如何在SpringBootOAuth服务器中实现双因素身份验证?第一部分:配置

最新推荐文章于 2024-07-19 21:23:54 发布
最新推荐文章于 2024-07-19 21:23:54 发布
阅读量9.7k 收藏 1
点赞数
文章标签: java 开发语言 后端 springboot 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67455745/article/details/123363573
版权
本文介绍了如何在SpringBoot 2.5OAuthJWT服务器中配置双因素身份验证,作为SpringCloud系统的一部分。文章详细讲解了系统架构、认证管理器、令牌授予者,并提供了源代码。在系统中,用户需要通过用户名、密码和2FA代码来获取有效的JWT,以增强安全性。
摘要由CSDN通过智能技术生成

在这篇文章中,我将演示如何为SpringBoot 2.5OAuthJWT服务器配置一个双因素身份验证功能,这是一个更大的SpringCloud系统的一部分。

我们构建了一个分布式CRM系统。该系统具有专用的基于SpringBoot的身份验证/授权服务和许多安全和不安全的微服务。我们选择授权服务器的JWT安全机制来验证每个安全的微服务的任何请求,这是微服务的工作。另外,我们希望在授权服务发出有效的JWT之前为授权服务启用2FA身份验证,以达到另一级别的保护。

该员额安排如下。首先,我描述了系统的各个部分。其次,我演示了系统的体系结构,并描述了如何配置授权服务器来启用2FA。提供了整个系统的源代码。这里. 第二部分这篇文章演示了授权服务器如何在幕后工作。

系统

我们系统的组成图如图1所示。用户通过Zuul网关与系统进行交互。用户也可以直接调用单个的微服务RESTAPI。

Config服务器为微服务提供配置文件。全局配置文件包含所有微服务的信息。还有一些配置文件是针对单个微服务的.为了使其自动工作,所有服务都在Eureka服务器上注册。一些微型服务通过Kafka消息代理相互连接。Kafka的主机、端口和主题列在全局配置文件中。

本系统是以起动机为基础的。电码的伊斯克伦·伊万诺夫;见他的岗有关此系统如何工作的详细信息。我添加了一个双因素授权,并将授权服务器从1.5迁移到SpringBoot2.5。此外,我还分析了授权服务器如何在第二部分.

在这个分布式系统中,安全工作流比单块系统更复杂,用户只需要提供用户名和密码,可能还需要提供2FA代码。我们的系统使用隐式授权流。要获得有效的JWT,用户需要提供一个客户机ID(客户(为了简洁起见)和客户秘密(秘密为了简洁起见,这些都是微服务的“凭据”。此外,他或她需要提供一个有效的用户名和密码-这些是我们习惯的常规凭证。此外,如果用户启用了他/她的2FA,则该用户需要发送一个具有相同内容的额外请求。客户:秘密并提供必要的2FA代码。最后,要刷新JWT,用户必须提供客户:秘密以及有效的刷新令牌。

客户端ID、客户端秘密、用户名和密码存储在单独的数据库中,仅连接到授权服务器。此外,授权服务器保留一个私钥来签名JWT;所有安全服务都保留相应公钥的副本以验证签名。让我们看看如何配置这个授权服务器。

授权服务器体系结构

3种方案的实际工作流,由岗位上的阿纳尔·苏丹诺夫,如下所示。 如果用户有他/她2FA残疾人,用户可在1步内获得授权。用户进行以下调用:

curl trusted-app:secret@localhost:9999/oauth/token -d grant_type=password -d username=user -d password=password

这里trusted-app:secret 客户:秘密在这个系统中,localhost:9999是东道主:港口在部署授权服务器的地方,/oauth/token是令牌端点。这个grant_type=password是2FA授权的第一步的授予类型,username和password是通常的用户凭据。系统返回一个有效的JWT和一个具有用户角色编码的刷新令牌。

如果用户有他/她2FA启用,用户打两个电话。第一个调用与上面的调用相同;但是,这一次,系统返回一个带有“preauth”角色编码的有效访问令牌。然后,用户再打一个电话:

curl trusted-app:secret@localhost:9999/oauth/token -d grant_type=tfa -d tfa_token=$token -d tfa_code=123456

在那里$token是上一步中的“preauth”访问令牌,tfa_code是2FA算法工作所必需的一次代码。系统返回一个有效的JWT和一个具有用户角色编码的刷新令牌。

注意,这个带有访问令牌(而不是JWT)的中间步骤防止了微服务错误地对用户进行身份验证,其中JWT是用JWT的公钥进行验证的,但是服务有一个“All以外的<角色>”过滤器。在这种情况下,“preauth”角色也是可以接受的。

最后,到刷新一个JTW(不一定过期),用户调用:

curl trusted-app:secret@localhost:9999/oauth/token -d grant_type=refresh_token -d refresh_token=$token


在我们使用的地方grant_type=refresh_token以及在前面步骤中获得的实际刷新令牌。

在引擎盖下,我们的系统如下(图2)。

图2.我们安全服务器的工作流程。


对于传入的令牌请求,系统首先验证客户:秘密对系统的基本身份验证过滤器,这反过来调用客户端和秘密身份验证管理器。如果为肯定,则请求将到达授权端点。/oauth/token.然后,系统根据请求类型调用用户名和密码验证器、2FA验证器或刷新令牌验证器;这些验证器在适当的令牌授予器中用于实际发出JWT。反过来,用户名和密码验证器需要用户名和密码身份验证管理器来完成其工作。让我们看看如何配置这些管理器。
 

认证管理器

这个客户端和秘密认证管理器由Spring授权服务器自动配置。在……里面第二部分在这篇文章中,我详细地展示了这是如何工作的。现在,我们只需要为客户:秘

最低0.47元/天 解锁文章
码出星海
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot OAuth2 认证服务器搭建及授权码认证演示
oscar999的专栏
07-26 949
本篇基于JDK8 搭建Spring Boot 的OAuth 2的认证服务器, 并完全显示授权码认证模式的完整过程
因素认证java_使用spring security oauth2进行因素身份验证
weixin_42144201的博客
02-27 1772
我无法使接受的解决方案有效 . 我一直在研究这个问题,最后我通过使用这里解释的想法并在这个帖子上写了我的解决方案“null client in OAuth2 Multi-Factor Authentication”如果您发现任何问题或更好的方法,我感谢您分享您的反馈意见 .您可以在下面找到此解决方案的关键配置文件 .AuthorizationServerConfig@Configuration@E...
SpringBoot + mybatis-plus + HMACOTP 实现因素身份验证功能
竹林幽深
09-05 655
在上述代码,我们创建了一个LoginController,调用 /secure/generate-otp 请求获取 指定用户 admin 获取 otp值,根据生成的otp值,处理POST请求/secure/login。因素身份验证(Two-Factor Authentication,简称2FA)是一种增强用户身份验证安全性的方法,通常结合使用密码和另外一种身份验证因素,如一次性密码(OTP)来进行验证。该方法会尝试验证当前时间的5分钟内时间戳的HMACOTP,允许一定的时间差。
后端开发】身份和访问管理IAM(MFA,OTP,JWT,OAuth,SSO)
最新发布
小哈里的博客
07-19 1633
后端开发】身份和访问管理IAM(OTP,OAuth,JWT,SSO,MFA) 文章目录 1、身份和访问管理(IAM) 2、验证:多因素身份验证(MFA) 3、验证:一次性密码(OTP,TOTP,HOTP) 4、验证:JSON Web Tokens(JWT) 5、授权:行业标准授权框架(OAuth) 6、应用:单点登录(SSO) 7、更多验证、授权、应用 7.1 用于授权的技术 7.2 用于认证的技术 7.3 应用场景 参考资料
关于软件开发过程的系统因素认证(联网和内网)的技术探讨分析记录
没刮胡子的程序员专栏
12-13 297
互联网系统的因素认证是一种增强安全性的认证机制,它通过结合两个独立但相互验证的认证因素来确认用户的身份。因素认证的原理是,只有当用户同时提供这两种因素时,认证才能成功。例如,在ATM取款时,用户需要提供密码(所知道的信息)和银行卡(所拥有的物品),只有两者同时匹配,用户才能取款成功。互联网系统因素认证的应用还包括网上银行U盾、手机动态验证码等。这种认证机制有助于防止因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。
因子认证系统登录模块 口令+盐 谷歌身份验证SpringBoot+MybatisPlus
applewld的博客
01-04 3983
项目源码:https://github.com/applewld/google-authenticator-demo 一. 编程思路(实验原理) 加盐哈希:存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险。最好的办法就是对密码进行加盐哈希。在密码混入一段“随机”的字符串再进行哈希加密,这个被字符串被称作盐值。这使得同一个密码每次都被加密为完全不同的字...
因素认证(2FA)教程
键盘的起始页
11-30 2154
所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。 密码是最常见的认证方法,但是不安全,容易泄露和冒充。 越来越多的地方,要求启用因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。 文章结尾有一则活动消息,优达学城(Udacity)的"十一优惠",课程最高减免1111元。 一、因素认证的概念 一般来说,三种不同类型的证据,可以证明一个人的身份。 秘密信息:只有该用户知道、其他人不知道的某种
如何在SpringBootOAuth服务器实现因素认证?第二部分:Under the Hood
m0_67455745的博客
03-09 1093
如何在SpringBootOAuth服务器实现因素认证?2:Under the Hood 原创2022-03-09 09:40·超级晴天ii 本文继续第1部分,演示SpringBootOAuth身份验证服务器如何在内部处理令牌请求。 Spring安全OAuth服务器变得不受欢迎了。然而,更换还在开发。因此,我认为值得检查一下当前的OAuth服务器是如何工作的。首先,这些知识帮助我们快速了解新服务器是如何实现相同功能的。其次,比较和对比当前的OAuth服务器和新的OAuth服务器是很有趣的。 我
springbootoauth2
05-01
Spring Boot OAuth2 是一个基于Java开发的Web应用安全框架,它利用OAuth2协议来实现授权功能,为开发者提供了便捷地在Spring Boot应用集成安全控制的能力。OAuth2是一种广泛使用的授权框架,允许第三方应用在用户...
SpringBootOauth2服务
08-08
SpringBootOauth2服务是基于Java开发的安全相关框架,它实现OAuth2协议,为开发者提供了一种简单且高效的方式来实现身份验证和授权。OAuth2是一个开放标准,允许用户让第三方应用在无需用户提供用户名和密码的情况...
基于Google 验证器 实现内网的因素认证项目
12-29
最近的一个项目需要实现因素强认证,平常我们都是采用 静态密码+动态短信这样的方式来实现,但用户侧并没有相应的短信接口。 后来决定采用 google身份验证器来实现。在网上找了一些资料和代码片段,经过梳理和改造,目前已上线使用了,效果还是比较好的,记录一下,也给需要的朋友做个参考。 项目只有基本的流程,但可以跑通,只需要结合自身的业务,稍加修改即可使用。 用户名和密码随便输,向导式的引导用户进行初始配置
springsecuritytotp:使用Google Authenticator登录Spring Security(基于时间的一次性密码算法,TOTP)
02-05
使用Google Authenticator登录Spring Security Form(基于时间的一次性密码算法,TOTP) 在线演示: : 博客文章: :
Spring Security OAuth2实现多用户类型认证与多用户类型token刷新(旧)
weixin_42552016的博客
12-16 2776
Spring Security OAuth2实现多用户类型认证 1. 新增UserDetailsServices extends UserDetailsService,新增自定义的方法 package com.tx.tcm.oauth.security.service; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.
因素认证(2FA)工作原理简介
weixin_34365417的博客
01-25 1370
什么是因素认证(Two-factor authentication,简称 2FA)因素身份认证就是:通过你所知道再加上你所能拥有的,这二个要素组合到一起才能发挥作用的身份认证系统。因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密...
spring security 配置多个AuthenticationProvider
weixin_30492047的博客
05-10 2082
前言   发现很少关于spring security的文章,基本都是入门级的,配个UserServiceDetails或者配个路由控制就完事了,而且很多还是xml配置,国内通病...so,本文里的配置都是java配置,不涉及xml配置,事实上我也不会xml配置 spring security的大体介绍   spring security本身如果只是说配置,还是很简单易懂的(我也不知道网上说s...
spring security(SpringBoot)自定义Provider实现多种认证方式
碧波之心——心如碧波,静如止水
06-12 3万+
转载请注明出处spring boot 实例之 多登录方式–碧波之心简书 接上一篇:spring boot 实例之 用户登录。经过对spring security再次分析,觉得上一篇的实现方式有些不合理。不应该把UsernamePasswordAuthenticationFilter给替换了。今天我们来优化一下。让登录的扩展更合理一些。 调整目录结构 原目录结构: 删除Sec...
springboot+Oauth2——自定义AuthenticationManager和认证path
huhanguang89的博客
03-14 3万+
本人在工作需要构建这么一个后台框架,基于springboot,登录时认证使用自定义AuthenticationManager;同时支持Oauth2访问指定API接口,认证时的AuthenticationManager和登录规则不同。在研究了源码的基础上参考很多文章,目前基本得以解决。 @Configuration public class OAuth2Configuration { @
SpringBoot】61、SpringBoot使用谷歌身份验证器(Google Authenticator)实现二步身份验证
热门推荐
Asurplus
04-21 21万+
Google身份验证器Google Authenticator是谷歌推出的基于时间的一次性密码(Time-based One-time Password,简称TOTP),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。 Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件用于Google的认证服务。此项服务所使用的算法已列于RFC 6238和RFC 4226。 1、安装谷歌身份验证器 苹果用户 在App Store搜索google au
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值