Web应用接入OAuth2

最新推荐文章于 2024-08-15 22:30:37 发布
最新推荐文章于 2024-08-15 22:30:37 发布
阅读量911 收藏 1
点赞数
分类专栏: 微服务 文章标签: OAuth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaotl/article/details/126467867
版权

上一篇博客介绍了OAuth2的基础概念,此篇博客将介绍对于web应用而言如何介入OAuth2,这里需要同时开启之前OAuth2的授权码模式的应用作为授权服务器,另外开启新的客户端应用,客户端应用代码在这里(备注:源码基本来源于bobo老师在网上公开的的demo代码)。

客户端服务启动在9001端口,启动后,会弹出altert的dialog框,这里输入在授权服务器的application.properties中设置的用户名和密码。

输入正确的用户名、密码后会显示OAuth Approve界面,Approve后,获取到接口信息并显示在页面上。

上面是整个演示的效果,接下来看看代码中国呢是如何实现的。 首先来看看SecurityConfiguration配置类,这个类通过继承WebSecurityConfigurerAdapter来控制哪些请求必须通过授权才能访问的资源。从这里的配置可以看到/和/index.html页面可以直接访问,其他URL必须授权后才能访问。

对于OAuth2而言,核心就是获取Token和使用Token,在客户端应用中通过RestTemplate获取授权码和token,然后带上token获取资源服务器的相关接口信息并显示在页面上。下面是获取Token并存入数据库的代码。这里通过SecurityContextHolder来获取当前认证的用户的上下文信息。通过日志打印可以看到ClientUser包含如下信息,显示的用户名和密码是在登陆框中输入的用户名和密码。

获取token的具体逻辑封装在AuthorizationCodeTokenService中,和前面通过post获取的过程一样,这里知识通过RestTemplate来获取而已。通过打印日志可以看到发送的获取token的POST请求和返回的token信息,如下所示

总结而言,整个代码实现的关键步骤有两部分:

1.通过继承 WebSecurityConfigurerAdapter来配置资源控制器的控制范围

2.通过RestTemplate来调用API获取code和token

上面用的RestTemplate,这里做一下简要介绍,RestTemplate是Spring提供的用于访问 Rest 服务的客户端库。下面是一些RestTemplate使用的小例子。

//1. 简单Get请求
String result = restTemplate.getForObject(rootUrl + "get1?para=my", String.class);
System.out.println("简单Get请求:" + result);

//2. 简单带路径变量参数Get请求
result = restTemplate.getForObject(rootUrl + "get2/{1}", String.class, 239);
System.out.println("简单带路径变量参数Get请求:" + result);

//3. 返回对象Get请求(注意需包含compile group: 'com.google.code.gson', name: 'gson', version: '2.8.5')
ResponseEntity<Test1> responseEntity = restTemplate.getForEntity(rootUrl + "get3/339", Test1.class);
System.out.println("返回:" + responseEntity);
System.out.println("返回对象Get请求:" + responseEntity.getBody());

//4. 设置header的Get请求
HttpHeaders headers = new HttpHeaders();
headers.add("token", "123");
ResponseEntity<String> response = restTemplate.exchange(rootUrl + "get4", HttpMethod.GET, new HttpEntity<String>(headers), String.class);
System.out.println("设置header的Get请求:" + response.getBody());

//5. Post对象
Test1 test1 = new Test1();
test1.name = "buter";
test1.sex = 1;
result = restTemplate.postForObject(rootUrl + "post1", test1, String.class);
System.out.println("Post对象:" + result);

//6. 带header的Post数据请求
response = restTemplate.postForEntity(rootUrl + "post2", new HttpEntity<Test1>(test1, headers), String.class);
System.out.println("带header的Post数据请求:" + response.getBody());

//7. 带header的Put数据请求
//无返回值
restTemplate.put(rootUrl + "put1", new HttpEntity<Test1>(test1, headers));
//带返回值
response = restTemplate.exchange(rootUrl + "put1", HttpMethod.PUT, new HttpEntity<Test1>(test1, headers), String.class);
System.out.println("带header的Put数据请求:" + response.getBody());

//8. del请求
//无返回值
restTemplate.delete(rootUrl + "del1/{1}", 332);
//带返回值
response = restTemplate.exchange(rootUrl + "del1/332", HttpMethod.DELETE, null, String.class);
System.out.println("del数据请求:" + response.getBody());

getForObject和getForEntity 这两个方法都是采用get请求去获取数据,只是getForObject()比getForEntity()多包含了将HTTP转成POJO的功能。postForObject和postForEntity是发送Post请求,于Get请求相比较,Post请求需要构造request body类,也就是HttpEntity。下面是通过MultiValueMap构造body的小例子。

String url = "http://www.xxxx.com";
HttpHeaders headers = new HttpHeaders();
headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
MultiValueMap<String, String> map= new LinkedMultiValueMap<>();
map.add("userId", "3212xxxxxxxxxxxxxx");
HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(map, headers);
ResponseEntity<String> response = restTemplate.postForEntity( url, request , String.class );
System.out.println(response.getBody());

exchange()方法跟上面的方法不同之处在于它可以指定请求的HTTP类型。在前面的客户端代码中也通过MultiValueMap构造获取token的请求的。通过这个例子也实现了授权服务器和资源服务器的分离,另外,授权的token等信息也存入了数据库。

前面的例子里面refresh_token是空,且token过期时间是默认的43199(12小时),如果要添加token过期时间和生成refresh_token则修改授权服务器中的配置即可。

通过打印日志可以看到token的过期时间已经修改,且会生成refresh_token.

有了refresh_token,当从数据库获取token时,先判断有效时间,如果有效时间小于当前时间,那么就需要通过refresh_token获取新的token并存入数据库。

这里再补充解释下如何通过数据库存储token等信息,因为spring-security中就提供了UserDetails对象,所以第一步是implement userDetails,里面主要包括getClientUser等方法。

接着还需要定义ClientUser对象。因为getClientUser获取的就是ClientUser对象信息。这里存入数据库是采用JDBC的方式,所以ClientUser是一个Entity,内容如下:

除了对象定义,还创建了UserRepository class,负责对数据进行增删改查,因为有很多默认方法,例如通过save就可以存入数据库,故这里只自定义了findByUsername方法。

以上就是对web应用接入OAuth2的介绍。

taoli-qiao
关注
专栏目录
facebook 第三方登录localhost_SpringBoot2 整合OAuth2组件,模拟第三方授权访问
weixin_29592699的博客
12-22 686
一、模式描述授权服务验证第三方服务的身份,验证邮箱用户的身份,记录和管理认证Token,为资源服务器提供Token校验。场景:第三方网站借助用户的邮箱登录,并访问邮箱账户的基础信息,头像、名称等。资源服务第三方服务通过邮箱账户登录后需要获取的一些信息,即理解为资源,存储邮箱账户的数据资源。第三方服务即借助邮箱用户的账户,快速登录第三个服务,免去繁杂的注册流程,有助于快速积累新用户。交互流...
oauth2接入
qqBo1230的博客
08-16 952
1.oauth2 oauth2(开放授权) 是一个开放标准,在不需要用户将账号密码提供给第三方应用,来授权访问,比如微信的第三方登陆 oauth2 有四种模式: 授权码模式(authorization_code ), 密码模式(password), 用户名和密码访问 隐式授权模式(Implicit Grant), 客户端凭证模式(Client ...
SpringBoot集成oauth2(客户端模式)
qq1016499728博客
12-04 6115
客户端模式: 咱们的服务直接请求验证服务器拿到token,拿token访问资源服务器。跟用户没屁关系 依赖 Springboot 版本为2.3.3.RELEASE <!--Security + oauth2 + jwt --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security<
Web网站的授权oAuth2.0 & 单点登录
最新发布
闰土的博客
08-15 494
点击gitee按钮,跳转到gitee码云登录页,如果gitee账号登录成功,会redirect重定向到咱们自动的业务网站系统首页实体。
Spring Security OAuth2 入门
2401_84010702的博客
04-18 737
面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。面试题文档来啦,内容很多,485页!由于笔记的内容太多,没办法全部展示出来,下面只截取部分内容展示。
前端访问OAuth2授权服务器
mengxin_chen的博客
04-28 1235
前端必须要提交: username: “” 用户账号 password: “” 用户密码 grant_type: ‘password’ (一般固定是password) client_id: ‘appid’ (这些值都是后端写死的) client_secret: ‘223344’(这些值都是后端写死的) <template> <!-- 这里定义vue组件的模板内容 --> <div> <h2>登录首页</h2> <p>u
oauth2使用链接
ltgsoldier1的博客
02-24 564
授权码模式 get方式 获取授权码 http://localhost:8011/uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com post方式 通过授权码 获取token http://localhost:8011/uaa/oauth/token?client_id=c1&client_secret=secret&grant_t
jwt oauth2 对接_基于 Spring Security OAuth2和 JWT 构建保护微服务系统
weixin_39625563的博客
12-20 425
我们希望自己的微服务能够在用户登录之后才可以访问,而单独给每个微服务单独做用户权限模块就显得很弱了,从复用角度来说是需要重构的,从功能角度来说,也是欠缺的。尤其是前后端完全分离之后,我们的用户信息不一定存在于 Session 会话中,本节内容使用OAuth2+JWT的功能恰好能够弥补这块。应用场景常见的应用场景如下图,用户通过浏览器进行登录,一旦确定用户名和密码正确,那么在服务器端使用秘钥创建 J...
微服务接入oauth2_构建微服务-使用OAuth 2.0保护API接口
weixin_39835158的博客
12-21 708
在本文中,我们将使用OAuth 2.0,创建一个的安全API,可供外部访问Part 1和Part 2完成的微服务。我们将创建一个新的微服务,命名为product-api,作为一个外部API(OAuth 术语为资源服务器-Resource Server),并通过之前介绍过的Edge Server暴露为微服务,作为Token Relay,也就是转发Client端的OAuth访问令牌到资源服务器(Res...
微服务接入oauth2_SpringCloud微服务实战系列(二十)Ouath2在真实场景中的应用客户端接入(第二种写法)...
weixin_39825045的博客
12-30 98
SpringCloud微服务实战系列(二十)Ouath2在真实场景中的应用客户端接入(第二种写法)一、概述本篇就是对Oauth2的实际应用方法的客户端接入方式的另外一种方法进行介绍。这种方法跟第一种除配置外的区别是:用户信息接口需要手动调用。Nginx配置无所谓,可以在配置中指明跳转地址。如果大家正在寻找一个java的学习环境,或者在开发中遇到困难,可以加入我们的java学习圈,点击即可加入,共...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为Spring Cloud的一个组件,是微服务架构中的边缘服务,负责路由、过滤、安全等任务。下面我们将深入探讨如何将这两个组件...
oauth2-client:与OAuth 2.0服务提供商轻松集成
02-05
OAuth 2.0客户端 该软件包为与服务提供商集成提供了基础。 OAuth 2.0登录流程,通常在网络上以“与Facebook / Google /等连接”形式出现。 按钮,是添加到Web应用程序中的常见集成,但是正确操作可能很棘手且乏味。 为了帮助您,我们创建了league/oauth2-client程序包,该程序包提供了与各种OAuth 2.0提供程序集成的基础,而不会因而使您的应用程序负担沉重。 该OAuth 2.0客户端库可与任何符合OAuth 2.0授权框架的OAuth 2.0提供程序一起使用。 现成的,我们提供了GenericProvider类来连接到使用任何服务提供者。 有
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
java调用授权接口oauth2_微信授权就是这个原理,Spring Cloud OAuth2 授权码模式
weixin_35690449的博客
02-27 1367
上一篇文章Spring Cloud OAuth2 实现单点登录介绍了使用 password 模式进行身份认证和单点登录。本篇介绍 Spring Cloud OAuth2 的另外一种授权模式-授权码模式。授权码模式的认证过程是这样的:1、用户客户端请求认证服务器的认证接口,并附上回调地址;2、认证服务接口接收到认证请求后调整到自身的登录界面;3、用户输入用户名和密码,点击确认,跳转到授权、拒绝提示页...
微信OAuth2网页授权登陆接口
weixin_30593261的博客
05-31 212
微信OAuth2网页授权登陆接口,微信OAuth2网页授权登陆接口,在你的网站上放上可以扫码登陆,会不会吸引更多用户去注册,现在你只需要简单的配制一下就可以轻松实现,还不快点拿走,微信扫码登陆接口开发你只要需要把配制文件中的APPid、KEY等修改为你自己中你申请的时的就可以,傻瓜式操作,无论你是技术大神还是刚入门的小白,只需修改一下配制文件,便可帮助你实现各种网站登陆。 使用方法 1...
Vue 前端对接第三方平台扫码登录(Oauth2)
m0_61452987的博客
09-29 2751
本方式是用 Oauth2的方式实现扫码登录的,其中省略了不少不重要的代码 1、编写页面样式,设置扫码链接入口 1、页面样式不多说,参考一下: <el-dropdown> <span class="el-dropdown-link" style="color: #1890ff"> 第三方登录<i class="el-icon-arrow-down el-icon--right"></i> .
vue+springmvc前后端分离开发(十五)(在前端使用oauth2)
qq_44938644的博客
05-02 1228
这一节主要讲解的oauth2在前端中的体现,调整了vuex以适应oauth2带来的变化,编写了初始化的逻辑,以及为头部添加Authorization字段以完成权限认证等
OAuth 2.0 (第三方登录)前端流程实现
qq_45799465的博客
11-01 6237
OAuth 实现,前端所需要做的事情。
【前端登录】OAuth 第三方登录
Milk~每天分享一点点,技术进步一点点
08-20 926
OAuth 第三方登录 OAuth 机制实现流程 这里以微信开放平台的接入流程为例: 首先,a.com 的运营者需要在微信开放平台注册账号,并向微信申请使用微信登录功能。 申请成功后,得到申请的 appid、appsecret。 用户在 a.com 上选择使用微信登录。 这时会跳转微信的 OAuth 授权登录,并带上 a.com的回调地址。 用户输入微信账号和密码,登录成功后,需要选择具体的授权范围,如:授权用户的头像、昵称等。 授权之后,微信会根据拉起 a.com?code=123,这时带上了一个临
OAuth2授权原理详解与配置
"OAuth2是一种开放标准授权框架,用于允许第三方应用在...OAuth2提供了灵活的授权机制,保证了用户数据的安全,同时也方便了第三方应用接入。通过理解并配置OAuth2的各个组件,我们可以构建一个安全、可靠的授权系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

taoli-qiao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值