springseurity实现oauth2自动授权

最新推荐文章于 2024-04-29 09:50:49 发布
最新推荐文章于 2024-04-29 09:50:49 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dsfllx/article/details/106604727
版权

springsecurity实现oauth2换取授权码的过程中,涉及到先登录,然后再授权,再换取授权码的过程。如果不进行设置,security会跳转到一个默认的授权页面,如下图:
在这里插入图片描述
其中红框标注的scope为请求/oauth/authorize时传入的scope。

源码分析

跳转到approve页面的源码如下:

if (authorizationRequest.isApproved()) {
		if (responseTypes.contains("token")) {
			return getImplicitGrantResponse(authorizationRequest);
		}
		if (responseTypes.contains("code")) {
			return new ModelAndView(getAuthorizationCodeResponse(authorizationRequest,
				(Authentication) principal));
				}
			}

	// Store authorizationRequest AND an immutable Map of authorizationRequest in session
	// which will be used to validate against in approveOrDeny()
model.put(AUTHORIZATION_REQUEST_ATTR_NAME, authorizationRequest);
model.put(ORIGINAL_AUTHORIZATION_REQUEST_ATTR_NAME, unmodifiableMap(authorizationRequest));
//跳转到授权页面
return getUserApprovalPageResponse(model, authorizationRequest, (Authentication) principal);

//生成授权页面
private ModelAndView getUserApprovalPageResponse(Map<String, Object> model,
			AuthorizationRequest authorizationRequest, Authentication principal) {
	logger.debug("Loading user approval page: " + userApprovalPage);
	model.putAll(userApprovalHandler.getUserApprovalRequest(authorizationRequest, principal));
	return new ModelAndView(userApprovalPage, model);
	}

那么,不想跳转到授权页面就需要看看authorizationRequest.isApproved()这个函数式怎么判断的,进去发现这是authorizationRequest的一个属性,那么属性又是怎么设置的呢?
同样是在这个endpoint里,发现了三行关键代码
在这里插入图片描述
进入第一行代码,进入它的实现类ApprovalStoreUserApprovalHandler,可以看到这里对authorizationRequest的approved属性进行了配置,源码如下:

//类名org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler
//方法名checkForPreApproval
if (clientDetailsService != null) {
	try {
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		for (String scope : requestedScopes) {
			if (client.isAutoApprove(scope)) {
				approvedScopes.add(scope);
			}
		}
		if (approvedScopes.containsAll(requestedScopes)) {
			// gh-877 - if all scopes are auto approved, approvals still need to be added to the approval store.
			Set<Approval> approvals = new HashSet<Approval>();
			Date expiry = computeExpiry();
			for (String approvedScope : approvedScopes) {
				approvals.add(new Approval(userAuthentication.getName(), authorizationRequest.getClientId(),
						approvedScope, expiry, ApprovalStatus.APPROVED));
			}
			approvalStore.addApprovals(approvals);

			authorizationRequest.setApproved(true);
			return authorizationRequest;
		}
	}
	catch (ClientRegistrationException e) {
		logger.warn("Client registration problem prevent autoapproval check for client=" + clientId);
	}
}

//类名org.springframework.security.oauth2.provider.client.BaseClientDetails
public boolean isAutoApprove(String scope) {
	if (autoApproveScopes == null) {
		return false;
	}
	for (String auto : autoApproveScopes) {
		if (auto.equals("true") || scope.matches(auto)) {
			return true;
		}
	}
	return false;
}

根据以上代码可以判断出,会首先使用clientDetailsService加载出client的信息,然后判断当前的scope是否支持自动approve。autoApprovesScopes定义如下:
在这里插入图片描述
故只需要在数据库的oauth_client_details的对应字段添加支持自动授权的字段。

武松打虎108式
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的实现 Spring Security OAuth2 授权码模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权...
基于Spring Security的Oauth2授权实现方法
08-25
基于Spring Security的Oauth2授权实现方法 作为一名IT行业大师,我将为您详细解释基于Spring Security的Oauth2授权实现方法的知识点。 首先,从标题和描述中可以看出,这篇文章主要介绍了基于Spring Security的...
阿里巴巴java开发面试,详细介绍OAuth2,看完这一篇就够了
2401_84006953的博客
04-08 944
学习视频:一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算。
spring security oauth2 跳过授权步骤属性autoApprove
cauchy6317的博客
12-13 8370
   
oauth2 登录自动授权
zyl2017的博客
04-28 1238
springcloud oauth2 登录自动授权 autoapprove问题 问题描述:oauth2 配置数据源mysql 自动生成的autoapprove 查看字段为true但是还是弹出授权框 @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { JdbcClientDetailsServiceBuilder builder = clients.jd
Springboot + Oauth2 单点登录-配置篇
qq_39749620的博客
05-25 2178
1. 授权中心配置 所需依赖 <!-- spring security oauth2 开放授权 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.5.RELEASE</version>
spring security oauth2 默认User Approval页面,定制方法
路过君的博客
05-18 1064
授权入口 org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint private String userApprovalPage = "forward:/oauth/confirm_access"; // We need explicit approval from the user. private ModelAndView getUserApprovalPageResponse(Map<String,
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
Spring Security OAuth2认证授权示例详解
08-25
在这个示例中,我们将深入探讨如何使用Spring Security OAuth2实现OAuth2授权流程。 1. **OAuth2的角色**: - **资源所有者**:通常是应用程序的用户,他们拥有数据,决定是否允许第三方应用访问。 - **客户端**...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
1. 如何使用Spring Security作为OAuth2的授权服务器,实现用户登录验证和令牌发放。 2. 客户端注册和认证:如何在Spring Security中配置客户端详细信息,以便客户端应用能够请求访问令牌。 3. 授权码流程的实现:...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2的授权流程。 集成OAuth2的过程通常包括以下几个步骤: 1. **配置授权服务器**:授权服务器是负责处理用户登录、授权和令牌发放的组件。在...
spring security oauth2 授权码模式,授权页面不出现问题
chenzhenbabl的专栏
04-16 2499
第三步访问不到的原因:spring security oauth2 授权码模式流程2.跳到登录页面,进行登录。3.登录成功跳到授权页面。4.授权成功访问回调地址。
授权协议OAuth 2.0之基于spring security的实战
最新发布
wang0907的博客
04-29 550
不管是OAuth2.0的授权协议,还是基于OAuth2.0的OIDC认证授权协议,都规定了比较复杂的流程,以及各种需要我们注意的内容。如果是所有的工作都从0来做的话,无疑是需要投入非常多的时间,并且可能由于实现的不够完善,而造成各种安全问题。此时我们就需要做这种事情的一个框架来帮助我们了。当前,该类的框架有spring security,shrio,本文以spring security为例来一起看下。
使用OAuth2实现授权服务
FirstMrRight的博客
09-03 1692
主要用于将自定义的更多用户信息放入Token中。= null) {//把用户标识嵌入JWT Token中去(Key是userDetails) Map < String , Object > additionalInfo = new HashMap < >();} }
Spring Security Oauth2 自定义授权方式
qq_38841868的博客
02-23 1350
Oauth2的默认授权模式有四种: 授权码模式-authorization_code 密码模式-password 客户端模式-client_credentials 隐式授权模式-implicit token的运行流程: 在发起 URL+/oauth/token 获取token的请求后,实际上是请求 TokenEndpoint 类的postAccessToken或者getAccessToken方法,就相当于一个普通的concoller请求方法,根据请求类型是get或者post,其实get请求内部也是调
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 4915
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
Spring Security Oauth2系列(三)
热门推荐
索南杰夕的专栏
06-01 1万+
首先在讲这个话题之前,我想把自己遇见的最大的问题分享给大家Whitelabel Error PageThis application has no explicit mapping for /error, so you are seeing this as a fallback.Sat Mar 17 14:24:30 CST 2018There was an unexpected error (t...
OAuth 2 实现简单登录授权
zouyang920的博客
01-04 3091
1.OAuth2.0 进阶 根据官方标准,OAuth 2.0 共用四种授权模式: Authorization Code: 用在服务端应用之间,这种最复杂,也是本文采用的模式; Implicit: 用在移动app或者webapp(这些app是在用户的设备上的,如在手机上调起微信来进行认证授权) Resource Owner Password Credentials(password): 应用直接都是受信任的(都是由一家公司开发的,本例子使用) Client Credentials: 用在应用API访问。
oauth2.0设置自动授权
pengfeifei26的专栏
12-24 1148
oauth_client_details 库表中autoapprove设置为true即可
SpringSecurity整合OAuth2实现授权与认证
OAuth2是一种流行的开放标准,用于授权Spring Security是一个强大的安全框架,它可以帮助我们实现OAuth2认证和授权Spring Security整合OAuth2是一种强大的方法,它可以帮助我们实现基于Spring的应用程序中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值