利用curl模拟 移动端 接入 spring cloud security OAuth2

最新推荐文章于 2024-07-21 23:44:17 发布
最新推荐文章于 2024-07-21 23:44:17 发布
阅读量2.9k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hknaruto/article/details/53286333
版权
获取/更新access_token

[root@localhost bin]# curl -X POST -d grant_type=password -d username=hknaruto -d password=password "http://client1:secret@172.16.1.162/oauth/token"
{"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0Nzk4NDI5NzgsInVzZXJfbmFtZSI6ImhrbmFydXRvIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9VU0VSIl0sImp0aSI6IjFlOWM1NWUyLTM0MDAtNGYxZS04MDI1LTYwYmYxN2Q0MWE5NyIsImNsaWVudF9pZCI6ImNsaWVudDEiLCJzY29wZSI6WyJ1c2VsZXNzIl19.KW2IKXycVcahu7TRuz_1bOhlSD_wPKDfeU-wJhLfklhgrS5yth8_wH6mg3zUrdNYlq0jr4RqAX9QMniHwvFZGsKRekHrIvuFM1wYaxp-52yzqlTnG9uBn1YmLAXa0nDDlxhGV-5Ez_lsZGASqjJtuBk5dMPwV1iNjhnfPzeYe-DehoI2d81Qx0WgQrxXO9ZvpIWZxiHHFlbmsKOH48abrC_4U6TRVc4YpDboeLHTZY9y9fyvoX0iM3iui326I7jb-_t1jL3F1AdqS4uZ2oFjaRHukG7lPrc5kbiejesDq6ftQbvBbL7Nrc1YtA2s1r_VxnPbqFFBdxAfmkLWt6RoEw","token_type":"bearer","refresh_token":"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJoa25hcnV0byIsInNjb3BlIjpbInVzZWxlc3MiXSwiYXRpIjoiMWU5YzU1ZTItMzQwMC00ZjFlLTgwMjUtNjBiZjE3ZDQxYTk3IiwiZXhwIjoxNDgyMzkxNzc4LCJhdXRob3JpdGllcyI6WyJST0xFX1VTRVIiXSwianRpIjoiNWMzMjIzZTYtYjc0Zi00ZDJlLWFlYWEtNDgyZjBkNjY4OTg5IiwiY2xpZW50X2lkIjoiY2xpZW50MSJ9.WIlOq3krXBOJ6N69R3edF5GFKH2T1dKtNjR4EhYDkYjcZFLqjxLsVTRic7oYpR4Klcp8RKDKKObq_yLsyT8vhQ_yoZj-brrzZLgdjYyxKXa-0kfNNdMQlPFXbka6Kg5Bmg2e7U2cZsnYvkyLet3D8fqQS9fsHpL_YAK9D073hDwvP80y7nD6STy8GvQ0AsB6m2JTRDzvLVYdeAh7J36G_iPKu_hEZP2gBkEZZ0Lmpn4CNNtPFmZB7Q4x-VDr73zdz3vhnahhQnLOI1FPtt09BGng_EXn9kr3_Ywl4gAZWI4IPjJKtA2gBhzUyibyaYZbNtEAIXblyLwYb44vbfIwRQ","expires_in":43199,"scope":"useless","jti":"1e9c55e2-3400-4f1e-8025-60bf17d41a97"}

 

 

访问受保护的资源

curl "http://172.16.1.161/api/auth/?access_token=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0Nzk4NDI5NzgsInVzZXJfbmFtZSI6ImhrbmFydXRvIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9VU0VSIl0sImp0aSI6IjFlOWM1NWUyLTM0MDAtNGYxZS04MDI1LTYwYmYxN2Q0MWE5NyIsImNsaWVudF9pZCI6ImNsaWVudDEiLCJzY29wZSI6WyJ1c2VsZXNzIl19.KW2IKXycVcahu7TRuz_1bOhlSD_wPKDfeU-wJhLfklhgrS5yth8_wH6mg3zUrdNYlq0jr4RqAX9QMniHwvFZGsKRekHrIvuFM1wYaxp-52yzqlTnG9uBn1YmLAXa0nDDlxhGV-5Ez_lsZGASqjJtuBk5dMPwV1iNjhnfPzeYe-DehoI2d81Qx0WgQrxXO9ZvpIWZxiHHFlbmsKOH48abrC_4U6TRVc4YpDboeLHTZY9y9fyvoX0iM3iui326I7jb-_t1jL3F1AdqS4uZ2oFjaRHukG7lPrc5kbiejesDq6ftQbvBbL7Nrc1YtA2s1r_VxnPbqFFBdxAfmkLWt6RoEw&token_type=bearer"



hkNaruto
关注
美年_移动端开发_权限控制_Spring Security入门与进阶
Princess_Y
12-03 4631
第三章权限控制 1:认证和授权的概念 • 认证:登录(用户名和密码) • 授权:访问系统功能的权限 2:权限模块的数据模型 • 用户表 • 角色表 • 权限表 • 菜单表 3:表之间关系 • 用户和角色是多对多关系 • 角色和权限是多对多关系 • 权限和菜单是多对多关系 3.1. 认证和授权概念 前面我们已经完成了旅游后台管理系统的部分功能,例如自由行管理、跟团游管理、套餐管理、预约设置等。接下来我们需要思考2个问题: 问题1:在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗? 答案显然是否定的,
Spring Security OAuth2 - 自定义 OAuth2.0 令牌发放接口地址
nimo10050的博客
06-30 2718
登录实现 拿浏览器网页登录举例: 基于 OAuth2.0-密码模式 实现网页登录的本质就是浏览器通过 /oauth/token 接口将 用户名 和 密码 等信息传给后台, 然后后台验证通过后返回一个有效的 token 给浏览器. 通过 curl 命令发送请求 请求头 Authorization 存放的是 clientId 和 secret 经过 Base64 编码后的结果 请求参数包括用户名(username)、密码(password)、授权模式(grant_type). curl --loca
CURL模拟手机端的HTTPS请求
昌南的博客
06-07 1222
curl模拟手机端需要设置用户代理为手机端的,https请求需要ssl证书或禁止验证证书 $curl = curl_init($curl); //初始化 curl_setopt($curl, CURLOPT_URL, $url); curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);//禁止验证证书。 curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, FALSE); /* //使用证书 curl_setopt($curl,
springcloud集成Spring Security
最新发布
youxmm的博客
07-21 2301
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
内网开发环境移动端OAuth2接入步骤
04-16
项目开发是选择springcloud框架,该文档记录内网开发环境移动端OAuth2接入步骤
curl调用spring security的项目,启用HTTP摘要身份验证
zhanwuguo8346的博客
07-13 330
curl --digest -u name:password http://www.example.com name:自己名称 password:自己密码
二十四、SpringBoot之安全Security
白夜行悟空
10-30 316
一、安全 Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。 几个类: WebSecurityConfigurerAdapter:自定义Security策略 Aut...
使用Spring Cloud Security OAuth2搭建授权服务
热门推荐
王鸿飞的专栏
09-14 13万+
Spring Cloud Security OAuth2 是 SpringOAuth2 的开源实现,优点是能与Spring Cloud技术线无缝集成,如果全部使用默认配置,开发者只需要添加注解就能完成 OAuth2 授权服务的搭建。添加依赖授权服务是基于Spring Security的,因此需要在项目中引入两个依赖: <dependency> <groupId>org.spri
Spring cloud系列十九 Spring Cloud G版本集成oAuth2.0
不积跬步无以至千里; 不积小流无以成江海
07-16 2946
由于项目的关系,系统需要集成oAuth2.0功能 实现自定义功能: 1. OAuth2.0中定义四种授权模式对应的类及其他一些重要的类 2. 实现自定义客户端账户(不是用户的账户) 3. 实现自定义用户账号 4. 将accesstoken存储到redis中
(一)、Spring Security OAuth2 五种授权方式介绍
qq_30062125的博客
01-31 6755
1、简介 OAuth 2.0定义了五种授权方式。 authorization_code:授权码类型,授权系统针对登录用户下发code,应用系统拿着code去授权系统换取token。 implicit:隐式授权类型。authorization_code的简化类型,授权系统针对登录系统直接下发token,302 跳转到应用系统url。 password:资源所有者(即用户)密码类型。应用系统采集...
spring-security-oauth2的mysql数据表
yangwenfu123的博客
03-22 3447
一、 建立数据库及数据表结构 CREATE SCHEMA IF NOT EXISTS `oauth2` DEFAULT CHARACTER SET utf8 ; USE `oauth2` ; -- ----------------------------------------------------- -- Table `oauth2`.`clientdetails` -- ------
Spring Security + JWT + 国密 SM4 实现用户认证&授权
芋艿V
07-09 156
???? 这是一个或许对你有用的社群???? 一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事上“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
curl 使用 post 请求,传递 json 参数,下载文件
weixin_30247307的博客
05-23 697
curl -X POST http://ip:8888/nacos/v1/cs/file/download -H "Accept: application/octet-stream" -H "Content-type: application/json" -o file.zip -d' { "namespaceId": "9f069446-e378-49af-9f69-e4e399...
SpringSecurity3.X--一个简单实现
hanqunfeng的专栏
08-22 162
目录 SpringSecurity3.X--一个简单实现 SpringSecurity3.X--前台与后台登录认证 SpringSecurity3.X--remember-me SpringSecurity3.X--验证码   作者对springsecurity研究不深,算是个初学者吧,最近很不完整的看了一下翻译的很是生硬的《Spring3Securit...
oauth2】建一个spring cloud oauth2 Demo
kanseu的博客
03-28 887
spring cloud oauth2和spring security oauth2的区别 是 Spring Cloud 按照 OAuth2 的标准并结合 spring-security 封装好的一个具体实现。更多知识可以参考下面的文章 【权限----对比】深入理解Spring Cloud SecurityOAuth2、JWT_Sunny3096的博客-CSDN博客_shiro和oauth2区别 spring-oauth父工程引用依赖 <parent> &lt
07 | 如何在移动App中使用OAuth 2.0?
weixin_39924752的博客
03-09 381
微信 OAuth 2.0 授权登录目前支持 authorization_code 模式,适用于拥有 Server 端的应用授权。App分为有server和无server端。
OAuth移动端鉴权调研
weixin_33720078的博客
05-15 198
OAuth OAuth是一个解决用户无需向第三方应用提供用户名密码,让第三方应用访问用户私密资源的授权方案。 举例: 用户a,在网站B存有私密信息(年龄、邮箱、头像),而a在访问第三方网站C时,为了让C可以知道a在B网站上的信息,可以通过OAuth授权,让C访问B拿到a的信息。 逻辑步骤 a是下图里的User,B是下图里的Consumer,C是Servi...
OAuth2实现方式
编码强迫症患者
11-28 1693
概述 OAuth2机制详解已经从原理和机制层面对OAuth2进行了一些说明,想必已经能够了解到OAuth2的整体流程以及存在的意义。本篇文章将围绕OAuth2的实现方式,来看一看OAuth2这样一个概念是如何落地到日常开发中的。OAuth2规定了四种获得令牌的流程,在实际开发中,可以根据需要选择合适的方式,向第三方应用颁发令牌,实现和第三方的梦幻联动。本文将以腾讯用户授权给百度,使得腾讯用户能够使用qq号在百度登录为例,描述认证和授权过程。 在认证和授权的过程中涉及到三方: 服务提供方,也就是用户资源(
Spring Cloud OAuth2 认证流程
偶尔记一下 - mybatis.io
09-24 3万+
Spring Cloud OAuth2 认证流程本文基于官方提供的示例进行讲解,文中部分源码使用的 5.0 版本,基本上没太大差别。建议配合本文提供的关键代码和官方示例结合查看,可以运行官方示例查看效果。 认证服务器:https://github.com/spring-cloud-samples/authserver SSO客户端:https://github.com/spring-c
Spring Boot Security OAuth2 JWT完整示例
05-25
Spring Boot Security是一个非常流行的安全框架,可以帮助开发人员实现各种安全功能。其中,OAuth2和JWT是两个非常重要的安全技术,可以用于实现授权和认证。下面是一个基于Spring Boot Security的完整示例,演示如何使用OAuth2和JWT实现安全功能。 1. 创建一个Spring Boot项目 使用Spring Initializr创建一个新的Spring Boot项目,添加以下依赖: - Spring Web - Spring Security - Spring Data JPA - H2 Database - Spring Security OAuth2 - jjwt 2. 添加配置文件 在application.properties文件中添加以下配置: ``` spring.datasource.url=jdbc:h2:mem:testdb spring.datasource.driverClassName=org.h2.Driver spring.datasource.username=sa spring.datasource.password= spring.jpa.database-platform=org.hibernate.dialect.H2Dialect spring.jpa.hibernate.ddl-auto=create-drop spring.h2.console.enabled=true spring.h2.console.path=/h2-console spring.security.oauth2.client.registration.myapp.client-id=myapp spring.security.oauth2.client.registration.myapp.client-secret=myappsecret spring.security.oauth2.client.registration.myapp.scope=read,write spring.security.oauth2.client.provider.myapp.authorization-uri=http://localhost:8080/oauth/authorize spring.security.oauth2.client.provider.myapp.token-uri=http://localhost:8080/oauth/token spring.security.oauth2.client.provider.myapp.user-info-uri=http://localhost:8080/userinfo spring.security.oauth2.client.provider.myapp.user-name-attribute=name ``` 这些配置将用于配置数据源、Hibernate、H2控制台和OAuth2。 3. 创建实体类和仓库 创建一个User实体类,用于表示用户信息: ```java @Entity @Table(name = "user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(nullable = false, unique = true) private String username; @Column(nullable = false) private String password; @Column(nullable = false) private String email; // getters and setters } ``` 创建一个UserRepository接口,用于操作User实体类: ```java @Repository public interface UserRepository extends JpaRepository<User, Long> { Optional<User> findByUsername(String username); } ``` 4. 创建用户服务 创建一个UserService接口,用于定义获取用户和创建用户的方法: ```java public interface UserService { User createUser(String username, String password, String email); Optional<User> getUserByUsername(String username); } ``` 创建一个UserServiceImpl实现UserService接口,用于实现上述方法: ```java @Service public class UserServiceImpl implements UserService { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @Override public User createUser(String username, String password, String email) { User user = new User(); user.setUsername(username); user.setPassword(passwordEncoder.encode(password)); user.setEmail(email); return userRepository.save(user); } @Override public Optional<User> getUserByUsername(String username) { return userRepository.findByUsername(username); } } ``` 5. 配置Spring Security 创建一个WebSecurityConfig类,用于配置Spring Security: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and() .csrf().disable() .formLogin().disable() .httpBasic().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这个配置类将所有请求都需要进行认证,但是允许OAuth2请求。同时,禁用了CSRF、表单登录、HTTP基本认证和会话管理。 6. 配置OAuth2 创建一个OAuth2Config类,用于配置OAuth2: ```java @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("myapp") .secret(passwordEncoder.encode("myappsecret")) .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .redirectUris("http://localhost:8081/login/oauth2/code/myapp"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .accessTokenConverter(accessTokenConverter()) .pathMapping("/oauth/token", "/signin"); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("secret"); return converter; } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } } ``` 这个配置类定义了一个OAuth2客户端,将授权码和刷新令牌作为授权类型,并允许读取和写入作用域。同时,定义了一个端点配置,将认证管理器、用户详情服务、访问令牌转换器和令牌存储配置到端点上。 7. 创建控制器 创建一个UserController类,用于处理用户相关的请求: ```java @RestController @RequestMapping("/users") public class UserController { @Autowired private UserService userService; @PostMapping public User createUser(@RequestBody UserDto userDto) { return userService.createUser(userDto.getUsername(), userDto.getPassword(), userDto.getEmail()); } @GetMapping("/{username}") public User getUser(@PathVariable String username) { return userService.getUserByUsername(username) .orElseThrow(() -> new NotFoundException("User not found: " + username)); } } ``` 这个控制器中定义了创建用户和获取用户的方法。 8. 创建JWT过滤器 创建一个JwtFilter类,用于在请求中验证JWT令牌: ```java public class JwtFilter extends OncePerRequestFilter { private static final String AUTHORIZATION_HEADER = "Authorization"; @Autowired private JwtAccessTokenConverter accessTokenConverter; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String authorizationHeader = request.getHeader(AUTHORIZATION_HEADER); if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); Authentication authentication = accessTokenConverter.extractAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } } ``` 这个过滤器会从请求头中获取JWT令牌,并使用令牌转换器验证令牌。如果验证通过,则将用户认证信息存储到Spring Security上下文中。 9. 注册JWT过滤器 在WebSecurityConfig类中,添加以下配置: ```java @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class); // ... } ``` 这个配置将JwtFilter注册到Spring Security过滤器链中。 10. 创建JWT工具类 创建一个JwtUtils类,用于生成和解析JWT令牌: ```java public class JwtUtils { public static final String SUBJECT = "myapp"; public static String generateToken(User user) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", SUBJECT); claims.put("id", user.getId()); claims.put("username", user.getUsername()); claims.put("email", user.getEmail()); Date now = new Date(); Date expiration = new Date(now.getTime() + 60 * 60 * 1000); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, "secret") .compact(); } public static Long getUserIdFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey("secret") .parseClaimsJws(token) .getBody(); return claims.get("id", Long.class); } } ``` 这个工具类将用户信息存储到JWT令牌中,并使用HS256算法进行签名。 11. 创建DTO类 创建一个UserDto类,用于接收创建用户的请求: ```java public class UserDto { private String username; private String password; private String email; // getters and setters } ``` 12. 测试 启动应用程序,并使用以下命令创建一个用户: ``` curl -X POST -H 'Content-Type: application/json' -d '{"username":"test","password":"test123","email":"test@example.com"}' http://localhost:8080/users ``` 使用以下命令获取访问令牌: ``` curl -X POST -vu myapp:myappsecret http://localhost:8080/oauth/token -H 'Accept: application/json' -d 'grant_type=authorization_code&code={CODE}&redirect_uri=http://localhost:8081/login/oauth2/code/myapp' ``` 将{CODE}替换为授权码,并将返回的访问令牌用于获取用户信息: ``` curl -H 'Authorization: Bearer {ACCESS_TOKEN}' http://localhost:8080/users/test ``` 将{ACCESS_TOKEN}替换为访问令牌,在请求头中发送即可。 以上就是一个完整的Spring Boot Security OAuth2 JWT示例,演示了如何实现授权和认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值