SpringBoot使用security实现OAuth2

最新推荐文章于 2024-08-24 19:14:38 发布
最新推荐文章于 2024-08-24 19:14:38 发布
阅读量7k 收藏 25
点赞数 4
分类专栏: springboot 文章标签: oauth2 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cwh_971111/article/details/118208759
版权
本文详细介绍了如何使用SpringBoot结合SpringSecurity实现OAuth2授权码模式,包括Authorization Server Configuration和Resource Server Configuration的配置,以及授权码模式的工作流程。文中还提到了授权服务器和资源服务器的配置细节,如ClientDetailsServiceConfigurer、AuthorizationServerSecurityConfigurer、AuthorizationServerEndpointConfigurer等,并强调了安全性和实际应用中的注意事项。
摘要由CSDN通过智能技术生成

SpringBoot使用security实现OAuth2

OAuth2

OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。

我们从一个常见的例子来看:

我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的好友列表。并且过段时间不登录之后,我们会发现又要再次认证,这是因为之前的认证令牌过期了,需要重新申请。

这就是OAuth的一个大概思路流程

  1. 客户端要求用户给予授权
  2. 用户同意授权
  3. 客户端通过获得授权向认证服务器申请token
  4. 认证服务器对客户端进行认证,通过认证之后发放token
  5. 客户端可以通过token向资源服务器申请资源
  6. 资源服务器确认通过之后,向客户端开放资源

OAuth2又分为四种不同的授权模式(简化模式和密码模式由于安全度太低已被遗弃):

  1. 授权码模式:这是最常用也是安全度最高的一种模式,通过获取授权码增加安全性
  2. 简化模式:直接申请令牌并且返回令牌,主要用于申请端只有前端没有服务器的情况,例如微信小程序
  3. 密码模式:需要用户提供账号密码,通过账号密码获取token,这种模式安全度极低,不推荐
  4. 客户端模式:与用户无关的一种模式,直接是服务器之间的通信,例如内部系统间的API调用

接下来主要讲讲授权码这个核心授权模式

授权码模式

授权码模式authorization code,指的是客户端首先向认证服务器申请一个授权码,然后通过该授权码再去向授权服务器申请token

     +----------+
     | Resource |
     |   Owner  |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier      +---------------+
     |         -+----(A)-- & Redirection URI ---->|               |
     |  User-   |                                 | Authorization |
     |  Agent  -+----(B)-- User authenticates --->|     Server    |
     |          |                                 |               |
     |         -+----(C)-- Authorization Code ---<|               |
     +-|----|---+                                 +---------------+
       |    |                                         ^      v
      (A)  (C)                                        |      |
       |    |                                         |      |
       ^    v                                         |      |
     +---------+                                      |      |
     |         |>---(D)-- Authorization Code ---------'      |
     |  Client |          & Redirection URI                  |
     |         |                                             |
     |         |<---(E)----- Access Token -------------------'
     +---------+       (w/ Optional Refresh Token)

步骤如下:

A 用户访问客户端,客户端将用户导向认证服务器,并且携带重定向URI

https://authorization-server.com/auth?
response_type=code
&client_id=CLIENT_ID
&redirect_uri=REDIRECT_URI
&scope=photos
&state=1234zyx
&code_challenge=CODE_CHALLENGE
&code_challenge_method=S256

response_type=code 表示授权类型为授权码模式

client_id 表示客户端ID,第一次创建应用的时候获得

redirect_uri 表示重定向URI用户在认证完成之后将用户返回到特定URI

scope 表示申请的权限范围,例如READ

state 应用随机指定的值,用于后期验证

code_challenge code_challenge=transform(code_verifier,[Plain|S256])

如果method=Plain,那么code-challenge=code_verifier

如果method=S256,那么code_challenge等于code_verifierSha256哈希

在授权码请求中带上code_challenge以及method,这两者与服务器颁发的授权码绑定。

code_verifier为客户端生成一个的随机字符串

客户端在用授权码换取token时,带上初始生成的code verifier,根据绑定的方法进行计算,计算结果与code_challenge相比,如果一致再颁发token

code_challenge_method=S256 标明使用S256 Hashing方法

B 用户选择是否对客户端授权

C 授权之后,认证服务器将用户导向之前传入的重定向URI,并且附上授权码

如果用户点击了Allow了,那么服务器将重定向并且附上授权码

https://example-app.com/cb?code=AUTH_CODE_HERE&state=1234zyx

code即为授权码,授权码有效期很短,一般为10分钟,并且客户端只能使用一次。该码与客户端ID和重定向URI是一对一关系

state之前传入的state

我们首先要比较传入的state与之前的state是否相同(之前的state可以存在cookie中),用于确认没有被劫持。<

最低0.47元/天 解锁文章
Cwh_971111
关注
  • 4
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring securityOAuth2 四种授权模式概念
weixin_40991408的博客
05-27 2792
Springboot +spring securityOAuth2 四种授权模式概念
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
Spring SecurityOAuth2:构建安全Web应用的强大组合
Innocence_0的博客
07-24 1281
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
Spring Boot整合 Spring SecurityOAuth2
m0_56799642的博客
12-08 2267
OAuth是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式OAuth相关的名词第三方应用程序,比如这里的虎牙直播;HTTP服务提供商,比如这里的QQ(腾讯);资源所有者,就是QQ的所有人,你;User Agent用户代理,这里指浏览器;认证服务器,这里指QQ提供的第三方登录服务;资源服务器,这里指虎牙直播提供的服务,比如高清直播,弹幕发送等(需要认证后才能使用)。认证服务器主要包含了四种授权模式的实现和Token的生成与存储资源服务器。
SpringBoot Spring Security OAuth2 密码模式
csl12919的博客
11-28 1190
SpringBoot Spring Security OAuth2 授权码模式_没有计划。的博客-CSDN博客我们可以通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。
Spring Boot Security OAuth2 入门
weixin_42073629的博客
05-02 2178
1. 概述 本文,我们来入门 Spring Security OAuth2.0 的使用。通过本文,希望你对 OAuth2.0 有一次身临其境的感受。 另外,这是一篇入门的文章,所以实际场景下,需要做一些微调。当然,需要微调的地方,笔者会在示例中说明,以免误导。 如果你是 OAuth2.0 的萌新,建议先通读阮一峰大神的《理解OAuth 2.0》。因为,本文不会去阐述 OAuth2.0 概念...
Spring BootSpring SecurityOauth2实现的权限控制和认证服务
https://gitee.com/micai-code
02-16 3273
新一代基于Spring BootSpring SecurityOauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等、详情请点击下面的项目地址查看,欢迎大家使用体验,觉得不错的给个star,谢谢
springboot2.0.X使用spring security oauth2
qq_36344441的博客
01-30 925
最近收到一个任务使用spring security做一个oauth2的授权服务器和资源服务器,授权方式为Client_Credentials写一个demo,官方文档对这方面的描述比较少,官方项目中只有一个demo,是个spring项目,所有东西都存在了内存中,虽然他提供了Enable注解,因为我们要求的是client-id,client-secret等存入数据库把token存入redis,当然他官...
springboot整合SecurityOAuth2实现权限控制
09-24
在本教程中,我们将探讨如何将Spring BootSpring SecurityOAuth2结合,实现在分布式系统中的权限控制,并利用Redis存储认证和授权信息。 首先,Spring SecuritySpring生态中的核心安全组件,它提供了全面的...
基于Springboot集成securityoauth2实现认证鉴权、资源管理.zip
04-08
【标题】"基于Springboot集成securityoauth2实现认证鉴权、资源管理"是一个综合性的IT项目,旨在演示如何在Spring Boot应用中整合Spring SecurityOAuth2,以提供安全的认证与授权服务。Spring SecuritySpring...
springboot+springsecurity+oauth2.zip
07-21
在"springboot+springsecurity+oauth2"项目中,这三个组件的结合使用通常涉及到以下流程: 1. **身份验证**:SpringSecurity负责验证用户凭证,可以是用户名和密码,也可以通过OAuth2的授权服务器进行认证。 2. **...
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (一)
06-19 1120
配置:Maven,SpringBoot3.3.0,Spring-Security-oauth2-authorization-server 1.3.0(这个在pom中是用starter代替掉了),最后是JDK17,当然jdk版本不是必须的,其它版本也是可以的,只要别太低。作者当前用的SpringBoot是3.3.0的,算是比较新的版本,在这个版本的依赖列表中,Spring Authorization Server的版本是1.3.0。这里非常确定的告诉大家,资源服务器的代码和授权服务代码是写在一个项目中的。
Spring Boot 整合 Spring Security + OAuth2
程序员35
04-02 5696
学习在 Spring Boot 中整合 Spring SecurityOAuth2 。 1 OAuth2 概述 1.1 OAuth2 简介 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服...
Spring Security + OAuth2】OAuth2
weixin_43676950的博客
05-22 1042
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
SpringSecurity整合OAuth2.0
热门推荐
玩转Java
12-10 1万+
springsecurity整合aoth2.0
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 4499
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
Spring BootSpring Security 的集成及 OAuth2 实现
最新发布
2202_76097976的博客
08-24 3139
本文介绍了如何在 Spring Boot 应用中集成 Spring SecurityOAuth2 进行安全保护。首先,配置了 Spring Security 来控制访问权限,允许匿名访问部分资源并保护其他资源。接着,通过 OAuth2 客户端实现与 Google 的授权集成,使应用能够获取访问令牌并保护 API。最后,展示了前端如何使用访问令牌请求受保护的资源,从而增强应用的安全性和用户体验。
springboot整合spring security oauth2 代码示例
03-22
以下是一个简单的 Spring Boot 整合 Spring Security OAuth2 的代码示例: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值