Spring Security OAuth专题学习-密码模式JWT实现

最新推荐文章于 2024-05-28 18:05:51 发布
最新推荐文章于 2024-05-28 18:05:51 发布
阅读量2.3k 收藏 4
点赞数 3
分类专栏: Spring Spring Security OAuth2应用示例 文章标签: Spring Spring Boot Spring Security OAuth2 OAuth2 JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icarusliu/article/details/87968090
版权
本文是Spring Security OAuth2学习系列文章中的第三篇;主要讲解密码模式下如何使用JWT管理Token。关于密码模式非JWT的实现示例及Spring Security OAuth2的一些基础知识,请移步本博客文章清单进行查看。1. JWT是什么JWT是JSON Web Token的缩写。它与标准Token不一样的地方在于,在Token中它附加存储了很多额外的信息,如Toke...
摘要由CSDN通过智能技术生成

本文是Spring Security OAuth2学习系列文章中的第三篇;主要讲解密码模式下如何使用JWT管理Token。

关于密码模式非JWT的实现示例及Spring Security OAuth2的一些基础知识,请移步本博客文章清单进行查看。

1. JWT是什么

JWT是JSON Web Token的缩写。它与标准Token不一样的地方在于,在Token中它附加存储了很多额外的信息,如Token的失效时间,Token所拥有的权限等。

在了解为什么要有JWT及什么时候使用JWT前,我们先来看下非JWT模式下资源服务器如何校验Token的有效性;

  • 资源服务器收到带Token的请求;
  • 资源服务器将Token发送到授权服务器/oauth/check_token接口
  • 授权服务器校验Token有效性,并将Token的权限信息(如有权访问的资源清单、对资源清单能够进行的操作等)返回给资源服务器;
  • 资源服务器根据返回的信息进行处理:
    • Token无效,返回相应错误信息给调用方;
    • Token有效,但无权限访问想要访问的资源,返回相应错误给调用方;
    • Token有效,且有权限访问想要访问的资源,访问资源后返回成功给调用方;

注意到这种模式下,每次有请求时,资源服务器都要进行这样一个处理,这大大增加了资源服务器、授权服务器负担及网络开销!

那么有没有一种方式能够减少这个校验请求的次数呢?这就是JWT要解决的问题。

它的原理就是在Token中附带了权限校验需要的信息;那么在资源服务器中进行权限验证的时候就不需要访问授权服务器获取Token所对应的权限信息了。

但这又引入了另外一个问题,如何保证Token本身是有效的而不是被伪造的?JWT通过加密的方式来保证Token的有效性,可以选择多种加密方式,其中非对称方式使用的比较多:授权服务器通过私钥加密Token;然后对外暴露公钥的获取接口;资源服务器获取公钥后使用其来对Token进行解密。由于公钥基本不会变化,因此请求到的公钥资源服务器就可以缓存到本地服务中。

通过这样一系列处理,JWT校验Token时不需要再每次都请求授权服务器进行校验,相当于将校验过程从授权服务器中下沉到了资源服务器中。

通过https://jwt.io/可以解析某个Token,直接看到其中所包含的信息,如token:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsidGVzdFJlc291cmNlIl0sInVzZXJfbmFtZSI6InRlc3QiLCJzY29wZSI6WyJyZWFkIiwid3JpdGUiXSwiZXhwIjoxNTUwODU3NjA4LCJhdXRob3JpdGllcyI6WyJST0xFX1VTRVIiXSwianRpIjoiYTg5MjdmNTItMDFlNi00NjFlLWJjNjEtOGNiZjYwODFjYmZlIiwiY2xpZW50X2lkIjoidGVzdCJ9.NXlLTSkLpajmYm6R66UYRQ81n6Z3J-wE4bTDf7sMqGU

解析到的信息为:

{
   
  "aud": [
    "testResource"
  ],
  "user_name": "test",
  "scope": [
    "read",
    "write"
  ],
  "exp": 1550857608,
  "authorities": [
    "ROLE_USER"
  ],
  "jti": "a8927f52-01e6-461e-bc61-8cbf6081cbfe",
  "client_id": "test"
}

如果想要向Token中增加更多自定义信息,可以通过TokenEnhancer接口实现。

2 实现

本节使用一个Spring Boot的示例来说明JWT的配置及使用。

2.1 MVN

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.3.4.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.1.2.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-jwt</artifactId>
    <version>1.0.9.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>

2.2 授权服务器

2.2.1 Security普通配置:

@Configuration
@EnableWebSecurity
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
   
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
        auth.inMemoryAuthentication().withUser("test").
最低0.47元/天 解锁文章
icarusliu81
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
Spring Security Oauth2 (五) 密码模式 整合jwt
Claroja
03-08 246
Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本)
最新发布
2401_85112032的博客
05-28 583
Autowired@Autowired@Autowired@Autowired/***/@Override//配置令牌存储策略//省略代码…进行获取令牌操作,可以发现令牌已经被存储到Redis中。
基于Spring Security OAuth2: 密码模式
zhangxiaojun211的博客
03-30 1092
基于Spring Security OAuth2: 密码模式 实现(token存储于redis, client信息存储于数据库) 借鉴:spring security oauth2 password模式简单入门 demo地址:oauth-demo-newhttps://gitcode.net/zhangxiaojun211/oauth-demo-new
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
学成在线 - Spring Security Oauth2 JWT
Yuudachi的博客
07-30 724
1 用户认证需求分析 1.1 用户认证与授权 截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体中具有自定义详细信息
05-19
Spring Boot 2 OAuth2 JWT资源服务器实现详解》 在当今的Web开发中,安全性和权限控制是不可或缺的重要环节。Spring Boot作为Java生态系统中的主流框架,提供了强大的安全支持。本篇文章将深入探讨如何使用Spring...
spring-boot-2-oauth2-authorization-jwt:带有用户和客户端数据库(JPA,Hibernate,MySQL)的Spring Boot 2 OAuth2 JWT授权服务器实现
02-03
Spring Boot 2 OAuth2 JWT授权服务器 链接到项目 关于如何使用Spring Boot 2 , JPA , Hibernate和MySQL使用JWT令牌设置OAuth2授权服务器的简单项目。 简而言之 所有和客户端都存储在数据库中。 可以具有许多与之相...
Spring Security OAuth2实现使用JWT的示例代码
08-27
Spring Security OAuth2 实现使用 JWT 的示例代码 在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。 Spring Security OAuth2 介绍 Spring ...
oauth2密码模式mysql模式
08-13
oauth2密码模式mysql模式,有走redis存储token的,改一下配置即可
Oauth2.0 密码模式客户端及模拟服务端手动实现
07-18
Oauth2.0 密码模式单点登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web是客户端项目,sessmgr是服务端,运行这3个项目 ,可测试单点登录功能
Spring boot security+oauth2 (三)密码模式
ywdevil1314的博客
09-01 541
Spring boot security+oauth2 (三)密码模式密码模式介绍环境搭建测试 密码模式介绍 (1)资源拥有者将用户名、密码发送给客户端 (2)客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token),请求如下: /uaa/oauth/token? client_id=c1&client_secret=secret&grant_type=password&username=shangsan&password=123 参数列表如下:
Spring Security OAuth专题学习-密码模式及客户端模式实例
icarusliu的专栏
02-25 1870
在https://blog.csdn.net/icarusliu/article/details/87911093一文中,介绍了OAuth的一些背景知识;本文将编写一个简单的示例,演示授权模式中的密码模式及客户端模式如何实现。 本示例中涉及到的几个对象其关系如下图所示: 密码模式一般用于用户对客户端信任度最高的情况下,因为客户端需要保存用户在授权服务器中的用户名及密码信息,客户端可以访问所有用户...
SpringSecurity(15)——OAuth2密码模式
peng_gx的博客
01-26 808
SpringSecurity Oauth2密码模式
oauth2 access_denied 不允许访问_OAuth2.0系列之客户端模式实践教程(五)
weixin_39590989的博客
12-10 2064
OAuth2.0系列之客户端模式实践教程(五)1、客户端模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践...
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7283
springsecurity整合oauth2+JWT,数据库配置客户端
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5126
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式密码模式OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring SecuritySpring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring SecuritySpring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值