06-SpringSecurityOauth2研究-Oauth2授权码模式-申请令牌

最新推荐文章于 2024-09-01 16:49:07 发布
最新推荐文章于 2024-09-01 16:49:07 发布
阅读量702 收藏 2
点赞数
分类专栏: day16 Spring Security Oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/minihuabei/article/details/119413449
版权
本文详细介绍了OAuth2授权码模式,包括其在授权流程中的作用,如客户端请求授权、用户同意授权、获取授权码、申请令牌等步骤。通过一个具体的授权码授权流程示例,解释了如何申请授权码和令牌。此外,还提到了httpBasic认证在申请令牌过程中的应用,以及访问令牌、刷新令牌等相关概念。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

3.3 Oauth2授权码模式

3.3.1 Oauth2授权模式

Oauth2有以下授权模式:
授权码模式(Authorization Code) 隐式授权模式(Implicit) 密码模式(Resource Owner Password
Credentials) 客户端模式(Client Credentials)
其中授权码模式和密码模式应用较多,本小节介绍授权码模式。

3.3.2 授权码授权流程

上边例举的黑马程序员网站使用微信认证的过程就是授权码模式,流程如下:
1、客户端请求第三方授权
2、用户(资源拥有者)同意给客户端授权
3、客户端获取到授权码,请求认证服务器申请
令牌
4、认证服务器向客户端响应令牌
5、客户端请求资源服务器的资源,资源服务校验令牌合法性,完成授权
6、资源服务器返回受保护资源
在这里插入图片描述

3.3.2 申请授权码

请求认证服务获取授权码:
Get请求

localhost:40400/auth/oauth/authorize?
client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost

参数列表如下:
client_id:客户端id,和授权配置类中设置的客户端id一致。
response_type:授权码模式固定为code
scop:客户端范围,和授权配置类中设置的scop一致。
redirect_uri:跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)。
在这里插入图片描述
首先跳转到登录页面:
在这里插入图片描述
输入账号和密码,点击Login。
在这里插入图片描述

账户输入下边表的client_id,密码也是下边表的client_id

在这里插入图片描述
我输入账户密码出现以下页面。我的出现问题了(还在调试)
在这里插入图片描述
没有出现问题如下:
在这里插入图片描述
点击“同意”。
接下来返回授权码:
认证服务携带授权码跳转redirect_uri
在这里插入图片描述

因为我的登录后的重定向出问题了,所以我直接输入网址
http://localhost:40400/auth/oauth/authorize?client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost
在这里插入图片描述
点击授权
在这里插入图片描述
拿到这个值 a6T2nW

3.3.3 申请令牌

拿到授权码后,申请令牌。
Post请求:http://localhost:40400/auth/oauth/token
参数如下:
grant_type:授权类型,填写authorization_code,表示授权码模式
code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
此链接需要使用 http Basic认证。
什么是http Basic认证?
http协议定义的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编
码,放在header中请求服务端,一个例子:
Authorization:Basic WGNXZWJBcHA6WGNXZWJBcHA=

WGNXZWJBcHA6WGNXZWJBcHA= 是用户名:密码的base64编码。
认证失败服务端返回 401 Unauthorized

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
客户端Id和客户端密码会匹配数据库oauth_client_details表中的客户端id及客户端密码。

access_token:访问令牌,携带此令牌访问资源
token_type:有MAC Token与Bearer Token两种类型,两种的校验算法不同,RFC 6750建议Oauth2采用 Bearer
Token(http://www.rfcreader.com/#rfc6750)。
refresh_token:刷新令牌,使用此令牌可以延长访问令牌的过期时间。
expires_in:过期时间,单位为秒。
scope:范围,与定义的客户端范围一致

【SpringSecurity-2】Springboot + SpringSecurity + Oauth2授权码模式
dabing9的博客
10-30 1332
本篇接上篇内容,拿到授权码后,客户端往授权服务器发送请求,携带拿到的授权码,获取对应的access_token,然后可以拿着授权服务器颁发的access_token访问资源服务器。到目前为止,我们暂时只搭建了一个授权服务器,我们通过手动调用接口默认客户端,后续,我们逐步完善。本篇主要完成的三个任务:(1)通过获取到的授权码获取access_token(2)如何搭建一个资源服务器?(3)通过拿到的access_token如何去访问资源服务器? (2)获取access_token 成功获取acces
oauth2.0授权码模式详解
m0_56069948的博客
03-08 4880
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 oauth2.0授权码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
security springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>sprin
【spring oauth2】spring oauth2授权码获取令牌、密码方式获取令牌,配置资源服务器(一)
Meditation_Crazy
08-31 468
前言 如题,内容转载自:https://mrbird.cc/Spring-Security-OAuth2-Guide.html
OAuth2】授权机制
lorogy的博客
07-01 783
OAuth2.0是一种主流的授权机制,主要用来颁发令牌(token)。 OAuth 的核心就是向第三方应用颁发令牌 令牌(token)与密码(password) 同:作用是一样,都可以进入系统。 异: 令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。 令牌可以被数据所有者撤销,会立即失效。密码一般不允许被他人撤销。 令牌有权限范围(scope)。密码一般是完整权限。 运行流程 运行流程(标准 RFC 6749) 释义: Client:客户端,第三方应用,
OAuth2 授权
Esca的学习之路
06-13 717
什么是OAuth2 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 通俗的话可以这样去理解,假如你们公司正在开发一个 第三方应用XXX,该应用会需要在微信中分享出来一个活动页,该活动需要让微信用户去参与,你们的应用需要收集到用户的姓名,头像,地域等信息,那么问题来了?你的应用如何才能拿到所有参与活动的微信用户的基本信息呢? 根据以上示例,可以将OAuth2分为四个角色: Resource Owner:资源
SpringSecurity OAuth2.0的学习(JWT令牌
weixin_44012722的博客
05-16 717
SpringSecurity OAuth2.0的学习 首先我们要知道 OAauth(开放授权)是一个开方标准,允许用户授权第三方应用访问他们的微服务应用. OAauth2 包括以下角色 1. 客户端: 通常指 需要通过资源拥有者的授权请求资源服务器的资源,比如Android客户端,WEB端等 2. 资源拥有者: 通常为用户也可以是应用程序,即该资源的拥有者 3. 授权服务器: 用于服务商提供商对资源拥有的身份进行认证,对访问资源惊醒授权。 但是授权服务器就允许随便一个客户端就介入到它的授权服务器吗,它会给
spring-security-oauth2详细配置demo
09-30
2. **授权流程**:OAuth2定义了几种授权类型,如授权码(Authorization Code Grant)、隐式(Implicit Grant)、密码(Resource Owner Password Credentials Grant)和客户端凭证(Client Credentials Grant)。...
spring-security-oauth2源码
06-30
- **Authorization Code Grant**:客户端通过重定向到授权服务器获取授权码,然后用授权码换取访问令牌- **Implicit Grant**:主要用于浏览器应用程序,授权码直接在URL中返回,不适用于服务器端应用。 - **...
Spring Security OAuth2 密码模式实现统一登录
算法之道
04-30 1381
Spring Security OAuth2 使用用户名和密码进行授权被称为"密码授权模式"(Password Grant),它允许用户通过直接提供其用户名和密码来获取访问令牌(access token)。这种方式通常用于受信任且高度安全的应用程序,例如原生移动应用程序。yunfeng-boot3-sercurity: Spring Security OAuth2 统一登录(密码模式)
SpringSecurity Oauth2 - 密码模式完成身份认证获取令牌 [自定义UserDetailsService]
最新发布
你今天真好看呀
09-01 1460
TokenStore是 Spring Security OAuth2 中用于管理 OAuth2 令牌(Access Token 和 Refresh Token)的接口。它的主要作用是定义如何生成、存储、读取和删除令牌。TokenStore的具体实现类决定了令牌的存储方式,例如存储在内存中、数据库中、Redis 中,或以 JWT 的形式进行编码。TokenStore的主要作用:① 生成和存储令牌:当客户端请求令牌时,TokenStore。
授权服务是如何颁发授权码和访问令牌的?
JavaEdge全是干货的技术号
10-19 2868
授权服务如何生成访问令牌? 访问令牌过期了而用户又不在场的情况下,又如何重新生成访问令牌? 授权服务的工作过程 在 xx让我去公众号开放平台给它授权数据时,你是否好奇?开放平台怎么知道 xx 是谁?他合法备案了吗?万一是个病毒软件咋办? 所以,授权的前提是xx要去开放平台备案,即注册。之后,开放平台就会给xx软件app_id和app_secret等,方便后面授权时的各种校验。 注册时,三方软件也会请求受保护资源的可访问范围。比如,xx能否获取我的公众号半年前的文章,能否获取每个文章的所有信息(比如标题、封面
什么是OAuth2
weixin_60257072的博客
01-19 1661
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码授权码的获取需要资源拥有者亲自授权同意才可以获取。
SpringCloud security +oauht2.0 授权码(authorization_code模式+jwt 实现微服务的认证和授权(一)
qq_44605317的博客
06-22 1747
1.授权码模式讲解 1.1:根据图片 我们看的出来 用户认证以后 我们拿到授权码 根据授权码 去获取token,那这个认证的过程 我们就不用去做了,我们只管用户登录成功以后 我们来拿到token 1.2:把password模式修改成 authorization_code 模式 password模式 如果你是看我这个文章来的 我们只需要 修改以下内容,如果你是新来了,可以去我的gitHub看这篇文章的源码 源码地址 1.3:修改 WebSecurityConfig 文件 package com.exa
Spring Security Oauth2学习(一)
收破烂的小熊猫
11-13 672
Spring Security Oauth2学习(一) 1.用户认证和授权 什么是用户身份认证? 用户身份认证就是用户去访问系统资源时系统要求验证用户的身份信息,身份验证合法才可以继续访问。 常见的认证方式:用户账户登录、指纹识别、人脸识别登录等。 什么是用户授权? 用户认证通过以后去访问系统资源,系统会判断用户是否拥有访问系统资源的权限,只允许访问有权限的资源,没有权限的资源将无法访问,这个过程...
Spring Security OAuth2 Redis模式下认证服务器
OceanSky的专栏
07-17 4264
1.四种授权码模式 授权码模式 密码模式 客户端模式 简化模式 2.密码模式 http://localhost:9001/oauth/token?username=user&password=user&grant_type=password&client_id=client&client_secret=secret grant_type:授权类型,必选,此...
Spring Security OAuth2 Opaque 令牌的简单使用指南
new_ord的博客
11-13 2191
在本文中,我们使用Spring Authorization Server设置OAuth2授权服务器,并学习了如何配置基于 Spring Security 的资源服务器应用程序来验证不透明令牌
Spring Security OAuth2简介
大后生大大大的博客
12-22 1260
OAuth2授权码模式、简化模式、密码模式、客户端模式
oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4725
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值