Spring Security OAuth2入门实战

最新推荐文章于 2024-05-28 09:53:53 发布
最新推荐文章于 2024-05-28 09:53:53 发布
阅读量996 收藏 2
点赞数 1
分类专栏: Spring Security 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengqiuming/article/details/103317097
版权

一 参考文章

实战前先看下面5篇文章,以对OAuth2是什么有个初步的了解。

下面4篇是概念篇

http://www.ruanyifeng.com/blog/2019/04/oauth_design.html

http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

http://www.ruanyifeng.com/blog/2019/04/github-oauth.html

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

下面这篇是实战篇。

http://www.spring4all.com/article/449

二 基本概念

看完这几篇文章,应该知道oauth2的4种模式:

  • 授权码模式(authorization code)

  • 简化模式(implicit)

  • 密码模式(resource owner password credentials)

  • 客户端模式(client credentials)

应该知道以下很重要的一组概念:

(1)Third-party application:第三方应用程序,一般也称为"客户端"(client)。例如:"云冲印"。

(2)HTTP service:HTTP服务提供商,简称"服务提供商",例如:Google服务提供商。

(3)Resource Owner:资源所有者。一般指"用户"(user)。

(4)User Agent:用户代理,一般指浏览器。

(5)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。

(6)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

三 基本流程

应该知道基本运行流程

(A)用户打开客户端以后,客户端要求用户给予授权。

(B)用户同意给予客户端授权。

(C)客户端使用上一步获得的授权,向认证服务器申请令牌。

(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

(E)客户端使用令牌,向资源服务器申请获取资源。

(F)资源服务器确认令牌无误,同意向客户端开放资源。

四 源码位置

https://github.com/cakin24/oauth2-demo/tree/master/client-credentials

五 测试

1 启动client-credentials

2 password模式测试

浏览器输入

http://localhost:8080/oauth/token?username=user_1&password=123456&grant_type=password&scope=select&client_id=client_2&client_secret=123456

页面显示

{"access_token":"b16810cf-a0b0-4ae2-922e-b8543aaad35e","token_type":"bearer","refresh_token":"4fbd78f2-7240-4303-a1b9-99126f2aa15c","expires_in":43199,"scope":"select"}

浏览器输入

http://localhost:8080/order/1

页面显示

{
    "error": "unauthorized",
    "error_description": "Full authentication is required to access this resource"
}

浏览器输入

http://localhost:8080/product/1

页面显示

product id : 1

浏览器输入

http://localhost:8080/order/1?access_token=b16810cf-a0b0-4ae2-922e-b8543aaad35e

3 client模式测试

浏览器输入

http://localhost:8080/oauth/token?grant_type=client_credentials&scope=select&client_id=client_1&client_secret=123456

页面显示

{
    "access_token": "a68ffc52-909a-42bb-ac7f-252b4d63599c",
    "token_type": "bearer",
    "expires_in": 43199,
    "scope": "select"
}

浏览器输入

http://localhost:8080/product/1?access_token=a68ffc52-909a-42bb-ac7f-252b4d63599c

页面显示

product id : 1

以上测试结果都符合password模式和client模式的预期。

 
 
chengqiuming
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9273
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
Oauth2.0实战
qq_41201565的博客
07-22 2186
oauth2.0 授权
微服务安全Spring Security Oauth2实战
最新发布
zzz6583zz的博客
05-28 901
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
OAuth2实战》书籍勘误
xy596356456的博客
05-26 805
就是这本书的勘误奥,别找错了 我在学习OAuth的时候看了这本书,并按照书籍中的示例进行了一下代码的编写,中间也遇到了一些问题,以下是在书籍官网(https://manning-content.s3.amazonaws.com/download/e/f23189b-69ff-4802-b99e-512f9e36ca3b/Richer_OAuth2InAction_err3.html)上寻找的勘误粘贴在下边,供大家便于查改,然后后边还有我自己找到的部分问题,会在文章末尾. 3.2.2 ...
OAuth 2实战》代码.zip
01-15
OAuth 2实战》代码.zip
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式。
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用程序和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。Spring Security OAuth2.0...
Spring Boot 入门实战
09-19
此外,我们还会涉及到Spring Boot的安全管理,如使用Spring Security进行身份验证和授权,以及如何集成OAuth2实现社交登录功能。 在实战环节,我们将通过一个完整的项目案例,一步步引导你从零开始搭建并部署一个...
狂神Spring Security静态资源
05-15
- 学习Spring Security后,可以应用于各种场景,如RESTful API保护、前后端分离的应用、OAuth2服务提供等。 10. **持续学习与社区支持** - Spring Security社区活跃,有许多论坛、Stack Overflow问题以及官方文档...
简单的springsecurity实战,非常适合springsecurity入门级别的老铁学习,这个小demo采用的.zip
02-23
这个实战项目针对初学者,旨在帮助理解 Spring Security 的基本概念和配置过程。在这个小型的示例项目中,我们将探讨以下几个核心知识点: 1. **Spring Security 概述**:Spring Security 是一个模块化的安全框架,...
基于SpringCloud完整的微服务架构实战
01-27
12. **Spring Cloud OAuth2**: 提供基于Spring SecurityOAuth2的安全工具,实现身份验证和授权。 在实际应用架构中,这些组件共同协作,构建出一套完整的微服务系统。例如,`registry`服务作为Eureka服务器,`...
OAuth2.0 实战总结
凡的博客
04-19 2055
OAuth2.0 实战总结
Spring Security实现OAuth2协议及实战
qq_43372633的博客
05-13 2406
OAuth2是目前最流行的授权协议,用来授权第三方应用,获取用户数据。举个例子:快递员想要进入小区,有3种方式。1是业主远程开门,2是业主告诉门禁密码,3是使用令牌(Oauth2)。如图:令牌和密码的区别:令牌相当于火车票,密码相当于是钥匙。令牌是短期的,自动失效。密码是长期有效。令牌是可以撤销的,撤销立即生效。密码一般不允许他们撤销。令牌有权限范围,如车票座位为10车A15座。密码一般是完整权限。第三方登录演示(网易云客户端利用QQ扫码登录)
spring security OAuth2 实战
swadian2008的博客
09-18 2502
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。OAuth协议:https://tools.ietf.org/html/rfc6749OAuth 基本概念Third-party application:第三方应用程序,又称"客户端"(client),比如京东商城。
OAuth2.0四种授权模式以及Oauth2.0实战
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式。 Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
SpringSecurity OAuth2实现单点登录,微信扫码登录,Redis缓存验证码---入门实战
热门推荐
m0_62681080的博客
04-25 2万+
SpringSecurity OAuth2实现用户认证权限,包含微信扫码登录、Redis缓存验证码、发布邮箱测试、用户登录、注册、忘记密码功能实现
Spring Security OAuth2 实战
qq_34898847的博客
11-16 1217
Spring Security OAuth2 实战
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值