缓存

httpSecurity.headers().cacheControl();

}

}

Web配置文件中我们可以看到,还需要UserDetailsService和JwtAuthenticationTokenFilter。UserDetailsService是Spring Security内部接口,我们需要实现该接口的loadUserByUsername方法,将查询到username和password返回,具体代码如下所示:

@Slf4j

@Service

public class UserDetailServiceImpl implements UserDetailsService {

@Autowired

private TamadbUserMapper userMapper;

@Override

public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

TamadbUser userPo = userMapper.getUserBaseInfo(Integer.valueOf(userName));

if (userPo == null) {

log.error(“loadUserByUsername—>userName:{}不存在”, userName);

throw new UsernameNotFoundException(“用户名不存在”);

}

SysUserPo user = new SysUserPo();

user.setUsername(userPo.getId() + “”);

user.setPassword(userPo.getPassword());

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

final String rawPassword = user.getPassword();

user.setPassword(encoder.encode(rawPassword));

return user;

}

}

userMapper.getUserBaseInfo方法就是一个dao,用来查询数据库的用户信息,因为WebSecurityConfig配置文件,对密码配置了BCryptPasswordEncoder加密,但是数据库存储的是md5生成的密码,所以我们需要对密码进行等价加密。

我们接着来看一下JwtAuthenticationTokenFilter过滤器的内容:

@Component

@Log4j2

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

@Autowired(required = false)

private UserDetailsService userDetailsService;

@Value(“${jwt.header}”)

private String header;

@Value(“${jwt.tokenHead}”)

private String tokenHead;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Override

protected void doFilterInternal(

HttpServletRequest request, HttpServletResponse response,

FilterChain chain) throws ServletException, IOException {

String authHeader = request.getHeader(this.header);

if (authHeader != null && authHeader.startsWith(tokenHead) && authHeader.length() > tokenHead.length() + 1) {

// The part after "Bearer "

final String authToken = authHeader.substring(tokenHead.length() + 1);

String username = jwtTokenUtil.getUsernameFromToken(authToken);

log.info(“checking authentication,username:{},authToken:{}”, username, authToken);

// 校验token是否有效合法

if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

// 校验token是否过期

if (jwtTokenUtil.validateToken(authToken, userDetails)) {

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(

userDetails, null, userDetails.getAuthorities());

authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(

request));

log.info("authenticated user " + username + “, setting security context”);

SecurityContextHolder.getContext().setAuthentication(authentication);

} else {

log.error(“token过期,token:{}”, authToken);

}

} else {

log.error(“token失效,无法获取到用户信息,token:{}”, authHeader);

}

}

chain.doFilter(request, response);

}

}

过滤器就做一件事情,获取Http头部的Token信息,然后通过jwtTokenUtil解密Token,获取用户信息,最后检验Token是否过期。

我们最后来看看jwtTokenUtil工具类中,是如何生成、解密Token的。

@Component

@Log4j2

public class JwtTokenUtil implements Serializable {

private static final long serialVersionUID = -3301605591108950415L;

/**

  • 用户id

*/

private static final String CLAIM_KEY_USERNAME = “sub”;

/**

  • 用户登录信息

*/

private static final String AUTHORITY_USER_DETAIL = “detail”;

/**

  • token创建时间

*/

private static final String CLAIM_KEY_CREATED = “created”;

@Value(“${jwt.secret}”)

private String secret;

@Value(“${jwt.expiration.pc.access}”)

private Long pcAccessExpiration;

@Value(“${jwt.expiration.pc.refresh}”)

private Long pcRefreshExpiration;

@Value(“${jwt.expiration.wechat.access}”)

private Long weChatAccessExpiration;

@Value(“${jwt.expiration.wechat.refresh}”)

private Long weChatRefreshExpiration;

/**

  • 获取用户token

  • @param token

  • @return

*/

public String getUsernameFromToken(String token) {

String username;

try {

final Claims claims = getClaimsFromToken(token);

username = claims.getSubject();

} catch (Exception e) {

username = null;

}

return username;

}

/**

  • 获取用户token

  • @param token

  • @return

*/

public AuthorityUserDto getUserDetailFromToken(String token) {

AuthorityUserDto detail;

try {

final Claims claims = getClaimsFromToken(token);

Object detailObject = claims.get(AUTHORITY_USER_DETAIL);

Gson gson = new Gson();

// 解析json

detail = gson.fromJson(gson.toJson(detailObject), AuthorityUserDto.class);

} catch (Exception e) {

detail = null;

}

return detail;

}

/**

  • 获取token的创建时间

小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Java)
img

总结

本文从基础到高级再到实战,由浅入深,把MySQL讲的清清楚楚,明明白白,这应该是我目前为止看到过最好的有关MySQL的学习笔记了,我相信如果你把这份笔记认真看完后,无论是工作中碰到的问题还是被面试官问到的问题都能迎刃而解!

MySQL50道高频面试题整理:

程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

因此收集整理了一份《2024年最新Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
[外链图片转存中…(img-rzXpGViO-1711040141093)]
[外链图片转存中…(img-dvUil4Lb-1711040141094)]
[外链图片转存中…(img-gvHXwM5c-1711040141094)]

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Java)
[外链图片转存中…(img-RXIOthDg-1711040141095)]

总结

本文从基础到高级再到实战,由浅入深,把MySQL讲的清清楚楚,明明白白,这应该是我目前为止看到过最好的有关MySQL的学习笔记了,我相信如果你把这份笔记认真看完后,无论是工作中碰到的问题还是被面试官问到的问题都能迎刃而解!

MySQL50道高频面试题整理:

[外链图片转存中…(img-ttVHs4hm-1711040141096)]

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

2401_83740129
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2实现java
07-01
OAuth2在Java中的实现通常涉及到服务端和客户端两个部分,这两个部分在Java开发中都有相应的库支持。 Apache Oltu是Apache基金会提供的一个针对OAuth2协议的Java实现,它为开发者提供了全面的API来处理OAuth2的授权...
java实现的OAuth2流程
04-24
在这个"纯Java实现的OAuth2流程"中,我们将深入探讨如何不依赖Spring Boot来独立构建OAuth2的客户端和服务端。 首先,我们要理解OAuth2的基本流程,它通常包括四个角色:资源所有者(Resource Owner)、资源服务器...
oppoJava面试OAuth2,十年Java编程开发生涯
2401_84023710的博客
04-05 1011
虽然面试套路众多,但对于技术面试来说,主要还是考察一个人的技术能力和沟通能力。不同类型的面试官根据自身的理解问的问题也不尽相同,没有规律可循。上面提到的关于这些JAVA基础、三大框架、项目经验、并发编程、JVM及调优、网络、设计模式、spring+mybatis源码解读、Mysql调优、分布式监控、消息队列、分布式存储等等面试题笔记及资料。
java实现oauth2协议
weixin_35755188的博客
12-27 1073
OAuth 2.0 是一个开放的授权框架,它允许用户授权第三方应用访问他们存储在另一个服务提供者上的信息,而无需将用户名和密码提供给第三方应用或分享他们的账户与第三方应用。 要在 Java 中实现 OAuth 2.0,您需要: 选择一个 OAuth 2.0 客户端库,例如 ScribeJava、Apache Oltu 或 Spring Security OAuth。 注册您的应用程序与服务提供...
Java17 --- SpringSecurity之OAuth2
最新发布
qq_46093575的博客
06-16 410
【代码】Java17 --- SpringSecurity之OAuth2。
oAuth2的入门
m0_65795902的博客
02-01 466
oAuth2的入门
OAuth2.0客户端和服务端Java实现
qq_41124175的博客
04-08 1793
本部分将开发过程中遇到的难点记录下来,具体源码参考此repo 👍。
java oauth2登录以及权限_OAuth2 实现单点登录 SSO(流程图 + 代码)
weixin_39743369的博客
11-23 1021
1. 前言2. 准备3. 利用OAuth2实现单点登录4. 认证服务器配置5. 两个客户端6. 工程结构7. 演示8. 参考9. 文档《Java 2019 超神之路》《Dubbo 实现原理与源码解析 —— 精品合集》《Spring 实现原理与源码解析 —— 精品合集》《MyBatis 实现原理与源码解析 —— 精品合集》《Spring MVC 实现原理与源码解析 —— 精品合集》《Spring B...
基于JavaOAuth2和Shiro整合设计源码
05-28
OAuth2和Shiro整合项目基于Java开发,包含191个文件,其中包括137个Java源文件、21个HTML文件、10个TXT文件、6个XML文件、5个Properties文件、2个Gitignore文件、2个CSS文件、2个ICO文件、2个DDL文件和1个LICENSE...
Oauth2 Java demo
04-16
在这个"Oauth2 Java demo"中,我们将深入理解OAuth2的核心概念以及如何在Java中实现这些概念。 1. OAuth2核心概念: - 授权码(Authorization Code):用户同意访问其资源后,服务提供者返回给客户端的一个临时...
基于Java的Spring Security OAuth2框架测试设计源码
06-01
本源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
oauth2密码模式java
12-12
oauth2密码模式的java版本,服务端和客户端,希望能帮助到大家
java oauth2搭建_Spring cloud oauth2如何搭建认证资源中心
weixin_39538451的博客
02-26 201
一 认证中心搭建添加依赖,如果使用spring cloud的话,不管哪个服务都只需要这一个封装好的依赖即可org.springframework.cloudspring-cloud-starter-oauth2配置spring security/*** security配置类*/@Configuration@EnableWebSecurity //开启web保护@EnableGlobalMetho...
java oauth2搭建_Spring Security 实战干货:OAuth2授权请求是如何构建并执行的
weixin_30744857的博客
02-26 166
在Spring Security 实战干货:客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑...
java技术:oauth2协议
LanJieZhiFu的博客
05-23 1053
fuction:管理访问控制及哪些请求需要认证,以及需要哪些权限。
JavaWeb项目整合Oauth2认证流程学习笔记
yichengjie_c的博客
01-02 1213
授权码模式认证 访问认证服务器地址let url = 'http://localhost:7777/oauth/authorize?' ; url += 'client_id=admin_service&' ; url += 'redirect_uri=http://localhost:8280/oauth/callback&' ; url += 'response_type=code&' ; url += 'state=123' ; window.location.href
JAVA面试题分享五百五十九:SSO 单点登录和 OAuth2.0 的区别和理解
之乎者也·的博客
02-21 985
授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
Auth2.0 java方式实现代码
qililong88的博客
04-27 6071
在对接的时候用到了Auth2.0,对方用的C#写的项目并给我发了如下的demo: 官网:https://getkong.org/plugins/oauth2-authentication/ 会linux的应该能看懂,直接在linux里执行却不通,后来在¥ curl 后加  "-k"之后就访问通了,原来是因为他用的HTTPS,需要认证,但是没有证书,所以要加上忽略 服务器认证证书,
JAVA】spring cloud微服务中使用spring security auth2登录认证流程和自定义手机号认证(1)
Hey-Girl
12-07 3083
hey-girl原创文章,若有歧义可留言,若需转载需标明出处。 1.概括:本文主要根据微服务pig<v3.3.3>项目pig码云地址,学习安全登录流程。通过扩展登录需求,自定义其他登录模式,比如常见的手机号登录或者微信登录等。 2.涉及服务介绍: gateway:9999(网关服务) auth:3000(认证服务) upms:4000(资源服务) common-security(安全模块) 3.先看看pig项目中登录大致流程图: #mermaid-svg-XsEXxUni7CgjXiIP .la
oauth2 java
05-12
Java中,有许多开源库可以使用OAuth2协议进行身份验证和授权。以下是一些常用的Java OAuth2库: 1. Spring Security OAuth2:一个基于Spring Security的库,用于实现OAuth2服务端和客户端。 2. Apache Oltu:一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值