[Spring Security] auth2篇

最新推荐文章于 2024-09-20 17:32:03 发布
最新推荐文章于 2024-09-20 17:32:03 发布
阅读量438 收藏
点赞数
分类专栏: springboot SpringSecurity 文章标签: spring http asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhaibo_ljf/article/details/119978743
版权

OAuth2ProtectedResourceDetails:yml配置的资源配置的实现类,这是一个接口,在oauth2这个依赖下面。
BaseOAuth2ProtectedResourceDetails是实现之一

当clientA调用securedPage后是在
LoginUrlAuthenticationEntryPoint的commence判断没有权限后,然后调用的localhost:8201/login
然后通过AbstractAuthenticationProcessingFilter的doFilter然后就去执行授权码的哪个请求,就会调到server端了
server端发现没有权限,然后就重定向到server端的登陆页面了


OAuth2ClientContextFilter


FilterSecurityInterceptor ——> AbstractSecurityInterceptor[beforeInvocation][检测当前url是否需要进行验证]

AffirmativeBased[decide][决定是否有权限访问]
  |-- WebExpressionVoter[vote][通过投票决定当前访问的url是否被DENIED,
      如果denied也就是说必须有权限才能访问,那么就会抛出AccessDeniedException异常],上层[ExceptionTranslationFilter]接到这个异常后调用[sendStartAuthentication]
      然后通过[authenticationEntryPoint.commence(DelegatingAuthenticationEntryPoint)],在这个方法方法里会找到【LoginUrlAuthenticationEntryPoint】,
      然后通过他的[commence]就会发起一个localhost:8301/login的重定向请求(这个url实在这个类中组建出来的),
      然后AbstractAuthenticationProcessingFilter的doFilter方法中发现了这个/login的url,就不会跳到其他的filter了,而是自己来进行处理,
      它会调用[OAuth2ClientAuthenticationProcessingFilter]的[attemptAuthentication],这个方法中会获取各种token,其中就包括通过[AuthorizationCodeAccessTokenProvider]
      的[obtainAccessToken],这个方法会先去看是否能从当前request拿到code,如果拿不到就抛出一个[throw getRedirectForAuthorization(resource, request);]异常,这个方法里就
      生成了我们获取授权码的哪个url的相关信息,然后放到异常类[UserRedirectRequiredException]向外抛出,抛出后就会被[OAuth2ClientContextFilter]捕获到,然后通过[redirectUser(redirect, request, response)]
      将参数组合到url中,最后生成获取授权码code的那个url,然后发起重定向请求,然后就会调用到我们oauth2的server了,


server端是如何跳转到自己的登陆页面的呢?
oauth2 server收到[/auth/oauth/authorize/后面部分省略]这个获取授权码的请求后,然后再次执行与上面client端相同的过程,如下:
FilterSecurityInterceptor ——> AbstractSecurityInterceptor[beforeInvocation][检测当前这个获取授权码的url是否需要进行验证]
AffirmativeBased[decide][决定是否有权限访问]
  |-- WebExpressionVoter[vote][通过投票决定当前访问的这个获取授权码的url是否被DENIED(因为还没在oauth2 server登录过,所以这个url肯定没权限),
      如果denied也就是说必须有权限才能访问,那么就会抛出AccessDeniedException异常],上层[ExceptionTranslationFilter]接到这个异常后调用[sendStartAuthentication]
      然后通过[authenticationEntryPoint.commence(DelegatingAuthenticationEntryPoint)],在这个方法方法里会找到【LoginUrlAuthenticationEntryPoint】,
      然后通过他的[commence]就会发起一个localhost:8300/auth/login的重定向请求(这个url实在这个类中组建出来的),
      然后[DefaultLoginPageGeneratingFilter]的[doFilter]会处理这个请求,在这里生成oauth2 server的登陆页面,然后输出到页面,也就有了我们看到的授权认证的登陆页面了。

Spring Security OAuth2详解
qq_33814479的博客
10-12 6884
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
SpringSecurity OAuth2实现单点登录,微信扫码登录,Redis缓存验证码---入门到实战
m0_62681080的博客
04-25 2万+
SpringSecurity OAuth2实现用户认证权限,包含微信扫码登录、Redis缓存验证码、发布邮箱测试、用户登录、注册、忘记密码功能实现
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
最新发布
baimao__Ch的博客
09-20 1864
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
SpringSecurity实现Oauth2.0
llwhlee的博客
08-08 664
SpringSecurity实现Oauth2.0。
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 5845
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
Spring SecurityOAuth2
qifeng78的博客
12-04 489
SpringSecurity所解决的问题就是而安全访问控制功能其实就是对所有进入系统的请求进行拦截 校验每个请求是否能够访问它所期望的资源 SpringSecurity对Web资源的保护是靠Filter实现的导入依赖之后自动有一个登录界面添加WebSecurityConfig.java类 类里主要配置这几个部分 用户信息 密码方式 安全拦截机制 配置用户拥有哪些权限。
Spring SecurityOAuth2:构建安全Web应用的强大组合
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
03-11 3万+
通过深入学习并实践Spring SecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
Spring Security OAuth过期的解决方法
09-07
Spring Security 5.x引入了对OAuth2和OpenID Connect 1.0的支持,这意味着你可以直接在框架内实现OAuth2的功能,包括资源服务器、客户端和身份验证服务器。这有助于减少混乱并提供更一致的体验。 4. **移除过时的...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 概述 Spring Security Oauth2.0 是一个基于 Spring ...
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代码注释。
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
从零开始的Spring Security Oauth2(一)
热门推荐
小王的博客
07-09 4万+
使用配置 1.简易的分为三个步骤 配置资源服务器 配置认证服务器 配置spring security 2.oauth2根据使用场景不同,分成了4种模式 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(c...
初识Spring Security OAuth2(二)
huangwei18351的博客
07-02 277
2. Oauth2认证流程源码分析 2.1客户端认证 从浏览器中输入网址之后,首先会通过Spring的相关过滤器进行拦截,filterchains中的过滤器一层一层执行doFilter, 到ClientCredentialsTokenEndPointFilter,首先会调用其父类AbstractAuthenticationProcessingFilter的doFilter方法。 然后...
SpringSecurity OAuth2总结
chiyunhouse的博客
07-30 1335
1.Spring Security的认识 1.Spring Security的核心功能 1.Authentication:身份的验证,用户登陆的验证; 2.Authorization:访问授权,授权资源的访问权限; 3.安全防护、防止跨站请求、session攻击; 4.Spring SecurityOAuth的支持更友好; 5.Spring Security在网络安全方面下了更多的功夫 ...
使用Spring Security进行简单身份验证
最佳 Java 编程
06-14 426
朋友不允许朋友写用户身份验证。 厌倦了管理自己的用户? 立即尝试Okta的API和Java SDK。 在几分钟之内即可对任何应用程序中的用户进行身份验证,管理和保护。 身份验证对于除了最基本的Web应用程序之外的所有应用程序都至关重要。 谁在发出请求,需要数据或想要更新或删除数据? 您可以确定请求来自指定的用户或代理吗? 在当今的计算机安全环境中,很难确定地回答这个问题。 幸运的是,绝对没...
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
Spring Security OAuth 2.0
chuixue24的博客
04-17 213
续·前一OAuth 2.0》 OAuth 2.0 Provider 实现 在OAuth 2.0中,provider角色事实上是把授权服务和资源服务分开,有时候它们也可能在同一个应用中,用Spring Security OAuth你可以选择把它们分成两个应用,当然多个资源服务可以共享同一个授权服务。 获取token的请求由Spring MVC的控制端点处理,访问受保护的资源由标准的Spri...
Spring Security OAuth2 2.3.5 中文API文档包
资源摘要信息:"本资源为Spring Security OAuth2 2.3.5.RELEASE版本的API文档中文版,提供了完整、详细的API接口说明,方便开发者理解和使用Spring Security OAuth2框架。资源内容包括: 1. Spring Security OAuth2 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值