Springsecurity普通登录认证和OAuth2产生token的认证流程

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量5.7k 收藏 14
点赞数 5
分类专栏: springbootcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/join_null/article/details/119563095
版权

一、普通登录认证过程

        1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址)
        2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证
        3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用providerManagerauthenticate方法认证(providerManager认证其实是由实现了AuthenticationProvider接口的各种provider对象认证的),这里完成真正认证逻辑的是DaoAuthenticationProvider对象,如果认证成功则将用户信息放置到SpringsecurityContext中。进入后面的认证成功或失败处理逻辑。

二、OAuth2获取token认证过程

        获取token时主要认证两个信息:1)client_id、client_secre   2)username、password

        1.用户发起获取token的请求,请求/oauth/token接口。
        2.首先会经过滤器ClientCredentialsTokenEndpointFilter,如果请求/oauth/token,则开始对client_id、client_secre进行认证。
        3.过滤器ClientCredentialsTokenEndpointFilter通过clientId查询生成一个Authentication对象。
        4.然后过滤器ClientCredentialsTokenEndpointFilter,调用providerManager对象的authenticate方法,将带有client信息Authentication对象传入,进行客户端的认证(providerManager认证其实是由实现了AuthenticationProvider接口的各种provider对象认证的),这里完成真正认证逻辑的是DaoAuthenticationProvider对象。
        5.以上认证客户端信息的逻辑全部通过后,会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。
        6.postAccessToken方法中会验证Scope,然后验证是否是refreshToken请求等。
        7.之后调用AbstractTokenGranter(此时的实现类是ResourceOwnerPasswordTokenGranter)中的grant方法。
        8.grant方法中调用getAccessToken方法,在这个方法中又逐步调用到WebSecurityConfigurerAdapter的AbstractUserDetailsAuthenticationProvider的authenticate方法,对username与password进行认证
        9.验证通过后,把得到Authentication认证结果对象包装成OAuth2Authentication认证对象。然后传给DefaultTokenServices类的tokenStore的getAccessToken方法,利用OAuth2Authentication对象中的信息查找tokenStore中是否已经存在token,存在则返回OAuth2AccessToken对象。如果不存在DefaultTokenServices则调用createAccessToken方法创建OAuth2AccessToken对象。
        10.然后将OAuth2AccessToken对象包装进响应流返回。
        刷新token(refresh token)的流程
        刷新token(refresh token)的流程与获取token的流程只有⑨有所区别:

                1.获取token调用的是AbstractTokenGranter中的getAccessToken方法,然后调用tokenStore中的getAccessToken方法获取token。
                2.刷新token调用的是RefreshTokenGranter中的getAccessToken方法,然后使用tokenStore中的refreshAccessToken方法获取token。

join_null
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2305
OAuth2根据授权码获取Token
Spring Security Oauth2使用JWT生成Token
LiaoHongHB的博客
11-13 7733
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我们平时使用oauth2的协议中,生成的token是基于oauth2协议本身的生成策略,如下面的代码(一般在登陆成功的handler中生成token).: package com.car.springsecurity.handle; import com....
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 977
OAuth2.0 的token自动续期源码分析及实现
oauth2.0 /oauth/token 源码解析
qq_40293993的博客
04-08 5212
请求/oauth/token 访问到org.springframework.security.oauth2.provider.endpoint.TokenEndpoint @RequestMapping(value = "/oauth/token", method=RequestMethod.POST) public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
Spring Security(十五):Token配置
人不风流枉少年
07-04 3388
配置多个client token持久化到redis @Data @ToString @AllArgsConstructor @RequiredArgsConstructor public class OAuth2Client { private String clientId; private String clientSecret; private int acces...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
在示例代码中,我们使用了 Spring Security OAuth2 提供的 TokenEndpoint、TokenGranter、TokenServices 和 TokenStore 等组件,实现了用户单一终端的唯一性登录。通过重写 TokenServices 的 createAccessToken 方法...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权流程。 3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
本篇将深入探讨如何利用Spring Cloud集成OAuth2来实现身份认证和单点登录(Single Sign-On,简称SSO)。 OAuth2是一种授权框架,它允许第三方应用获取资源所有者的特定资源,同时保护了资源所有者的隐私信息。在...
oauth2.0鉴权,登录访问 “/oauth/token”,请求头Authorization(basicToken)如何取值???
君临天下tjm的博客
06-30 4767
springcloud项目通常使用oauth2.0做鉴权管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
【第十一篇】SpringSecurity基于JWT实现Token的处理
yqqの博客
03-18 745
SpringSecurity中的认证是通过UsernamePasswordAuthenticationFilter来处理的,现在我们要通过JWT来处理,那么我们就需要重写其中几个处理的方法然后就是当客户端提交请求,我们需要拦截请求检查header头中是否携带了对应的Token信息,并检查是否合法。/*** 校验Token是否合法的Filter//如果携带错误的token,则给用户提示请登录!resultMap . put("msg" , "请登录!");} else {
oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4433
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
Spring Security Oauth2 认证(获取token/刷新token流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
Spring Security OAuth2.0认证授权(三)
weixin_56697114的博客
05-04 660
1、Spring Security 实现分布式系统授权 UAA认证服务负责认证授权。 所有请求经过 网关到达微服务 网关负责鉴权客户端以及请求转发 网关将token解析后传给微服务,微服务进行授权。 2、注册中心与网关搭建 <dependencies> <dependency> <groupId>org.springframework.cloud</groupId> .
security-oauth2(token解密过程)
qq_33421961的博客
11-10 4032
整体介绍 security-oauth2 提供了一些默认的过滤器链,每个过滤器链里面都有多个过滤器,每个过滤器链里面都有一个匹配器,并且每个过滤器链中都有多个过滤器,当业务接口请求到后端的时候,在请求到达目标接口之前,会被过滤器链代理拦截下来,然后循环过滤器器链,利用过滤器链本身的匹配器对请求进行匹配,如果匹配通过,则进入到过滤器链中,然后循环执行过滤器链中所有的过滤器,在这些过滤器中,会对请求头信息中的token进行校验,如果全部校验通过,请求才会调用到最初的目标接口,否则就终止请求的执行,并抛错错误码
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 6107
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
springsecurity oauth2认证详细流程
05-12
Spring Security OAuth2 是一个基于 Spring Security 的 OAuth2 认证框架。下面是 Spring Security OAuth2 认证的详细流程: 1. 用户访问客户端应用程序,客户端应用程序将用户重定向到认证服务器。 2. 用户在认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值