(七)springcloud Oauth2授权-Spring Cloud Oauth2

最新推荐文章于 2024-05-15 01:59:31 发布
最新推荐文章于 2024-05-15 01:59:31 发布
阅读量796 收藏
点赞数
文章标签: java json 前端 ViewUI
原文链接:http://www.cnblogs.com/zuier/p/10794917.html
版权

spring-security-oauth2

客户端四种授权模式:

  • 授权码模式(authorization code):第三方应用先申请一个授权码,然后再用该码获取令牌。
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

授权码模式:

1、第三方应用向授权端点URI

GET https://b.com/oauth/authorize?
  response_type=code&           // 表示授权码模式
  client_id=CLIENT_ID&              // 表示客户端id
  redirect_uri=CALLBACK_URL&            // 授权后跳转的url
  scope=read&                           // 要求的授权范围
  state=state                           // 推荐的。一个不透明的值用于维护请求和回调之间的状态。授权服务器在将用户代理重定向会客户端的时候会带上该参数。

2、返回授权码

https://a.com/callback?code=AUTHORIZATION_CODE

3、POST 请求令牌,向令牌端点发出请求

POST https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

4、验证通过后返回令牌

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

简化模式:

RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)

https://b.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

用户认证后,直接返回令牌

https://a.com/callback#token=ACCESS_TOKEN

密码模式:

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

1、客户端直接获取用户在资源服务器的账号密码,然后向认证服务器获取令牌

https://oauth.b.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=johndoe&password=A3ddj3w

客户端模式:

用于没有前端的命令行应用,即在命令行下请求令牌。

https://oauth.b.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

一搬 client_id 和 client_secret 加密作为请求头传输

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials

授权服务器发放令牌:

  • access_token:必须的。
  • token_type:必须的。比如:"bearer","mac"等等
  • expires_in:推荐的。
  • refresh_token:可选的。
  • scope:可选的。

media type是application/json,参数被序列化成JSON对象。

授权服务器必须包含"Cache-Control"HTTP头,并且值必须是"no-store"。

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

刷新token:

  • grant_type:必须的。值必须是"refresh_token"。
  • refresh_token:必须的。
  • scope:可选的。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

Spring-Cloud-Oauth2流程

获取token:

1、if (!(principal instanceof Authentication)):校验用户的身份信息(身份校验由spring-security (filter,authenticationManager, provider...完成)

2、getClientDetailsService().loadClientByClientId(clientId):通过clientId获取客户端信息

3、创建TokenRequest

4、校验用户scope this.oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient)

5、判断用户授权类型

6、TokenGranter:根据用户授权类型,创建access_token和refresh_token,默认实现为CompositeTokenGranter

  • TokenEndpoint
@RequestMapping(
    value = {"/oauth/token"},
    method = {RequestMethod.POST}
)
public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
    if (!(principal instanceof Authentication)) {
        throw new InsufficientAuthenticationException("There is no client authentication. Try adding an appropriate authentication filter.");
    } else {
        String clientId = this.getClientId(principal);
        ClientDetails authenticatedClient = this.getClientDetailsService().loadClientByClientId(clientId);
        TokenRequest tokenRequest = this.getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
        if (clientId != null && !clientId.equals("") && !clientId.equals(tokenRequest.getClientId())) {
            throw new InvalidClientException("Given client ID does not match authenticated client");
        } else {
            if (authenticatedClient != null) {
                this.oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
            }

            if (!StringUtils.hasText(tokenRequest.getGrantType())) {
                throw new InvalidRequestException("Missing grant type");
            } else if (tokenRequest.getGrantType().equals("implicit")) {
                throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
            } else {
                if (this.isAuthCodeRequest(parameters) && !tokenRequest.getScope().isEmpty()) {
                    this.logger.debug("Clearing scope of incoming token request");
                    tokenRequest.setScope(Collections.emptySet());
                }

                if (this.isRefreshTokenRequest(parameters)) {
                    tokenRequest.setScope(OAuth2Utils.parseParameterList((String)parameters.get("scope")));
                }

                OAuth2AccessToken token = this.getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
                if (token == null) {
                    throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
                } else {
                    return this.getResponse(token);
                }
            }
        }
    }
}

private boolean isRefreshTokenRequest(Map<String, String> parameters) {
    return "refresh_token".equals(parameters.get("grant_type")) && parameters.get("refresh_token") != null;
}

private boolean isAuthCodeRequest(Map<String, String> parameters) {
    return "authorization_code".equals(parameters.get("grant_type")) && parameters.get("code") != null;
}
  • AbstractTokenGranter
public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {

        if (!this.grantType.equals(grantType)) {
            return null;
        }
        
        String clientId = tokenRequest.getClientId();
        ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
        validateGrantType(grantType, client);
        
        logger.debug("Getting access token for: " + clientId);
        
        return getAccessToken(client, tokenRequest);

}

// 委托给 tokenServices 创建token
protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
    return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
}

protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
    OAuth2Request storedOAuth2Request = requestFactory.createOAuth2Request(client, tokenRequest);
    return new OAuth2Authentication(storedOAuth2Request, null);
}
  • TokenServices:默认为DefaultTokenServices

1、从store中获取token(key为client_id, username, scope的map进行md5拼上前缀),未查找则创建token(uuid), 存入store

@Transactional
public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

  OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
  OAuth2RefreshToken refreshToken = null;
  if (existingAccessToken != null) {
    if (existingAccessToken.isExpired()) {
      if (existingAccessToken.getRefreshToken() != null) {
        refreshToken = existingAccessToken.getRefreshToken();
        // The token store could remove the refresh token when the
        // access token is removed, but we want to
        // be sure...
        tokenStore.removeRefreshToken(refreshToken);
      }
      tokenStore.removeAccessToken(existingAccessToken);
    }
    else {
      // Re-store the access token in case the authentication has changed
      tokenStore.storeAccessToken(existingAccessToken, authentication);
      return existingAccessToken;
    }
  }

  // Only create a new refresh token if there wasn't an existing one
  // associated with an expired access token.
  // Clients might be holding existing refresh tokens, so we re-use it in
  // the case that the old access token
  // expired.
  if (refreshToken == null) {
    refreshToken = createRefreshToken(authentication);
  }
  // But the refresh token itself might need to be re-issued if it has
  // expired.
  else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
    ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
    if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
      refreshToken = createRefreshToken(authentication);
    }
  }

  OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
  tokenStore.storeAccessToken(accessToken, authentication);
  // In case it was modified
  refreshToken = accessToken.getRefreshToken();
  if (refreshToken != null) {
    tokenStore.storeRefreshToken(refreshToken, authentication);
  }
  return accessToken;

}
  • TokenStore:对Token的CRUD,解析

1、InMemoryTokenStore

2、JwtTokenStore

3、JdbcTokenStore

4、JwkTokenStore

5、RedisTokenStore

转载于:https://www.cnblogs.com/zuier/p/10794917.html

djdddoy5191
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud OAuth2案例
01-19
Spring Cloud OAuth2案例源码
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了!
最新发布
2401_84558091的博客
05-15 1015
这里为了做演示,把用户名、密码和所属角色都写在代码里了,正式环境中,这里应该是从数据库或者其他地方根据用户名将加密后的密码及所属角色查出来的。账号 admin ,密码 123456,稍后在换取 token 的时候会用到。并且给这个用户设置 “ROLE_ADMIN” 角色。5、OAuth2 配置文件创建一个配置文件继承自 AuthorizationServerConfigurerAdapter.@Autowired@Autowired@Autowired@Autowired
cas单点登录与spring boot关联使用
水花的博客
12-28 1471
1.cas单点登录介绍 单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。 从结构体系看, CAS 包括两部分: CAS Server 和 CAS Client 。 CAS Server CAS Server 负责完成对用
exchange 2007客户端outlook express邮件和接收邮件的设置
李荣权的专栏--OS--Soft--Life
02-17 3389
exchange 2007客户端outlook express邮件和接收邮件的设置 下面是在发送邮件的时候outlook express给出的提示信息 由于服务器拒绝接受发件人的电子邮件地址,这封邮件无法发送。发件人的电子邮件地址是“lrq@lrq.com”。 主题 from exchange 2007, 帐户: mail.lrq.com, 服务器: mail.lrq.c
Build your own cryptographically safe server/client protocol
闲云野鹤专栏
01-02 1375
Build your own cryptographically safe server/client protocol By spinoza, 21 Jun 2006    4.95 (111 votes)   Rate:
接口报错Missing grant type
weixin_44594219的博客
11-07 3301
接口报错Missing grant type的原因分析,以及解决方式
SpringSecurityOauth原理
喝醉的咕咕鸟
03-20 3973
SpringSecurityOauth2包含了认证服务器和资源服务器,认证服务器是用来生成令牌(token),资源服务器是验证该请求是否存在令牌,如果存在才能通过,否则不通过。 认证服务器:在类上加上@EnableAuthorizationServer 认证服务器有4中授权模式: 1.用户名和密码模式 2.授权码模式 3.客户端模式 4.简化模式 关于这四种...
Spring Security Oauth2 执行流程剖析
baidu_33403616的博客
09-18 1935
1.工作原理及过程 OAuth 2.0的运行流程如下图 本篇案列主要基于授权码模式(authorization code)一下是授权码模式的运行流程如下图 2.时序图展示 3.核心源码解析 基于spring security Oauth2主要就三个类: 1.AbstractAuthenticationProcessingFilter 主要是用来对用户的访问请求进行拦截认证的入口 2.AuthorizationEndpoint 主要是匹配授权模式(1.授权码模式 2...
Oauth2(二)
xbcai1的博客
03-21 382
【代码】Oauth2(二)
SpringSecurityOAuth2 登录 Miss grant type问题
07-12 7748
SpringSecurityOAuth2 登录传值的时候会出现 Miss grant type问题 解决方式为:在header 加上 'Content-Type': 'application/x-www-form-urlencoded' ...
springcloud-oauth2-security.rar
04-25
基于oauth2认证的服务示例。附带sql. 可以快速应用到自己的项目中 Greenwich.RELEASE
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
shiro原理_java:shiro高级篇——4
weixin_39790168的博客
12-02 125
第八章 限制密码重试次数1、实现原理保证原子性: 单系统:AtomicLong计数​ 集群系统:RedissionClient提供的RAtomicLong计数1、获取系统中是否已有登录次数缓存,缓存对象结构预期为:"用户名--登录次数"。2、如果之前没有登录缓存,则创建一个登录次数缓存。3、如果缓存次数已经超过限制,则驳回本次登录请求。4、将缓存记录的登录次数加1,设置指定时间内有效5、验证用户本...
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8165
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
SpringSecurity之OAuth2 令牌accessToken的生成过程
clonetx的博客
05-20 8412
SpringSecurity之OAuth2 令牌的生成过程的主要代码分析
Spring Security OAuth核心源码分析
NullPointerException的博客
03-30 589
流程图 ※:绿色的方块代表实体类;蓝色的方块代表接口(下方括号中的名称表示实际调用的实现类); 流程介绍 step1:客户端发起获取令牌的请求:/oauth/token; step2:TokenEndpoint是整个流程的入口,可理解为一个controller,用来处理获取令牌的请求即:/oauth/token请求; step3:ClientDetailService用来读取请求中client...
spring security (三)认证源码详解
weixin_54515490的博客
08-09 385
这里默认的provider会调用AbstractUserDetailsAuthenticationProvider.authenticate,如果我们自己定义的就会调用我们定义的认证方法。寻找我们跟我们传进来的grantType相同的认证方式,当然就是我们的ResourceOwnerPasswordTokenGranter。这里的this.delegate是CompositeTokenGranter.grant,现在传进来的是我们默认的我种认证方式。首先我们看一下TokenGranter的实现类。
SpringSecurityOAuth2 中 Miss grant type问题
Demolist的博客
07-08 585
SpringSecurityOAuth2 登录传值的时候会出现 Miss grant type问题。没有设置content-type问题。
spring-cloud-starter-security与spring-cloud-starter-oauth2
06-10
spring-cloud-starter-oauth2提供了OAuth 2.0协议的支持,可以用于在微服务架构中为各个服务之间进行认证和授权。它主要用于在微服务架构中,为各个服务提供认证和授权的功能。 如果你只需要在微服务架构中为各个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值