springCloud微服务系列——OAuth2+Basic验证

最新推荐文章于 2024-09-06 15:03:42 发布
最新推荐文章于 2024-09-06 15:03:42 发布
阅读量4.1k 收藏 7
点赞数
分类专栏: spring-cloud 文章标签: 微服务 OAuth2 jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guduyishuai/article/details/82216725
版权
本文介绍了如何在SpringCloud微服务中结合OAuth2和Basic验证进行权限控制。通过理解@Order注解对过滤器链顺序的影响以及httpSecurity与authorizeRequests设置的差异,提出了解决方案,即分别为Basic验证、OAuth2验证服务器和OAuth2资源服务器创建不同的ConfigurerAdapter,并利用requestMatcher或antMatcher区分资源,确保Basic验证优先于OAuth2验证。
摘要由CSDN通过智能技术生成

目录

一、简介

二、知识点

@Order

httpSecurity与authorizeRequests设置的区别

三、解决方案

一、简介

    我们希望微服务通过OAuth2+jwt的模式进行验证,但是有些资源我们并不想通过OAuth2+jwt进行验证,比如访问swagger和actuator端点,这些资源我们希望进行Basic验证。

二、知识点

  • @Order

     spring security的验证是通过fliter链进行的,我们实现相应的ConfigurerAdapter就能自定义自己的fliter,我们通过@Order设置它在fliter链中的调用顺序。一般Basic验证应该先与其它验证

  • httpSecurity与authorizeRequests设置的区别

     我们先看如下代码有什么不同

http.requestMatcher(EndpointRequest.toAnyEndpoint())
http.antMatcher(SWAGGER_URL)

http.authorizeRequests().requestMatcher(EndpointRequest.toAnyEndpoint())
http.authorizeRequests().antMatcher(SWAGGER_URL)

      直接在http上定义,表明整个ConfigurerAdapter作用的资源。注意,这里requestMatcher和antMatcher只能传递一个参数。

      在authorizeRequests上定义,表明实际需要控制权限的资源,往往其后需要跟authenticated和permitAll方法。

三、解决方案

     有了以上知识点,解决方案也就很容易想出来了。Basic验证,OAuth2验证服务器,OAuth2资源服务器分别实现一个ConfigurerAdapter,通过在http上定义requestMatcher或antMatcher来进行区分资源。最后用@Order,把Basic验证的fliter设置在前面。

      Basic验证

@Order(1)
@Configuration
@EnableWebSecurity
public class ServerWebSecuri
最低0.47元/天 解锁文章
guduyishuai
关注
专栏目录
Spring Cloud与微服务学习总结(5)——认证鉴权与API权限控制在微服务架构中的设计与实现(三)
科技D人生
10-28 6168
本文转载自( http://blueskykong.com/2017/10/24/security3/)1. 前文回顾在开始讲解这一篇文章之前,先对之前两篇文章进行回忆下。在第一篇 认证鉴权与API权限控制在微服务架构中的设计与实现(一)介绍了该项目的背景以及技术调研与最后选型。第二篇认证鉴权与API权限控制在微服务架构中的设计与实现(二)画出了简要的登录和校验的流程图,并重点讲解了用户身份的认证
Spring Security OAuth2.0 认证协议【7】HTTPbasic和表单的认证、基本原理、【拦截】流程源码分析
LawssssCat的博客
04-03 1029
上一篇:Spring Security OAuth2.0 认证协议【6】准备 RESTful API:swagger、WireMock 至此,前面的环境搭建,接口准备结束,进入 Spring Security 正题。 代码下载:https://github.com/LawssssCat/v-security/tree/v2.0 内容简介 Spring Security 基本原理 用户名 ...
oauth2开放认证协议原理及案例分析
volcan1987的专栏
02-23 5841
之前翻译过一篇  OAuth认证协议原理分析及使用方法 ,虽然 OAuth2还没有正式发布,但是国内外的OAuth2的采用情况几乎要完全替代掉OAuth1.1了。像淘宝、腾讯、人人网、百度开放平台就已经采用Oauth2,新浪微博也发来邮件说是要很快上马OAuth2,彻底替换掉OAuth1.1。目前OAuth2到了 v20草稿阶段 ,最新的版本是 2011年7月25号发布的,协议变化还是很快
Spring Cloud 完整整合 Security + Oauth2 + jwt实现权限认证
最新发布
qq_41935756的博客
09-06 2088
OAuth2是一个开放的标准,协议。即允许用户让第三方应用访问某一个网站上存储的用户私密资源(照片,头像等)。这个过程中无需将用户名和密码提供给第三方应用。在互联网中,我们最常见的OAuth2的应用就是各种第三方通过QQ授权,微信授权,微博授权等登录了。   OAuth2协议一共支持4中不同的授权模式。OAuth2的重要参数 ①response_type code:表示要求返回授权码。token:表示直接返回令牌 ②client_id 客户端身份标识 ③client_secret 客户端密钥 ④redire
用户认证(Authentication)进化之路:由Basic Auth到Oauth2再到jwt
刘悦的技术博客
05-11 2393
虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。
Spring Cloud Security:Oauth2使用入门
weixin_42907150的博客
01-29 977
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。
基于Node的PetShop,oauth2认证RESTful API
future_challenger的专栏
07-01 8646
前文使用包passport实现了一个简单的用户名、密码认证。本文改用oauth2来实现更加安全的认证。OAUTH2用户认证,只使用用户名、密码还是非常基础的认证方式。现在RESTful API认证最多使用的是oauth2。使用oauth2就需要使用https,并hash处理client secret、auth code以及access token。oauth2需要使用包oauth2orize:npm
springCloud微服务系列——单点登录OAuth2+JWT
热门推荐
guduyishuai的博客
04-29 2万+
    研究了好久的springCloud微服务架构,在这里整理总结一下,做个梳理和备忘。    这次总结的是微服务之间的认证。最近实现了一个基于spring security的适合单体应用和分布式应用,适合app和浏览器的一套自用鉴权框架。算是对spring security有了点比较深入的认识了,这里说一下通过OAuth2+JWT来解决微服务之间的鉴权问题。    这里不会涉及到细节问题,关于...
Springcloud+ Springsecurity oauth2.0 + jwt简单实现认证
killdrsa的博客
04-09 3907
基于Springcloud+ Springsecurity oauth2.0 + jwt 实现一个认证授权手脚架 一.用户的认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允...
Spring Cloud系列 Spring Cloud OAuth2密码模式(resource owner password credentials)
ssaiwey的博客
06-25 1622
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) ———————————————— 上篇讲解的是授权码模式,本篇主要讲解密码模式。平常主要使用的就是这
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Spring Security Oauth2 认证流程
山巅
09-16 4423
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
服务认证授权:OAuth2.0
轻松的小希
02-13 9901
目录第一章 OAuth2.0的预备篇1.1、Base641.1.1、Base64的介绍1.1.2、Base64的演示1.2、JWT1.2.1、JWT的介绍1.2.2、JWT的组成1.2.3、JWT的特点1.2.4、JWT的演示1.2.5、JWT的隐患1.3、RSA1.3.1、RSA的介绍1.3.2、公钥私钥的介绍1.3.3、公钥私钥的生成1.4、SSO1.4.1、SSO的介绍1.4.2、SSO的实现第二章 OAuth2.0的介绍篇2.1、OAuth2.0的概述2.2、OAuth2.0的模式2.2.1、授权码
SSO: Basic-Auth & OAuth2 & SAML & OpeanID
IT Panda 的技术博客
09-22 934
SSO = Single Sign On 为什么要有SSO? 我们可以从有SSO和没有SSO比较开始: 如果没有SSO的话,那所有的APP都需要维护一套完整的认证+授权(authentication and authorization) App team 不开心,因为他们不得不维护所有用户信息,还要维护模块去做验证和授权 User 不开心,因为用户得不得在每个App内管理一对儿用户名和密码,还总...
初次尝试http OAuth2验证的请求
锄禾日当午
11-28 408
内容格式如上图,Basic +base64编码(clientid:secret id)用客户端id+秘钥 获取token---》后面的请求带上token。
oauth2 单点登陆 sso笔记
u013756305的博客
04-21 1526
oauth2 单点登陆 sso笔记:1、设置security oauth2的 ResourceServer的Filter们的顺序,根据需求,有时候需要,有时不需要在 oauth server上不需要security.oauth2.resource.filter-order=3不同的版本配置不一样,SPRING SECURITYsecurity oauth2 不要配置此项2、关闭 spring se...
BasicAuth和OAuth
03-18 917
参考资料 百度百科BasicAuth 维基百科OAuth BasicAuth基本授权 BasicAuth又叫HttpAuth,它非常简单。例如你访问一个页面时,会弹出用户名密码框 它的优点是:简单,只要维护好用户名密码的安全性即可 访问使用BasicAuth的页面时,可以很简单的填写用户名和密码。许多开源HTTP请求库都提供BasicAuth的接口。 下面以Python中的reques...
OAuth2认证授权流程解析
lixiang987654321的专栏
08-02 4737
oAuth2授权服务4中认证授权模式流程及代码跟踪与解析》 在阅读该文章前,需要对oAuth2的使用有一定的了解才能更好的阅读代码和理解对应流程 一、介绍 其实,关于系统认证授权的开源组件有很多,包括Shiro、Security和OAuth2等,这些组件各自有各自的优点,shiro配置比较简单,而OAuth2配置和实现相对而言就比较复杂一些,但是功能更强大,此处,我只讲解OAuth2相关技术,关于OAuth2的使用,我在csdn上已经写过几篇文章,大致已经将所有的流程说的比较明白,但是一直没有出一片比
Spring Cloud Open Feign系列【23】OAuth2FeignRequestInterceptor、BasicAuthRequestInterceptor拦截器解析
记录知识、锤炼自我
04-29 2833
有道无术,术尚可求,有术无道,止于术。 资料整理来自网络 文章目录BasicAuthRequestInterceptorBasic 认证使用案例 BasicAuthRequestInterceptor BasicAuthRequestInterceptor翻译过来就是 Basic 认证请求拦截器。 Basic 认证 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 比如Security 就.
springcloud+springboot+oauth2+spring security+redis
07-15
综上所述,Spring Cloud提供了构建微服务的解决方案,Spring Boot简化了Spring应用程序的开发,OAuth2实现了授权管理,Spring Security提供了身份验证和访问控制,而Redis则可以用于缓存和数据存储。这些技术的结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值