认证与授权 02(项目中应用)

最新推荐文章于 2022-05-30 15:37:29 发布
最新推荐文章于 2022-05-30 15:37:29 发布
阅读量305 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q842156727/article/details/88837869
版权

1.项目中的认证与授权

认证采用了经典的账号密码, 授权采用了oauth2

没有进行支持openID, 而是直接用access_token代替了openID, 因为引入openID,会使系统变得庞大复杂,所以登录与授权融合成了一个接口。

客户端获取授权需要提交oauth2资源的账号密码, 与堃方系统用户的账号密码。

服务器验证成功后,会颁发一个具有时效的oauth2的access_token,客户端每次访问资源时,需要携带access_token,服务器会判断访问的资源是否拥有权限。

2.项目中怎么用?

2.1.外部客户端怎么获取用户?
 1. 获取令牌
		请求地址 http://网关地址/oauth/token
			head参数 Authorization = Basic  oauth账号:oauth密码 (账号:密码是用base64加密的)
			body参数 username = 用户账号
			body参数 password = 用户密码
			body参数 grant_type = password (oauth密码验证方式)
			.
		返回
		   {
			 "access_token": "1d3fb4c8-b128-4956-9346-1e7474e4df35",
			 "token_type": "bearer",
			 "expires_in": 43175,
			 "scope": "app"
			 }
			 .
  2. 客户端将令牌存储起来
 		目前存储在客户端的cookie中
		.
  3. 使用令牌
		客户端请求可以用下面3种方式携带token请求
		head携带 Authorization:Bearer 526d690d-5b7e-4680-94b6-4d6ffad52aab
		URL携带 access_token=526d690d-5b7e-4680-94b6-4d6ffad52aab
		cookie携带 Cookie:access_token=526d690d-5b7e-4680-94b6-4d6ffad52aab
		.
		目前文件预览是cookie携带,websocket是URL携带,其他请求是head携带
		.
  4. 后台返回数据(结束)
2.2.微服务下的api调用链

利用网关统一管理所有服务,(管理要求)所有服务只允许通过网关访问,

执行顺序是 : 客户端 -> 网关 -> 业务模块

kf-zuul: 负责网关(统一控制资源访问权限)
kf-imes-auth: 负责认证授权(控制登录流程)
kf-imes-connect: 负责保存客户端的链接
其他 :业务模块

2.3.微服务之间的关系

在这里插入图片描述

2.4.一次登录请求在后台的处理流程

在java标准中, 用户实体被称抽象为身份(Principal),java servlet定义了Principal对象与getUserPrincipal()方法,别的概念(比如oauth,openId)都是具体实现,与javaServlet(j2EE)无关。

1. 客户端调用 http://${kf-zuul}/oauth/token 接口(这个是网关地址)
2. kf-zuul网关服务将所有 oatuh/* 的请求转发到 kf-auth授权服务
3. (认证过程)kf-auth服务 依次执行Spring的Filter过滤器,
过滤器作用
1.SecurityContextPersistenceFilter实现身份持久化. 可以数据库持久,redis持久
2.HeaderWriterFilter写入http头部字段。比如协议相关的,缓存相关的,安全相关等等
3.BasicAuthenticationFilter处理请求头字段 Authorization,Basic。 转换为账号密码用ClientDetailsUserDetailsService查oauth_client_details表验证
4.SecurityContextHolderAwareRequestFilter替换HttpRequest对象,实现从HttpRequest获取当前用户
5.AnonymousAuthenticationFilter如果到这里,身份还是空的,则给一个身份为anonymousUser的匿名用户
6.FilterSecurityInterceptor安全授权拦截器, 包装了ProviderManager,ProviderManager里有N个AuthenticationProvider对象, 我们系统用的是DaoAuthenticationProvider,我们在DaoAuthenticationProvider中对请求参数进行了查账号(自定义查库实现)与校验密码(框架实现)
4. (授权过程)kf-auth服务 执行Spring的Servlet. 此时已经拥有了身份,转到了由spring实现的oauth/token接口控制器,这个接口实现了oauth协议(token的生成,返回数据的格式)
5. 网关收到相应,将结果转发给客户端。
2.5.内部微服务怎么获取用户?
调用下面接口即可

在这里插入图片描述

3.项目中怎么配置

3.1.网关的配置(访问权限控制配置,与登录接口配置,与获取用户信息配置)
下图是配置访问逻辑的代码

在这里插入图片描述

在这里插入图片描述

spring默认实现了以下几个接口(包含登录获取token接口)

在这里插入图片描述

下面是获取用户信息配置

在这里插入图片描述

3.2.auth服务的配置(编写登录方法,处理登录后的回调)
下图是登录方法

在这里插入图片描述

下图是登录回调(登录成功后,登录失败后)

在这里插入图片描述

北京王子豪
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
auth:通过oauth2进行身份验证
02-03
auth-通过oauth2,直接和电子邮件进行身份验证 该库提供与Github,Google,Facebook,Microsoft,Twitter,Yandex,Battle.net和Telegram的“社交登录”,以及自定义身份验证提供程序和电子邮件验证。 可以同时使用多个oauth2提供程序 专门的dev提供商可以进行本地测试和开发 JWT存储在具有XSRF保护的安全cookieCookies只能是会话的 仅用户名,ID和图片(头像)的最小作用域 使用用户提供的凭据检查器直接认证 用户提供的发件人(电子邮件,即时消息等)的经过验证的身份验证 定制的oauth2服务器以及使用任何第三方提供程序的能力 具有FS,boltdb和gridfs存储的集成化身代理 支持用户定义的头像存储 默认头像的标识符 黑名单和用户定义的验证器 支持多种音频(听众) 使用可自定义的SecretReader安全密钥 能够将额外的信息存储到令牌并在登录时进行检索 预身份验证和后身份验证挂钩可处理自定义用例。 易于集成到http路由器的间件 包装器从请求提取用户信息 基于角色的访问控制 安装 g
认识Autho2.0
qq_40179479的博客
09-12 511
什么是OAuth 开放授权(Open Authorization,OAuth)是一种资源提供商用于授权第三方应用代表资源所有者获取有限访问权限的授权机制。是一个开放标准。 由于在整个授权过程,第三方应用都无须触及用户的密码就可以取得部分资源的使用权限,所以OAuth是安全开放的。 由于OAuth1.0复杂的签名逻辑以及单一的授权流程存在较大缺陷,推出了OAuth2.0。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0,即完全废止了OAuth1.0。 OAuth2.0的运行流程 要
SpringSecurity SecurityContextPersistenceFilter源码 和企业级Redis使用思想
qq_31142237的博客
09-14 486
之前几篇我们基本上讲述了SpringSecurity 登录认证授权认证的实现和源码分析。我们大致清楚了 : SpringSecurity 登录认证原理。 如果自定义登录认证流程 授权验证的流程原理 今天我们分析下整个认证过程和企业级redis使用的思想,是为了解决什么问题,以及怎么解决的? 我们简单回顾下 SpringSecurity 流程。 用户登录: 输入用户名 / 密码 JwtLoginFilter (自定义的UsernamePasswordAuthenticationFilter)..
Auth2.0原理
沈荣荣的博客
06-15 1万+
OAuth是一个关于授权authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。一、为什么要使用OAuth为了理解OAuth的适用场合,让我举一个假设的例子。有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。...
auth2.0机制 以及jwt
黑猫
03-13 6516
具体来说,auth2.0一共分成四种授权类型 第一种是授权码模式,这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。比如A应用想要获取B应用的用户数据,A会首先访问B的授权页面,用户点击确认授权之后,B会请求A配置的回调地址,同时附带上授权码code,A可以通过这个code向B申请登录令牌access_token,获取到登录令牌之后,然后就可以向B应用请求用户信息数据
第5章 认证授权v3.1
最新发布
10-29
在第5章"认证授权v3.1",我们将深入探讨这一关键概念及其在实际项目应用。本章主要分为两个部分:模块需求分析和Spring Security认证研究。 1. **模块需求分析** - **认证授权的定义**:认证是验证用户身份...
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
- **隐式认证授权**:适用于单页应用(SPA),客户端在用户同意授权后,可以直接在浏览器获取访问令牌。 通过以上步骤,开发者能够逐步构建一个完整的分布式认证授权系统。手册详细阐述了每个阶段的实现细节和...
ABP框架之IdentityServer4分布式认证授权学习手册v1.0
06-13
- **隐式认证授权**:适用于单页应用(SPA),通过JavaScript在浏览器进行身份验证,获取访问令牌。 5. **授权测试** 通过Swagger或客户端应用进行授权测试,验证用户能否成功登录、获取令牌并访问受保护的API...
shiro认证授权demo
10-28
在Shiro认证是指确认用户身份的过程,而授权则是确定用户是否有执行特定操作的权限。这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、...
sprintboot使用spring-security包,缓存内存与redis共存
weixin_47136046的博客
01-25 911
项目修改需求描述 项目需要使用分布式缓存机制,但是使用@Cacheable原始仅配置了内存版的,故此次需要改成redis用以支持多应用模式的。 项目如果直接改成redis的,存在一个问题。如果内存对象同一类,比如都是String的list对象,存的key值又都是"code",会把缓存给冲掉,所以需要对redis的做后缀处理。又因为只有一个redis服务器,所以需要对缓存做项目的前缀处理。 还希望能支持历史项目,所以顺便就做了CacheManager处理。 ......
redis反序列化异常
weixin_42327945的博客
02-20 2984
使用spring security扩展Userdetail 实现oauth2 时用redis做缓存实现序列化与反序列化时,遇到了下面的错误: 原因:往Userdetail的实现类添加了字段使得程序启动正常,sevrlet转发时异常 猜测: user 类扩展了security的Userdetail,用了redis做缓存。新增字段后,序列化的内容可能key一样并且没过期就没刷新redis的内容,...
几个重要平台的auth2登录验证
热门推荐
aegoose的专栏
02-27 2万+
QQ 后台方式的登录验证 http://wiki.opensns.qq.com/wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91%E4%BD%BF%E7%94%A8Authorization_Code%E8%8E%B7%E5%8F%96Access_Token 取得授权码 authorize_code https://graph.qq.c
Oauth2.0的授权码模式-全网最详细
xj90314的专栏
05-15 3002
最近笔者在项目用到了Oauth2.0相关的技术,之前对Oauth的授权一直出于简单了解的状态,对于Oauth2.0其的跳转,也是比较懵逼的状态,不太能理解为什么要一直跳来跳去.后来查阅了许多资料之后,终于能大概理清楚其的原因.这边文章附上一张时序图,我会详细解释每个时序图的步骤,以及为什么要这么设计, 如果理解的有什么不对的地方,欢迎大家指正,时序图的我标明了每一步的顺序. 这里我们首先理清楚图的四个角色,这里我以微信的小程序来举例 用户: 这个很好理解,指的就...
认证授权(访问控制)
weixin_30565327的博客
05-14 534
OWASP 认证 密码维度 单因素认证、双因素认证、多因素认证(密码、手机动态口令、数字证书、指纹等各种凭证)。 密码强度 长度:普通应用6位以上;重要应用8位以上,考虑双因素; 复杂度:密码区分大小写;密码为大写字母、小写字母、数字、特殊符号两种以上的组合;不要有(语义上)连续性的字符,比如123、abc;避免出现重复字符,比如 111;不要使用用户的公开数据,或与个人隐私相关的数...
单点登录 Oauth2认证 详解
小羊的博客
05-30 6607
单点登录详解和Oauth2认证
springboot项目整合token,实现项目认证授权(提供代码)
一天不写代码难受的博客
05-21 3597
目录1 jwt验证流程2 token组成3 代码实现 1 jwt验证流程 首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程- -般是一 个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议) ,从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload (负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT(Token)。 形成的JWT就是一个形同11. zzz. xxx的字符串。token he
从密码到token, 一个授权的故事 auth2.0
weixin_33756418的博客
01-23 275
1 美好的旧时光   我经常怀念三十年前那美好的旧时光, 工作很轻松, 生活很悠闲。   上班的时候偶尔有些HTTP的请求发到我这里, 我简单的看一下, 取出相对应的html文档,图片,发回去就可以了, 然后就可以继续喝茶聊天。   我的创造者们对我很好, 他们制定的一个简单HTTP协议, 就是请求加响应,  尤其是我不用记住是谁刚刚发了HTTP请求,   每个请求对我来说都是全...
SecurityContextPersistenceFilter
Stainky的专栏
10-14 1628
SecurityContextPersistenceFilter         让我们来看一下FilterChainProxy所使用的SecurityContextPersistenceFilter如何配置,一个最基本的配置只需要它的bean自身即可: <bean id="securityContextPersistenceFilter" class="org.springfra
统一认证授权:第5章认证授权v3.1详解
第5章认证授权v3.1是项目的关键模块,负责实现平台用户的身份认证授权管理。这一章深入探讨了为什么认证授权在当前项目至关重要,以及其实现的具体机制。 1. 认证的概念: 用户身份认证是系统在用户试图访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值