spring security 浏览器第三方登录

最新推荐文章于 2024-05-19 14:53:10 发布
最新推荐文章于 2024-05-19 14:53:10 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: srping security 后端开发学习 spring boot 文章标签: spring security spring social
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzf2284466/article/details/107592529
版权

spring security 浏览器第三方登录

OAuth 协议

1、概要简介

服务器提供商不提供账号密码的情况下,通过发放令牌,让第三方应用可以进行认证、授权并访问资源

(1)采用账号密码登录第三方在这里插入图片描述
弊端
① 应用可以访问用户在微信上的所有数据
② 用户只有修改密码,才能收回权限
③ 密码泄露的可能性大大提高

(2)采用令牌登录(OAuth协议)
在这里插入图片描述
在这里插入图片描述

2、四种授权模式

(1)授权码模式(authorization code)
在这里插入图片描述

(2)密码模式(resource owner password credentials)
(3)简化模式(implicit)
(4)客户端模式(client credentials)

3、spring social基本原理

在这里插入图片描述
将以上流程封装成socialAuthenticationFilter过滤器,并加入到过滤链中
在这里插入图片描述

4、使用spring social实现第三方登录

在这里插入图片描述
(1)ConnectFactory:通过ServiceProvider、ApiAdapter创建Connection(OAuth2Connection),保存服务提供商里的用户信息
(2)ServiceProvider:认证、授权,获取授权码并通过其获取令牌(assess_token),传入API实现类中,获取用户信息
(3)Api(AbstractOAuth2ApiBinding)实现:通过传入的accessToken,使用restTemplate发送Http请求换取openId,两者结合appId,获取服务提供商的用户信息
(4)ApiAdapter:将获取用户信息根据标准结构存储到Connection中
(5)UsersConnectionRespiratory(存储器):根据connection中的openId查询对应的userId,通过userId传入SocialUserDetailsService获取SocialUserDetails,构建认证成功的token

5、QQ第三方登录源码解析

在这里插入图片描述
(1)SocialAuthenticationFilter 过滤器拦截:拦截 /auth/qq 请求,第一段 /auth 在过滤器中配置,第二段 /qq 则由QQAutoConfig初始化ConnectionFactory的provider指定
① 拦截未生效,检查SocialConfig、QQAutoConfig(指定的prefix是否正确)
② redirect uri is illegal报错解决,项目回调地址与注册的回调地址不一致造成:

  • hosts文件修改,将127.0.0.1 指向 www.pinzhi365.com
  • SpringSocialConfigurer 在将SocialAuthenticationFilter添加到过滤链前执行了postProcess()方法,通过自定义类继承SpringSocialConfigurer,并覆盖postProcess()方法,实现 /auth 前缀修改
  • SocialAuthticationFilter 配置修改:传入自定义的url,并返回自定继承SpringSocialConfigurer的类

(2)SocialAuthenticationFilter attemptAuthentication方法() --> attemptAuthService() 方法换取token令牌 – > attemptAuthService() 方法调用 authService.getAuthToken()方法 – > OAuth2AuthenticationService 类 中的getAuthToken()方法,判断回调的路径是否有授权码,没有授权码则会抛出SocialAuthenticationRedirectException异常;有授权码,则调用ConnectFactory工程类的ServiceProvide–> getOAuthOperationsr(Oauth2Template)–> exchangeForAccess() 方法进行认证、授权,换取token令牌
① 授权后跳转到signIn页面,报 你访问的页面不存在!错误:

  • attemptAuthService --> Oauth2Template发送http请求,期望返回格式为application/json,但实际返回的是text/html --> attemptAuthService 无法获取token,返回null,抛AuthenticationServiceException异常
  • AbstractAuthenticationProcessingFilter捕获异常 --> 进入失败处理器 unsuccessfulAuthentication --> 调用失败处理器 ailureHandler.onAuthenticationFailure()
  • SocialAuthenticationFilter失败处理器SimpleUrlAuthenticationFailureHandler --> 将应用重定向到DEFAULT_FAILURE_URL --> /signin

② 替换默认的Oauth2Template,写一个自己的实现:

  • 重写 createTemplate() 方法:继承父类,添加一个新的Converters
  • 重写postForAccessGrant() 方法:此方法发送http请求,默认获取的是json格式结果,但qq认证、授权后返回的结果是字符串,故需要重写

③ ServiceProvider 配置文件更改:返回自己定义的Oauth2Template类

(3) SocialAuthenticationFilter getAuthToken()方法获取token令牌后,将调用工程类创建connection,并new一个SocialAuthenticationToken,将connection存入里边
① API实现类,使用token令牌换取OpenId:

  • 获取openId失败,看截取的代码是否有误

② 使用token、openId、appId获取用户信息

(4)SocialAuthenticationFilter的doAuthentication()方法进行 AuthenticationManager(ProviderManager)验证,根据Token选取的对应的AuthenticationProvider,这里对应的是SocialAuthenticationProvider
① authenticate 中调用 toUserId() 方法,根据connection中的providerUserId 调用UsersConnectionRespiratory 获取 对应的userId

  • 若数据库中没有对应记录,获取userId为空,则会抛出BadCredentialsException异常
  • 判断注册url是否为空,默认的为/signup,将会跳转到此页面进行注册

② 注册页创建,注册逻辑自己定义

  • 自定义注册页配置,在SocialAuthticationFilter配置中添加
  • 获取社交账号信息,确认唯一的userId:使用springSocial提供ProviderSignInUtils工具类,需要在socialConfig文件中配置(ProviderSignInUtils可在session中获取用户信息,用户信息又是在什么时候放入session的?–> BadCredentialsException异常跳转到注册页前调用了sessionStrategy.setAttribute()方法)
  • 获取设计账号信息接口:在BrowserSecurityController中创建,需要创建社交账号bean类
  • 自定义注册接口

(5)注册成功后问题收集:
① 再次登录跳转回注册页问题

  • 由于spring版本不同,可能SocialConfig配置被QQAutoConfig配置覆盖,在SocialConfig配置中加入@Order(10)注解

② 登录成功后,自定义跳转页面配置:

  • 在浏览器配置引入社交配置文件后,设置postLoginUrl路径

③ 关于/social/user getSocialUserInfo()接口报connection为空的异常:

  • 此方法只使用于跳转到注册页的时候使用,因为filter拦截获取userId为空,会报异常,而session只有在异常的时候才添加,其他时候都无session,故调用getConnectionFromSession()方法获取不到connection,所以为空,就会抛异常

(6)根据业务场景,有些需求需要使用社交账号后,自动注册,然后跳到成功页面,实现原理、流程如下:
① 由于JdbcUsersConnectionRepository的findUserIdsWithConnection()方法,默认调用了connectionSignUp,所以只需重写此类,进行自动注册即可
② 在socialConfig配置文件中getUsersConnectionRepository()方法进行配置

6、绑定与解绑

(1)自定义一个绑定、解绑标准页面
(2)spring social默认提供相关的接口方法
① 获取第三方绑定情况接口 /connect :

  • 调用ConnectController类 --> connectStatus() 方法 --> connectView() --> 访问 /connect/status 请求
  • 404错误 --> 视图找不到错误解决: 自己写一个connectionStatusView 继承 abstractView

② 绑定第三方接口 /connect/{providerId} 发送post请求: 扫码后绑定成功

  • 绑定成功,返回404页面:访问 /connect/weixinConnected
  • 写一个通用视图 继承 abstractView
  • 在微信配置文件 WeixinAutoConfig 等第三方配置文件,设置返回的视图

③ 解绑第三方接口 /connect/{providerId} 发送delete请求: 直接进行解绑操作

  • 解绑成功,返回404页面:访问 /connect/weixinConnect
  • 写一个通用视图 继承 abstractView
  • 在微信配置文件 WeixinAutoConfig 等第三方配置文件,设置返回的视图
lzf2284466
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 Provider 之 第三方登录简单演示
05-01
NULL 博文链接:https://rensanning.iteye.com/blog/2386309
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
01-30
本主题将深入探讨如何使用SpringSecurity实现表单安全登录、图形验证码的验证、记住我功能的时长控制以及整合第三方登录。 **表单安全登录** 在SpringSecurity中,我们可以方便地配置表单登录。首先,我们需要定义...
SpringSecurity集成第三方登录
qq_63486066的博客
05-09 546
springsecurity集成第三方登录
Spring Security整合Gitee第三方登录
最新发布
pscool的博客
05-19 1146
当前==我们系统是有自己的一套用户体系==的,在前面通过security搭建了1个非常简单的登录示例。可是,用户要登录我们的系统,需要先注册账号,然后填写一大堆表单,包括:用户名、密码、验证码、性别、年龄、上传头像、绑定邮箱、绑定手机号等等一大堆,这就增加了用户使用我们系统的成本。 因此可以使用比较可靠的第三方系统的用户身份登录我们的系统,但==用户仍然是第三方系统的用户==,==只是用户可以授权他在第三方系统的权限给我们系统,让我们系统可以访问这个用户在第三方系统中的用户信息、用户资源等==。 这样用
SpringSecurity实战(八)-通用第三方登陆-自定义认证配置实现
qq1164014750
12-08 3186
文章目录目标通用第三方登陆设计思路自定义登陆流程代码实现核心依赖创建第三方授权应用调用第三方平台部分login.htmlcontroller 层service 层核心配置通用第三方登陆配置本系统的授权认证部分认证流程一:已经绑定现有用户流程OtherSysOauth2LoginFilterOtherSysOauth2LoginAuthenticationTokenOtherSysOauth2LoginProviderOtherSysOauth2LoginUserDetailsServiceImpl认证成功事
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8658
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
Spring Security渐入佳境(四) -- 第三方应用授权登录
分享技术,共同进步!
12-11 1475
单点登录(Single Sign On,简称SSO),它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。对于用户而言,访问多个应用子系统只需要登录一次,同样在需要注销的时候也只需要注销一次。①各应用间的关系:OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通
SpringSecurity实战(七)-对接第三方登陆-流程分析
qq1164014750
12-08 2459
文章目录目标第三方登陆流程登陆流程必要概念了解授权码模式(Authorization Code)实现第三方登陆框架 目标 了解第三方登陆流程 参考:如何在Markdown中画流程图 关于第三方登录,你应该知道的 Spring Security 实战 书籍 JustAuth与用户系统整合 本文分三篇来介绍第三方登陆的实现。 第三方登陆流程 许多人应该对第三方登陆不陌生,当你登陆某网站,会发现在登陆选项中,允许使用其他平台账户登陆。比如微信,QQ,微博等方式。 登陆流程 以Gitee 这个网站的第三方登
TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架
01-29
这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :
SpringSecurity素材.rar
03-02
9. **OAuth2整合**:如果视频内容深入,可能会涉及到如何集成SpringSecurity与OAuth2服务提供商,实现第三方登录功能。 10. **安全最佳实践**:最后,可能会分享一些安全编码的最佳实践,例如避免SQL注入、XSS攻击...
spring security oauth2.0 (讲义+代码)
03-10
OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何利用Spring Security OAuth2.0 实现这一目标。 首先,OAuth2.0 有四个核心角色...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
springsecurity前端素材.zip
05-19
3. **CSRF防护**:Spring Security默认启用CSRF(跨站请求伪造)防护,以防止恶意第三方在用户浏览器上执行未经授权的操作。这通常通过在表单提交时添加一个隐藏的CSRF令牌来实现。 4. **会话管理**:Spring ...
[Spring Security] Spring Social开发第三方登录
ShotMoon的博客
06-06 636
社交账号登录在当今互联网应用中使用已经相当广泛,像是国内比较流行的qq账号登录、微信登录等,为用户提供便利的同时,通过OAuth协议认证大大保证了用户数据的安全性。一. OAuth协议认证流程:服务提供商(Provider):社交软件提供(微信)资源所有者(Resource Owner):用户第三方应用(Client):程序员开发的第三方应用认证服务器(Authorization Server):...
浅谈权限控制-Spring security 第三方登录与数据库配置方案详解
九哥乌托邦
03-26 818
Spring security 提供了接口,依据这些接口可以自定义自己的校验规则。 AccessDecisionManager权限校验 FilterInvocationSecurityMetadataSource权限配置数据库加载 AbstractSecurityInterceptor Spring security 核心抽象接口 AuthenticationManager 自定义...
【深入浅出 Spring Security(十二)】使用第三方(Github)授权登录
qq_63691275的博客
06-23 3240
这里的Github授权登录,就是使用的OAuth2权限模式中的授权码模式。过程即通过向Github进行授权,授权成功的话会返回一个授权码,后端通过授权码可以去向Github申请Access-Token,通过这个Token,即可读取一些Github的用户资源,观察到获取的用户信息里只有ROLE_USER,即user角色,所以说是获取Github上的用户的一些信息资源。
超级简单的springboot整合springsecurity oauth2第三方登录
gzmyh的博客
11-09 2301
springboot整合进行第三方登录,例如qq、微信、微博。网上一堆教程,并且很多都是旧版本的,篇幅又长,哔哩吧啦一大堆,就算你搞下来了,等下次版本升级或变更一下,你又不知道怎么改了。这篇文章主要是分享一下我自己是如何实现第三方登录的,其实很简单~~~
OAuth2.0与SpringSecurity整合详解
在本资料中,我们关注的是Spring Security与OAuth2.0的集成,OAuth2.0是一种广泛采用的授权框架,用于安全地允许第三方应用访问用户的数据,而无需获取其敏感的登录凭据。 OAuth2.0的核心概念是授权第三方应用访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值