springboot从原理上实现oauth2

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量1k 收藏 1
点赞数
分类专栏: 服务端/框架/auth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwy572039941/article/details/102395244
版权

springboot从原理上实现oauth2

一直以来,使用spring-cloud-starter-oauth2进行用户认证,然而只要配置一些配置文件,写一个登陆页,就可以进行简单的使用。这样会造成我们无法理解oauth2的工作原理,从哪跳转到哪,又在哪里做验证。这样会导致oauth2用起来感觉莫名奇妙,也无法体会到它的安全性。

从网上找了一幅图,就是整个oauth2.0的协议实现原理。
在这里插入图片描述

代码

1.springboot客户端依赖:

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>

	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
		<scope>test</scope>
	</dependency>

	<dependency>
		<groupId>org.apache.oltu.oauth2</groupId>
		<artifactId>org.apache.oltu.oauth2.client</artifactId>
		<version>0.31</version>
	</dependency>
</dependencies>

2.springboot服务端依赖:

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-web</artifactId>
	</dependency>

	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-test</artifactId>
		<scope>test</scope>
	</dependency>
	<dependency>
		<groupId>org.apache.oltu.oauth2</groupId>
		<artifactId>org.apache.oltu.oauth2.authzserver</artifactId>
		<version>0.31</version>
	</dependency>
	<dependency>
		<groupId>org.apache.oltu.oauth2</groupId>
		<artifactId>org.apache.oltu.oauth2.resourceserver</artifactId>
		<version>0.31</version>
	</dependency>
</dependencies>

这里用的springboot版本是2.0.3

3.在客户端web项目中构造一个oauth的客户端请求对象(OAuthClientRequest),在此对象中携带客户端信息(clientId、accessTokenUrl、response_type、redirectUrl),将此信息放入http请求中,重定向到服务端。此步骤对应上图1
ServerController.java

@RequestMapping("/requestServerCode")
public String requestServerFirst(HttpServletRequest request, HttpServletResponse response, RedirectAttributes attr)throws OAuthProblemException {
   clientId = "clientId";
    clientSecret = "clientSecret";
    accessTokenUrl = "responseCode";
    userInfoUrl = "userInfoUrl";
    redirectUrl = "http://localhost:8081/oauthclient01/server/callbackCode";
    responseType = "code";

    OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
    String requestUrl = null;
    try{
        OAuthClientRequest accessTokenRequest = OAuthClientRequest
                .authorizationLocation(accessTokenUrl)
                .setResponseType(responseType)
                .setClientId(clientId)
                .setRedirectURI(redirectUrl)
                .buildQueryMessage();
        requestUrl = accessTokenRequest.getLocationUri();
        System.out.println(requestUrl);
    }catch (OAuthSystemException e){
        e.printStackTrace();
    }
    return "redirect:http://localhost:8082/oauthserver/" + requestUrl;
}

此段代码对应开发步骤1.其中accessTokenUrl是服务端返回code的controller方法映射地址。redirectUrl是告诉服务端,code要传回客户端的一个controller方法,该方法的映射地址就是redirectUrl。

4.在服务端web项目中接受第一步传过来的request,从中获取客户端信息,可以自行验证信息的可靠性。同时构造一个oauth的code授权许可对象(OAuthAuthorizationResponseBuilder),并在其中设置授权码code,将此对象传回客户端。此步骤对应上图2
AuthorizeController.java

@RequestMapping("/responseCode")
public Object toShowUser(Model model, HttpServletRequest request){
    System.out.println("-------------------------服务端/responseCode---------------------------------------------------");
    try{
        OAuthAuthzRequest oauthRequest = new OAuthAuthzRequest(request);
        if(oauthRequest.getClientId() != null && oauthRequest.getClientId() != ""){
            String authorizationCode = "authorizationCode";
            String responseType = oauthRequest.getParam(OAuth.OAUTH_RESPONSE_TYPE);
            OAuthASResponse.OAuthAuthorizationResponseBuilder builder = OAuthASResponse.authorizationResponse(request, HttpServletResponse.SC_FOUND);
            builder.setCode(authorizationCode);
            String redirectURI = oauthRequest.getParam(OAuth.OAUTH_REDIRECT_URI);
            final OAuthResponse response = builder.location(redirectURI).buildQueryMessage();
            System.out.println("服务的/responseCode内,返回的回调路径:" + response.getLocationUri());
            System.out.println("----------------------服务端/responseCode-----------------------------------------------");
            String responseUri = response.getLocationUri();

            HttpHeaders headers = new HttpHeaders();
            try{
                headers.setLocation(new URI(response.getLocationUri()));
            }catch(URISyntaxException e){
                e.printStackTrace();
            }
            return "redirect:" + responseUri;
        }
    }catch (OAuthSystemException e) {
        e.printStackTrace();
    } catch (OAuthProblemException e) {
        e.printStackTrace();
    }
    System.out.println("---------------------服务端/responseCode-----------------------------------------------------");
    return null;
}

5.在客户端web项目中接受第二步的请求request,从中获得code。同时构造一个oauth的客户端请求对象(OAuthClientRequest),此次在此对象中不仅要携带客户端信息(clientId、accessTokenUrl、clientSecret、GrantType、redirectUrl),还要携带接受到的code。再构造一个客户端请求工具对象(oAuthClient),这个工具封装了httpclient,用此对象将这些信息以post(一定要设置成post)的方式请求到服务端,目的是为了让服务端返回资源访问令牌。此步骤对应上图3。(另外oAuthClient请求服务端以后,会自行接受服务端的响应信息。
ServerController.java

@RequestMapping("/callbackCode")
public Object toLogin(HttpServletRequest request)throws  OAuthProblemException{
    System.out.println("-----------------客户端/callbackCode--------------------------------------------------------------------");
    clientId = "clientId";
    clientSecret = "clientSecret";
    accessTokenUrl = "http://localhost:8082/oauthserver/responseAccessToken";
    userInfoUrl = "userInfoUrl";
    redirectUrl = "http://localhost:8081/oauthclient01/server/accessToken";
    code = request.getParameter("code");
    System.out.println(code);
    OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
    try{
        OAuthClientRequest accessTokenRequest = OAuthClientRequest
                .tokenLocation(accessTokenUrl)
                .setGrantType(GrantType.AUTHORIZATION_CODE)
                .setClientId(clientId)
                .setClientSecret(clientSecret)
                .setCode(code)
                .setRedirectURI(redirectUrl)
                .buildQueryMessage();

        OAuthAccessTokenResponse oAuthResponse = oAuthClient.accessToken(accessTokenRequest, OAuth.HttpMethod.POST);
        String accessToken = oAuthResponse.getAccessToken();

        // 获取时间用于查看token是否过期Long expiresln = oAuthResponse.getExpiresIn();
        System.out.println("客户端/callbackCode方法的token:::" + accessToken);
        System.out.println("--------------客户端/callbackCode------------------------------------------------------------------");
        return "redirect:http://localhost:8081/oauthclient01/server/accessToken?accessToken=" + accessToken;
    }catch (OAuthSystemException e){
        e.printStackTrace();
    }
    return null;
}

6.在服务端web项目中接受第三步传过来的request,从中获取客户端信息和code,并自行验证。再按照自己项目的要求生成访问令牌(accesstoken),同时构造一个oauth响应对象(OAuthASResponse),携带生成的访问指令(accesstoken),返回给第三步中客户端的oAuthClient。oAuthClient接受响应之后获取accesstoken,此步骤对应上图4
AccessTokenController.java

@RequestMapping(value = "/responseAccessToken",method = RequestMethod.POST)
public HttpEntity token(HttpServletRequest request){
    System.out.println("-----------------服务端/responseAccessToken-------------------------------------");
    OAuthIssuer oAuthIssuerImpl = null;
    OAuthResponse response = null;
    try{
        OAuthTokenRequest oauthRequest = new OAuthTokenRequest(request);
        String authCode = oauthRequest.getParam(OAuth.OAUTH_CODE);
        String clientSecret = oauthRequest.getClientSecret();
        if(clientSecret != null || clientSecret != ""){
            oAuthIssuerImpl = new OAuthIssuerImpl(new MD5Generator());
            final String accessToken = oAuthIssuerImpl.accessToken();
            System.out.println(accessToken);
            System.out.println("--000---");

            response = OAuthASResponse
                    .tokenResponse(HttpServletResponse.SC_OK)
                    .setAccessToken(accessToken)
                    .buildJSONMessage();
        }
        System.out.println("----------------服务端/responseAccessToken---------------------------------------");

        return new ResponseEntity(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
    }catch (OAuthSystemException e) {
        e.printStackTrace();
    }catch (OAuthProblemException e) {
        e.printStackTrace();
    }
    System.out.println("------------服务端/responseAccessToken----------------------------------------------");
    return null;
}

7.此时客户端web项目中已经有了从服务端返回过来的accesstoken,那么在客户端构造一个服务端资源请求对象(OAuthBearerClientRequest),在此对象中设置服务端资源请求URI,并携带上accesstoken。再构造一个客户端请求工具对象(oAuthClient),用此对象去服务端靠accesstoken换取资源。此步骤对应上图5
在服务端web项目中接受第五步传过来的request,从中获取accesstoken并自行验证。之后就可以将客户端请求的资源返回给客户端了。
ServerController.java

@RequestMapping("/accessToken")
 public ModelAndView accessToken(String accessToken){
     System.out.println("-----------------客户端/accessToken---------------------------------------------------------------------");
     userInfoUrl = "http://localhost:8082/oauthserver/userInfo";
     System.out.println("accessToken");
     OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
     try{
         OAuthClientRequest userInfoRequest = new OAuthBearerClientRequest(userInfoUrl)
                 .setAccessToken(accessToken).buildQueryMessage();
         OAuthResourceResponse resourceResponse = oAuthClient.resource(userInfoRequest,OAuth.HttpMethod.GET,OAuthResourceResponse.class);
         String username = resourceResponse.getBody();
         System.out.println(username);
         ModelAndView modelAndView = new ModelAndView("usernamePage");
         modelAndView.addObject("username",username);
         System.out.println("---------------------客户端/accessToken-------------------------------------------------------------");
         return modelAndView;
     }catch (OAuthSystemException e){
         e.printStackTrace();
     }catch (OAuthProblemException e){
         e.printStackTrace();
     }
     System.out.println("-------------------客户端/accessToken------------------------------------------------------------------");
     return null;
 }

UserInfoController.java

@RequestMapping("/userInfo")
 public HttpEntity userInfo(HttpServletRequest request)throws OAuthSystemException{
     System.out.println("--------------------服务端/userInfo----------------------------------------------");
     try{
         OAuthAccessResourceRequest oauthRequest = new OAuthAccessResourceRequest(request, ParameterStyle.QUERY);
         String accessToken = oauthRequest.getAccessToken();
         System.out.println("accessToken");

         User user = new User();
         user.setUsername("tom");
         user.setPassword("123456");

         String username = accessToken+"---"+Math.random()+"----"+user.getUsername();
         System.out.println(username);
         System.out.println("服务端/userInfo::::::ppp");
         System.out.println("-----------服务端/userInfo----------------------------------------------------------");
         return new ResponseEntity(username, HttpStatus.OK);
     }catch(OAuthProblemException e){
         e.printStackTrace();

         String errorCode = e.getError();
         if (OAuthUtils.isEmpty(errorCode)) {
             OAuthResponse oauthResponse = OAuthRSResponse
                     .errorResponse(HttpServletResponse.SC_UNAUTHORIZED)
                     .buildHeaderMessage();

             HttpHeaders headers = new HttpHeaders();
             headers.add(OAuth.HeaderType.WWW_AUTHENTICATE,
                     oauthResponse.getHeader(OAuth.HeaderType.WWW_AUTHENTICATE));
             return new ResponseEntity(headers, HttpStatus.UNAUTHORIZED);
         }

         OAuthResponse oauthResponse = OAuthRSResponse
                 .errorResponse(HttpServletResponse.SC_UNAUTHORIZED)
                 .setError(e.getError())
                 .setErrorDescription(e.getDescription())
                 .setErrorUri(e.getUri())
                 .buildHeaderMessage();

         HttpHeaders headers = new HttpHeaders();
         headers.add(OAuth.HeaderType.WWW_AUTHENTICATE,
                 oauthResponse.getHeader(OAuth.HeaderType.WWW_AUTHENTICATE));
         System.out.println("-----------服务端/userInfo------------------------------------------------------------------------------");
         return new ResponseEntity(HttpStatus.BAD_REQUEST);
     }
 }

另外:项目中有些参数是自己指定,然后认证服务端是不需要写跳转的IP,这也是oauth2的精髓,需要跳转的地方都有客户端提供,项目中生成的accessToken可以当成token使用,这样其他服务就不需要再认证,只要判断是否由此token就可以了。

如果想要深入研究底层原理的话,推荐两个博客:
阮一峰
张开涛

那还有同学问了,如果我的客户端不是java,而是nginx咋办,那么你可以看我的另外一篇博客。

https://blog.csdn.net/lwy572039941/article/details/102397704

项目地址:

https://download.csdn.net/download/lwy572039941/11835481

97年的典藏版
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springboot+oltu.oauth2搭建oauth2环境
10-08
springbootapache的开源项目org.apache.oltu.oauth2组合搭建的oauth2环境,一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有...
springboot整合oauth2
12-26
下面我们将详细探讨如何在Spring Boot中实现OAuth2以及相关的知识点。 首先,我们需要理解OAuth2的四个核心角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器...
Oauth2 与 SpringBoot
Empty
08-13 403
场景 解决方案 定义:什么是 oauth2 oauth2的四种授权方式 oauth角色 客户端和服务端 举例 实现 客户端 登记 项目结构 pom添加依赖 yml配置文件 AuthCodeController获取code AccessTokenController服务端回调 GetUserInfoController客户端根据access_token获取用户信息 测试 服务端 用户表...
oauth服务端之Java版oltu
我家猫叫奥利奥
07-15 6247
oauth有服务端实现概要代码: pom.xml<!-- apache oauth2.0 --> <dependency> <groupId>org.apache.oltu.oauth2</groupId> <artifactId>org.apache.oltu.oauth2.authzserver</artifactId>
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1576
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
使用Java实现与天猫精灵智能设备的对接(小度是同样的方式)
hm283691724的博客
11-08 6297
1.https://open.bot.tmall.com/ 首先了解天猫精灵智能设备的对接文档 2.创建技能什么的都不用讲了,这里主要讲一下服务配置 3.服务配置好以后,我们开始搭建OAuth2授权服务器,这里我选用JAVA,本身自己就是做安卓的,JAVA会比较容易上手 直接贴代码 package com.hjzn.oauth.controller; import jav...
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9217
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4964
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
基于Springboot集成security、oauth2实现认证鉴权、资源管理.zip
04-08
【标题】"基于Springboot集成security、oauth2实现认证鉴权、资源管理"是一个综合性的IT项目,旨在演示如何在Spring Boot应用中整合Spring Security和OAuth2,以提供安全的认证与授权服务。Spring Security是Spring...
SpringBoot自动配置的实现原理
08-26
SpringBoot 自动配置的实现原理 Spring Boot 框架中的自动配置机制是其核心组件之一,主要负责将应用程序的配置信息自动加载到 Spring 应用程序上下文中。在本文中,我们将详细介绍 Spring Boot 自动配置的实现原理...
springboot OAuth2.0-demo
12-17
在Spring Boot项目中,我们可以利用Spring Security的OAuth2模块来实现这个功能。 **Spring Boot与OAuth2.0集成** 1. **配置OAuth2.0服务器端** - 创建Authorization Server:这是OAuth2.0的核心,负责颁发和管理...
apache-oltu-oauth2-provider-demo, Apache Oltu提供程序服务器演示( Oauth 2.0 ).zip
09-18
apache-oltu-oauth2-provider-demo, Apache Oltu提供程序服务器演示( Oauth 2.0 ) apache-oltu-oauth2-provider-demoApache Oltu提供程序服务器演示( Oauth 2.0 )对于基本OAuth2流程,请阅读以下内容: https://aaronparecki.com/2012/
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
springboot2资料和代码
12-01
- **OAuth2集成**:SpringBoot可以方便地集成OAuth2,实现第三方登录认证。 6. **测试支持**: - **JUnit与Mockito**:SpringBoot提供对JUnit的集成,可以方便地进行单元测试。Mockito则用于模拟对象,帮助隔离...
springboot-oauth2-server:一个简单的Oauth2服务器,它使用springboot配置了JWT
02-19
SpringBoot集成OAuth2与JWT实现安全认证》 在当今的Web开发中,安全认证是不可或缺的一环。SpringBoot作为一款流行的Java开发框架,提供了强大的工具来帮助开发者快速构建应用程序。而OAuth2作为开放标准,主要...
spring-boot-oauth2-demo
05-12
【标题】"spring-boot-oauth2-demo"是一个基于Spring Boot实现OAuth2授权服务的示例项目,旨在帮助开发者理解并应用OAuth2安全框架在实际开发中的工作原理和配置。 【描述】该项目展示了如何利用Spring Boot集成...
Springboot整合OAuth2
qq_41566980的博客
08-28 6703
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其中用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目中认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
SpringBoot集成OAuth2技术
禅与计算机程序设计艺术
01-28 1627
1.背景介绍 1. 背景介绍 OAuth2 是一种授权协议,它允许用户授予第三方应用程序访问他们的资源,而无需将他们的凭据(如密码)传递给这些应用程序。这种授权协议在现代互联网应用程序中广泛使用,例如在社交网络、单点登录(SSO)和其他云服务中。 Spring Boot 是一个用于构建新 Spring 应用程序的快速开始搭建平台。它提供了一种简单的方法来配置 Spring 应用程序,使其易于...
SpringBoot整合Oauth2快速入门(入坑)
热门推荐
weixin_45982841的博客
03-04 1万+
文章目录前言一、什么是Oauth2?二、使用步骤1.引入Maven依赖2.授权服务器项目目录结构:1.授权服务器的security配置代码如下:2.授权服务器Authorize相关配置:1.@EnableAuthorizationServer 该注解切记需要配置哈。3.yml配置3.启动授权服务器后1.使用PostMan来获取Token令牌。这些参数很重要,还是POST请求方式。4.资源服务器模块搭建和配置1.目录结构如下:2.资源服务器配置1.代码如下:2.具体需要获取的数据3.如下请求资源带上Token
springboot整合springsecurity+oauth2
08-11
引用是一个URL链接,是用来进行OAuth2认证和授权的。OAuth2是一种授权框架,用于保护Web应用程序的资源和API。它允许用户通过第三方应用程序进行认证和授权,而无需共享他们的用户名和密码。 关于Spring Boot整合Spring Security和OAuth2,可以按照以下步骤进行: 1. 首先,确保你的Spring Boot项目中包含了相应的依赖,如spring-security-oauth2、spring-boot-starter-security等。 2. 在Spring Security的配置类中,添加对OAuth2的支持。可以通过@EnableOAuth2Client注解来启用OAuth2客户端,使用@Autowired注入OAuth2ClientContext对象。 3. 配置OAuth2的授权服务器信息,包括授权URL、令牌URL、重定向URL等。可以使用@ConfigurationProperties注解来注入这些配置属性。 4. 创建一个自定义的资源服务器配置类,用于保护你的资源。在这个配置类中,可以通过@EnableResourceServer注解来启用资源服务器,并配置资源服务器的访问规则。 5. 在需要进行OAuth2认证和授权的控制器或方法上,使用@PreAuthorize注解来定义访问权限。可以通过给定的角色、权限等参数来限制访问。 需要注意的是,以上只是一个简单的示例,实际的配置可能会有所不同,具体还需要根据你的实际需求和业务逻辑来进行配置。 希望以上信息对你有帮助,如果还有其他问题,请随时提问。1 #### 引用[.reference_title] - *1* [Spring Security + OAuth2.0 整合简单案例(Spring Boot)(1)](https://blog.csdn.net/a52496994/article/details/121865623)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

97年的典藏版

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值