Spring Security OAuth2 Demo —— 授权码模式 (Authorization Code)

最新推荐文章于 2024-05-15 10:12:46 发布
最新推荐文章于 2024-05-15 10:12:46 发布
阅读量1.5k 收藏 2
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHIKA2333/article/details/131992647
版权

本文目标

带领读者对Spring Security OAuth2框架的授权码模式有一个比较直观的概念,能使用框架搭建授权码模式授权服务器与资源服务器(分离版本)

授权码模式流程回顾

授权码模式要求:用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取access_token(访问凭证)

此模式要求授权服务器与用户直接交互,在此过程中,第三方应用是无法获取到用户输入的密码等信息的,这个模式也是OAuth 2.0中最安全的一个

Demo基本结构

这里主要关注authorization-code-authorization-serverauthorization-code-resource-server这两个模块

本文以及后续文章的demo均放在GitHub上,欢迎大家Star & Fork,源码地址:GitHub - hellxz/spring-security-oauth2-learn: 基于Spring Security OAuth2 5.0以下版本的写法的学习代码

authorization-code-client-resttemplate-jdbc这个项目是用来测试非OAuth2服务使用RestTemplate与JdbcTemplate对接OAuth2授权服务的,流程这里不讲,有兴趣可以debug看看,可能会让您对整个流程会有更清晰的感受

Maven依赖

 


 
  

   
   <!--Spring Security-->
  

  

   
   <dependency>
  

  

   
   <groupId>org.springframework.boot</groupId>
  

  

   
   <artifactId>spring-boot-starter-security</artifactId>
  

  

   
   </dependency>
  

  

   
   <!--Spring Boot Starter Web 所有demo均使用web-->
  

  

   
   <dependency>
  

  

   
   <groupId>org.springframework.boot</groupId>
  

  

   
   <artifactId>spring-boot-starter-web</artifactId>
  

  

   
   </dependency>
  

  

   
   <!-- Spring Security OAuth2 -->
  

  

   
   <dependency>
  

  

   
   <groupId>org.springframework.security.oauth</groupId>
  

  

   
   <artifactId>spring-security-oauth2</artifactId>
  

  

   
   <version>${spring-security-oauth2.version}</version>
  

  

   
   </dependency>
  

 

 

搭建授权服务器(Authorization Server)
 

 
 
文中服务器均使用demo级别配置,请勿直接使用到生产环境
 

 

授权服务器结构主体如下:
 

 

 

 

启动类自不多说,先说下SecurityConfig
 

 


 
  

   
   package com.github.hellxz.oauth2.config;
  

  

   
   
  

  

   
   import org.springframework.context.annotation.Bean;
  

  

   
   import org.springframework.context.annotation.Configuration;
  

  

   
   import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  

  

   
   import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  

  

   
   import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  

  

   
   import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  

  

   
   import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  

  

   
   import org.springframework.security.crypto.password.PasswordEncoder;
  

  

   
   
  

  

   
   import java.util.Collections;
  

  

   
   
  

  

   
   @Configuration
  

  

   
   @EnableWebSecurity
  

  

   
   public class SecurityConfig extends WebSecurityConfigurerAdapter {
     
  

  

   
   
  

  

   
   @Bean
  

  

   
  

 


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  程序员小玖
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
SpringSecurityOauth2架构Demo笔记

				
			

			

				

					tiantiantbtb的博客
				

				

					01-16
					
					399
					
				

			

		

		

			
				
SpringSecurity引入之后会有一个默认用户user和默认密,项目启动后控制台输出的那个。自定义SpringSecurity登录逻辑需要用到PasswordEncode对密进行单向加密。总体分为SpringSecurityOauth2授权模式演示和密模式演示。需要先自定义一个SpringSecurity登录逻辑,然后去修改用户密Oauth2的授权服务器和资源服务器配置。那么引入自定义的User就可以了。如果想用自己自定义可以这么干。也可以拿到用户主体信息。下面演示密模式演示。

			
		

	



                

              
                



	

		

			

				
					
Oauth2系列2:授权模式

				
			

			

				

					weigeshikebi的博客
				

				

					05-22
					
					8968
					
				

			

		

		

			
				
Oauth2系列2:授权模式


			
		

	



                


  
              

                


	

		

			

				
					
oauth2.0授权模式详解

					
最新发布

				
			

			

				

					zzy7075的专栏
				

				

					05-15
					
					148
					
				

			

		

		

			
				
项目结构如下:AuthzController:获取授权 (resource owner)TokenController:获得令牌 (authorization server)ResourceController:资源服务 (resource server)ClientController:客户端 (client)前三个Controller相前于服务端  最后一个为客户端。

			
		

	





	

		

			

				
					
手把手OAuth2授权模式Authorization Code

				
			

			

				

					xuejianxinokok的专栏
				

				

					04-30
					
					6080
					
				

			

		

		

			
				
手把手入门OAuth2授权模式Authorization Code)
1.简单介绍
OAuth2 授权模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图:

交互过程如下:

用户在客户端程序上操作某些功能希望从资源服务器获取数据
客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址
授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权
用户决定同意授权
授权服务器

			
		

	



		

			
		



	

		

			

				
					
Oauth2--- 授权模式(authorization_code)过程

				
			

			

				

					silmeweed的博客
				

				

					09-28
					
					8212
					
				

			

		

		

			
				
一、获取授权Code: 

访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code")

GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...

			
		

	





	

		

			

				
					
Spring Security OAuth2.0(一)-----前言-授权模式及代实例

				
			

			

				

					qq_42264638的博客
				

				

					04-21
					
					2820
					
				

			

		

		

			
				
Spring Security OAuth2.0(一)-----前言-授权模式及代实例

			
		

	





	

		

			

				
					
OAuth2.0四种授权模式及实战

					
热门推荐

				
			

			

				

					CODEING一场空的博客
				

				

					06-27
					
					1万+
					
				

			

		

		

			
				
Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信扫登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式

			
		

	





	

		

			

				
					
Spring Security Oauth2实践(1) - 授权模式

				
			

			

				

					奔跑的蜗牛
				

				

					09-21
					
					3904
					
				

			

		

		

			
				
笔者最近花了点时间研究Oauth2原理,基于spring写了一些demo用于实践探索,深深体会到Spring Security Oauth2框架的便利,框架帮我们封装太多了底层实现,所以使用起来非常方便,除了可以为第三方应用提供授权,也可以作为应用的登录框架。
文章基于Spring Security Oauth2.0授权模式实践,采用SpringBoot搭建Demo讲述基本使用过程。

概述
...

			
		

	





	

		

			

				
					
java 授权模式_Spring Security OAuth2 授权模式的实现

				
			

			

				

					weixin_32452447的博客
				

				

					03-02
					
					1151
					
				

			

		

		

			
				
写在前边在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出,如果文中有错误的地方,请评论指正,在此不胜感激受众前提阅读本文,默认读者已经过Spring Security有一定的了解,对OAuth2流程有一定了解本文目标带领读者对Spring Security O...

			
		

	





	

		

			

				
					
spring-security-oauth2详细配置demo

				
			

			

				

					09-30
				

			

		

		

			
				
2. **授权流程**:OAuth2定义了几种授权类型,如授权Authorization Code Grant)、隐式(Implicit Grant)、密(Resource Owner Password Credentials Grant)和客户端凭证(Client Credentials Grant)。...

			
		

	





	

		

			

				
					
spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring

				
			

			

				

					09-20
				

			

		

		

			
				
OAuth2.0的核心流程包括授权Authorization Code)流、隐式(Implicit)流、客户端凭据(Client Credentials)流和资源所有者密凭证(Resource Owner Password Credentials)流。在这个示例中,我们关注的是...

			
		

	





	

		

			

				
					
spring-boot-oauth2-demo

				
			

			

				

					05-12
				

			

		

		

			
				
5. **Authorization Flow**:包括授权流程(Authorization Code Grant)、密模式(Resource Owner Password Credentials Grant)、客户端凭据模式(Client Credentials Grant)等,根据应用场景选择合适的授权...

			
		

	





	

		

			

				
					
oauth2-demo:回复:从零开始的Spring Security Oauth2

				
			

			

				

					02-24
				

			

		

		

			
				
新增授权authorization_code模式使用说明 尝试直接访问qq信息 http://localhost: 8080 /qq/info/ 250577914 / 提示需要认证:  < oauth> 	 		Full authentication is required to access this resource 	 	 		...

			
		

	





	

		

			

				
					
Oauth2_淘宝授权JAVA后端源代demo

				
			

			

				

					07-06
				

			

		

		

			
				
在这个项目中,用户通过浏览器访问我们的JAVA前端应用,前端应用引导用户跳转到淘宝的授权页面,用户同意授权后,淘宝会返回一个授权Authorization Code)给我们的后端服务器。  在后端部分,Java应用接收到这个...

			
		

	





	

		

			

				
					
SpringBoot Spring Security OAuth2 密模式

				
			

			

				

					csl12919的博客
				

				

					11-28
					
					1151
					
				

			

		

		

			
				
SpringBoot Spring Security OAuth2 授权模式_没有计划。的博客-CSDN博客我们可以通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密登录,二维登录,手机短信登录,指纹认证等方式。

			
		

	





	

		

			

				
					
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考

				
			

			

				

					玖涯博客
				

				

					03-09
					
					4804
					
				

			

		

		

			
				
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。

目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,

			
		

	





	

		

			

				
					
Spring Boot OAuth2 认证服务器搭建及授权认证演示

				
			

			

				

					oscar999的专栏
				

				

					07-26
					
					836
					
				

			

		

		

			
				
本篇基于JDK8 搭建Spring Boot 的OAuth 2的认证服务器, 并完全显示授权认证模式的完整过程

			
		

	





	

		

			

				
					
后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权模式

				
			

			

				

					qjyn1314的博客
				

				

					11-08
					
					8213
					
				

			

		

		

			
				
后端分离的Oauth2.0实践-授权模式

			
		

	





	

		

			

				
					
OAuth2授权模式---详解

				
			

			

				

					Ying_hao_kun的博客
				

				

					12-25
					
					1179
					
				

			

		

		

			
				
是一个业界标准的授权协议(authorization protocol),这里的授权是以委派代理(delegation)的方式。可以这样理解,OAuth 2.0提供一种协议交互框架,让某个应用能够以安全地方式获取到用户的委派书,这个委派书在OAuth 2.0中就是访问令牌(access token),随后应用便可以使用该委派书,代表用户来访问用户的相关资源。在OAuth 2.0的协议交互中,有四个角色的定义,

			
		

	





	

		

			

				
					
spring security oauth2 密模式自定义登录路径

				
			

			

				

					06-03
				

			

		

		

			
				
要自定义Spring Security OAuth2密模式的登录路径,你可以使用以下步骤:

1. 创建自定义登录页面和控制器,例如/login/custom。

2. 在Spring Security配置类中,使用formLogin()方法启用表单登录,并使用loginPage()方法指定登录页面的路径和permitAll()方法允许所有用户访问登录页面。

```
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login/custom")
                .permitAll()
                .and()
            .oauth2Login()
                .and()
            .oauth2Client();
    }
}
```

3. 在控制器中,编写处理登录请求的方法,并使用AuthenticationManager.authenticate()方法进行身份验证。如果身份验证成功,重定向到请求的资源,否则返回登录页面。

```
@Controller
public class LoginController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @GetMapping("/login/custom")
    public String showLoginForm() {
        return "login";
    }

    @PostMapping("/login/custom")
    public String submitLoginForm(@RequestParam String username, @RequestParam String password, HttpServletRequest request, HttpServletResponse response) {
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
        try {
            Authentication authentication = authenticationManager.authenticate(token);
            SecurityContextHolder.getContext().setAuthentication(authentication);
            return "redirect:" + request.getParameter("redirect_uri");
        } catch (AuthenticationException e) {
            return "login";
        }
    }

}
```

4. 在OAuth2客户端配置中,使用loginPage()方法指定登录页面的路径。

```
@Configuration
@EnableOAuth2Client
public class OAuth2ClientConfig {

    @Value("${security.oauth2.client.client-id}")
    private String clientId;

    @Value("${security.oauth2.client.client-secret}")
    private String clientSecret;

    @Value("${security.oauth2.client.access-token-uri}")
    private String accessTokenUri;

    @Value("${security.oauth2.client.user-authorization-uri}")
    private String userAuthorizationUri;

    @Value("${security.oauth2.client.redirect-uri}")
    private String redirectUri;

    @Value("${security.oauth2.client.scope}")
    private String scope;

    @Bean
    public OAuth2ProtectedResourceDetails oauth2ProtectedResourceDetails() {
        ClientCredentialsResourceDetails details = new ClientCredentialsResourceDetails();
        details.setClientId(clientId);
        details.setClientSecret(clientSecret);
        details.setAccessTokenUri(accessTokenUri);
        details.setScope(Arrays.asList(scope.split(",")));
        return details;
    }

    @Bean
    public OAuth2RestTemplate oauth2RestTemplate() {
        OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(oauth2ProtectedResourceDetails());
        restTemplate.setMessageConverters(Arrays.asList(new MappingJackson2HttpMessageConverter()));
        return restTemplate;
    }

    @Bean
    public OAuth2ClientContext oauth2ClientContext() {
        return new DefaultOAuth2ClientContext(new DefaultAccessTokenRequest());
    }

    @Bean
    public AuthorizationCodeResourceDetails authorizationCodeResourceDetails() {
        AuthorizationCodeResourceDetails details = new AuthorizationCodeResourceDetails();
        details.setClientId(clientId);
        details.setClientSecret(clientSecret);
        details.setAccessTokenUri(accessTokenUri);
        details.setUserAuthorizationUri(userAuthorizationUri);
        details.setScope(Arrays.asList(scope.split(",")));
        details.setUseCurrentUri(false);
        details.setPreEstablishedRedirectUri(redirectUri);
        details.setAuthenticationScheme(AuthenticationScheme.query);
        return details;
    }

    @Bean
    public OAuth2RestOperations oauth2RestOperations() {
        return new OAuth2RestTemplate(authorizationCodeResourceDetails(), oauth2ClientContext());
    }

    @Bean
    public OAuth2ClientAuthenticationProcessingFilter oauth2ClientAuthenticationProcessingFilter() {
        OAuth2ClientAuthenticationProcessingFilter filter = new OAuth2ClientAuthenticationProcessingFilter("/login/custom");
        OAuth2RestTemplate restTemplate = oauth2RestTemplate();
        restTemplate.setAccessTokenProvider(new AuthorizationCodeAccessTokenProvider());
        filter.setRestTemplate(restTemplate);
        UserInfoTokenServices tokenServices = new UserInfoTokenServices(userInfoUri(), clientId);
        tokenServices.setRestTemplate(restTemplate);
        filter.setTokenServices(tokenServices);
        return filter;
    }

    @Bean
    public FilterRegistrationBean oauth2ClientFilterRegistration(OAuth2ClientAuthenticationProcessingFilter filter) {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(filter);
        registration.setOrder(-100);
        return registration;
    }

    @Value("${security.oauth2.client.user-info-uri}")
    private String userInfoUri;

    @Bean
    public String userInfoUri() {
        return userInfoUri;
    }

}
```

这些步骤可以帮助你自定义Spring Security OAuth2密模式的登录路径。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值