Spring Security OAuth2 授权码模式 (Authorization Code)

最新推荐文章于 2024-10-30 10:49:43 发布
最新推荐文章于 2024-10-30 10:49:43 发布
阅读量5.5k 收藏 4
点赞数 2
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a294634473/article/details/116063601
版权

前言

Spring Security OAuth2 授权码模式 (Authorization Code)
应该是授权登录的一个行业标准

整体流程

  1. 首先在平台注册获取CLIENT_ID和CLIENT_SECRET 即应用id和key
  2. 第三方通过请求重定向到平台的登录页面
  3. 输入平台的账号密码之后点击确认授权重定向到第三方的页面并携带code
  4. 通过code获取token
  5. 通过token获取用户信息

code的实现逻辑

  • 自带的InMemoryAuthorizationCodeServices是用ConcurrentHashMap存储的
  • 通过父类的createAuthorizationCode方法生成一个code
  • 通过code获取token时通过remove获取对应的用户信息同时删除token 做到只能使用一次
  • 这里也不难看出 可以通过重新这个类来做到自定义的code
public class InMemoryAuthorizationCodeServices extends RandomValueAuthorizationCodeServices {
    protected final ConcurrentHashMap<String, OAuth2Authentication> authorizationCodeStore = new ConcurrentHashMap();

    public InMemoryAuthorizationCodeServices() {
    }

    protected void store(String code, OAuth2Authentication authentication) {
        this.authorizationCodeStore.put(code, authentication);
    }

    public OAuth2Authentication remove(String code) {
        OAuth2Authentication auth = (OAuth2Authentication)this.authorizationCodeStore.remove(code);
        return auth;
    }
}

对应的配置

  1. 数据库添加authorization_code
  2. 放行Login页面
protected void configure(HttpSecurity http) throws Exception {
               /* http.requestMatcher(new OAuth2RequestedMatcher()).authorizeRequests().antMatchers("ljl-auth/oauth/token","/login").permitAll().anyRequest().authenticated().and()
                .httpBasic().and().csrf().disable();*/
/*        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http
                .authorizeRequests();
        registry.and().addFilterBefore(securityOauthFilter, FilterSecurityInterceptor.class);*/

        http
                .requestMatchers().anyRequest()
                .and().authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/public/login","/oauth/**").permitAll()
                .antMatchers("/swagger-ui.html").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/v2/**").permitAll()
                .antMatchers("/swagger-resources/**").permitAll().and()
                .formLogin().permitAll()
                .and().csrf();
    }

由于我添加了各种自定义的认证模式所以要保持InMemoryAuthorizationCodeServices一致
之前通过code获取token一直报code失效 是因为InMemoryAuthorizationCodeServices不是单例 导致了去获取code的时候不是同一个对象

@Override
//重点inMemoryAuthorizationCodeServices
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore()).tokenGranter(tokenGranter)
                .authenticationManager(this.authenticationManager)
                .userDetailsService(OauthUserService).accessTokenConverter(jwtAccessTokenConverter()).authorizationCodeServices(inMemoryAuthorizationCodeServices());
    }


//重点inMemoryAuthorizationCodeServices
private AuthorizationCodeServices authorizationCodeServices() {
        if (authorizationCodeServices == null) {
            authorizationCodeServices = inMemoryAuthorizationCodeServices;
        }
        return authorizationCodeServices;
    }
private List<TokenGranter> getDefaultTokenGranters() {
        AuthorizationServerTokenServices tokenServices = tokenServices();
        AuthorizationCodeServices authorizationCodeServices = authorizationCodeServices();
        OAuth2RequestFactory requestFactory = requestFactory();

        List<TokenGranter> tokenGranters = new ArrayList<TokenGranter>();
        // 添加授权码模式
        tokenGranters.add(new AuthorizationCodeTokenGranter(tokenServices, authorizationCodeServices, clientDetailsService, requestFactory));
        // 添加刷新令牌的模式
        tokenGranters.add(new RefreshTokenGranter(tokenServices, clientDetailsService, requestFactory));
        // 添加隐士授权模式
        tokenGranters.add(new ImplicitTokenGranter(tokenServices, clientDetailsService, requestFactory));
        // 添加客户端模式
        tokenGranters.add(new ClientCredentialsTokenGranter(tokenServices, clientDetailsService, requestFactory));
        if (authenticationManager != null) {
            // 添加密码模式
            tokenGranters.add(new ResourceOwnerPasswordTokenGranter(authenticationManager, tokenServices, clientDetailsService, requestFactory));
            // 添加自定义授权模式(手机号码)
            tokenGranters.add(new MobileCodeTokenGranter(authenticationManager, tokenServices, clientDetailsService, requestFactory));
            // 添加自定义授权模式(cas)
            tokenGranters.add(new CasTicketTokenGranter(authenticationManager, tokenServices, clientDetailsService, requestFactory));
        }
        return tokenGranters;
    }

流程展示

浏览器上面通过请求到平台的登录页

http://127.0.0.1:8881/base/oauth/authorize?response_type=code&client_id=curl_client&client_secret=user&redirect_uri=http://baidu.com
在这里插入图片描述

输入账号密码

在这里插入图片描述

授权

在这里插入图片描述

获取token

在这里插入图片描述

通过code获取token

http://127.0.0.1:8881/base/oauth/token?grant_type=authorization_code&client_id=curl_client&client_secret=user&code=RAMMan&redirect_uri=http://baidu.com
在这里插入图片描述

Spring Security(十一):授权认证(OAuth2)-授权模式(authorization_code)
人不风流枉少年
06-25 3533
一:简介 二:代 1. pom.xml 注意:这里使用的springboot的版本为2.1.5.RELEASE,不同的版本功能实现上可能会有差异。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.o...
oauth2授权模式单点登录
学海无涯,我用JAVA
10-03 3384
oauth2 有四种模式,常用的为密授权,剩下两种几乎不用密模式,很好理解,就是根据输入的用户名/密进行登录认证的,最终返回一个合法token授权(grant_type = authorization_code), 是利用唯一的客户端信息,申请的一个临时授权,然后根据授权换取合法token,可以利用这个特性,达到单点登录的效果提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Spring Security OAuth2 Demo —— 授权模式 (Authorization Code)
CHIKA2333的博客
07-29 1677
redirectUris校验是否同一个客户端这个,可能说的不是很准确,说下大体流程,我们在授权服务器上配置了这个回调地址,授权服务器在用户授权成功后,返回授权的地址就是它,另外我们后续申请token时,也需要传递这个回调地址,所以我的理解是校验是否是同一客户端发来的第二次请求(换token时)除了配置用户,我们需要对服务的资源进行保护,这里将所有的请求都要求通过认证才可以访问,用户登录需要使用httpBasic形式(就是那种网页弹个窗要求登录的那种😄)code=2e6450。
spring security oauth2 authorization code模式
weixin_34293141的博客
12-04 442
为什么80%的农都做不了架构师?>>> ...
spring security code
涓涓细流,汇成波涛汹涌的大海
04-03 830
概论:spring security主要是对登录页面的安全认证设计了一套框架,可以和数据库结合起来,验证某人是否符合某个角色。 另外,如果想加入验证的话,和spring其实是没关系的,主要是通过一个jsp产生验证图片,并将验证对应的数字放在session里,在提交请求时将页面输入的验证和session里对应的数字进行比较即可。 spring security jar包下
spring security oauth2.0-authorization code
点点滴滴
05-26 307
授权可以简单理解为3方授权,就是A需要访问B,需要在C上授权.比如你登录CSDN,想通过微信(wechat)授权的方式.CSDN -->跳转到微信,微信提示你是否要授权CSDN访问你的信息你确认授权微信-->跳转回 CSDN,并携带授权CSDN --> 微信根据授权获取token,再根据token获取到用户信息.CSDN转换自己的token,并允许你继续访问CSDN.client_id=client_urlsimpleresponse参数解释client_
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式的基本结构主要由三个部分组成:authorization-code-authorization-server、authorization-code-resource-server 和 authorization-code-client。authorization-code-...
java 授权模式_Spring Security OAuth2 授权模式的实现
weixin_32452447的博客
03-02 1203
写在前边在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式的demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出,如果文中有错误的地方,请评论指正,在此不胜感激受众前提阅读本文,默认读者已经过Spring Security有一定的了解,对OAuth2流程有一定了解本文目标带领读者对Spring Security O...
SpringSecurity-2】Springboot + SpringSecurity + Oauth2授权模式
最新发布
dabing9的博客
10-30 725
本篇接上篇内容,拿到授权后,客户端往授权服务器发送请求,携带拿到的授权,获取对应的access_token,然后可以拿着授权服务器颁发的access_token访问资源服务器。到目前为止,我们暂时只搭建了一个授权服务器,我们通过手动调用接口默认客户端,后续,我们逐步完善。本篇主要完成的三个任务:(1)通过获取到的授权获取access_token(2)如何搭建一个资源服务器?(3)通过拿到的access_token如何去访问资源服务器? (2)获取access_token 成功获取acces
springboot2.x实现oauth2授权登陆的方法
08-25
主要介绍了springboot2.x实现oauth2授权登陆的方法,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security Oauth2实践(1) - 授权模式
奔跑的蜗牛
09-21 3954
笔者最近花了点时间研究Oauth2原理,基于spring写了一些demo用于实践探索,深深体会到Spring Security Oauth2框架的便利,框架帮我们封装太多了底层实现,所以使用起来非常方便,除了可以为第三方应用提供授权,也可以作为应用的登录框架。 文章基于Spring Security Oauth2.0授权模式实践,采用SpringBoot搭建Demo讲述基本使用过程。 概述 ...
SpringBoot Spring Security OAuth2 密模式
csl12919的博客
11-28 1221
SpringBoot Spring Security OAuth2 授权模式_没有计划。的博客-CSDN博客我们可以通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密登录,二维登录,手机短信登录,指纹认证等方式。
Spring Security Oauth2核心组件之AuthorizationCodeServices
clyu的博客
01-10 1548
我们知到授权服颁发Token我们可以存储在授权服中,也可以存储在MySQL中,当然也可以存储在Redis中,这个我们是通过TokenStore来实现的,这个我这里就不做重点介绍了,但是授权服中不止给第三方办法Token,当我们在做授权认证的时候我们还向客户端颁发了一个授权!那么AuthorizationCodeServices对象就是关于这个授权颁发后怎么存储的对象! 1、AuthorizationCodeServices public interface AuthorizationCodeServi
Spring Security Oauth2-授权模式(Finchley版本)
热门推荐
AaronSimon的博客
10-30 2万+
一、授权模式原理解析(来自理解OAuth 2.0) 授权模式authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与&amp;quot;服务提供商&amp;quot;的认证服务器进行互动。其具体的流程如下: 具体步骤: A:用户访问客户端(client),客户端告知浏览器(user-Agent)重定向到授权服务器 B:呈现授权界面给用户,用户选择是否给予客户端授权 C...
Oauth2认证模式授权模式实现
08-12 2131
Oauth2认证模式授权模式authorization code) 本示例实现了Oauth2之授权模式授权模式authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。 阅读本示例之前,你需要先有以下两点基础: 需要对spring security有一定的配置使用经验,用户认证这一块...
SpringCloud security +oauht2.0 授权authorization_code模式+jwt 实现微服务的认证和授权(一)
qq_44605317的博客
06-22 1662
1.授权模式讲解 1.1:根据图片 我们看的出来 用户认证以后 我们拿到授权 根据授权 去获取token,那这个认证的过程 我们就不用去做了,我们只管用户登录成功以后 我们来拿到token 1.2:把password模式修改成 authorization_code 模式 password模式 如果你是看我这个文章来的 我们只需要 修改以下内容,如果你是新来了,可以去我的gitHub看这篇文章的源地址 1.3:修改 WebSecurityConfig 文件 package com.exa
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值