Spring security知识整理

最新推荐文章于 2024-01-08 10:57:58 发布
最新推荐文章于 2024-01-08 10:57:58 发布
阅读量782 收藏 2
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25705173/article/details/107180339
版权

1.spring security认证流程

Spring Security中进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。

验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationProvider的DaoAuthenticationProvider(它利用UserDetailsService验证用户名、密码和授权)处理。包含 GrantedAuthority 的 UserDetails对象在构建 Authentication对象时填入数据。
在这里插入图片描述
身份认证的调用流程图如下
在这里插入图片描述

2. AuthorizationServerConfigurerAdapter讲解

Spring传入AuthorizationServerConfigurer中:

  1. ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
  2. AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束.
  3. AuthorizationServerEndpointsConfigurer:用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token
    services)。
    参考链接

3.授权服务器端点开启

spring security oauth2 中的 endpoint(聊聊spring security oauth2的几个endpoint的认证)

  1. /oauth/authorize(授权端,授权码模式使用)
  2. /oauth/token(令牌端,获取 token)
  3. /oauth/check_token(资源服务器用来校验token) /oauth/confirm_access(用户发送确认授权)
  4. /oauth/error(认证失败) /oauth/token_key(如果使用JWT,可以获的公钥用于 token 的验签)
  5. /oauth/token_key 提供公有密匙的端点,如果你使用JWT令牌的话

allowFormAuthenticationForClients作用:主要是让/oauth/token支持client_id以及client_secret作登录认证

对应代码:

    public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
        oauthServer
                .passwordEncoder(new BCryptPasswordEncoder())
                // 开启/oauth/token_key验证端口无权限访问
                .tokenKeyAccess("permitAll()")
                // 开启/oauth/check_token验证端口认证权限访问,配置资源服务器可以权限校验
                .checkTokenAccess("isAuthenticated()")
                .allowFormAuthenticationForClients();
    }

默认是关闭

4.springsecurity相关方法

在这里插入图片描述
http.authorizeRequests()其中这里的意思是指通过authorizeRequests()方法来开始请求权限配置
第一部分是formLogin配置段,用于配置登录验证逻辑相关的信息。如:登录页面、登录成功页面、登录请求处理路径等。
第二部分是authorizeRequests配置端,用于配置资源的访问权限。如:开发登录页面的permitAll开放访问,“/biz1”(业务一页面资源)需要有资源ID为"biz1"的用户才可以访问

**jwkSetUri:**用于从授权服务器(包含用于验证ID令牌的JSON Web签名(JWS)和可选的UserInfo响应)的加密密钥中检索JSON Web密钥(JWK)的URI

qq_25705173
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《设计模式》建造者模式 (spring-security-oauth2源码之ClientDetailsServiceConfigurer)
kaige8312的博客
02-12 1万+
建造者模式(Builder Pattern)使用多个简单的对象一步一步构建成一个复杂的对象。这种类型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 简单版参照 https://blog.csdn.net/u010102390/article/details/80179754 看下spring-security-oauth2是怎么玩的 1.首先定义总的Configurer类--C...
spring security oauth2认证中心 ClientDetailsServiceConfiguration自动配置源码
路过君的博客
02-18 1619
org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented // 导入认证服务器端点配置和安全配置 @Import({AuthorizationServerEndpointsConfiguration.class, Auth.
Spring Security Oauth2配置类AuthorizationServerConfigurerAdapter
热门推荐
wangooo的博客
02-23 1万+
AuthorizationServerConfigurerAdapter中: ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。 AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束. AuthorizationServerEndpointsC
springsecurity+oauth2.0 分布式认证授权案例-uaa服务配置2
健康平安的活着的专栏
08-29 5576
一 认证服务器配置 1.1 综述EnableAuthorizationServer EnableAuthorizationServer可以用 @EnableAuthorizationServer 注解并继承AuthorizationServerConfifigurerAdapter来配置OAuth2.0 授权服务器。 AuthorizationServerConfifigurerAdapter要求配置以下几个类,这几个类是由Spring创建的独立的配置对象,它们 会被Spring传入Authoriz
Spring Bood 配置OAuth2 ClientDetailsServiceConfigurer
weixin_33800463的博客
06-01 5991
2019独角兽企业重金招聘Python工程师标准>>> ...
3、oauth2授权之自定义ClientDetailsService
u012153127的博客
07-03 5229
oauth的客户端凭证校验是通过ClientDetailsService来实现的。oauth默认为我们提供了InMemoryClientDetailsService和JdbcClientDetailsService,当然我们也可以自己实现ClientDetailsService。 1、新建CustomClientDetailService实现ClientDetailsService接口。 ps:这里我们需要加上@Primary把该类当成是主类,因为在@EnableAuthorizat...
SpringSecurity OAuth2 (6) 自定义: ClientDetailsService, 异常处理以及一致性响应
O_o
07-07 1万+
本文介绍 Spring Security OAuth2 的自定义数据结构以及 ClientDetailsService.
Spring Security Oauth2核心组件之ClientDetailsService
clyu的博客
01-10 2409
一、客户端 public interface ClientDetails extends Serializable { String getClientId();//客户端id Set<String> getResourceIds();//此客户端可以访问的资源。如果为空,则调用者可以忽略 boolean isSecretRequired();//验证此客户端是否需要secret String getClientSecret();//获取客户端的secret bool
spring oauth2 ClientDetailsServiceConfigurer 源码分析(使用jdbc方式)
weixin_33675507的博客
11-20 2432
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecuryty中的常用配置类
CHENFU_ZKK的博客
10-14 849
SpringSecuryty中的常用配置类
Spring Cloud进阶之路 | 十八:授权服务(Spring Cloud Oauth2)ClientDetailsService之JdbcClientDetailsService
银河架构师的博客
02-17 5207
前面的文章Spring Cloud进阶之路 | 八:授权服务(Spring Cloud Oauth2)中,介绍了基于Spring Cloud Oauth2框架的微服务授权服务器。其中,关于认证客户端相关信息均存储在内存中,服务一旦重启,即随即丢失,非常不利于维护。在实际项目中,势必要持久化存储。 本文即对认证客户端信息持久化ClientDetailsServic之JdbcClientDetailsService做相关说明
SpringCloud OAuth2实现单点登录以及OAuth2源码原理解析
乌龟的专栏
08-16 1757
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 Spring Security OAuth 是建立在 Spring Security 的基础之上 OAuth2.0 协议实现的一个类库 Spring Security OAuth2 为 Spring Cloud 搭建认证授权服务(能够更好的集成到 Spring Cloud 体系中) 单点登录主要包括 服务端:一个第...
spring cloud笔记 oauth2授权服务 clientDetails配置源码
路过君的博客
03-23 3624
@EnableAuthorizationServer ... @Import({... AuthorizationServerSecurityConfiguration.class}) ... AuthorizationServerSecurityConfiguration ... @Import({ ClientDetailsServiceConfiguration.class... }) ....
Spring Security#OAuth2
来啊 快活啊
06-20 4842
Congiurer ClientDetailsServiceConfigurer AuthorizationServerSecurityConfigure AuthorizationServerEndpointsConfigurer ResourceServerSecurityConfigurer HttpSecurity Authorization Server ClientDetailsServ
SpringSecurity服务器端配置说明
makaixuan_的博客
08-23 653
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zMldYDBl-1661221320914)(…/AppData/Roaming/Typora/typora-user-images/)]此时登录另一个客户端8082,确认是否也已经授权,免登录了。成功登录自己服务器的首页(user:zhangsan)授权认证成功后跳转到指定客户端的页面。点击登录(成功登录到8081客户端)成功登录到8082,点击登录。登录到8080自己服务器的。到服务器端的认证系统。...
JdbcClientDetailsService从数据库读取相应的配置
word_joke的博客
02-05 2092
https://www.cnblogs.com/charlypage/p/9383420.html
springOAuth2教程(基于JDBC)
qq_22624361的博客
03-15 9369
前面的文章有提到过springOAuth2基于最基本的内存进行存储的教程,但是总是存在内存中肯定不是很高可用的,所以今天来给大家讲解下基于关系型数据库储存的教程。 OK,基础的就不多说,详细的可以查看前面的文章,传送门在这里 https://mp.csdn.net/postedit/88553568 先说自己的选型,数据库用的是mysql,持久层框架用的是hibernate。 话不多说,直接上代码...
微服务下的SpringSecurity认证端
最新发布
weixin_73412838的博客
01-08 1644
从三板斧开始微服务下的SpringSecurity开始。
spring-security-oauth2之AuthorizationServerConfigurerAdapter浅析
ldcaws的专栏
09-01 6978
AuthorizationServerEndpointsConfigurer其实是一个装载类,装载Endpoints所有相关的类配置,如AuthorizationServer、TokenServices、TokenStore、ClientDetailsService、UserDetailsService,也就是说进行密码验证的一些工具类或服务类,均在这个地方进行注入。JwtAccessTokenConverter是用来生成token的转换器,而token令牌默认是有签名的,且资源服务器需要验证这个签名。..
springcloud整合oauth2------认证服务篇
weixin_45592424的博客
09-10 1809
springcloud整合oauth-认证服务篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值