OAuth2密码模式

最新推荐文章于 2023-10-24 23:42:59 发布
最新推荐文章于 2023-10-24 23:42:59 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: OAuth2 文章标签: web
原文链接:https://mp.weixin.qq.com/s/33Oxu6YMjwco3WRE07_IiQ
版权

OAuth2密码模式

授权模块的改动

首先对 auth-server 进行改造,使之支持 password 模式:

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.inMemory()
            .withClient("admin")
            .secret(new BCryptPasswordEncoder().encode("123"))
            .resourceIds("res1")
            .authorizedGrantTypes("password","refresh_token")
            .scopes("all")
            .redirectUris("http://localhost:8082/02.html");
}

这里其他地方都不变,主要是在 authorizedGrantTypes 中增加了 password 模式。

由于使用了 password 模式之后,用户要进行登录,所以我们需要配置一个 AuthenticationManager,还是在 AuthorizationServer 类中,具体配置如下:

@Autowired
AuthenticationManager authenticationManager;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
            .authenticationManager(authenticationManager)
            .tokenServices(tokenServices());
}

那么这个 authenticationManager 实例从哪里来呢?这需要我们在 Spring Security 的配置中提供,这松哥在之前的 Spring Security 系列教程中说过多次,我就不再赘述,这里直接上代码,在 SecurityConfig 中添加如下代码:

@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
}

配置完成后,重启 auth-server。

接下来配置 client-app,首先我们添加登录功能,修改 index.html ,如下:

<body>
你好,江南一点雨!

<form action="/login" method="post">
    <table>
        <tr>
            <td>用户名:</td>
            <td><input name="username"></td>
        </tr>
        <tr>
            <td>密码:</td>
            <td><input name="password"></td>
        </tr>
        <tr>
            <td><input type="submit" value="登录"></td>
        </tr>
    </table>
</form>
<h1 th:text="${msg}"></h1>
</body>

我们来看登录接口:

package com.example.clientapp.controller;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpEntity;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.client.RestTemplate;

import java.util.Map;

/**
 * @author 朝花不迟暮
 * @version 1.0
 * @date 2020/10/31 17:41
 */
@Controller
public class LoginController
{
    private final Logger log = LoggerFactory.getLogger(this.getClass());
    private static Map<String, Object> resp;

    @Autowired
    RestTemplate restTemplate;

    @PostMapping("/login")
    public String login(String username, String password, Model model)
    {
        MultiValueMap<String, String> map = new LinkedMultiValueMap<>();
        map.add("username", username);
        map.add("password", password);
        map.add("client_secret", "123");
        map.add("client_id", "admin");
        map.add("grant_type", "password");
        resp = restTemplate.postForObject("http://localhost:8080/oauth/token", map, Map.class);
        String access_token = (String) resp.get("access_token");
        Integer expires_in = (Integer) resp.get("expires_in");
        log.info("【获取token的过期时间】 expires_in:{}",expires_in);
        HttpHeaders headers = new HttpHeaders();
        headers.add("Authorization", "Bearer " + access_token);
        HttpEntity<Object> httpEntity = new HttpEntity<>(headers);
        ResponseEntity<String> entity = restTemplate.exchange("http://localhost:8081/admin/hello", HttpMethod.GET, httpEntity, String.class);
        model.addAttribute("msg", entity.getBody());
        return "02.html";
    }

    @RequestMapping("02.html")
    public String loginPage()
    {
        return "02";
    }
}

在登录接口中,当收到一个用户名密码之后,我们通过 RestTemplate 发送一个 POST 请求,注意 post 请求中,grant_type 参数的值为 password,通过这个请求,我们可以获取 auth-server 返回的 access_token,格式如下:

{access_token=02e3a1e1-925f-4d2c-baac-42d76703cae4, token_type=bearer, refresh_token=836d4b75-fe53-4e41-9df1-2aad6dd80a5d, expires_in=7199, scope=all}

我们提取出 access_token 之后,接下来去请求资源服务器,并将访问到的数据放在 model 中。

OK,配置完成后,启动 client-app,访问 http://localhost:8082/02.html 页面进行测试。授权完成后,我们在项目首页可以看到如下内容:
在这里插入图片描述
码云:https://gitee.com/thirtyleo/common-codes.git

朝花不迟暮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot攻略十三、spring security oauth2服务端(password密码模式)
java爱分享
08-01 2124
上一篇:【SpringBoot攻略十二、spring security集成】 1、pom.xml添加依赖 <!-- spring-security-oauth2 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <ar...
OAuth2 实现password与secret加密传输,解决明文传输问题
最新发布
uchiha1st的博客
06-05 760
解决oauth2获取Token过程中password与client_secret明文传输的问题
Spring Security Oauth2 之密码模式
Java知音
07-01 678
点击关注公众号,实用技术文章及时了解 作者:歪桃 blog.csdn.net/m0_37892044/article/details/113058924前言,因为最近的项目是用Spri...
spring security oauth2 password授权模式
weixin_33748818的博客
12-03 1192
序 前面的一篇文章讲了spring security oauth2的client credentials授权模式,一般用于跟用户无关的,开放平台api认证相关的授权场景。本文主要讲一下跟用户相关的授权模式之一password模式。 回顾四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) ...
Spring Security Oauth2 认证流程(password模式
热门推荐
穷水叮咚的博客
07-08 1万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、password ...
Spring Authorization Server扩展实现OAuth2.0的密码模式
admin_15082037343的博客
06-07 2473
Spring官方已经停止对Spring Security Oauth2的维护,项目和相关文档也被移除Spring Authorization Server是官方新推出的OAuth2.1和OpenID Connect1.0的实现两个主要的版本,0.4.x:jdk8。1.x: jdk17这里用的版本是0.4.1OAuth2.0已经不在推荐使用密码模式OAuth2.1已经废除密码模式,这是为了安全考虑。
spring-security-oauth2密码模式
u013008898的博客
06-12 1387
AuthorizationServerConfig: SecurityConfig:
oauth2密码模式java版
12-12
在"OAuth2密码模式"(Resource Owner Password Credentials Grant)中,用户直接向授权服务器提供其用户名和密码,授权服务器验证成功后,会向客户端发放访问令牌。这种模式适用于高度信任的场景,例如,当客户端是...
oauth2密码模式分离
08-09
OAuth2的多种授权模式中,“密码模式”(Resource Owner Password Credentials Grant)是常见的一种,但这种模式存在一定的安全风险,因为它涉及到客户端直接处理用户的用户名和密码。因此,"oauth2密码模式分离...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
oauth2密码模式mysql模式
08-13
在"OAuth2密码模式"(Resource Owner Password Credentials Grant)中,用户直接向授权服务器提供其用户名和密码,授权服务器验证成功后,会颁发一个访问令牌(Access Token)给客户端。这种方式适用于高度信任的...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
在“Spring Cloud Oauth2的密码模式数据库方式实现登录授权验证”这个主题中,我们将深入探讨如何利用OAuth2的密码模式,通过数据库存储用户信息来实现用户的登录授权验证。 首先,OAuth2是一种开放标准,主要用于...
Spring Authorization Server 1.1 扩展实现 OAuth2 密码模式与 Spring Cloud 的整合实战
有来技术
10-24 8090
本文基于开源微服务商城项目 youlai-mall、Spring Boot 3 和 Spring Authorization Server 1.1 版本,演示了如何扩展密码模式,以及如何将其应用于 Spring Cloud 微服务实战。
一步步入门搭建SpringSecurity OAuth2(密码模式
我神级欧文的博客
02-05 4779
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
SpringBoot OAuth2.0 认证授权(密码模式)
狮子大大
03-26 1438
SpringBoot OAuth2.0 认证授权(密码模式) SpringBoot 整合 SpringSecurity,token 落地,前后端分离接口安全。 SpringBoot 环境搭建和入门:Spring Boot 2.x 快速入门 导入 mysql 脚本 包含用户表,oauth2.0 数据脚本 https://gitee.com/shizidada/moose-resource/blob/master/moose-security.sql 全部 : https://gitee.com/shizid
Spring Security oauth2(四)密码模式源码解析
歪桃的博客
04-16 9017
前言,因为最近的项目是用Spring Security Aauth2来实现用户授权平台,本来想有时间的时候把整个流程写一下博客,实在抽不出时间,刚好有水友用密码模式有问题,就顺便把这密码模式整理下。 1.Oauth2原理 OAuth2.0是一种授权机制,正常情况,不使用OAuth2.0等授权机制的系统,客户端是可以直接访问资源服务器的资源的,为了用户安全访问数据,在访问中间添加了Access Token机制。客户端需要携带Access Token去访问受到保护的资源。所以OAuth2.0确保了资源不被恶意客
spring-security-oauth2-authorization-server实现用户名密码登录
笑对人生
08-09 1354
spring-security-oauth2-authorization-server实现用户名密码登录
Spring Oauth2-Authorization-Server private-key-jwt 模式
面朝大海,春暖花开
05-04 1153
Spring Oauth2-Authorization-Server private key jwt 模式 基于 spring-security-oauth2-authorization-server 0.2.3 参数 参数值 scope 域 grant_type 授权类型:client_credentials client_assertion_type jwt type: urn:ietf:params:oauth:client-assertion-type:jwt-bearer
Spring Authorization Server 自定义授权模式
moresi的博客
02-07 3810
自定义 Spring Authorization Server 授权模式 - 密码模式(password)
Java 实现Oauth2 密码模式客户端
06-10
Java 实现 OAuth2 密码模式客户端可以使用 Spring Security OAuth2 客户端库。下面是一个简单的示例: 首先,需要在 pom.xml 文件中添加 Spring Security OAuth2 客户端库的依赖: ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> ``` 然后,可以使用以下代码获取访问令牌: ```java import org.springframework.security.oauth2.client.OAuth2RestTemplate; import org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordResourceDetails; // 创建 OAuth2RestTemplate ResourceOwnerPasswordResourceDetails resourceDetails = new ResourceOwnerPasswordResourceDetails(); resourceDetails.setAccessTokenUri("https://oauth2.example.com/token"); resourceDetails.setClientId("your_client_id"); resourceDetails.setClientSecret("your_client_secret"); resourceDetails.setUsername("your_username"); resourceDetails.setPassword("your_password"); OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails); // 使用 OAuth2RestTemplate 发送请求 String result = restTemplate.getForObject("https://api.example.com/resource", String.class); ``` 在上面的代码中,我们首先创建了一个 ResourceOwnerPasswordResourceDetails 对象,并设置了访问令牌 URI、客户端 ID、客户端密钥、用户名和密码等参数。然后,我们使用这些参数创建了一个 OAuth2RestTemplate 对象,并使用它发送了一个请求。 需要注意的是,使用密码模式获取访问令牌需要在 OAuth2 服务器上启用密码模式,并且客户端需要被授权使用密码模式。另外,密码模式通常不被推荐使用,因为它需要客户端存储用户的用户名和密码,这可能会导致安全风险。建议使用其他授权方式,如授权码模式或隐式授权模式
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值