SpringSecurity和OAuth2认证授权流程

VIP文章 已于 2024-01-14 07:59:23 修改
阅读量2.1k 收藏 9
点赞数 2
分类专栏: JAVA 文章标签: 认证授权流程 SpringSecurity SecurityOauth2
于 2023-04-24 07:33:13 首次发布
^_^ ^_^ ^_^
本文链接:https://blog.csdn.net/Michael_lcf/article/details/130334316
版权

SpringSecurity和OAuth2认证授权流程

1、SpringSecurity认证授权流程

1.1、SpringSecurity认证流程

1】用户发起登录请求,请求登录接口 /login(SpringSecurity默认登录接口地址)。
2】过滤器 UsernamePasswordAuthenticationFilter 使用 RequestMatcher 验证当前请求是否是在请求 /login 接口,如果是调用 UsernamePasswordAuthenticationFilter#attemptAuthentication(HttpServletRequest request, HttpServletResponse response) 方法开始认证。
3】attemptAuthentication方法在请求中获取到 username、password 参数封装成一个 UsernamePasswordAuthenticationToken 对象,调用AuthenticationManager#authenticate(Authentication authentication)方法认证(AuthenticationManager 的默认实现 ProviderManager)ProviderManager认证是由实现了 AuthenticationProvider 接口的各种 provider对象 认证的),这里完成默认认证逻辑的是DaoAuthenticationProvider 对象,默认由DaoAuthenticationProvider#retrieveUser(String username, UsernamePasswordAuthenticationToken authentication);然后由UserDetailsService#loadUserByUsername(String username)获取UserDetails对象。
4】进入后面的认证成功或失败处理逻辑。

1.2、SpringSecurity授权流程

1】拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的FilterSecurityInterceptor 的子类拦截。
2】获取资源访问策略,FilterSecurityInterceptor 会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection<ConfigAttribute>
SecurityMetadataSource其实就是读取访问策略的抽象,而读取的内容,其实就是我们配置的访问规则,读取访问策略如:
http.authorizeRequests().antMatchers(“/r/r1”).hasAuthority(“p1”)…
3】最后,FilterSecurityInterceptor会调用 AccessDecisionManager 进行授权决策:若决策通过,则允许访问资源;否则将禁止访问。

// 通过传递的参数来鉴定用户是否有访问对应受保护资源的权限
public interface AccessDecisionManager {
   
	void decide(Authentication authentication , Object object, Collection<
最低0.47元/天 解锁文章
Michael_lcf
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security认证授权流程
weixin_47618391的博客
05-27 5222
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
Spring Security进行登录认证授权
afjja的博客
08-19 5368
我们要定制化实现接口来达到从数据库查询用户信息,所以重新写一个实现类。然后认证通过使用用户id生成一个jwt(也就是token),然后用userId作为key,用户信息作为value存入redis中。用户第一次登陆认证流程如下图。导入依赖
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
一文弄懂Spring Security oauth2授权认证流程
qq_36551991的博客
12-01 775
spring security oauth2.0授权认证流程
Spring Security认证授权流程
最新发布
2303_78503642的博客
03-05 1760
在以上代码的for循环中,第一次拿到的 provider 是一个 Anonymous Authentication Provider。Spring Security会监听这个事件,接收到这个Authentication对象,进而调用 SecurityContextHolder.getContext().setAuthentication(...)方法,将 Authentication Manager返回的 Authentication对象,存储在当前的 Security Context 对象中。
springsecurity+oauth 2.0分布式认证授权案例-授权的验证3
健康平安的活着的专栏
08-29 1288
授权码模式交互 (1).资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com 参数列表如下: client_id:客户端准入标识。 response_type:授权码模式固定为code。 sc.
(三) Spring Security Oauth2.0 源码分析--认证中心全流程分析
Instanceztt的博客
12-05 1964
认证中心可以简单的理解为是对Spring Security的加强,也是通过(其原理可参考前面的Security源码分析)对客户端进行校验后在达到自定义token颁发站点,进行token的颁发,具体流程如下: 通过前面的文章分析,我们知道SpeingSecurity通过FilterChainProxy来完成相应的校验,我们断点看看他经历了那些校验 我们主要观察的是ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilte这两个过滤器,里面的其他
SpringSecurity权限框架项目开发教程(附讲义和源码)
09-05
Spring SecuritySpring家族中的重要成员,它基于Spring框架,提供了一套Web应用安全性的完整解决方案。本套视频教程适合具备一定软件开发经验的人员,学前需掌握JavaWeb和SSM框架。教程主要内容有:Spring Security框架概述、Spring Security入门和基本原理、Spring Security基于Web的权限方案、、Spring Security源码剖析,详细讲解了Spring Security框架,内容由浅入深,理论实践相结合,更深入源码级学习。 通过本套教程的学习,你将对于Spring Security框架在各种场景下的使用,以及内部的实现原理,有更加深入的认识。 课程讲义:注:讲义格式为markdown格式,可以下载相关markdown软件打开浏览。另:课程相关源码课在课程附件中学习。 
史诗级的SpringSecurity认证授权的相关概念及流程讲解!!!
qq_44723773的博客
11-11 8423
Web应用的开发,安全是至关重要的,选择使用SpringSecurity是目前来说较为正确的选择。SpringSecurity框架起源于2003年年底acegi系统,起因是 Spring开发者邮件列表中的一个问题,有人提问是否考虑提供一个基于Spring的安全实现。基于SpringBoot+MP+Redis+Vue实现的前后端分离的权限管理系统Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是其中的一员。
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 9080
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
spring-oauth2
09-26
OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供商”,只能登录授权层,以此将用户与客户端分离。“客户端”登录需要获取OAuth提供的令牌,否则将提示认证失败而导致客户端无法访问服务。关于OAuth2这里就不多作介绍了,网上资料详尽。下面我们实现一个 整合 SpringBoot 、Spring Security OAuth2 来实现单点登录功能的案例并对执行流程进行详细的剖析。
OAuth2-Server
05-11
1.关于OAuth2 1-1 OAuth2 开放协议,以安全,标准化的方式在Web,移动和桌面应用程序中进行安全身份验证 第三方通用认证标准 1-2 OAuth2认证过程 1-3 OAuth2身份验证方法(授予类型) 1.授权流程 从Web服务器进行身份验证时最常用的方法 客户端使用授权码接收访问令牌 2.隐式赠款流程 客户端的OAuth2身份验证方法 无需额外的身份验证代码交换步骤的简化的立即返回访问令牌流程 由于安全性问题,一般不建议使用 不发行刷新令牌 3.资源所有者密码凭证流 发行带有用户(资源所有者)的ID和密码的访问令牌 4.客户凭证流 发出带有客户端信息(客户端ID和客户端密钥)的访问tokendmf 在使用客户自己的信息而不是用户信息时使用 5.刷新令牌 存在现有刷新令牌时重新发布访问令牌时使用 1-4资源所有者密码凭证流使用情况 HTTP要求 方法:开机自检 标头:
Spring Security OAuth2.0学习笔记.zip
10-27
理解Spring Security的工作原理,Spring Security结构总览,认证流程授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? ...
Fortify代码扫描问题及修复
热门推荐
michael_linux的博客,一个小学生。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
cron表达式小本本
michael_linux的博客,一个小学生。
07-16 8108
cron表达式用于配置cronTrigger的实例。 cron表达式实际上是由七个子表达式组成,至少由六个子表达式组成。 Cron有如下两种语法格式: (1)Seconds Minutes Hours DayofMonth Month DayofWeek Year (2)Seconds Minutes Hours DayofMonth Month DayofWeek 这些表达式之间用空格分隔。如下: 1、 Seconds (秒) 2、 Minutes(分) 3、 Hours(小时) 4、 Day-of-M
短信链接跳转微信小程序
michael_linux的博客,一个小学生。
02-14 4473
1 实现方案 1.1 通过URL Scheme实现 1.2 通过URL Link实现 1.3 通过云开发静态网站实现 2 实现方案对比 3 实践 URL Schema 方案 3.1 获取微信access_token 3.2 获取openlink 3.3 H5页面(模拟短信跳转,验证ok) 4 反馈问题 4.1 ios和Android 对URLSchema兼容性 4.2 URL Schema官方变更2022年4月11日 4.2.1 调用上限及有效期 4.2.2 一个urlSchema只能一个用户访问
RabbitMQ实现分布式WebSocket通信
michael_linux的博客,一个小学生。
08-18 3945
1、实现思路 2、效果截图 2.1 单用户推送消息 2.1 多用户推送消息 2.1 多用户间发送消息 3、代码实现
springsecurity oauth2认证详细流程
05-12
Spring Security OAuth2 是一个基于 Spring SecurityOAuth2 认证框架。下面是 Spring Security OAuth2 认证的详细流程: 1. 用户访问客户端应用程序,客户端应用程序将用户重定向到认证服务器。 2. 用户在认证服务器上进行身份验证并授权客户端应用程序。 3. 认证服务器将授权令牌(Access Token)发送回客户端应用程序。 4. 客户端应用程序使用授权令牌访问资源服务器。 5. 资源服务器将检查授权令牌的有效性并返回响应。 6. 客户端应用程序收到响应并将其呈现给用户。 在 Spring Security OAuth2 中,以上流程可以被分为以下几个步骤: 1. 配置客户端应用程序和认证服务器信息。 2. 通过 Spring Security 配置认证服务器的安全性。 3. 创建授权服务器和资源服务器。 4. 定义用户详细信息服务和令牌存储服务。 5. 配置 OAuth2 安全过滤器链。 6. 通过 OAuth2RestTemplate 从客户端应用程序访问资源服务器。 总的来说,Spring Security OAuth2 认证是一个复杂的过程,需要配置和实现多个组件。但一旦完成,它提供了一个安全的认证机制,允许用户使用其授权令牌访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值