SpringSecurityOAuth2.0授权类型配置

最新推荐文章于 2024-04-29 09:50:49 发布
最新推荐文章于 2024-04-29 09:50:49 发布
阅读量689 收藏 1
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ding_fang/article/details/86712707
版权

SpringSecurityOAuth2.0授权类型配置

授权类型(Grant Type)

  OAuth2为我们提供了四种授权方式:密码模式(resource owner password credentials),授权码模式(authorization code),简化模式(implicit),客户端模式(client credentials)。
  配置一个授权服务,你需要考虑采用哪种种授权类型(Grant Type),不同的授权类型为客户端(Client)提供了不同的获取令牌(Token)方式,为了实现并确定这种授权,需要配置使用 ClientDetailsService 和 TokenService 来开启或者禁用这种授权机制。
  不管使用什么样的授权类型(Grant Type),每一个客户端(Client)都能够通过明确的配置以及权限来实现不同的授权访问机制。这也就是说,假如你提供了一个支持"client_credentials"的授权方式,并不意味着客户端就需要使用这种方式来获得授权。

配置授权类型

  授权是使用 AuthorizationEndpoint 这个端点来进行控制的,你能够使用 AuthorizationServerEndpointsConfigurer 这个对象的实例来进行配 ,默认是除了资源所有者密码(password)授权类型以外,支持其余所有标准授权类型的。
  配置该对象可以设置如下属性:

  • authenticationManager:认证管理器,当你选择了资源所有者密码(password)授权类型的时候,请设置这个属性注入一个 AuthenticationManager 对象。
  • userDetailsService:如果你设置了这个属性,说明你有一个自己的 UserDetailsService 接口的实现,或者你可以把这个东西设置到全局域上面去(例如 GlobalAuthenticationManagerConfigurer 这个配置对象)。当设置了这个属性之后, 刷新令牌(“refresh_token” )授权类型模式的流程中就会包含一个检查,用来确保这个账号是否仍然有效(是否被禁用)。
  • authorizationCodeServices:这个属性是用来设置授权码服务的(即 AuthorizationCodeServices 的实例对象),主要用于 “authorization_code” 授权码类型模式。
  • implicitGrantService:这个属性用于设置简化授权模式,用来管理简化授权模式的状态。
  • tokenGranter:当你设置了TokenGranter 接口实现,那么授权将会交由你来完全掌控,并且会忽略掉上面的这几个属性,这个属性一般是用作拓展用途的,即标准的四种授权模式已经满足不了你的需求的时候,才会考虑使用这个。
ding_fang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0 的四种授权方式...
weixin_34804926的博客
01-14 607
一、OAuth2.0 为何物OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
Mr_XiMu的博客
05-31 3226
SpringBoot集成SpringSecurity5和OAuth2 — 2、OAuth2客户端【SSO单点登录时作为客户端】
Spring Security Oauth2 扩展grant_type
ecstasylove的博客
07-18 8810
Spring Security Oauth2 自定义grant_type的实现 在使用Jhipster 搭建微服务框架时,使用了jhipster 提供的uaa做用户认证授权,Jhipster uaa 是基于spring security oauth2 做授权认证,而spring security oauth2 默认授权模式不满足实际的业务需要,例如手机验证码授权、第三方认证授权等,那么需要自...
授权协议OAuth 2.0之基于spring security的实战
最新发布
wang0907的博客
04-29 486
不管是OAuth2.0授权协议,还是基于OAuth2.0的OIDC认证授权协议,都规定了比较复杂的流程,以及各种需要我们注意的内容。如果是所有的工作都从0来做的话,无疑是需要投入非常多的时间,并且可能由于实现的不够完善,而造成各种安全问题。此时我们就需要做这种事情的一个框架来帮助我们了。当前,该类的框架有spring security,shrio,本文以spring security为例来一起看下。
spring security实战 5-使用密码模式(password grant type)保护资源
weixin_34198797的博客
07-11 1639
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring securityoauth2.0来保护你的资源。 课程从第二...
Spring Security如何优雅的增加OAuth2协议授权模式
zlt2000的博客
09-02 1899
一、什么是OAuth2协议? OAuth 2.0 是一个关于授权的开放的网络协议,是目前最流行的授权机制。 数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 由于授权的场景众多,OAuth 2.0 协议定义了获取令牌的四种授权方式,分别是: 授权码模式:授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的.
Spring Security OAuth2四种授权模式总结(七)
FAIRYTAIL的博客
02-17 1746
OAuth2的四种授权模式测试
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4817
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
Spring security授权
ChatYU的博客
12-23 3011
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
中国式微服务技术栈2.0
02-25
认证授权中心SpringSecurityOAuth25.服务框架SpringMVC/Boot1.数据总线Kafka2.日志监控ELK3.调用链监控CAT4.Metrics监控KairosDB5.健康检查和告警ZMon6.限流熔断和流聚合Hystrix/Turbine2013年左右,InfoQ曾经对前...
spring-security-oauth的实现源码
04-11
它提供了OAuth 2.0和OpenID Connect协议的支持,允许应用程序进行身份验证和授权。在这个源码解析中,我们将深入理解Spring Security OAuth的工作原理,以及如何在服务端、资源服务器和客户端实施它。 首先,让我们...
SpringSecurity授权
weixin_51992178的博客
10-23 1248
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
spring security oauth2.0搭建用户认证服务(三) - 自定义手机验证码登录
u013911102的博客
09-11 1973
项目场景: APP登录不仅仅是用户名和密码登录,同时还有手机验证码登录、第三方登录等。这回就说说手机验证码以及APP用户名和密码登录吧。 技术详解: 用户名密码登录: 1.之前的用户名和密码登录,/oauth/token的grant_type默认是password,不过这里会把请求的用户名和密码暴露出去,因此我的想法是中间加密,然后解密之后再进行认证.因此我打算把之前的认证方式进行增强。 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handle.
Spring OAuth2 授权服务器配置详解
码农小胖哥
11-15 6051
前两篇文章分别体验了Spring Authorization Server的使用和讲解了其各个过滤器的作用。今天来讲讲Spring Authorization Server授权服务器的配置...
SpringSecurity OAuth2自定义ClientDetails
07-29 4935
最近在做SpringSecurityOAuth2的自定义ClientDetails目前实现了两种方式 实现 ClientDetailsService 并把值传入BaseClientDetails然后返回 @Override public ClientDetails loadClie...
Spring Security Oauth 2.0第三方授权认证
XYZ
08-21 2436
在开始之前,首先介绍一下认证和授权。 身份认证 用户访问系统资源时,系统要求验证用户的身份信息,身份合法则方可继续访问。常见的用户身份认证的表现形式有: 用户名密码登陆 指纹打卡 用户授权 用户认证通过后去访问系统的资源,系统会判断当前用户是否拥有访问资源的权限,只允许访问有权限的资源,没有权限的资源无法访问。 1. 单点登陆 单点登陆是指用户在一个系统中登陆之后,就可以访问所有相互信任的应用系统。分布式系统要实现单点登陆,通常是将认证系统独立 抽取出来。 2. Oauth 2.0 OAuth(开放授
SpringSecurityOAuth2 登录 Miss grant type问题
07-12 7790
SpringSecurityOAuth2 登录传值的时候会出现 Miss grant type问题 解决方式为:在header 加上 'Content-Type': 'application/x-www-form-urlencoded' ...
springsecurityoauth2.0 客户端模式
08-18
Spring Security 中使用 OAuth 2.0 的客户端模式,可以通过集成 Spring Security OAuth2 来实现。下面是一个简单的配置示例: 首先,在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 然后,在 Spring Boot 的配置文件(application.properties 或 application.yml)中添加以下配置: ```properties spring.security.oauth2.client.registration.my-client.client-id=your-client-id spring.security.oauth2.client.registration.my-client.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client.authorization-grant-type=client_credentials spring.security.oauth2.client.provider.my-client.token-uri=your-token-uri ``` 上述配置中,`my-client` 是一个自定义的客户端标识,你可以根据实际情况进行修改。`your-client-id` 和 `your-client-secret` 是你在授权服务器注册的客户端ID和秘钥。`your-token-uri` 是授权服务器的令牌请求地址。 最后,创建一个配置类来启用 Spring Security OAuth2 客户端模式: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .oauth2Login(); } } ``` 这个配置类继承自 `WebSecurityConfigurerAdapter`,并覆写了 `configure` 方法来配置请求的授权规则。上述示例中的配置要求所有请求都需要进行认证。 以上就是使用 Spring Security 实现 OAuth 2.0 客户端模式的简单配置示例。你可以根据具体需求进行更详细的配置和调整。 希望对你有所帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值