OAuth 2 Developers Guide

最新推荐文章于 2023-02-01 16:53:12 发布
最新推荐文章于 2023-02-01 16:53:12 发布
阅读量823 收藏 1
点赞数
分类专栏: spring 文章标签: oauth

原文在这里

介绍

用户指南分两部分,分别介绍OAuth 2.0提供者和OAuth 2.0客户端。

OAuth 2.0 提供者

OAuth 2.0 提供者机制负责扩展受OAuth 2.0保护的资源。OAuth 2.0客户端则可以访问受保护的资源或者代表用户行为,这些都需要进行配置来实现。OAuth 2.0 提供者通过管理和验证OAuth 2.0令牌(token)来实现这种保护。在适当的情况下,提供者应该向用户提供接口来证实客户端可以被授权。

OAuth 2.0提供者实现

提供者的角色实际上分别分布在认证服务和资源服务里面,这两个服务可以部署在同一个应用中,或者根据需要,分割到两个应用中,或者多个资源服务共享同一个认证服务。对token的请求由 Spring MVC控制器端点处理,标对受保护资源的访问则由标准的Spring Security请求过滤器(filter)处理。为了实现OAuth 2.0认证服务,在Spring Security过滤链中需要以下端点(endpoints)。

  • AuthorizationEndpoint 用于服务认证请求。默认URL: /oauth/authorize。(AuthorizationEndpoint是一个类,是OAuth2规范中认证端点的实现。接受认证请求,如果认证类型是认证码,则处理用户认可。除去implicit模式,token从Token端点中获取。它代表合法用户的行为,因此本端点需要被完全保护起来只开放给完全授权用户)

  • TokenEndpoint 用于服务访问令牌的请求。 默认 URL: /oauth/token。(TokenEndpoint是一个类,是OAuth2规范中令牌请求端点的实现。客户端发出一个带有grant_type参数的请求,以及其它与grant_type相关的参数。TokenGranter接口定义了所有支持的授权类型。客户端必须使用Spring Security Authentication进行认证来访问端点,client id从认证令牌中解析出来。)
    实现OAuth 2.0资源服务,需要实现以下filter。

  • OAuth2AuthenticationProcessingFilter 用于给带有认证访问令牌的请求下载认证(load the Authentication)
    所有的 OAuth 2.0提供者特性,只是使用专门的Spring OAuth @Configuration适配器做配置。也有xml命名空间用于oath配置。

认证服务配置

配置认证服务的时候,你需要考虑客户端从终端用户处得到访问令牌的方式(比如可以是这几种: authorization code, user credentials, refresh token)。对服务器的配置用于提供客户端细节服务/令牌服务以及其它全局属性机制的实现。每一个客户端都可以独立配置实用某种认证机制和访问授权方式。例如,你的provider配置成支持“client credentials”认证方式,不代表某一个特定的客户端就被授权可以使用这种认证类型。
@EnableAuthorizationServer注解,与任何实现AuthorizationServerConfigurer的@bean一起,配置OAuth 2.0认证服务机制。以下配置被授权独立的配置Spring创建的配置,并将它们变成AuthorizationServerConfigurer:

  • ClientDetailsServiceConfigurer:用于定义客户端细节服务的配置。可以初始化客户端细节,或者只是把它们引用到一个现有的store。
  • AuthorizationServerSecurityConfigurer:定义令牌端点的安全约束。
  • AuthorizationServerEndpointsConfigurer:定义认证和令牌端点以及令牌服务。
    在认证码授权模式下,提供者配置需要指定认证码提供给OAuth客户端的方式。OAuth客户端将用户引导到授权页,在授权页用户输入证书,provider授权服务会给oauth客户端返回一个带有授权码的重定向页面。
    在XML中可以使用元素进行相应的配置

配置Client Details

ClientDetailsServiceConfigurer可以用于定义客户端细节服务的内存内或者jdbc实现。客户端的重要属性包括:
- clientId:(必须)client id
- secret:(可信客户端必须)client secret,如果有的话
- scope:客户端被限制的范围。如果scope未定义或者是空的(默认情况下是空的),则客户端不受scope限制
- authorizedGrantTypes:客户端认证的授权类型。默认为空。
- authorities:客户端被授权的Authorities。

phyllisy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide)
zcc7up的专栏
06-22 3805
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide),个人根据官方文档进行的简单粗浅的翻译。
OAuth2入门
weixin_66202611的博客
02-01 671
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。OAuth引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
spring OAuth 2 Developers Guide 英译汉
shunzi1046的博客
05-02 1125
Introduction This is the user guide for the support for OAuth 2.0. For OAuth 1.0, everything is different, so see its user guide. This user guide is divided into two parts, the first for the OAu
OAuth 2 开发人员指南(Spring security oauth2)
u014624659的博客
05-10 205
  这是支持OAuth2.0的用户指南。对于OAuth1.0,一切都是不同的,所以看它的用户指南。 本用户指南分为两个部分,第一部分是OAuth2.0提供端(OAuth 2.0 Provider),第二部分是OAuth2.0的客户端(OAuth 2.0 Client) OAuth2.0提供端 OAuth2.0的提供端的用途是负责将受保护的资源暴露出去。配置包括建立一个可以访问受保护的资源...
Spring Security OAuth 2.0学习总结
竹林幽深
06-18 201
https://blog.csdn.net/Ybt_c_index/article/details/81333863 继上一篇Spring Security的文章,这次聊聊Spring Security OAuth 2.0,当然还是只能简单聊聊,比较基础和片面。 首先说一下主要参考的文章: 阮一峰的《理解OAuth 2.0》 徐靖峰的《Re:从零开始的Spring Security Oau...
spring security oauth2 架构---官方
03-10 449
原文地址:https://projects.spring.io/spring-security-oauth/docs/oauth2.html Introduction This is the user guide for the support forOAuth 2.0. For OAuth 1.0, everything is different, sosee its user...
OAuth2介绍
m12120426的博客
02-01 507
OAuth2介绍
Apress.Facebook.API.Developers.Guide.Mar.2008.pdf
07-26
在本书中,作者首先介绍了Facebook API的基础知识,包括OAuth认证过程,这是获取访问用户数据权限的关键步骤。OAuth允许应用在用户的授权下安全地与Facebook服务交互,而不必存储用户的登录凭据。通过这个过程,...
Zend Framework 2 Application Development
03-17
Written for PHP developers who want to get started with Zend Framework 2. Whether you are learning Zend framework from scratch or looking to sharpen up your skills from previous versions, Zend ...
Spring.REST.1484208242
06-23
Spring REST is a practical guide for designing and developing RESTful APIs using the Spring Framework. This book walks you through the process of designing and building a REST application while taking...
FacebookApiDevelopersGuide-英文原版.zip
10-05
阅读《Facebook API Developers Guide》英文原版,开发者将能够深入理解Facebook开放平台的运作机制,提升开发效率,创建出更具吸引力和互动性的社交应用。这份指南不仅是初学者的入门教程,也是经验丰富的开发者...
Spring: Microservices with Spring Boot
08-17
You will then learn how to secure your microservice with Spring Security and OAuth2. You will deploy your app using a self-contained ...
创新药系列阿尔兹海默病千万患者迎来新疗法.pdf
07-18
医疗行业研究报告
2024全球数字营销趋势报告25页.pdf
07-18
医疗行业研究报告
计算机控制专业技术.doc
07-18
计算机
计算机审计方法.doc
07-18
计算机
高质量的嵌入式面试试题
最新发布
07-18
原创高质量的嵌入式面试试题,全面考察嵌入式理论功底和工作经验,招聘神器,求职面试神器。原创不易,仅用于学习之用,未经本人授权,禁止以任何形式的传播,或用于其他商业目的。
ArubaInstant-Norma-8.10.0.13-90226
07-18
Aruba 650 Series Campus Access Points Aruba 630 Series Campus Access Points
常见面试问题及答案分解
07-18
面试中,‌准备一些常见面试问题的答案是非常重要的,‌这有助于你在面试中更加自信和有条理地回答问题。‌以下是一些常见的面试问题及其答案:‌ 请你自我介绍一下。‌ 回答时,‌应简明扼要地介绍自己的基本信息,‌包括姓名、‌年龄、‌教育背景、‌工作经验等。‌重点突出与应聘岗位相关的经验和能力,‌同时展现积极向上的态度和信心。‌ 你为什么选择这个职位?‌ 回答时,‌可以提及对该职位的兴趣、‌相关的工作经验以及个人职业发展规划,‌强调这个职位如何与自己的长期职业目标相匹配。‌ 你对自己的未来有什么规划?‌ 表明自己对长期职业发展的规划,‌强调希望在公司内有所成长和发展,‌同时也提到愿意根据公司的发展需要调整自己的角色和职责。‌ 你如何看待加班?‌ 可以表达自己理解在某些行业和职位中,‌加班可能是必要的。‌强调自己愿意为了项目或任务的完成而努力,‌但同时也希望保持工作与生活的平衡。‌ 你对薪资有什么要求?‌ 在回答时,‌可以先说明自己对该职位的价值认知,‌然后提出一个合理的薪资预期。‌可以提到自己期望的薪资范围,‌并解释这样预期的理由。‌ 你有什么业余爱好?‌
OAuth2实战:Manning版
"Manning出版的《OAuth 2 in Action》由Justin Richer和Antonio Sanso撰写,这本书深入探讨了OAuth 2.0协议及其在实际应用中的使用。" OAuth 2.0是一种授权框架,它允许第三方应用在用户许可的情况下访问其私有资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值