关于Oauth认证

最新推荐文章于 2024-09-22 19:29:03 发布
最新推荐文章于 2024-09-22 19:29:03 发布
阅读量265 收藏
点赞数 1
文章标签: java spring spring boot Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bo109/article/details/129382476
版权
该文详细介绍了如何配置OAuth2.0服务授权,包括非对称加密算法生成令牌,公钥在资源服务中的应用,以及SpringCloud中启用ResourceServer的安全配置。同时,文章还展示了用户微服务的资源授权流程,如何处理令牌校验,并提到了动态从数据库加载客户端数据的必要性。
摘要由CSDN通过智能技术生成

1.1 资源服务授权配置

(1)配置公钥 认证服务生成令牌采用非对称加密算法,认证服务采用私钥加密生成令牌,对外向资源服务提供公钥,资源服务使 用公钥 来校验令牌的合法性。将公钥拷贝到 public.key文件中,将此文件拷贝到每一个需要的资源服务工程的classpath下 ,例如:用户微服务

(2)添加依赖

<dependency>
    <groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

配置每个系统的Http请求路径安全控制策略以及读取公钥信息识别令牌,如下:

package com.zb.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.stream.Collectors;

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的PreAuthorize注解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    //公钥
    private static final String PUBLIC_KEY = "public.key";

    /***
     * 定义JwtTokenStore
     * @param jwtAccessTokenConverter
     * @return
     */
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    /***
     * 定义JJwtAccessTokenConverter
     * @return
     */
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(getPubKey());
        return converter;
    }
    /**
     * 获取非对称加密公钥 Key
     * @return 公钥 Key
     */
    private String getPubKey() {
        Resource resource = new ClassPathResource(PUBLIC_KEY);
        try {
            InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
            BufferedReader br = new BufferedReader(inputStreamReader);
            return br.lines().collect(Collectors.joining("\n"));
        } catch (IOException ioe) {
            return null;
        }
    }

    /***
     * Http安全配置,对每个到达系统的http请求链接进行校验
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //所有请求必须认证通过
        http.authorizeRequests()
                //下边的路径放行
                .antMatchers(
                        "/api/user/add",”/api/user/info/*”). //配置地址放行
                permitAll()
                .anyRequest().
                authenticated();    //其他地址需要认证授权
    }
}
用户微服务资源授权

将上面生成的公钥public.key拷贝到use-server微服务工程的resources目录下,如下图:

授权测试

用户每次访问微服务的时候,需要先申请令牌,令牌申请后,每次将令牌放到头文件中,才能访问微服务。

头文件中每次需要添加一个Authorization头信息,头的结果为bearer

token

(1)不携带令牌测试

访问http://localhost:8001/api/user/info/49不携带令牌,结果如下:

(2)携带正确令牌访问

访问http://localhost:8001/api/user/info/49携带正确令牌,结果如下:

OAuth 对接微服务

用户每次访问微服务的时候,先去oauth2.0服务登录,登录后再访问微服务网关,微服务网关将请求转发给其他微服务处理。

用户登录成功后,会将令牌信息存入到cookie中(一般建议存入到头文件中)
用户携带Cookie中的令牌访问微服务网关
微服务网关先获取头文件中的令牌信息,如果Header中没有Authorization令牌信息,则取参数中找,参数中如果没有,则取Cookie中找Authorization,最后将令牌信息封装到Header中,并调用其他微服务
其他微服务会获取头文件中的Authorization令牌信息,然后匹配令牌数据是否能使用公钥解密,如果解密成功说明用户已登录,解密失败,说明用户未登录

令牌加入到Header中

修改gateway-server的全局过滤器com.zb.filter.PowerFilter,实现将令牌信息添加到头文件中,代码如下:

package com.zb.filters;

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
public class PowerFilter implements GlobalFilter, Ordered {

    private static final String AUTHORIZE_TOKEN = "Authorization";
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();
        String url = request.getURI().getPath().toString();
        System.out.println(url);
        //不进行身份认证的url
        if(url.startsWith("/api/area/show")||url.startsWith("/api/user/login")){
            return chain.filter(exchange);
        }
        String token = request.getHeaders().getFirst(AUTHORIZE_TOKEN);
        if(StringUtils.isEmpty(token)){
            token = request.getQueryParams().getFirst(AUTHORIZE_TOKEN);
        }
        if(StringUtils.isEmpty(token)){
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();  //直接响应状态
        }
        //验证token的有效性
        try {
//            Claims claims = JwtUtil.parseJWT(token);
            //将令牌装到头文件中
            request.mutate().header(AUTHORIZE_TOKEN,"Bearer "+token);
        } catch (Exception e) {
            e.printStackTrace();
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            return response.setComplete();  //直接响应状态
        }

        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

测试:

访问http://localhost:7002/api/user/info/49?Authorization=token,将生成的新令牌放到头文件中,在令牌前面添加Bearer,这里主要由个空格,效果如下:

OAuth动态加载数据

前面OAuth我们用的数据都是静态的,在现实工作中,数据都是从数据库加载的,所以我们需要调整一下OAuth服务,从数据库加载相关数据。

  • 客户端数据[生成令牌相关数据

  • 用户登录账号密码从数据库加载

客户端数据加载

数据介绍

客户端静态数据

在oath-server的com.zb.oauth.config.AuthorizationServerConfig类中配置了客户端静态数据,主要用于配置客户端数据,代码如下:

客户端表结构介绍

创建一个数据库myshop_oauth,并在数据库中创建一张表,表主要用于记录客户端相关信息,表结构如下:

CREATE TABLE `oauth_client_details` (
  `client_id` varchar(48) NOT NULL COMMENT '客户端ID,主要用于标识对应的应用',
  `resource_ids` varchar(256) DEFAULT NULL,
  `client_secret` varchar(256) DEFAULT NULL COMMENT '客户端秘钥,BCryptPasswordEncoder加密算法加密',
  `scope` varchar(256) DEFAULT NULL COMMENT '对应的范围',
  `authorized_grant_types` varchar(256) DEFAULT NULL COMMENT '认证模式',
  `web_server_redirect_uri` varchar(256) DEFAULT NULL COMMENT '认证后重定向地址',
  `authorities` varchar(256) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL COMMENT '令牌有效期',
  `refresh_token_validity` int(11) DEFAULT NULL COMMENT '令牌刷新周期',
  `additional_information` varchar(4096) DEFAULT NULL,
  `autoapprove` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`client_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

Bo109
关注
Oauth2认证 -1
qq_53725689的博客
05-07 283
Oauth2简介 1.1.1.简介 第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一代那个的接口协议 OAUTH协议为用户资源的授权了一个安全的,开放而又简易的标准.同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的.业界提供了OUATH多种实现 如PHP JavaScript , Java , Ruby 等各种语言开发包 , 大大节约了程序员的时间 , 因而OAUTH是简易的 互联网很多
Oauth认证
点滴积累成就技术梦想
01-05 5746
一、Oauth简介 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的(没有涉及到用户密钥)。任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAU
OAuth2.0认证授权协议
最新发布
qq_41893505的博客
09-22 1225
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。互联网应用中最常见的 OAuth2 就是各种第三方登录,例如:QQ 授权登录、微信授权登录等。它们允许用户通过 QQ 或微信账号来登录其他网站或应用,而不需要为这些网站或
oauth 认证
qq_36528073的博客
06-03 505
需求 在微服务架构中,我们有很多业务模块,每个模块都需要有用户认证,权限校验。有时候也会接入来自第三方厂商的应用。要求是只登录一次,即可在各个服务的授权范围内进行操作。看到这个需求,立马就想到了这不就是单点登录吗?于是基于这样的需求,作者使用spring-cloud-oauth2去简单的实现了下用户认证和单点登录。 相关介绍 OAuth2 OAuth2是一个关于授权的网络标准,他定制了设计思路和执行流程。OAuth2一共有四种授权模式:授权码模式(authorization code)、简化模式(impli
Oauth2.0 认证
m0_62943934的博客
12-09 1708
Oauth2.0 是非常流行的网络授权表准,已经广泛应用在全球范围内,比较大的公司,如腾讯等都有大量的应用场景。
OAuth认证入门
Sunday06的博客
08-22 459
OAuth认证入门 一、OAuth简介 ​ OAuth 通过开放标准、允许用户让第三方应用获取用户的私密数据、但不会获取用户的账号和密码( 因为知道账号和密码就会知道所有的数据) 二、OAuth角色 1)资源、所有者:资源的拥有者(用户) 2)客户端:第三方应用 3)授权服务器:用来验证用户的信息是否正确,并返回一个令牌给第三方应用 4)资源服务器:提供给用户资源的服务器 注意:授权服务器 、资源服务器可以是同台服务器 三、OAuth授权流程 四、授权模式 1)授权码模式:功能最完整、流程最严谨(使用广
jmeter 实现oauth1.0授权认证
08-18
现在,预处理器已准备好生成OAuth认证所需的所有头信息,你可以运行HTTP请求取样器。如果一切正确,服务器应该能够验证请求并返回预期的数据。 请注意,由于OAuth 1.0的安全性要求,每次请求的nonce和timestamp都...
豆瓣OAuth认证示例项目
06-02
豆瓣OAuth认证示例项目是一个用于演示如何通过OAuth协议在应用中实现与豆瓣API的授权交互的实例。OAuth(开放授权)是一种开放标准,允许用户提供一个令牌,而不是用户名和密码来访问他们存储在特定服务提供者的数据...
Spring Boot 开发的 OAuth 认证服务器
11-05
通过以上步骤,你就能构建出一个基于Spring BootOAuth 2.0认证服务器,为你的Web应用提供安全、可靠的认证服务。在实际项目中,还可以结合其他技术,如Spring Cloud Security、Keycloak或Okta等,以实现更复杂的...
OAuth认证协议中的HMACSHA1加密算法(实例)
10-19
OAuth认证过程中,HMACSHA1加密算法作为一种消息验证算法,经常被用于确保数据传输的安全性和完整性。 HMACSHA1是HMAC算法的一种实现方式,HMAC(Hash-based Message Authentication Code,基于散列的消息认证码...
新浪微博OAuth认证和储存的主要过程详解
10-24
新浪微博OAuth认证和储存过程涉及了开放授权协议OAuth在微博平台上的具体实现。OAuth是一种安全的授权标准,允许用户在不泄露账号密码的情况下,授权第三方应用访问自己在某个网站上的信息。新浪微博作为国内重要的...
Oauth2 认证
fjd7474的博客
03-15 7803
1 简介 1.1 基本概念 认证:用户访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,常见的账号密码登录,验证码登录,指纹登陆 授权:用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限 单点登录 SSO:用户在一个系统中登录,其他任意受信任的系统都可以访问,例如在京东主页登陆了,京东其他页面就不需要再登录,这个功能就叫单点登录。 第三方账号登录:第三方系统对用户认证通过 1.2 认证解决方案 1.2.1 单点登录技术方案 分布式系统要实现单点登录,通常将认证系统独立抽
OAuth认证(完整版)
weixin_33824363的博客
11-15 223
拿人人的OAuth认证举例吧。其实这个认证就是原则上实现了程序开发人员和用户的用户名密码的分离,使密码不会被第三方获取。 只有被认证后,才能有权限调用人人网的接口方法。首先要去人人的开放平台去注册,各种信息都填好后,会给你一个API key和一个Secret key. 首先,浏览器跳转到人人指定的授权服务页面,"https://graph.renren.com/oauth/au...
OAuth的三种认证方式
poison_biti的博客
07-31 8685
三种认证方式: (1)Resource Owner Password Credentials Grant(资源所有者密码凭据许可) (2)Implicit Grant(隐式许可) (3)Authorization Code Grant(授权码许可) 资源所有者密码凭据许可:      比如说,你有某个网站的账号和密码,你就可以通过账号密码登陆以后在这个网站上你自己
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2907
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
oauth认证(转)
u022731189的博客
04-22 150
这里所知道的验证,就是OAuth认证,似乎使用这个认证很麻烦,为什么新浪不直接提供一个登陆接口,让用户直接输入账号和密码,就登陆了事。这是因为,客户端的界面对于新浪来说都是第三方开发的,可操控性很强,这样开发人员就很容易获取到新浪用户的账号和密码,造成损失。所以,就有了oauth认证。那么这个认证的原理是什么呢?在OAuth2.0的处理流程,主要分为以下四个步骤:1、得到授权码code2、获取...
OAuth认证流程、Access Token以及Refresh Token简介
C18298182575的博客
06-07 895
为 Refresh Token 是保存在客户端的服务器上的,当前的 Access Token 失效或者过期时,Refresh Token 就会去获取一个新的 Token,Refresh Token 也是一个对客户端不透明的字符串。很多的网站、APP 都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过 github 或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。
腾讯微博Android客户端OAuth认证详解
"腾讯微博Android客户端开发涉及到OAuth认证的学习,OAuth是一种安全的、开放且简易的用户资源授权标准。在腾讯微博的API中,OAuth1.0A版本被用来保护用户的安全,避免在第三方应用中泄露QQ账号信息。OAuth允许应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值