SpringSecurtiy OAuth2 (3) Implicit Grant - 隐式模式

最新推荐文章于 2023-10-12 16:58:20 发布
最新推荐文章于 2023-10-12 16:58:20 发布
阅读量946 收藏 1
点赞数
分类专栏: # Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caplike/article/details/107023974
版权

文章目录

关于 SpringSecurity OAuth2 的 4 种模式的简要介绍性文章:
SpringSecurtiy OAuth2 (2) Authorization Code Grant - 授权码模式
SpringSecurtiy OAuth2 (3) Implicit Grant - 隐式授权模式
SpringSecurtiy OAuth2 (4) Resource Owner Password Grant - 密码模式
SpringSecurtiy OAuth2 (5) Client Credentials Grant - 客户端模式

更多细节和底层原理, 稍后会有专门的文章介绍.

关于

上一篇 中我们知道, 第三方应用获取授权码的 URL 形如:

http://localhost:18910/authorization-server/oauth/authorize?response_type=code&client_id=<client-id>&client_secret=<client-secret>&scope=access

而本篇要介绍的隐式授权模式, 它的 URL 形如:

http://localhost:18777/authorization-server/oauth/authorize?response_type=token&client_id=<client-id>&scope=access_resource

response_type=token, 表示直接返回 token. 整个过程没有后端介入, token 可以直接在前端, 所以很不安全. 隐式授权模式要求: 用户登录并对第三方应用进行授权, 直接返回访问 access-token, 通过token访问资源. 相比授权码模式, 它少了一次授权码的颁发与客户端使用授权码换取 access-token 的过程.
用户登陆后直接返回:

http://localhost:9001/callback#access_token=edc84920-5588-44f5-80d1-8d9cf79d3d14&token_type=bearer&expires_in=119

适用场景

  • 用户参与: 使用隐式授权需要与用户交互, 用户对授权服务器进行登录与授权
  • client_secret: 访问授权时, 不需要带第三方应用的 client_secret, 前提是资源服务校验 access_token 使用的客户端信息与第三方应用不同, 且配置了 client_secret.
  • 必须要有前端

整体流程

  1. 客户端让用户登陆授权服务器换 access_token
    1. 客户端 (浏览器或者 SPA) 将 client_id + 授权模式标识 (response_type) + 回调地址 (redirect_uri) 拼成 url 访问授权服务器的授权端点;
    2. 授权服务器跳转到用户登陆界面, 用户登陆
    3. 用户授权
    4. 授权服务器访问回调地址返回 access_token 给客户端的前端
  2. 客户端使用 access_token 访问资源
    1. 客户端在请求头中添加 access_token, 访问资源服务器;
    2. 资源服务器收到请求, 先调用校验 access_token 的方法 (可以是远程调用授权服务器的校验端点, 也可以直接访问授权存储器手动校对)
    3. 资源服务器校验成功, 返回资源

在这里插入图片描述

实现

代码结构:

├─implicit-authorization-server
│  │  implicit-authorization-server.iml
│  │  pom.xml
│  │  README.md
│  │  
│  └─src
│     └─main
│         ├─java
│         │  └─c
│         │      └─c
│         │          └─d
│         │              └─s
│         │                  └─s
│         │                      └─o
│         │                          └─i
│         │                              └─authorization
│         │                                  └─server
│         │                                      │  ImplicitAuthorizationServer.java
│         │                                      │  
│         │                                      └─configuration
│         │                                              AuthorizationServerConfiguration.java
│         │                                              SecurityConfiguration.java
│         │                                              
│         └─resources
│                 application.yml
│
└─implicit-resource-server
   │  pom.xml
   │  
   └─src
      └─main
          ├─java
          │  └─c
          │      └─c
          │          └─d
          │              └─s
          │                  └─s
          │                      └─o
          │                          └─i
          │                              └─resource
          │                                  └─server
          │                                      │  ImplicitResourceServer.java
          │                                      │  
          │                                      ├─configuration
          │                                      │      ResourceServerConfiguration.java
          │                                      │      
          │                                      └─controller
          │                                              ResourceController.java
          │                                              
          └─resources
                  application.yml

授权服务器 (Authorization Server)

AuthotizationServerConfiguration

代码上和授权码模式差别不大, 需要关注的是在授权服务器中定义客户端的时候需要指定 authorizedGrantTypesimplicit.

/**
 * 授权服务器配置
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-06-10 11:43
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.allowFormAuthenticationForClients()
                // 参数与 security 访问控制一致
                .checkTokenAccess("isAuthenticated()");
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // @formatter:off
        clients.inMemory()

                // ~ client-a
                .withClient("client-a")
                    // .secret(passwordEncoder.encode("client-a-p"))
                    .accessTokenValiditySeconds(120)
                    .resourceIds("resource-server")
                    .scopes("access_resource")
                    .redirectUris("http://localhost:9001/callback")
                    .authorizedGrantTypes("implicit")

                .and()

                // ~ 资源服务器校验 token 时用的客户端信息, 仅需要 client_id 和 client_secret
                .withClient("resource-server")
                    .secret(passwordEncoder.encode("resource-server-p"))
        ;
        // @formatter:on
    }


    // ~ autowired
    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }

    // ~ bean
    // -----------------------------------------------------------------------------------------------------------------

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

SecurityConfiguration

/**
 * Spring Security 配置
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-06-10 11:43
 */
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser(User.builder().username("caplike").password(passwordEncoder.encode("caplike-p")).authorities("USER").build());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin();
        http.authorizeRequests().anyRequest().authenticated();
    }

    // ~ autowired
    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }
}

资源服务器 (Resource Server)

ResourceServerConfiguration

/**
 * 资源服务器配置
 *
 * @author LiKe
 * @version 1.0.0
 * @date 2020-06-11 15:14
 */
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId("resource-server").tokenServices(remoteTokenServices()).stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }

    // -----------------------------------------------------------------------------------------------------------------

    /**
     * @return {@link RemoteTokenServices}
     */
    private RemoteTokenServices remoteTokenServices() {
        final RemoteTokenServices tokenServices = new RemoteTokenServices();
        tokenServices.setCheckTokenEndpointUrl("http://localhost:18777/implicit-authorization-server/oauth/check_token");
        tokenServices.setClientId("resource-server");
        tokenServices.setClientSecret("resource-server-p");
        return tokenServices;
    }

}

测试

分别启动两个服务器:
在这里插入图片描述

总结

本篇简要介绍了 Spring Security OAuth2 Implicit Grant 的实现, 更多细节会在后续文章中详细阐述.
可以看到, 在用户登陆成功并授权后, 授权服务器直接返回了访问令牌. 而不是想授权码模式那样, 先返回一个授权码再有第三方应用使用授权码 POST 请求授权服务器换取令牌. 所以, 隐式授权模式的安全性低于授权码模式.

caplike
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security如何优雅的增加OAuth2协议授权模式
zlt2000的博客
09-02 1901
一、什么是OAuth2协议? OAuth 2.0 是一个关于授权的开放的网络协议,是目前最流行的授权机制。 数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 由于授权的场景众多,OAuth 2.0 协议定义了获取令牌的四种授权方,分别是: 授权码模式:授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的.
springboot-oauth2-angular2:具有Spring Security,oauth2和IMPLICIT模式的SpringBoot应用程序
05-17
Spring Oauth2 angular 2,4,5应用 Spring Oauth2 Angular 2,4,5 App的示例应用程序 您可以在我的博客上找到有关此应用程序的一些注意事项: 应用程序使用SpringBoot 2,Spring Security 5,angular-oauth2-oidc库提供对angular oauth的支持。 它为以下方面提供支持: - SpringBoot Oauth2 resource server - SpringBoot Oauth2 authorization server - Angular2 access to backend data - IMPLICIT flow support with token silent refresh - custom spring login page 它包含两个模块后端和前端 要安装和运行应用程
oauth:implicit
ry的专栏
04-15 420
二、 授权 仅需临时访问的场景 用户会定期在API提供者那里进行登录 OAuth客户端运行在浏览器中(Javascript、Flash等) 浏览器绝对可信,因为该类型可能会将访问令牌泄露给恶意用户或应用程序 1. 让用户明白所做的操作并请求认证 这一步与授权码认证模式中的操作类似,即当牵涉到OAuth认证时,应首先让用户明确该操作。然后将用户引导至授权
spring中如何实现参数传递_Spring Security OAuth2 Demo —— 授权模式Implicit)...
weixin_39893042的博客
12-24 321
本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html写在前面在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,上一篇文章Spring Security OAuth2 Demo —— 授权码模式简单演示了OAuth2的授权码模式流程,本文继续整理授权模式相关内容写文...
oauth2.0 php简化模式,OAuth2.0学习(1-5)授权方2-简化模式implicit grant type)
weixin_28929303的博客
03-20 351
授权方2-简化模式(implicit grant type)简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。它的步骤如下:(A)客户端将用户导向认证服务器。(B)用户决定是否给于客户端授权。(C)假设用户给予授权,认证服务器将用...
spring-security-oauth2
03-17
2. 流程(Implicit Grant):适用于无服务器端的SPA(单页应用),直接在浏览器中返回访问令牌。 3. 客户端凭据流程(Client Credentials Grant):客户端直接使用自己的凭证获取访问令牌,适用于机器对机器的...
spring-security-oauth2详细配置demo
09-30
2. **授权流程**:OAuth2定义了几种授权类型,如授权码(Authorization Code Grant)、Implicit Grant)、密码(Resource Owner Password Credentials Grant)和客户端凭证(Client Credentials Grant)。...
oauth2-java-demo-master
07-10
4. 授权(Implicit Grant):主要用于浏览器内的JavaScript应用。授权服务器直接在URL中返回访问令牌,但不适用于需要长期存取令牌的场景,因为令牌可能被中间人窃取。 在"oauth2-java-demo-master"项目中,你...
Spring-Security-Oauth2
07-09
3. **Spring Security Oauth2 实现** - **配置OAuth2 Server**: 配置授权服务器,包括定义授权范围、客户端详情、令牌服务等。 - **配置Resource Server**: 设置资源服务器,识别和验证OAuth2令牌。 - **数据库...
yaaS-implicit-grant:该项目包括一个代码示例,该代码示例展示了在项目中运行中的OAuth2授权流。 可以在YaaS中创建服务的开发人员使用它
05-14
该存储库包含2个子目录: YaaS-Implicit-Grant和YaaS-Implicit-Grant-With-SCI 。 要使用YaaS身份提供程序运行“授予”示例,请打开YaaS-Implicit-Grant目录,并按照README.md文件中包含的说明进行操作。 要...
Spring Security 与 OAuth2(授权服务器)
chucan4529的博客
01-26 1126
Spring Security 与 OAuth2 authrization-server(授权服务器) 授权服务配置 配置一个授权服务,需要考虑 授权类型(GrantType)、不同授权类型为客户端(Client)提供了不同的获取令牌(Token)方,每一个客户端(Client)都能够通...
spring security实战 4-使用模式(implicit grant type)保护资源
weixin_33802505的博客
06-26 207
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring security和oauth2.0来保护你的资源,。 课程从第...
(三)、基于Spring Security OAuth2 实现 implicit + jwt 方的单点登录
qq_30062125的博客
01-31 2354
更多相关文章请见:Spring Security文章目录 1、简介 某些场景下 单点登录系统sso 和 应用系统sso-client直接网络无法联通,可以考虑直接使用implicitoauth2 + jwt 进行实现。 实现目标: 多应用系统单点登录功能(一次登录,访问多个系统,默认通过sso会话实现登录保持,集群环境可以考虑将session也转成token)。 应用系统 to...
oauth2.0协议之Implicit grant模式解析
code人生
04-07 5150
implicit grand 模式又称client-side 模式,主要用在没有无法安全存储access token的使用场景。适用于所有无Server端配合的应用(由于应用往往位于一个User Agent里,如浏览器里面,因此这类应用在某些平台下又被称为Client-Side Application),如手机/桌面客户端程序、浏览器插件等,以及基于JavaScript等脚本客户端脚本语言实现的应
oauth2 clientid作用_Oauth 2.0 授权机制
weixin_39785400的博客
11-26 4029
在了解 Oauth 2.0 之前,我们先看一下令牌和密码到底有什么关系,其实令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异:令牌是短期的,到期会自动失效,且用户自己无法修改;密码一般长期有效,用户不修改,就不会发生变化。令牌可以被数据的所有者撤销,会立即失效。令牌有权限范围(scope)对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。上...
Spring Security OAuth2详解
最新发布
qq_33814479的博客
10-12 6525
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3759
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
(四)OAuth 2.0 授权模式Implicit
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 1693
前言 授权模式要求:用户登录并对第三方应用进行授权,直接返回访问token,通过token访问资源。相比授权码模式,它少了一次授权码的颁发与客户端使用授权码换取token的过程。 授权模式适用场景 适用场景有以下几个条件: 用户参与:使用授权需要与用户交互,用户对授权服务器进行登录与授权。 单页应用:SPA前端,没有后端或者后端属于授权方。 客户端密码:访问授权时,不需要带第三方应用secret,前提是资源服务校验token使用的client信息与客户端(第三方应用)不同,且配置了secret
oauth2 如果要对不同授权模式做 令牌增强 该怎么实现
07-13
常见的授权模式包括授权码模式(Authorization Code Grant)、模式Implicit Grant)、资源所有者密码模式(Resource Owner Password Credentials Grant)和客户端凭证模式(Client Credentials Grant)等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值