Play 2.6 OAuth的使用

最新推荐文章于 2019-08-26 22:19:46 发布
最新推荐文章于 2019-08-26 22:19:46 发布
阅读量374 收藏
点赞数
分类专栏: REST java play 2.6 文章标签: REST java play 2.6
java 同时被 3 个专栏收录
37 篇文章 0 订阅
订阅专栏
play 2.6
27 篇文章 2 订阅
订阅专栏
REST
3 篇文章 0 订阅
订阅专栏

OAuth

https://playframework.com/documentation/2.6.x/JavaOAuth

OAuth是一个发布和交互受保护数据的简单方法。这是一种更加安全的访问方式。举个例子,你可以去获取用户在Twitter上的数据。

OAuth有两个版本,1.02.0。第二个版本在不使用类库的情况下也很容易实现。因此Play只对1.0版本进行了支持。

使用

添加依赖

libraryDependencies ++= Seq(
  ws
)

需要的信息

OAuth需要你在服务提供商进行注册。确保检查你的回调URL,当不匹配是服务提供商有可能会拒绝你的调用。当在本地工作时,可以使用/etc/hosts/来伪造一个本地机器的域名

服务提供商会提供:
- Application ID
- Secret key
- Request Token URL
- Access Token URL
- Authorize URL

认证流程

大部分流程都会由Play类库来完成
1. 从服务端获取request token(在服务端到服务端的调用中)
2. 将用户重定向到服务提供商,这里用户会对你的应用进行授权
3. 服务提供商会将用户重定向返回,并提供一个verifier
4. 根据verifier,交换request token和access token
access token可以传递给任何需要获取保护数据的请求。

可以在The OAuth Bible获取更多细节。

Example

conf/routers

GET     /twitter/homeTimeline controllers.Twitter.homeTimeline()
GET     /twitter/auth         controllers.Twitter.auth()

controller

import play.libs.oauth.OAuth;
import play.libs.oauth.OAuth.ConsumerKey;
import play.libs.oauth.OAuth.OAuthCalculator;
import play.libs.oauth.OAuth.RequestToken;
import play.libs.oauth.OAuth.ServiceInfo;
import play.libs.ws.WSClient;
import play.mvc.Controller;
import play.mvc.Result;

import com.google.common.base.Strings;

import javax.inject.Inject;
import java.util.Optional;
import java.util.concurrent.CompletableFuture;
import java.util.concurrent.CompletionStage;

public class Twitter extends Controller {
    static final ConsumerKey KEY = new ConsumerKey("...", "...");

    private static final ServiceInfo SERVICE_INFO =
        new ServiceInfo("https://api.twitter.com/oauth/request_token",
            "https://api.twitter.com/oauth/access_token",
            "https://api.twitter.com/oauth/authorize",
            KEY);

    private static final OAuth TWITTER = new OAuth(SERVICE_INFO);

    private final WSClient ws;

    @Inject
    public Twitter(WSClient ws) {
        this.ws = ws;
    }

    public CompletionStage<Result> homeTimeline() {
        Optional<RequestToken> sessionTokenPair = getSessionTokenPair();
        if (sessionTokenPair.isPresent()) {
            return ws.url("https://api.twitter.com/1.1/statuses/home_timeline.json")
                    .sign(new OAuthCalculator(Twitter.KEY, sessionTokenPair.get()))
                    .get()
                    .thenApply(result -> ok(result.asJson()));
        }
        return CompletableFuture.completedFuture(redirect(routes.Twitter.auth()));
    }

    public Result auth() {
        String verifier = request().getQueryString("oauth_verifier");
        if (Strings.isNullOrEmpty(verifier)) {
            String url = routes.Twitter.auth().absoluteURL(request());
            RequestToken requestToken = TWITTER.retrieveRequestToken(url);
            saveSessionTokenPair(requestToken);
            return redirect(TWITTER.redirectUrl(requestToken.token));
        } else {
            RequestToken requestToken = getSessionTokenPair().get();
            RequestToken accessToken = TWITTER.retrieveAccessToken(requestToken, verifier);
            saveSessionTokenPair(accessToken);
            return redirect(routes.Twitter.homeTimeline());
        }
    }

    private void saveSessionTokenPair(RequestToken requestToken) {
        session("token", requestToken.token);
        session("secret", requestToken.secret);
    }

    private Optional<RequestToken> getSessionTokenPair() {
        if (session().containsKey("token")) {
            return Optional.ofNullable(new RequestToken(session("token"), session("secret")));
        }
        return Optional.empty();
    }

}
OAuth不能抵御任何MITM攻击(https://en.wikipedia.org/wiki/Man-in-the-middle_attack)。这个例子中将token和secret保存到会话cookie中,通过play.http.session.secure=true配置来启用https来获取最好的保护。
nyzzht123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
play2-oauth2-provider_2.11-0.9.0.zip
10-11
governator.zip,governanator由netflixgovernanator开发,是一个扩展和实用程序库,它可以增强google guice的功能:类路径扫描和自动绑定、生命周期管理、置到字段映射、字段验证和并行对象预热。
play2-auth, Play2.x 身份验证和授权模块.zip
09-18
play2-auth, Play2.x 身份验证和授权模块 用于身份验证和授权的 Play2.x MODULE [Gitter](https://badges.gitter.im/Join chat 。svg )!这里 MODULE 为 Play2.x 应用程序提供身份验证和授权功能 Sc
play-2.2.6.zip
07-04
是一个纯 Java 的框架,它让你保持使用你喜欢的开发工具和类库。如果你已经是一个使用 Java 平台的开发者, 那么你不需要切换到另一种语言,其他 IDE 或者其他类库, 而仅仅是切换到一个效率更高的 Java 环境!
Playframework2的Security使用
Azure Cube
12-12 2329
利用play.api.mvc.Security的机制,实现一个trait,用于扩展controller的用户认证机制。 该trait需要实现的方法包括: 1. def username(request: RequestHeader) = request.session.get("email") 2. def onUnauthorized(request: RequestHeade
基于Spring Boot 2.6、 Spring Cloud 2021 & Alibaba、 OAuth2 的权限管理系统
04-30
系统说明:基于 Spring Cloud 2021 、Spring Boot 2.6OAuth2 的 RBAC 权限管理系统 基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手 提供对常见容器化支持 Docker、Kubernetes、...
oauth 2 安卓使用
02-27
本篇将详细介绍如何在 Android 上使用 OAuth 2.0 的授权码模式和简化模式。 ### 一、OAuth 2.0 概述 OAuth 2.0 提供了四种主要的授权类型:授权码模式(Authorization Code Grant)、简化模式(Implicit Grant)、...
play2-oauth2-provider:使用Play Framework中的scala-oauth2-provider启用了该库
05-08
play2-oauth2-provider 使用Play Framework中的启用了该库。 设置 将“ play2-oauth2-provider”添加到项目的库依赖项。 libraryDependencies ++ = Seq ( " ...
10.OAuth2授权的使用
01-01
OAuth2授权的使用 OAuth2授权的使用是Spring Cloud Security提供的一种解决方案,用于实现单点登录、令牌中继、令牌交换等功能。OAuth 2.0是用于授权的行业标准协议,提供了特定的授权流,包括Web应用、桌面应用、...
OAuth2使用文档.md
03-19
OAuth2官方文档翻译。翻译自地址https://docs.spring.io/spring-security-oauth2-boot/docs/current/reference/htmlsingle/#boot-features-security-oauth2-single-sign-on。翻译完成日期为2020年3月19日。如需转载...
Play 2.6 路由
java scala
01-06 662
routers conf/routers文件中置路由信息 一条路由信息包括两个部分: http方法(get、post等) 请求路径 无参路由 routers文件 GET /count controllers.CountController.count 代码 package controllers; import pl
史上【最快Oauth2学习教程】认证及接入
mmc173168的博客
08-26 1932
史上【最快Oauth2学习教程】认证及接入 用Oauth2接入权限系统的朋友越来越多,而且通用性比较好,这里为了让大家能够快速地进行学习和使用,特提供教程一份。 工具包版本 Spring Boot 2.2.0.M5 Spring Cloud Hoxton.M2 Spring Cloud OAuth2 2.2.0.M2 开发框架 SpringBoot maven 依赖引入 将Authenticat...
play 2.10置cas客户端
qinshang007的专栏
03-08 1812
1.在build.scala中添加依赖项     val appDependencies = Seq(       "org.pac4j" % "play-pac4j_java" % "1.1.0-SNAPSHOT",       "org.pac4j" % "pac4j-cas" % "1.4.0-SNAPSHOT"     ) 置所要添加的依赖项的url     val ma
play框架2.5.6教程——设置你喜欢的IDE
Java_Mike的博客
09-11 6445
Play操作很简单,你甚至不需要一个复杂的IDE,因为Play会自动地编译和更新你对你的资源所做的修改。所以你可以使用一个简单的文本编辑器进行操作。   然而使用一个现代的Java或者Scala IDE 可以提供很酷,具有创造力的功能,比如自动实现,运行编译,辅助重构和调试。   Eclipse 设置sbteclipse Eclipse的集成需要sbteclipse4.0.0版本或者...
Session Cookie的HttpOnly和secure属性
热门推荐
严老板的技术梦想博客
11-05 1万+
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了&quot;HttpOnly&quot;属性,那么通过程序(JS脚本、Applet等)将无法读取到Co...
play framework学习笔记之 身份识别,openID
孙健的专栏
04-18 1426
A simple OpenID authentication example
Play Framework 2.2.6 安装
weixin_30498921的博客
03-31 177
网络上很多安装方法都是互相复制黏贴的, 都没有人考虑到启动application 还有依赖很多jar 包,而其中typesafe 官网提供的只是一个mini的 启动器来安装,很慢,所以以下下载完整包。 参考如下网址: http://blog.csdn.net/zsx0321/article/details/38183617 http://downloads.typesaf...
play框架2.5.6教程——安装play框架
Java_Mike的博客
09-08 5085
准备工具: 你需要安装JDK1.8(或者更高版本) 快速启动: 1.下载最新的 Typesafe Activator 2.将文件存放在你指定的位置 3.用命令行cd activator*或者文件管理器来选择目录 4.用命令行activator ui或者文件管理器来启动 5.在浏览器输入http://localhost:8888 你会发现一些文件和一系列的应用样本来引导你
Play 2.6 访问SQL数据库
java scala
01-11 1126
访问SQL数据库 Note: JDBC是一种阻塞操作。你不能直接在controller中运行JDBC查询语句。详见置CustomExecutionContext章节 置JDBC连接池 Play提供插件来管理连接池,你可以根据需要置多个数据库。 为了启动数据库插件,需要添加以下依赖: libraryDependencies += javaJdbc 然后需要字applica
通过PostMan验证Oauth2认证过程.docx
最新发布
02-23
"通过PostMan验证Oauth2认证过程,主要涉及微服务中的认证和鉴权,使用API网关和OAuth2授权服务实现安全校验。" 在微服务架构中,认证和鉴权是保障系统安全性的重要环节。Oauth2是一种广泛使用的授权框架,它允许第...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值