spring seccurity OAuth 2.0授权服务器工作流程

已于 2023-09-23 22:52:52 修改
阅读量282 收藏
点赞数
文章标签: spring security oauth2.0
于 2023-09-17 22:56:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jifgnie/article/details/132957299
版权

一、客户端配置:在configure(ClientDetailsServiceConfigurer clients)方法中,配置了一个客户端,包括客户端标识符、客户端秘密、授权类型、授权范围和令牌有效期等信息。这个客户端表示某个应用程序或服务,它将向授权服务器请求访问令牌。

二、请求授权码:客户端应用程序首先将用户重定向到授权服务器的授权端点(通常是/oauth/authorize),并在请求中包含客户端标识符、授权类型和授权范围等信息。用户登录并授权客户端访问其受保护的资源。

三、颁发授权码:一旦用户同意授权,授权服务器将生成一个授权码,并将用户重定向回客户端应用程序的重定向URI,同时附带授权码作为查询参数。

四、使用授权码获取令牌:客户端应用程序收到授权码后,将向授权服务器的令牌端点(通常是/oauth/token)发送请求,以交换授权码和访问令牌。请求中包含了客户端标识符、客户端秘密、授权类型(authorization_code)、授权码和重定向URI。

五、颁发访问令牌:授权服务器验证客户端的身份和授权码的有效性,如果一切正常,将颁发访问令牌和可选的刷新令牌。访问令牌用于访问受保护的资源,而刷新令牌用于在访问令牌过期时获取新的访问令牌。

六、使用访问令牌:客户端应用程序可以使用访问令牌向资源服务器请求受保护资源。在每个请求中,客户端应用程序将访问令牌包含在请求头或请求参数中,资源服务器将验证令牌的有效性,然后允许或拒绝对资源的访问。

七、刷新访问令牌:如果访问令牌过期,客户端可以使用刷新令牌向授权服务器请求新的访问令牌,而无需用户的介入。



http://localhost:8080/oauth/authorize?response_type=code&client_id=your_client_id&redirect_uri=/oauth2/callback&scope=read

http://localhost:8080/oauth/authorize?response_type=code&client_id=your_client_id&redirect_uri=https://www.baidu.com/&scope=read

curl -X GET "http://localhost:8080/oauth/authorize?response_type=code&client_id=your_client_id&redirect_uri=your_redirect_uri&scope=read" 


http://127.0.0.1:8080/oauth/token?code=IgSNpO&grant_type=authorization_code&client_id=your_client_id&client_secret=client_secret

curl --location --request POST 'http://127.0.0.1:8080/oauth/token?code=fwu1Up&grant_type=authorization_code&redirect_uri=%2Foauth2%2Fcallback' \
--header 'Authorization: Basic eW91cl9jbGllbnRfaWQ6Y2xpZW50X3NlY3JldA==' \
--header 'Cookie: JSESSIONID=C68EE76E15256295E4B8B4A98DF54895'

在这里插入图片描述

进行oauth2认证前,必须先经过Spring Security的认证。
tebukaopu148
关注
<IBM DB2>《DB2实际工作经验》(持续更新......)
Else 的博客
03-30 269
例如DB2SYSTEM=hostname等环境变量,这些参数只能从root下去修改。
OAuth2--授权模式
吴声子夜歌的博客
03-31 821
授权码模式
OAuth 授权流程
Aurora.Q 的博客
12-24 832
OAuth 授权流程图: #mermaid-svg-cUhXv8OnqzcSco4D .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-cUhXv8OnqzcSco4D .label text{fill:#333}#mermaid-svg-cUhXv8OnqzcSco4D .node rect,#mermaid-s
SSO 及 OAuth2.0
jingmiaowill的专栏
03-09 344
OAuth是Open Authority的缩写,使用令牌的方式来代替用户密码访问应用。SSO是Single Sign On的缩写,使用令牌的方式来代替用户密码访问应用。SSO是一种思想,而CAS只是实现这种思想的一种框架。有授权服务器、资源服务器、客户端。
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
OAuth2.0 四种授权方式讲解
让优秀成为一种习惯!
12-25 3209
OAuth2通过将用户密码信息与第三方应用程序隔离,提高了应用程序的安全性。同时,OAuth2是一个开放的标准,可以与不同的应用程序、平台和设备兼容,易于理解和使用,可以快速集成到应用程序中。
Spring Security使用详解(基本用法 )
顶顶顶顶顶顶顶顶顶顶顶顶
07-16 9289
1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security的使用更加便捷。 2,安装配置 <dependency> <groupId&gt...
Spring Security身份认证为什么不用校验密码?
qq_36686358的博客
09-20 4676
今天在学Spring Security,学习过程中发现在认证类里面没有校验密码的操作,只有校验用户名是否存在。有没有大神指点一下,Spring Security认证类内部是不是自己有校验密码,但是在传递参数里面我只有传了一个用户名,密码没有传他怎么知道密码是不是正确的? /**  * 认证类  * @author Administrator  *  */ public class Us...
Spring security 入门 - 02 自定义用户登录页面和登录处理逻辑
nimo10050的博客
02-01 2264
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring security 04-整合 jwt 对应源代码 Spring Security 01- 将 Spring ...
springboot整合security和vue
2010yhh
05-07 1万+
springboot整合security和vue 文章目录springboot整合security和vue1.security参考资料2.springboot整合security要点2.1获取登录用户信息2.2自定义登入登出url2.3自定义Handler返回json2.4记住我功能2.5验证码功能2.6限制登录次数2.7密码加密2.8后台提供接口,返回前端json,整合vue做前端登入登出3.测...
彻底搞懂OAuth2.0第三方授权免登原理
最新发布
量子前端的博客
02-28 1136
OAuth 2.0是一个授权框架,允许第三方应用程序获取对资源拥有者(例如,用户)资源的有限访问权限,而不需要向第三方暴露资源拥有者的凭据(通常是一个密码)。这种授权通常用于允许用户让一个应用程序对另一个系统进行安全访问,通常用于“登陆”的场景。免登(免密码登录)原理在OAuth 2.0框架中可以通过几种不同的grant类型实现,最常见的是使用“授权码”(Authorization Code)流程
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 4090
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
OAuth 2.0认证授权 流程 以及Spring Security OAuth 2.0
aaaak_的博客
05-12 685
访问oauth授权URI以启动OAuth2流程:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client 重定向到登录页面:http://localhost:8080/server/login 处理批准并重定向到我配置的重定向页面,其中包含一个代码参数:http://localhost:8080/client?code=HMJO4K 使用基本身份验证使用客户端ID和密码以及授权类..
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 2937
SpringOAuth2授权流程分析
Spring Security OAuth2.0认证授权(一)
weixin_56697114的博客
04-04 2043
1、基本概念 1、认证 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 2、会话 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token
spring-security-oauth2(授权模式入门简单使用)
IABQL的博客
08-13 2805
当前应用需要实现第三方登入,那么第三方是如何进行授权认证的?这就是oauth2协议。模拟实现微信端是如何进行授权认证登入。举例:豆瓣就是客户应用,授权服务器、资源服务器就是微信端持有。豆瓣需要向微信的授权服务器获取授权,获取到授权后再向资源服务器获取用户信息。那么我们就需要1.需要配置一个授权服务器(发放授权码)2.配置一个资源服务器(获取用户信息接口需要令牌才能访问)3.配置一个接口(获取返回用户信息)4.还要实现模拟用户的登入(因为授权服务器需要向用户发起是否允许授权的请求)......
Spring Security Oauth2 认证流程
山巅
09-16 4239
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
Spring Security Oauth2 之 理解OAuth 2.0授权流程
vincent
04-03 1万+
总览 本系列针对Security-Oauth2架构的剖析,包括:oauth2.0认证架构详解、架构源码解读、核心结构配置。 本篇是对oauth2认证流程的概述,喜欢的多多pick! 内容引用书籍:The OAuth 2.0 Authorization Framework gitHub 链接:https://g...
27、oauth2四种授权模式认证流程
热门推荐
lixiang987654321的专栏
10-25 3万+
重点: 授权服务器如果同时存在WebSecurityConfigurerAdapter和ResourceServer,那么如下授权模式部分是无法使用的,所以保留WebSecurityConfigurerAdapter 假设具体参数如下: (1)请求地址为:http://localhost:7010/uaa/oauth/XX (2)数据库表oauth_client_details...
SpringSecurityOAuth2授权流程源码分析
程序员劝退师的博客
04-16 1185
前言 最近在搞SpringSecurityOAuth2相关的技术,做到了使用OAuth2做手机号+验证码授权登录,但是在做的过程中出现了一些问题。可能是写SpringSecurity的惯性思维导致的,最后迫不得已看了下源码,然后就搞定了,这篇文章主要是讲解一下SpringSecurityOAuth2的授权流程,废话不多说,先上一张核心源码流程图! 绿色的是实现类,蓝色的是接口,我们知道SpringSecurityOAuth2这套框架默认已经帮我们配置好了5中授权模式,这五种模式如下 授权模式 实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值