最全10分钟搞定OAuth2(1),mongodb运维面试题

最新推荐文章于 2024-05-23 17:16:42 发布
最新推荐文章于 2024-05-23 17:16:42 发布
阅读量1.7k 收藏 40
点赞数 56
分类专栏: 程序员 文章标签: java 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84688180/article/details/138779941
版权

最后

这份文档从构建一个键值数据库的关键架构入手,不仅带你建立起全局观,还帮你迅速抓住核心主线。除此之外,还会具体讲解数据结构、线程模型、网络框架、持久化、主从同步和切片集群等,帮你搞懂底层原理。相信这对于所有层次的Redis使用者都是一份非常完美的教程了。

image

整理不易,觉得有帮助的朋友可以帮忙点赞分享支持一下小编~

你的支持,我的动力;祝各位前程似锦,offer不断!!!

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

// 基于token,所以不需要session

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()

.authorizeRequests()

.antMatchers(HttpMethod.OPTIONS, “/**”).permitAll()

// 允许对于网站静态资源的无授权访问

.antMatchers(

HttpMethod.GET,

“/”,

“/*.html”,

“/favicon.ico”,

“/**/*.html”,

“/**/*.css”,

“/**/*.js”

).permitAll()

// 授权接口放通token校验

.antMatchers(“/authority/**/authorization/”).permitAll()

// 除上面外的所有请求全部需要鉴权认证

.anyRequest().authenticated();

// 添加JWT filter

httpSecurity.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);

// 禁用缓存

httpSecurity.headers().cacheControl();

}

}

Web配置文件中我们可以看到,还需要UserDetailsService和JwtAuthenticationTokenFilter。UserDetailsService是Spring Security内部接口,我们需要实现该接口的loadUserByUsername方法,将查询到username和password返回,具体代码如下所示:

@Slf4j

@Service

public class UserDetailServiceImpl implements UserDetailsService {

@Autowired

private TamadbUserMapper userMapper;

@Override

public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

TamadbUser userPo = userMapper.getUserBaseInfo(Integer.valueOf(userName));

if (userPo == null) {

log.error(“loadUserByUsername—>userName:{}不存在”, userName);

throw new UsernameNotFoundException(“用户名不存在”);

}

SysUserPo user = new SysUserPo();

user.setUsername(userPo.getId() + “”);

user.setPassword(userPo.getPassword());

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

final String rawPassword = user.getPassword();

user.setPassword(encoder.encode(rawPassword));

return user;

}

}

userMapper.getUserBaseInfo方法就是一个dao,用来查询数据库的用户信息,因为WebSecurityConfig配置文件,对密码配置了BCryptPasswordEncoder加密,但是数据库存储的是md5生成的密码,所以我们需要对密码进行等价加密。

我们接着来看一下JwtAuthenticationTokenFilter过滤器的内容:

@Component

@Log4j2

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

@Autowired(required = false)

private UserDetailsService userDetailsService;

@Value(“${jwt.header}”)

private String header;

@Value(“${jwt.tokenHead}”)

private String tokenHead;

@Autowired

private JwtTokenUtil jwtTokenUtil;

@Override

protected void doFilterInternal(

HttpServletRequest request, HttpServletResponse response,

FilterChain chain) throws ServletException, IOException {

String authHeader = request.getHeader(this.header);

if (authHeader != null && authHeader.startsWith(tokenHead) && authHeader.length() > tokenHead.length() + 1) {

// The part after "Bearer "

final String authToken = authHeader.substring(tokenHead.length() + 1);

String username = jwtTokenUtil.getUsernameFromToken(authToken);

log.info(“checking authentication,username:{},authToken:{}”, username, authToken);

// 校验token是否有效合法

if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);

// 校验token是否过期

if (jwtTokenUtil.validateToken(authToken, userDetails)) {

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(

userDetails, null, userDetails.getAuthorities());

authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(

request));

log.info("authenticated user " + username + “, setting security context”);

SecurityContextHolder.getContext().setAuthentication(authentication);

} else {

log.error(“token过期,token:{}”, authToken);

}

} else {

log.error(“token失效,无法获取到用户信息,token:{}”, authHeader);

}

}

chain.doFilter(request, response);

}

}

过滤器就做一件事情,获取Http头部的Token信息,然后通过jwtTokenUtil解密Token,获取用户信息,最后检验Token是否过期。

我们最后来看看jwtTokenUtil工具类中,是如何生成、解密Token的。

@Component

@Log4j2

public class JwtTokenUtil implements Serializable {

private static final long serialVersionUID = -3301605591108950415L;

/**

  • 用户id

*/

private static final String CLAIM_KEY_USERNAME = “sub”;

/**

  • 用户登录信息

*/

private static final String AUTHORITY_USER_DETAIL = “detail”;

/**

  • token创建时间

*/

private static final String CLAIM_KEY_CREATED = “created”;

@Value(“${jwt.secret}”)

private String secret;

@Value(“${jwt.expiration.pc.access}”)

private Long pcAccessExpiration;

@Value(“${jwt.expiration.pc.refresh}”)

private Long pcRefreshExpiration;

@Value(“${jwt.expiration.wechat.access}”)

private Long weChatAccessExpiration;

@Value(“${jwt.expiration.wechat.refresh}”)

private Long weChatRefreshExpiration;

/**

  • 获取用户token

  • @param token

  • @return

*/

public String getUsernameFromToken(String token) {

String username;

try {

final Claims claims = getClaimsFromToken(token);

username = claims.getSubject();

} catch (Exception e) {

username = null;

}

return username;

}

/**

  • 获取用户token

  • @param token

  • @return

*/

public AuthorityUserDto getUserDetailFromToken(String token) {

AuthorityUserDto detail;

try {

final Claims claims = getClaimsFromToken(token);

Object detailObject = claims.get(AUTHORITY_USER_DETAIL);

Gson gson = new Gson();

// 解析json

detail = gson.fromJson(gson.toJson(detailObject), AuthorityUserDto.class);

} catch (Exception e) {

detail = null;

}

return detail;

}

/**

  • 获取token的创建时间

  • @param token

  • @return

*/

public Date getCreatedDateFromToken(String token) {

Date created;

try {

final Claims claims = getClaimsFromToken(token);

created = new Date((Long) claims.get(CLAIM_KEY_CREATED));

} catch (Exception e) {

created = null;

}

return created;

}

/**

  • 获取token的过期时间

  • @param token

  • @return

*/

public Date getExpirationDateFromToken(String token) {

Date expiration;

try {

final Claims claims = getClaimsFromToken(token);

expiration = claims.getExpiration();

} catch (Exception e) {

expiration = null;

}

return expiration;

}

/**

  • 调用jar生成token令牌

  • @param token

  • @return

*/

private Claims getClaimsFromToken(String token) {

Claims claims;

try {

claims = Jwts.parser()

.setSigningKey(secret)

.parseClaimsJws(token)

.getBody();

} catch (Exception e) {

log.error(“解析token是失败:错误信息:{}”, com.fourkmiles.common.util.ExceptionUtil.formatException(e));

claims = null;

}

return claims;

}

/**

  • 生成过期时间

  • @param tokenExpirationDto

  • @return

*/

private Date generateExpirationDate(TokenExpirationDto tokenExpirationDto) {

Date expirationDate = null;

ChannelEnum channelEnum = tokenExpirationDto.getChannelEnum();

TokenEnum tokenEnum = tokenExpirationDto.getTokenEnum();

if (channelEnum.getType() == ChannelEnum.PC_CHANNEL.getType()) {

if (tokenEnum.getType() == TokenEnum.ACCESS_TOKEN.getType()) {

expirationDate = new Date(System.currentTimeMillis() + pcAccessExpiration * 1000);

} else {

expirationDate = new Date(System.currentTimeMillis() + pcRefreshExpiration * 1000);

}

} else {

if (tokenEnum.getType() == TokenEnum.ACCESS_TOKEN.getType()) {

expirationDate = new Date(System.currentTimeMillis() + weChatAccessExpiration * 1000);

} else {

expirationDate = new Date(System.currentTimeMillis() + weChatRefreshExpiration * 1000);

}

}

return expirationDate;

}

/**

  • 校验token是否过期

  • @param token

  • @return

*/

private Boolean isTokenExpired(String token) {

final Date expiration = getExpirationDateFromToken(token);

return expiration.before(new Date());

}

/**

  • 生成token

  • @param userDetails

  • @param tokenExpirationDto

  • @return

*/

public String generateToken(UserDetails userDetails, TokenExpirationDto tokenExpirationDto, AuthorityUserDto authorityUserDto) {

Map<String, Object> claims = new HashMap<>();

claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());

claims.put(CLAIM_KEY_CREATED, new Date());

claims.put(AUTHORITY_USER_DETAIL, authorityUserDto);

return generateToken(claims, tokenExpirationDto);

}

/**

  • 生成token

  • @param claims

  • @param tokenExpirationDto

  • @return

*/

String generateToken(Map<String, Object> claims, TokenExpirationDto tokenExpirationDto) {

return Jwts.builder()

.setClaims(claims)

.setExpiration(generateExpirationDate(tokenExpirationDto))

.signWith(SignatureAlgorithm.HS512, secret)

.compact();

}

/**

  • 是否具备刷新条件

  • @param token

  • @return

*/

public Boolean canTokenBeRefreshed(String token) {

return !isTokenExpired(token);

}

/**

  • 刷新token

  • @param refreshAuthorityQuery

  • @param tokenExpirationDto

  • @return

*/

public String refreshToken(RefreshAuthorityQuery refreshAuthorityQuery, TokenExpirationDto tokenExpirationDto) {

String refreshedToken;

try {

final Claims claims = getClaimsFromToken(refreshAuthorityQuery.getToken());

claims.put(CLAIM_KEY_CREATED, new Date());

refreshedToken = generateToken(claims, tokenExpirationDto);

} catch (Exception e) {

refreshedToken = null;

}

return refreshedToken;

}

/**

  • 校验token是否合法

  • @param token

  • @param userDetails

  • @return

*/

public Boolean validateToken(String token, UserDetails userDetails) {

final String username = getUsernameFromToken(token);

final Date created = getCreatedDateFromToken(token);

return !isTokenExpired(token);

}

}

最后

image.png

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

s, tokenExpirationDto);

} catch (Exception e) {

refreshedToken = null;

}

return refreshedToken;

}

/**

  • 校验token是否合法

  • @param token

  • @param userDetails

  • @return

*/

public Boolean validateToken(String token, UserDetails userDetails) {

final String username = getUsernameFromToken(token);

final Date created = getCreatedDateFromToken(token);

return !isTokenExpired(token);

}

}

最后

[外链图片转存中…(img-2LuEcH5D-1715549024223)]

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

2401_84688180
关注
  • 56
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sso-auth:具有Spring OAuth2和MongoDB的单一登录身份验证服务器
02-04
我解释了如何选择OAuth 2.0和MongoDB来构建可在微服务体系结构中使用的Single Sign On Auth服务器。 1.第一步。 运行sso-auth-client应用程序。 并尝试访问 。 不传递任何标题就返回此 2.第二步。 运行sso-auth-...
10.OAuth2授权的使用
01-01
OAuth2授权的使用 OAuth2授权的使用是Spring Cloud Security提供的一种解决方案,用于实现单点登录、令牌中继、令牌交换等功能。OAuth 2.0是用于授权的行业标准协议,提供了特定的授权流,包括Web应用、桌面应用、...
java实现oauth2协议
weixin_35755188的博客
12-27 1065
OAuth 2.0 是一个开放的授权框架,它允许用户授权第三方应用访问他们存储在另一个服务提供者上的信息,而无需将用户名和密码提供给第三方应用或分享他们的账户与第三方应用。 要在 Java 中实现 OAuth 2.0,您需要: 选择一个 OAuth 2.0 客户端库,例如 ScribeJava、Apache Oltu 或 Spring Security OAuth。 注册您的应用程序与服务提供...
oAuth2的入门
m0_65795902的博客
02-01 461
oAuth2的入门
OAuth2.0客户端和服务端Java实现
qq_41124175的博客
04-08 1485
本部分将开发过程中遇到的难点记录下来,具体源码参考此repo 👍。
10分搞定OAuth2,java开发工程师面试技巧
2401_83740129的博客
03-22 681
本文从基础到高级再到实战,由浅入深,把MySQL讲的清清楚楚,明明白白,这应该是我目前为止看到过最好的有关MySQL的学习笔记了,我相信如果你把这份笔记认真看完后,无论是工作中碰到的问题还是被面试官问到的问题都能迎刃而解!程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**因此收集整理了一份《2024年最新Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
java oauth2登录以及权限_OAuth2 实现单点登录 SSO(流程图 + 代码)
weixin_39743369的博客
11-23 1014
1. 前言2. 准备3. 利用OAuth2实现单点登录4. 认证服务器配置5. 两个客户端6. 工程结构7. 演示8. 参考9. 文档《Java 2019 超神之路》《Dubbo 实现原理与源码解析 —— 精品合集》《Spring 实现原理与源码解析 —— 精品合集》《MyBatis 实现原理与源码解析 —— 精品合集》《Spring MVC 实现原理与源码解析 —— 精品合集》《Spring B...
node-oauth2-server-mongo-example:具有mongodb存储和最小配置的可工作oauth2服务器
02-04
使用MongoDB示例的node-oauth2-server 这是OAuth2服务器的基本示例,它使用具有MongoDB存储和最小(仅工作所需)模型配置的 (版本3.0.1)。 如果您想要一个没有MongoDB存储的简单示例,则应转到 。 建立 首先,您...
spring boot + security oauth2 + redis + mongodb 框架搭建
08-16
本教程将详细介绍如何使用Spring Boot、Spring Security OAuth2、Redis以及MongoDB来搭建一个高效且安全的框架。以下是对每个技术栈的详细解释及其整合过程: 1. **Spring Boot**: Spring Boot简化了Spring框架的...
oauth2orize_authorization_grant_example:这是使用 oauth2orize、express 4 和 mongoDBoAuth 授权授予流程的示例
06-10
这是使用 oauth2orize、express 4 和 mongoDBoAuth 授权授予流程的示例。 安装 git clone https://github.com/reneweb/oauth2orize_authorization_grant_example.git npm install node app.js 注意:如果 ...
Oauth2实现java
07-01
oauth本身不是技术,而是一项资源授权协议,重点是协议!Apache基金会提供了针对Javaoauth封装。我们做Java web项目想要实现oauth协议进行资源授权访问,直接使用该封装就可以。
oauth2密码模式java
12-12
oauth2密码模式的java版本,服务端和客户端,希望能帮助到大家
java oauth2搭建_Spring cloud oauth2如何搭建认证资源中心
weixin_39538451的博客
02-26 200
一 认证中心搭建添加依赖,如果使用spring cloud的话,不管哪个服务都只需要这一个封装好的依赖即可org.springframework.cloudspring-cloud-starter-oauth2配置spring security/*** security配置类*/@Configuration@EnableWebSecurity //开启web保护@EnableGlobalMetho...
java oauth2搭建_Spring Security 实战干货:OAuth2授权请求是如何构建并执行的
weixin_30744857的博客
02-26 165
在Spring Security 实战干货:客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑...
JavaWeb项目整合Oauth2认证流程学习笔记
yichengjie_c的博客
01-02 1192
授权码模式认证 访问认证服务器地址let url = 'http://localhost:7777/oauth/authorize?' ; url += 'client_id=admin_service&' ; url += 'redirect_uri=http://localhost:8280/oauth/callback&' ; url += 'response_type=code&' ; url += 'state=123' ; window.location.href
JAVA面试题分享五百五十九:SSO 单点登录和 OAuth2.0 的区别和理解
之乎者也·的博客
02-21 963
授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
java技术:oauth2协议
最新发布
LanJieZhiFu的博客
05-23 945
fuction:管理访问控制及哪些请求需要认证,以及需要哪些权限。
Auth2.0 java方式实现代码
qililong88的博客
04-27 6068
在对接的时候用到了Auth2.0,对方用的C#写的项目并给我发了如下的demo: 官网:https://getkong.org/plugins/oauth2-authentication/ 会linux的应该能看懂,直接在linux里执行却不通,后来在¥ curl 后加  "-k"之后就访问通了,原来是因为他用的HTTPS,需要认证,但是没有证书,所以要加上忽略 服务器认证证书,
JAVA】spring cloud微服务中使用spring security auth2登录认证流程和自定义手机号认证(1)
Hey-Girl
12-07 3049
hey-girl原创文章,若有歧义可留言,若需转载需标明出处。 1.概括:本文主要根据微服务pig<v3.3.3>项目pig码云地址,学习安全登录流程。通过扩展登录需求,自定义其他登录模式,比如常见的手机号登录或者微信登录等。 2.涉及服务介绍: gateway:9999(网关服务) auth:3000(认证服务) upms:4000(资源服务) common-security(安全模块) 3.先看看pig项目中登录大致流程图: #mermaid-svg-XsEXxUni7CgjXiIP .la
oauth2.0的面试题
09-11
OAuth 2.0是一种授权协议,用于授权第三方应用访问用户资源。以下是一些OAuth 2.0的面试题: 1. 什么是OAuth 2.0?它解决了什么问题? 2. OAuth 2.0与OAuth 1.0有什么区别? 3. OAuth 2.0中的角色有哪些? 4. 请简要描述OAuth 2.0的工作流程。 5. OAuth 2.0中的授权类型有哪些?请分别描述它们。 6. OAuth 2.0中的令牌类型有哪些?请分别描述它们。 7. OAuth 2.0如何保护用户的敏感信息安全? 8. OAuth 2.0中的刷新令牌是什么?它的作用是什么? 9. CSRF(跨站请求伪造)攻击与OAuth 2.0有何关联? 10. 在实现OAuth 2.0时,你会如何保护客户端凭据的安全性? 这些问题可以帮助评估面试者对OAuth 2.0的理解程度和实际应用能力。当然,根据面试者的经验和职位要求,可能会有更深入或具体的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值