uaa 授权_使用UAA引导OAuth2授权服务器

最新推荐文章于 2024-01-28 03:23:45 发布
最新推荐文章于 2024-01-28 03:23:45 发布
阅读量2.1k 收藏 4
点赞数 1
文章标签: 数据库 java linux python 中间件
原文链接:https://www.javacodegeeks.com/2017/02/bootstrapping-oauth2-authorization-server-using-uaa.html
版权
本文介绍了如何使用Cloud Foundry的UAA项目启动本地OAuth2授权服务器,并通过uaac CLI工具填充数据,包括创建客户端和用户,执行授权_code流程。后续文章将展示如何利用这个授权服务器保护资源。
摘要由CSDN通过智能技术生成

uaa 授权

快速获得强大的OAuth2服务器在本地计算机上运行的方法是使用出色的Cloud Foundry UAA项目。 UAA用作Cloud Foundry部署中的基础OAUth2授权服务器,可以大规模扩展,但仍然很小,可以在适度的硬件上启动。

我将在两篇文章中介绍如何使用UAA。 在本文中,我将介绍如何运行本地UAA服务器,并使用OAuth2 Authorization_code流中涉及的一些参与者(客户端和用户)来填充它,在后续文章中,我将展示如何使用此Authorization服务器。使用示例客户端应用程序并确保资源安全。

启动UAA

UAA项目的存储库位于https://github.com/cloudfoundry/uaa

下载项目很简单,只需克隆此仓库即可: 

git clone https://github.com/cloudfoundry/uaa

如果您有本地JDK,请使用以下命令启动它: 

./gradlew run

此版本的UAA使用内存数据库,因此,在重新启动应用程序时,生成的测试数据将丢失。

填充一些数据

与UAA交互的一种很棒的方式是其随附的名为uaac的CLI应用程序,可从此处获得 。 假设您已经下载了uaac cli,并且UAA在其默认端口8080上启动,那么让我们首先将uaac指向uaa应用程序: 

uaac target http://localhost:8080/uaa

并使用罐装客户端凭据之一(admin / adminsecret)登录: 

uaac token client get admin -s adminsecret

现在,客户端已登录,可以使用以下方式浏览令牌: 

uaac context

这将显示UAA发行的令牌的详细信息,如下所示: 

[3]*[http://localhost:8080/uaa]

  [2]*[admin]
      client_id: admin
      access_token: eyJhbGciOiJIUzI1NiJ9.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.B-RmeIvYttxJOMr_CX1Jsinsr6G_e8dVU-Fv-3Qq1ow
      token_type: bearer
      expires_in: 43199
      scope: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.read
      jti: d99b2850-bd45-4e97-822e-74a62e07f4c5

要查看更易读和解码的令牌形式,只需运行: 

uaac token decode

应该显示令牌的解码形式: 

jti: d99b2850-bd45-4e97-822e-74a62e07f4c5
  sub: admin
  authorities: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.read
  scope: clients.read clients.secret clients.write uaa.admin clients.admin scim.write scim.read
  client_id: admin
  cid: admin
  azp: admin
  grant_type: client_credentials
  rev_sig: e78b0213
  iat: 1487039776
  exp: 1487082976
  iss: http://localhost:8080/uaa/oauth/token
  zid: uaa
  aud: admin clients uaa scim

现在,创建一个全新的客户端(称为client1),我将在后续文章中使用它: 

uaac client add client1  \
  --name client1 --scope resource.read,resource.write \
  --autoapprove ".*"  \
  -s client1 \
  --authorized_grant_types authorization_code,refresh_token,client_credentials \
  --authorities uaa.resource

该客户端将向用户请求一个resource.read,resource.write范围,并将参与authorization_code授予类型的O​​Auth2流

创建系统的资源所有者或用户: 

uaac user add user1 -p user1 --emails user1@user1.com

并为此用户分配一个resource.read范围: 

uaac group add resource.read
uaac member add resource.read user1

进行测试流程

现在我们有了一个客户端和一个资源所有者,让我们快速执行一个authorization_code流程,uaac提供了一个方便的命令行选项,该选项提供了必要的重定向挂钩来捕获auth代码并将auth_code转换为访问令牌。 

uaac token authcode get -c client1 -s client1 --no-cf

调用上述命令应该会打开一个浏览器窗口,并提示用户输入凭据:

使用先前创建的user1 / user1用户登录时,应在命令行中以一条消息指示已成功获取令牌的方式进行响应,可以使用以下命令再次探索该令牌: 

uaac context

输出,显示登录用户的详细信息!: 

jti: c8ddfdfc-9317-4f16-b3a9-808efa76684b
  nonce: 43c8d9f7d6264fb347ede40c1b7b44ae
  sub: 7fdd9a7e-5b92-42e7-ae75-839e21b932e1
  scope: resource.read
  client_id: client1
  cid: client1
  azp: client1
  grant_type: authorization_code
  user_id: 7fdd9a7e-5b92-42e7-ae75-839e21b932e1
  origin: uaa
  user_name: user1
  email: user1@user1.com
  auth_time: 1487040497
  rev_sig: c107f5c0
  iat: 1487040497
  exp: 1487083697
  iss: http://localhost:8080/uaa/oauth/token
  zid: uaa
  aud: resource client1

这结束了设置本地UAA并添加OAuth2流中涉及的几个角色(客户端和用户)的旋风之旅。 我还没有介绍OAuth2流程本身,OAuth2的Digital Ocean简介是关于流程的很好的入门。

我将在这篇文章之后发表一篇有关如何使用此基础架构来保护示例资源的文章,并演示使用Spring Security和Spring Boot的流程。

翻译自: https://www.javacodegeeks.com/2017/02/bootstrapping-oauth2-authorization-server-using-uaa.html

uaa 授权

danpu0978
关注
OAuth2.0 四种授权模式(图解)
流楚丶格念的博客
07-21 2万+
fragment主要是用来标识URI所标识资源里的某个资源,在URI的末尾通过(#)作为fragment的开头,其中#不属于fragment的值。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)...
OAuth2.0 授权码认证方式使用流程
北辰
09-05 1484
第一步:访问认证服务 http://localhost:9001/oauth/authorize?response_type=code&client_id=资源服务在认证服务里面的ClientID 输入登录账户(admin)和密码(admin) 访问成功后,会回调到一个地址并且含有授权码 https://www.baidu.com/?code=ZuhQ3u 第二步: http://127.0.0.1:9001/oauth/token?grant_type=authorization_c
使用UAA OAuth2授权服务器–客户端和资源
最佳 Java 编程
06-05 878
在上一篇文章中,我介绍了如何使用Cloud Foundry UAA项目启动OAuth2授权服务器,以及如何使用OAuth2授权代码流程中涉及的一些参与者来填充它。 我已经在Digital Ocean网站上找到了这篇文章,在描述OAuth2授权代码流方面做得很好,因此,与其重新哈希该流中涉及的内容,我不如直接使用Spring Boot / Spring Security来实现该流。 下...
使用UAA引导OAuth2授权服务器
danpu0978的博客
04-28 1279
快速获得强大的OAuth2服务器在本地计算机上运行的方法是使用出色的Cloud Foundry UAA项目。 UAA用作Cloud Foundry部署中的基础OAUth2授权服务器,可以大规模扩展,但仍然很小,可以在适度的硬件上启动。 我将在两篇文章中介绍如何使用UAA。 在本文中,我将介绍如何运行本地UAA服务器,并使用OAuth2authorization_code流中涉及的一些参与...
uaa权限scope
iteye_6700的博客
01-13 385
token管理 tokens.write:token除权,包括用户和客户端token tokens.read:token读取,包括用户和客户端token UAA用户组管理 scim.read:读用户和组  scim.write:添加/更新/删除用户和组 password.write:修改自己的密码 scim.userids:访问用户 ids/user的endpoint scim...
开源项目OCP中uaa-server-spring-boot-starter模块注解分析
抛弃幻想,准备斗争
02-02 582
UAA】从部署到接口调用
逛街的喵啊
04-08 6243
UAA搭建 the User Account and Authentication (UAA) Server,用户账户、鉴权服务。 The primary role of UAA is as an OAuth2 provider, issuing tokens for client apps. OAuth defines four roles: resource owner An entity capable of granting access to a protected resource. Wh
jwt oauth2 对接_使用JWT的OAuth2的SSO分析
weixin_39617006的博客
12-20 577
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2/README.adochttp://jwt.io/introduction/本文在文章的基础上扩展,使用jwt可减少了向认证服务器的请求,但jwt比swt(Simple Web Tokens)要长不少,还要依赖公钥解密....
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
最新发布
qq_25156781的博客
01-28 2999
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1618
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
UAA服务设置
MINMIN0的博客
02-15 1722
开始使用某些Predix平台服务之前,您必须将一个UAA服务实例设置为可信发布者。任务路线图编号 任务 说明 1 (可选)如有必要,配置您的代理设置。 根据您的位置和网络配置,您可能需要配置您的代理设置,以便访问远程资源。参见 定义与远程资源的代理连接。2 (可选)部署一个Predix Hello World网页应用程序。 创建一个简单的Predix Hello World网页...
spring cloud微服务架构之UAA
weixin_34360651的博客
03-25 6221
2019独角兽企业重金招聘Python工程师标准>>> ...
创建Predix UAA(User Account and Authentication)
PredixCN的博客
04-15 1642
作者:唐翊国,开发者生态资深经理,GE数字集团 23年工作经验,长期在杜邦、欧文斯科宁、庄信万丰等从事制造业信息化工作,规划、实施了大量MES、SAP ERP、LIMS、BPM等项目,积累了丰富的制造业数字化转型经验。  本博客将带领您逐步创建您的UAA服务实例(Service Instance),您想要更多了解UAA,请参考我们的技术文章http://geek.csdn.net/news/d
定制UAA登录界面
PredixCN的博客
08-10 5511
作者:唐翊国,开发者生态资深经理,GE数字集团 23年工作经验,长期在杜邦、欧文斯科宁、庄信万丰、通用电气医疗等从事制造业信息化工作,规划、实施了大量MES、SAP ERP、LIMS、BPM等项目,积累了丰富的制造业数字化转型经验。   如果您还没有Predix试用帐号,请访问 https://supportcentral.ge.com/esurvey/GE_survey/takeSurv
Cloud foundry基础
赵英超的博客
05-22 7153
Cloud Foundry 组件概述路由Router认证OAuth2 Server UAA 和 Login Server应用生命周期Cloud Controller 和 Diego BrainnsyncBBS 和 Cell Reps应用存储和执行BlobstoreDiego Cell服务Service Brokers通信Consul 和 BBS指标和日志LoggregatorMetrics Col...
CloudFoundry User Account and Authentication (UAA) Server Group
来啊 快活啊
07-05 739
groups存储的是一条条的权限,比如password,password.write,如果没有group_member表的话,password,password.write是没有什么关系的;group_member存储的是权限和用户的关系,以及权限之间的上下级关系; 现将user所有的直属权限查询出来,再遍历查询出来的group,再次查询group_member中有没有这些group的上级;一直遍...
CloudFoundry User Account and Authentication (UAA) Server ID Token
来啊 快活啊
07-02 1615
OpenId Connect,OAuth2上构建了一个身份层,是一个基于OAuth2协议的身份认证标准协议 ID Token 什么情况下会返回openid。 看IdTokenGranter#shouldSedIdToken;{ 1. request grant types是oauth2协议标准的四种方式之一 2. client scope需要包含openid 3. request scope中需要...
JHipster技术栈理解 - UAA原理分析
weixin_34146410的博客
09-01 587
本文简要分析了UAA的认证机制和部分源码功能。 UAA全称User Account and Authentication。 相关源码都是通过Jhipster生成,包括UAA,Gateway,Identity。Jhipster简介请参考这里。 1 OAuth2认证模式 1.1 密码模式 密码模式(Resource Owner Password Credentials)中,用户向客户端提供自己的用...
Spring Cloud Gateway整合OAuth2思路分享
Trouvailless的博客
04-28 762
微服务做用户认证和授权一直都是一个难点,随着OAuth2.0的密码模式被作废,更是难上加难了。今天胖哥群里的一个群友搭建用户认证授权体系的时候遇到了一些棘手的问题,这让作者觉得是时候分享一些思路出来了。 两种思路 通常微服务的认证和授权思路有两种: 所有的认证授权都由一个独立的用户认证授权服务器负责,它只负责发放Token,然后网关只负责转发请求到各个微服务模块,由微服务各个模块自行对Token进行校验处理。 另一种是网关不但承担了流量转发作用,还承担认证授权流程,当前请求的认证信息由网关中继给下游
uaa授权类型不包括
07-17
UAA(User Account and Authentication)中,常见的授权类型包括: 1. Authorization Code(授权码模式) 2. Implicit(隐式授权模式) 3. Resource Owner Password Credentials(密码模式) 4. Client ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值