项目中遇到的一些问题总结(九)—— Spring Security 集成JWT、OAuth2完整验证流程

已于 2023-05-23 15:04:06 修改
阅读量1k 收藏 2
点赞数 3
文章标签: java 服务器 spring
于 2023-05-23 08:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51431003/article/details/130497525
版权
JWT验证涉及签名解密与哈希值对比,确保数据未被篡改。SpringSecurity集成JWT的认证流程包括客户端请求认证、服务器生成JWTToken并返回、客户端存储及后续请求携带Token。OAuth2授权服务器使用JwtAccessTokenConverter生成JWTToken。TokenEnhancerChain允许自定义JWTtoken增强。
摘要由CSDN通过智能技术生成

JWT验证

JWT验证本质上是对签名部分进行解密,并使用密钥验证是否被篡改。具体来说,JWT包含三个部分:Header、Payload和Signature。其中,Header和Payload部分是明文的,Signature部分是由Header和Payload部分加上密钥生成的哈希值,是加密之后的结果。

在JWT验证过程中,需要使用密钥对Signature部分进行解密,然后将解密后的结果与Header和Payload部分生成的哈希值进行对比。如果两个哈希值一致,说明JWT没有被篡改,验证通过。如果不一致,则说明JWT被篡改,验证失败。

需要注意的是,JWT验证中的密钥需要保密,并只在发行方和使用方之间共享。只有知道正确密钥的人才能够对JWT进行验证。

SpringSecurity集成JWT的整个认证流程

Spring Security集成JWT的认证流程如下:

  1. 客户端发送请求到服务器

  2. 服务器根据客户端提供的用户名和密码进行认证,如果认证成功,则生成Authentication对象。如果有需要,服务器还可以生成并添加一些其他的Claim,例如用户的角色、权限等。

  3. 服务器将Authentication对象中保存的信息转换为JWT Token的Payload部分,使用JwtAccessTokenConverter对象进行转换,同时生成Header和Signature,组成一个完整的JWT Token,返回给客户端。

  4. 客户端收到服务器返回的JWT Token,并将其保存在本地,以备后续使用。通常,JWT Token会保存在客户端的Cookie或LocalStorage中。

  5. 客户端在后续的请求中携带JWT Token,作为身份验证凭证传递给服务器。

  6. 服务器在接收到客户端的请求时,首先检查请求中是否包含JWT Token。如果不包含,则拒绝该请求。如果包含,则使用JwtAccessTokenConverter对象解析JWT Token,验证Token的合法性,解析出其中携带的信息,并将其保存在SecurityContext中。

  7. 服务器使用SecurityContextHolder中保存的SecurityContext对象,对请求进行进一步验证和授权。如果请求通过身份认证和授权验证,则返回相应的数据;否则返回相应的错误信息。

需要注意的是,JWT的认证过程是无状态的。服务器不需要在本地保存任何用户信息,只需通过Token即可进行身份认证和授权验证。这种无状态的认证方式非常适合分布式系统中的用户认证和授权场景,可以降低系统的复杂度和开发难度。同时,由于服务器不需要保存任何用户信息,也能够有效防止用户信息泄露的风险。

OAuth2授权服务器会将Authentication对象中保存的信息转换为JWT TokenPayload部分,
并使用JwtAccessTokenConverter对象进行转换。同时生成HeaderSignature,组成一个完整的JWT Token,并返回给客户端。

在OAuth2授权服务器中,JwtAccessTokenConverter是一个用于生成 JWT 令牌的处理器。
它的作用就是将Authentication对象转换为JWT令牌的payload部分,并使用签名密钥对其进行签名,
最终生成一个完整的 JWT 令牌。具体的流程如下:

1. 授权服务器根据业务逻辑从数据库或其他存储中获取用户的认证信息和授权信息,然后生成一个 Authentication 对象。

2. 授权服务器将 Authentication 对象传给 JwtAccessTokenConverter 对象,调用 convertAccessToken 方法
将 Authentication 对象转换为 JWT 令牌的Payload部分。

3. JwtAccessTokenConverter 对象使用预设的JWT参数和SigningKey,以及Authentication中包含的用户身份信息,
生成JWT令牌的HeaderSignature4. 授权服务器将生成的 JWT 令牌返回给客户端,客户端接收到 JWT 令牌后,可以使用它来访问受保护的资源。

需要注意的是,JwtAccessTokenConverter 可以自定义实现,以覆盖默认的 JWT 令牌生成方式,例如使用自定义的加密算法、调整 JWT 参数等。

可以通过创建一个模拟的 Authentication 对象来生成 JWT 令牌,以下是一个简单的示例代码:

@SpringBootApplication
@RestController
@EnableAuthorizationServer
public class DemoApplication extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtConverter = new JwtAccessTokenConverter();
        jwtConverter.setSigningKey("my-jwt-secret-key"); //设置SigningKey用于签名
        return jwtConverter;
    }

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    @GetMapping("/generateToken")
    public String generateToken(@RequestParam("username") String username, @RequestParam("password") String password) {
        // 模拟生成 Authentication 对象
        List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        Authentication auth = new UsernamePasswordAuthenticationToken(username, password, grantedAuthorities);

        // 生成 JWT 令牌
        OAuth2AccessToken token = convertAccessToken(auth);
        return token.getValue();
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client")
                .secret("{noop}secret")
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("read", "write")
                .accessTokenValiditySeconds(3600)
                .refreshTokenValiditySeconds(7200);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
                .authenticationManager(authenticationManager)
                .accessTokenConverter(jwtAccessTokenConverter());
    }
}

上述代码中,生成 JWT 令牌使用了 convertAccessToken 方法,该方法由 OAuth2 中的 JwtAccessTokenConverter 类提供,它接收一个 Authentication 对象并返回一个 OAuth2AccessToken 对象。 AuthorizationServerEndpointsConfigurer 配置了如何使用该方法生成令牌,它的 accessTokenConverter 方法将 JwtAccessTokenConverter 对象设置为 JWT 令牌转换器。

在模拟的 generateToken 代码中,使用UsernamePasswordAuthenticationToken 创建了一个模拟的 Authentication 对象,并且调用 convertAccessToken 方法,将该对象传递给 JwtAccessTokenConverter 进行转换。之后从OAuth2AccessToken 对象获得 JWT 令牌的值并返回给客户端。

Spring Security 集成JWT、OAuth2完整验证流程

Spring Security集成JWT和OAuth2的完整验证流程可以分为以下几步:

  1. 客户端向服务器发起授权请求,携带客户端id、客户端secret和授权类型等认证信息(对应OAuth2中的Client Credentials流程)。

  2. 服务器对客户端进行身份认证,并将生成的Access Token保存在JWT Token的Payload部分中,并使用JwtAccessTokenConverter对象进行转换,最终生成一个JWT Token,返回给客户端。

  3. 客户端使用Access Token向资源服务器请求资源。

  4. 资源服务器接收到请求,首先检查JWT Token的合法性,使用JwtAccessTokenConverter对象解析JWT Token,并验证Token的签名和有效期。如果Token不合法,则拒绝该请求。如果Token合法,则从Token的Payload中获取Access Token,并使用Access Token对资源进行鉴权处理。

  5. 当 Access Token 失效的时候,客户端可以使用 Refresh Token 让服务器颁发新的 Access Token。

  6. 客户端在发送请求时,需要在 Authorization 请求头中携带 Access Token,并添加到其中。

  7. 资源服务器对请求进行进一步的验证与鉴权处理,根据其权限与角色返回相应数据。

需要注意的是,OAuth2和JWT Token的集成需要进行一些特定的配置。比如,我们需要使用相应的JwtAccessTokenConverter、TokenStore、TokenEnhancer等配置,来将OAuth2生成的Access Token和Refresh Token转换为JWT Token,并将其保存到TokenStore中。另外,在资源服务器的配置中,我们还需要添加JwtTokenStore和JwtAccessTokenConverter的Bean对象,用于验证JWT Token的合法性并解析其中携带的信息。除此之外,我们还需要在SecurityConfig中配置相应的授权策略,例如哪些路径需要哪些角色或权限才能访问等。

服务器对客户端进行身份认证,并将生成的Access Token保存在JWT Token的Payload部分中,并使用JwtAccessTokenConverter对象进行转换,最终生成一个JWT Token,返回给客户端 这个认证是不是SpringSecurity的认证流程

是的,这个认证是Spring Security的认证流程,在这个步骤中,Spring Security会对客户端进行身份认证,并生成Access Token,将其保存在JWT Token的Payload部分中,最后通过JwtAccessTokenConverter对象进行转换,生成JWT Token并返回给客户端。这是通过Spring Security来保护和认证资源服务器的一种常见方式。

是通过AuthenticationManganer认证码

是的,Spring Security使用AuthenticationManager来完成身份认证的过程。在这个过程中,Spring Security会通过AuthenticationProvider来对用户进行身份验证,并返回相应的Authentication对象,该对象包含了认证成功后的用户认证信息,比如用户名、密码、角色等。同时,Access Token也会被添加到该Authentication对象的details属性中,以方便后续使用。最后,通过JwtAccessTokenConverter对Authentication对象进行转换,生成JWT Token并返回给客户端。

TokenEnhancerChain

TokenEnhancerChain 是 Spring Security OAuth2 中用于控制 JWT token 增强器链(Token Enhancer)的类。使用 Token Enhancer 可以给 JWT token 添加自定义信息,如用户权限、用户名等等,增强 token 的功能。

当生成 JWT token 时,Spring Security OAuth2 会根据配置的 enhancer 链进行增强。TokenEnhancerChain 就是用于维护 enhancer 链的。

TokenEnhancerChain 中包含了多个 TokenEnhancer 对象,TokenEnhancer 定义了增强 token 的方法 enhance。当执行 TokenEnhancerChainenhance 方法时,会依次调用 enhancer 链中所有 enhancer 的 enhance 方法。每个 enhancer 将会在当前的 token 基础上添加自定义信息,并返回新的 token。增强完成后,TokenEnhancerChain 会返回增强后的 token。

使用 TokenEnhancerChain 维护 enhancer 链,可以根据实际需求定制 JWT token 的内容,使 JWT token 携带更多定制化信息,增强 token 的功能。

路上阡陌
关注
SpringSecurityOAuthJwt
Jack汪喆的技术分享栏
02-24 824
一.SpringSecurityOAuth简介 grant_type为授权模式password为密码模式 @EnableAuthorizationServer表示定义认证服务器 @EnableResourceServer表示定义资源服务器 二.Token处理 TokenStore用于定义Token存储 TokenEnhancer用于定制化Token,往里面添加信息 基本Token参数配...
springsecurity 集成 oauth2
贵在坚持
06-27 1590
什么是oauth2: A系统征求用户的同意后直接访问B系统,用户不需要登录也不需要访问B系统。
SpringSecurityOauth2、JWT
weixin_49385823的博客
08-15 930
SpringSecurity 一、SpringSecurity简介 1.1.安全框架概述 ​ 什么是安全框架?解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2.常用安全框架 Spring Security: Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
最新发布
qq_44027353的博客
07-23 3699
Spring Authorization Server 是一个框架,它提供了 和 规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权)服务器。官方主页:https://spring.io/projects/spring-authorization-server因为随着网络和
Spring SecurityOAuth2的完美结合
m0_49151953的博客
04-13 1821
资源所有者是指拥有资源的人或实体,客户端是指需要访问资源的应用程序,授权服务器是指负责授权的服务器,资源服务器是指存储资源的服务器Spring Security OAuth2模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。在上面的代码,我们配置了OAuth2授权服务器的客户端信息存储在数据库,使用了Spring Security的身份验证管理器和用户详细信息服务。在上面的代码,我们配置了OAuth2资源服务器的安全性,只有经过身份验证的用户才能访问受保护的API。
Spring Boot 整合 Spring Security + OAuth2
程序员35
04-02 5723
学习在 Spring Boot 整合 Spring SecurityOAuth2 。 1 OAuth2 概述 1.1 OAuth2 简介 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存或者存在数据库(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring SecurityJWTOAuth2 是现代Web应用程序开发的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
项目SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1068
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
spring securityoauth2整合开发资料汇总
01-26
spring securityoauth2整合开发资料汇总,自己总结收集的。
SpringSecurity整合oauth2
m0_50552745的博客
11-09 399
SpringSecurity整合oauth2
Spring security集成oauth2登录认证
zxc_123_789的博客
09-03 293
一. 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId&
Spring SecurityOAuth2集成开发
技术研究中心
06-30 612
通过将Spring SecurityOAuth2集成,我们可以构建一个安全的、基于令牌的身份认证和授权系统。通过集成Spring SecurityOAuth2,可以构建一个强大且灵活的身份认证和授权系统。希望本文能为您提供有价值的参考,帮助您在项目成功实现Spring SecurityOAuth2的集成Spring SecuritySpring框架的一个子项目,提供了全面的安全服务支持,包括身份认证、授权、攻击防护等。确保使用最新版本的Spring Boot,以享受最新的简化配置和增强特性。
springsecurity整合oauth2
qq_21277357的博客
01-07 2179
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
springsecurity OAuth2.0(springboot集成springsecurity 以及springcloud集成springsecurity
qq_73182976的博客
03-12 2346
用户认证通过后,为了避免用户的每次操作都进行认证,将用户的信息保存在会话。会话就是系统为了保持当前登录的用户的登录状态锁提供的机制。
微服务商城系统(十) Spring Security Oauth2 + JWT 用户认证
weixin_41750142的博客
04-01 2104
文章目录一、用户认证分析1、认证 与 授权2、单点登录3、第三方账号登录4、第三方认证 一、用户认证分析      上面流程图 描述了用户要操作的各个微服务,用户查看个人信息 需要访问 用户微服务,下单 需要访问 订单微服务,秒杀抢购商品 需要访问 秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色,然后授权访问对应的功能,比如管理员 和 普通用户的权限对应的功能 是不一样的。      1、认证
Spring SecurityOauth2 整合 步骤
WUYANYANstrong的博客
12-28 1118
http://blog.csdn.net/monkeyking1987/article/details/16828059  点击打开链接
Spring Security OAuth2整合JWT实战教程
"这篇教程详细介绍了如何在Spring Security OAuth2框架集成JWT(JSON Web Tokens)的示例代码。" 在现代Web应用,安全性和权限管理是至关重要的部分,Spring Security OAuth2提供了强大的安全解决方案。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路上阡陌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值