SpringSecurity学习笔记之 入门 七 (oauth2.0整合【Security实现oauth2.0】)

已于 2022-01-20 10:46:36 修改
阅读量259 收藏
点赞数
分类专栏: SpringSecurity java 文章标签: java 安全 https
于 2021-08-06 19:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49194578/article/details/119458774
版权

授权码模式:

1.需要提供appid和app密码
2.配置回调地址
3.验证token接口

实现流程:
1.引入必要依赖:

security
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
oauth2
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
    <version>2.2.1.RELEASE</version>
</dependency>
jwt
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2.修改security配置
完成这个部分(拦截+用户校验部分)

新增授权类AuthorizationConfig 继承AuthorizationServerConfigurerAdapter
重写他的两个配置方法,
在类中注入我们配置好的加密类:

@Component
@EnableAuthorizationServer
public class AuthorizationConfig extends AuthorizationServerConfigurerAdapter{
	@Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    }
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    }
}

AuthorizationServerSecurityConfigurer 参数的方法中配置允许表单提交

 @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients().checkTokenAccess("permitAll()");
    }

ClientDetailsServiceConfigurer参数的方法中配置

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.inMemory()
            //appid
            .withClient("gaga")
            //appsecret
            .secret(passwordEncoder.encode("gaga_test_security"))
            //授权码
            .authorizedGrantTypes("authorization_code")
            //作用域
            .scopes("all")
            //资源id
            .resourceIds("employed_resource")
            //回调地址
            .redirectUris("127.0.0.1:18001/callback");
}

在实际开发中我们会将这些数据储存于DB,当后端认证通过以后执行这个方法的时候我们动态的查询数据库,将信息写入,类似权限添加部分;
这就完成了;

认证:
当我们访问

http://127.0.0.1:18001/oauth/authorize?client_id=employed&response_type=code


client_id写上自己的appid,type=code;

  1. 当我们访问的时候如果没有登录会提示我们登录;当我们登录成功后就会提示我们是否愿意让上面我们配置的appid的客户端获取我们的数据信息
  2. 当点击同意获取的时候,页面就会重定向到我们指定的回调函数,并且后面附带一个参数,授权码;
  3. 这时候我们后台就能通过回调地址获取到授权码,根据授权码生成Token
  4. 根据授权码获取acccessToken;访问:http://127.0.0.1:18001/oauth/token?code=授权码&grant_type=authorization_code&redirect_url=http://127.0.0.1:18001/callback&scope=all对应我们配置中的每一条配置;
  5. 这时候又会让我们登录,但是这时候是需要用appid的账户和密码进行登录,并不是用户;意思就是我们商家客户端拿到了用户的授权以后,用授权码换取token,这时候需要我们商家亮明身份换取token
  6. 实际中就是我们拿到用户授权码,以商家的身份换取用户token;注意需要post方法,认证方法选择basic,提供账号密码进行请求;就能获取到token
{
    "access_token": "9455a88a-f6c7-4916-bf51-4d5c054153c4",
    "token_type": "bearer",
    "expires_in": 43050,
    "scope": "all"
}
  1. oauth服务器拿到了token我们就可以去调用在我们这个中心注册了的商家的接口

小结:大致思路就是当
1.第三方软件请求联合登录的时候,会拉起主应用
2.主应用向服务器申请一个特殊的token[未登录提示登录],
3.然后token交给第三方应用
4.第三方应用拿着token就可以向主应用的服务器请求用户资源;[第三方应用未登录也要提示登录,也就是提供合作时我们分发的appid密钥]

资源服务保护的配置:
在我们需要保护资源的服务中创建一个资源服务配置类ResurceConifg继承ResourceServerConfigurerAdapter类;
注入两个参数,appid以及密钥;后续需要db查询
,配置了这个的服务在被请求时必须带上签发的正确token才行;

@Configuration//启用配置
@EnableResourceServer//启用资源服务
public class ResurceConifg extends ResourceServerConfigurerAdapter {

    private String appid = "employed";//这里后续需要从数据库中查询遍历用下面的方法填入内存
    private String appSecret = "employed_test_security";//这里后续需要从数据库中查询遍历用下面的方法填入内存

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Primary
    @Bean
    public RemoteTokenServices remoteTokenServices() {
        //这里后续需要从数据库中查询遍历用下面的方法填入内存
        final RemoteTokenServices tokenServices = new RemoteTokenServices();
        //设置授权服务器check_token的端点完整地址
        tokenServices.setCheckTokenEndpointUrl("http://127.0.0.1:18001/oauth/check_token");
        //设置客户端id与secret,这里的secret不能使用加密!
        tokenServices.setClientId(appid);
        tokenServices.setClientSecret(appSecret);
        return tokenServices;
    }


    @Override
    public void configure(HttpSecurity http) throws Exception {
        //设置创建session策略.设置请求后;
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
        //@formatter:off
        //设置所有请求都必须授权
        http.authorizeRequests()
                .anyRequest().authenticated();
        //@formatter:on

    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        //设置保护的资源,这个资源就是注册在我们oauth服务器内存中个各个商家的资源id,这个服务中要配置好这个才能保护; 
        resources.resourceId("employed_resource").stateless(true);
    }
}

http://127.0.0.1:18081/oauth/check_token?token=14d20998-864f-4eb7-9ca8-af1c86fbc1da

总结:

  1. 先向已登录用户索取同意操作,用户同意之后会以用户的身份颁布一个授权码;
  2. 第三方平台拿着授权码,向授权服务器申请token;
  3. 第三方平台使用accessToken就可以向授权服务器管辖的用户个人资源服务器请求数据,获取用户信息
  4. 第三方平台就可以根据用户信息进行登录或者注册操作;
  5. 补充:资源发布的时候会给自己指定一个资源id,而第三方进行accsesToken申请的时候也会指定一个资源id(数组),所以只能访问与之匹配的对应资源

误区:
之前一直以为是向授权服务器拿到token以后就可以用token访问第三方的资源了,正觉得奇怪,岂不是每次token都需要授权服务器来解密?
你要是头铁这么做也能用原来资源服务器并不是代表着第三方平台,而是代表着受开放平台管理用户资源

我开始还以为资源服务器就是第三方,第三方token经过授权服务器的验证后就可以请求第三方的接口;昨天测试的时候直接就把这个token放到业务代码里去了

感谢这个老哥的图解,一下就明白了,碰巧查资源id的时候看到的图
Spring Security OAuth2之resource_id配置与验证

想法:
由于一开始的不理解,所以也想了一些替代方法,这边记录一下,说不定会派上用场,第三方可以直接使用token进行替代用户登录,只是登录以后另外颁发一个用户的专属token然后就不用授权服务器的token了。。token失效以后再重新获取;

写代码要喊出来
关注
专栏目录
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代码注释。
SpringSecurity整合OAuth2.0
玩转Java
12-10 1万+
springsecurity整合aoth2.0
Spring Security与OAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1329
通过深入学习并实践SpringSecurity与OAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2415
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Spring Security + OAuth2.0 整合简单案例(Spring Boot)(1)
a52496994的博客
12-10 1392
1 新建SpringBoot项目 新建SpringBoot项目后将pom.xml修改,版本号尽量一致,以免出现一些奇奇怪怪的bug <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://m
spring security和oauth2整合开发资料汇总
01-26
spring security和oauth2整合开发资料汇总,自己总结收集的。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
配合压缩包中的"配套笔记_Spring Security OAuth2.0认证授权_v1.1",读者可以详细学习如何在实际项目中设置这些组件,以及如何处理授权过程的每一个步骤。笔记可能涵盖了创建自定义授权服务器和资源服务器的配置,...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1786
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
Spring Security 5.x+OAuth2.0+OIDC1.0
z2008g的专栏
05-29 1296
5分钟完成Spring Security+OAuth2.0+OIDC1.0集成
Spring Security OAuth2.0_总结_Spring Security OAuth2.0认证授权---springcloud工作笔记157
添柴程序猿的专栏
01-12 292
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 开通了个人技术微信公众号:credream,有需要的朋友可以添加相互学习
SpringSecurity实现Oauth2.0
llwhlee的博客
08-08 630
SpringSecurity实现Oauth2.0
Spring Security 整合OAuth2
程序员子龙
11-11 1929
OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信息,更安全更灵活; ..
Spring Security:二、整合OAuth 2.0(新)
好幸运
09-26 1229
项目结构: 代码地址: 一、什么是OAuth 2.0 什么是OAuth 2.0 OAuth 2.0的四种模式 OAuth2.0图解 OAuth 2.0客服端模式有A、B两台服务器,这里在一个服务中模拟 二、说明 2.1、spring security oauth2建立在spring security基础之上 2.2、 配置spring security 配置认证服务器 配置资源服务器 2...
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
Spring Security Oauth2.0
崔向阳@李晓的博客
07-04 220
什么是 oAuth oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。 什么是 Spring Security Spring Security 是一个安全框架,前身是 Acegi S...
OAuth2.0Spring Security OAuth2.0
东风麦芽糖
08-20 344
OAuth2授权服务器 OAuth2授权码模式客户端模式 OAuth2基于redis存储Token
springsecurity oauth2.0
warrah 南极狼
02-08 3738
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
Spring Security与OAuth2的完美结合
m0_49151953的博客
04-13 1815
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权的服务器,资源服务器是指存储资源的服务器。Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码中,我们配置了OAuth2授权服务器的客户端信息存储在数据库中,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码中,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
Spring Security OAuth2.0:短信验证码登录实现教程
在本文中,我们将深入探讨如何利用Spring Security OAuth2.0实现短信验证码登录的示例。OAuth2.0是现代Web应用程序中常用的授权框架,允许用户授权第三方应用访问其受保护的资源,而无需分享用户名和密码。在这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值