Spring Sercurity OAuth2的介绍以及主要授权模式的使用

最新推荐文章于 2024-10-11 17:18:12 发布
最新推荐文章于 2024-10-11 17:18:12 发布
阅读量477 收藏
点赞数 1
分类专栏: OAuth2 Spring Secruity SpringBoot 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YOUNGljx/article/details/105909968
版权
本文介绍了OAuth2的基本概念,包括其角色和授权流程,并详细讲解了密码模式和授权码模式的使用。在密码模式中,客户端直接获取用户凭证请求令牌,适用于前后端分离的场景。授权码模式常用于第三方平台登录,需要客户端和服务端的交互。文中通过配置授权服务器、资源服务器和Security进行了实战演示,并展示了如何使用Postman进行测试。
摘要由CSDN通过智能技术生成

一个Java小白的学习之路 个人博客 youngljx.top

在这里插入图片描述

OAuth2的介绍

OAuth2的基本角色

  • 用户(资源所有者)
  • 客户端(第三方应用)
  • 授权服务器
  • 资源服务器

授权流程

  • 用户打开客户端以后,客户端要求用户给予授权
  • 用户同意给予客户端授权
  • 用户端使用获取的授权向认证服务器申请令牌。
  • 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
  • 客户端使用令牌,向资源服务器申请获取资源。
  • 资源服务器确认令牌无误,同意向客户端开发资源

OAuth2 协议一共支持 4 种不同的授权模式

  1. 授权码模式:常见的第三方平台登录功能基本都是使用这种模式。
  2. 简化模式:简化模式是不需要客户端服务器参与,直接在浏览器中向授权服务器申请令牌(token),一般如果网站是纯静态页面则可以采用这种方式。
  3. 密码模式:密码模式是用户把用户名密码直接告诉客户端,客户端使用说这些信息向授权服务器申请令牌(token)。这需要用户对客户端高度信任,例如客户端应用和服务提供商就是同一家公司,我们自己做前后端分离登录就可以采用这种模式。
  4. 客户端模式:客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权,严格来说,客户端模式并不能算作 OAuth 协议要解决的问题的一种解决方案,但是,对于开发者而言,在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。

url

  • /oauth/authrize 用于授权服务请求
  • /oauth/token 用于获取访问令牌
  • /oauth/confirm_access 用户发送确认授权到这里
  • /oauth/error 用户呈现授权服务器授权出错的请求

本文主要记录比较重要的密码模式和授权码模式

密码模式

添加依赖:

  <!--添加redis依赖,redis具有过期等功能,适合令牌的存储-->
  <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-redis</artifactId>
   </dependency>

    <!--security-oauth2依赖-->
    <dependency>
         <groupId>org.springframework.security.oauth</groupId>
         <artifactId>spring-security-oauth2</artifactId>
         <version>2.3.6.RELEASE</version>
    </dependency>

配置授权服务器:

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
   

    /**
    * @Description:  用来支持password模式
    */
    @Autowired
    AuthenticationManager authenticationManager
最低0.47元/天 解锁文章
youngljx
关注
专栏目录
oauth2 四种授权模式
蔡定努
05-24 492
支持的授权模式 password,client_credentials,authorization_code,refresh_token,implicit 一 授权模式 先提交相信的信息去获取一个一次性code http://127.0.0.1:8888/oauth/authorize?client_id=admin&response_type=code&scop=all&redirect_uri=http://www.baidu.com ----------.
Spring Security Oauth2实践(1) - 授权模式
奔跑的蜗牛
09-21 3951
笔者最近花了点时间研究Oauth2原理,基于spring写了一些demo用于实践探索,深深体会到Spring Security Oauth2框架的便利,框架帮我们封装太多了底层实现,所以使用起来非常方便,除了可以为第三方应用提供授权,也可以作为应用的登录框架。 文章基于Spring Security Oauth2.0授权模式实践,采用SpringBoot搭建Demo讲述基本使用过程。 概述 ...
OAuth2授权模式
越努力越幸运。
01-18 944
传统的客户端-服务器身份验证模型中存在的问题。在这种模型中,客户端通过使用资源所有者的凭据对服务器进行身份验证,从而请求访问受限资源(受保护的资源)。为了使第三方应用程序能够访问受限资源,资源所有者需与第三方共享其凭据。第三方应用程序通常需要明文存储资源所有者的凭据(通常是密码),以备将来使用。服务器需要支持密码身份验证,而且密码身份验证存在安全弱点。第三方应用程序可能获得对资源所有者受保护资源的过于广泛的访问权限,而资源所有者无法限制对资源的访问时长或访问的资源子集。
SpringBoot实现OAuth客户端
m0_60681411的博客
09-20 947
利用SpringBoot 实现OAuth客户端的两种实现方式。
OAuth2--授权模式
吴声子夜歌的博客
03-31 869
授权模式
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 5573
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
探索OAuth 2.0授权模式:全面解析与场景应用选择
最新发布
Takumilove的博客
10-11 696
OAuth 2.0授权框架允许第三方应用程序在用户的同意下访问其资源,而不需要直接暴露用户的登录凭据。它基于令牌的机制,使用一系列的“授权模式(grant types)”来适应不同的应用环境和需求。授权模式(Authorization Code Grant)简化模式/隐藏式(Implicit Grant)密码模式(Resource Owner Password Credentials Grant)客户端凭证模式(Client Credentials Grant)
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
Spring cloud Oauth2的密码模式内存方式实现登录授权验证
灰太狼
12-09 1927
oauth2有四种授权模式,是授权模式,简化模式,密码模式,客户端模式。 1.oauth2的使用场景 目前大多数网站授权都是使用oauth2, 比如单点登录,第三方授权登录,微信登录,微博登录等等。这些第三方授权登录使用的是oauth2的授权模式授权。 2.oauth2实现统一认证功能 接下来采用oauth2的密码模式实现授权主要应用于登录场景,输入用户名,密码进行验证。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服
SpringBoot3.0 + SpringSecurity6.0 +OAuth2 使用Github作为授权登录
weixin_46076174的博客
06-16 3746
开放授权OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。过程如下: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获
OAuth2有哪几种授权模式
越努力越幸运。
01-18 536
OAuth2的授权模式包括以下四种:
spring securityoauth2整合开发资料汇总
01-26
spring securityoauth2整合开发资料汇总,自己总结收集的。
springboot2.x实现oauth2授权码登陆的方法
08-25
主要介绍springboot2.x实现oauth2授权码登陆的方法,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
OAuth2四种授权模式
Leon_Jinhai_Sun的博客
12-17 1445
OAuth2四种授权模式
Oauth2的四种授权模式
张俊杰 的博客
02-07 1693
密码模式 密码模式,认证服务器是自己内部的服务器.密码模式可以做企业内部的单点登录,微服务的安全校验.   适用的业务场景 客户端应用(手机app) 是高度受信用的,一般是自己公司开发的app项目。 ​ 比如说公司有 订单服务 商品服务 会员服务 等等,你要是想访问这些服务就需要认证,你不可能每一个服务都自己去实现一套授权认证系统, 这样一来就把所有的服务的认证功能都独立出一个认证服务出来. 我们请求过来了之后可以先去认证服务进行一个认证,如果认证完了拿到一个access_to
OAuth2 的四种授权模式
乌鲁木齐001号程序员
07-17 266
OAuth2 四种授权模型 Resource owner password | 手机 APP Resource owner password.png 适用于 APP,APP(客户端应用,对应于 Web 应用的 Angular + Node 开发的前端应用) 是自己开发的,可以完全信任; 这种方式不适用于 Web 应用,因为 Web 应用的使用形态,username 和 passwor...
关于OAuth2的三种常用授权模式
xxt0412的博客
01-15 1371
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本文主要介绍一下OAuth2的四种授权模式 一、OAuth2是什么? 讲解OAuth2之前,先了解几个专用名词。 Third-party application:第三方应用程序,又称“客户端”(client) HTTP service:HTTP服务提供商,简称“服务提供商” Resource Owner:
OAuth2】授权框架的四种授权方式详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-24 7003
OAuth 2是一种授权框架,允许第三方应用通过用户授权的形式访问服务中的用户信息,最常见的场景是授权登录;再复杂一点的比如第三方应用通过 Github 给开发者提供的接口访问权限内的用户信息或仓库信息。OAuth2 广泛应用于 web 、桌面应用、移动 APP 的第三方服务提供了授权验证机制,以此实现不同应用间的数据访问权限。下面分别从不同角色、授权类型、使用场景及流程的纬度详细介绍 OAuth2。
OAuth2的四种授权方式
qq_46073180的博客
01-31 1613
OAuth2四种授权方式
springboot整合springSercurity登入逻辑退出逻辑代码以及认证授权代码代码
05-15
1. 登录逻辑代码: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception { return new JwtAuthenticationFilter(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean(BeanIds.AUTHENTICATION_MANAGER) @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() .csrf() .disable() .exceptionHandling() .authenticationEntryPoint(unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); // 添加JWT filter http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); } } ``` 2. 认证授权代码: ``` @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override @Transactional public UserDetails loadUserByUsername(String usernameOrEmail) throws UsernameNotFoundException { // 查找用户 User user = userRepository.findByUsernameOrEmail(usernameOrEmail, usernameOrEmail) .orElseThrow(() -> new UsernameNotFoundException("User not found with username or email : " + usernameOrEmail) ); // 返回用户详情 return UserPrincipal.create(user); } @Transactional public UserDetails loadUserById(Long id) { // 查找用户 User user = userRepository.findById(id).orElseThrow( () -> new ResourceNotFoundException("User", "id", id) ); // 返回用户详情 return UserPrincipal.create(user); } } ``` 3. 退出逻辑代码: ``` @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private JwtTokenProvider tokenProvider; @Autowired private HttpServletRequest request; @PostMapping("/logout") public ResponseEntity<?> logout() { // 清除本地的认证信息 SecurityContextHolder.getContext().setAuthentication(null); // 获取JWT token String jwt = getJwtFromRequest(request); // 验证并删除JWT token if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) { tokenProvider.deleteToken(jwt); } // 返回成功信息 return ResponseEntity.ok(new ApiResponse(true, "You have been successfully logged out.")); } private String getJwtFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7, bearerToken.length()); } return null; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值