SpringSecurity实战(七)-对接第三方登陆-流程分析

最新推荐文章于 2024-07-18 17:43:28 发布
最新推荐文章于 2024-07-18 17:43:28 发布
阅读量2.4k 收藏 7
点赞数 2
分类专栏: SpringSecurity入门 文章标签: SpringSecurity
本文为博主原创文章,未经博主允许不得转载。-QQ1164014750-微信公众号:耿子blog
本文链接:https://blog.csdn.net/qq_28817739/article/details/110901082
版权

文章目录

目标

本文分三篇来介绍第三方登陆的实现。

第三方登陆流程

许多人应该对第三方登陆不陌生,当你登陆某网站,会发现在登陆选项中,允许使用其他平台账户登陆。比如微信,QQ,微博等方式。

登陆流程

以Gitee 这个网站的第三方登陆示例:我们希望通过Github账户,登陆Gitee网站。

大致分为三步:

1,点击github登陆,跳转到Github授权页面(如果已经绑定了该Github账户,会直接登陆成功,跳转到gitee的主页)

2,点击授权按钮,允许Gitee获取当前用户的信息。

3,跳转到Gitee的登陆绑定页面,绑定账户,实现登陆。(当然也可以不绑定本地账户,直接登陆成功。看业务定制需求)

必要概念了解

参考 :开箱即用的整合第三方登录的开源组件 建议将必读部分阅读完成 或者阅读 Spring Secuirty 第三部分内容

建议先阅读上述内容。

第三方登陆的实现基于OAuth2 协议来实现:

  • OAuth 开发授权(Open Authorization)

    OAuth 解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息的难题。OAuth 分为OAuth 1.0 和 OAuth 2.0 ,OAuth1.0已经基本退出历史舞台,所以了解OAuth 2.0即可。

    OAuth2 的授权流程大致分为四种角色:

    • 资源所有者(Resource Owner):通常指用户自己,例如每一个Github用户

    • 客户端(Client):指需要获取用户资源的网站,上述的 Gitee 网站就是客户端。

    • 资源服务器(Resource Server):指存储了用户资源的服务器,上述的Github网站就存储了你的用户信息

    • 认证服务器(Authorization Server): 验证资源所有者(用户信息),并在验证成功后发放相关访问令牌(Access Token)给客户端。

    资源服务器和认证服务器可以是同一个。

    OAuth2 提供了四种授权机制:

    1. Authorization Code 授权码模式

      授权码模式是功能最完整、流程最严密的授权模式,它将用户引导到授权服务器进行身份验证,
      授权服务器将发放的访问令牌传递给客户端。

    2. 隐式授权模式(Implicit)

      结合移动应用或 Web App 使用

    3. 密码授权模式(Password Credentials)

      适用于受信任客户端应用,例如同个组织的内部或外部应用

    4. 客户端授权模式(Client Credentials)

      适用于客户端调用主服务API型应用(比如百度API Store)

授权码模式(Authorization Code)

着重介绍一下这个模式流程,接下来的代码实现,都基于这种模式:(下图不是原图,修改了部分)

 	+----------+
     | Resource |
     |   Owner  |
     |   用户   |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier      +---------------+
     |         -+----(A)-- & Redirection URI ---->|               |
     |  User-   |                                 | Authorization |
     |  Agent  -+----(B)-- User authenticates --->|     Server    |
     | 用户代理  |                                 |   认证服务器   |
     |         -+----(C)-- Authorization Code ---<|               |
     +-|----|---+                                 +---------------+
       |    |                                         ^      v
      (A)  (C)                                        |      |
       |    |                                         |      |
       ^    v                                         |      |
     +---------+                                      |      |
     |         |>---(D)-- Authorization Code ---------'      |
     |         |          & Redirection URI                  |
     |         |                                             |
     |         |<---(E)----- Access Token -------------------'
     |  Client |       (w/ Optional Refresh Token)
     |  客户端  |
     |         |                                    +---------------+
     |         |----(F)------ Access Token -------->|    Resource   |
     |         |                                    |     Server    |
     |         |<---(G)-- Protected Resource -------|   资源服务器   |
     +---------+                                    +---------------+

参见:授权码

用户代理(User-Agent),可以理解为web浏览器。这里依然以 Gitee网站使用Github账户登录举例。

Github 授权OAuth应用 文档

A:用户发起第三方登陆请求,客户端通过浏览器请求认证服务器地址,并携带了客户端id(Client Identifier)和回调地址(Redirection URI)参数,认证服务器在浏览器端显示,授权页面。(图示第二个图)
Github 的请求用户身份地址,携带了client_id和redirect_uri的参数:

 GET https://github.com/login/oauth/authoriz?client_id=e1015c0a10dc5e11b718&redirect_uri=http://localhost:8081/api/v1/oauth/callback/github

B:用户选择是否授予访问权限

C:点页面上的同意,认证服务器会回调客户端Redirection URI这个地址,并携带code 参数返回

Github 回调客户端地址:

 GET http://localhost:8081/api/v1/oauth/callback/github?code=28ba84fe6fbbb895f1e6&state=a885aad30100738a7d26018f9ec52c17

D: 客户端获得认证服务器返回的code 参数,然后再发送获取令牌请求到认证服务器,并携带code参数

Github 获取token的请求:需要三个参数

POST https://github.com/login/oauth/access_token

client_id	string	需要。您从GitHub收到的GitHub App的客户端ID。
client_secret	string	需要。您从GitHub收到的GitHub App的客户密码。
code	string	需要。您收到的作为对步骤1的响应的代码。

E: 认证服务器根据code等参数,返回 access_token

F:客户端拿着 access_token 去请求资源服务器

Github 获取用户信息请求:

Authorization: token OAUTH-TOKEN
GET https://api.github.com/user

G:资源服务器返回受保护的资源,也就是目标用户信息

参数解释:

clientId 客户端身份标识符(应用id),一般在申请完Oauth应用后,由第三方平台颁发,唯一
clientSecret 客户端密钥,一般在申请完Oauth应用后,由第三方平台颁发
redirectUri 开发者项目中的有效api地址。用户在确认第三方平台授权(登录)后,第三方平台会重定向到该地址,并携带code等参数

实现第三方登陆框架

  • Spring Social

    Spring Social是一个专门用于连接社交平台,实现OAuth服务共享的框架。

    github地址:https://github.com/spring-projects/spring-social

    被spring官方抛弃,不建议使用,已经很长时间没有更新了。

    spring官方为什么放弃spring social项目及替代方案

  • JustAuth

    JustAuth,如你所见,它仅仅是一个第三方授权登录工具类库,它可以让我们脱离繁琐的第三方登录 SDK,让登录变得So easy!

    github地址:https://github.com/justauth/JustAuth

    国人开发,不断更新中,不依赖于Spring 框架,支持国内大多数平台的登陆,使用还是很简单的,如果不对接Spring Security框架推荐使用

  • Spring Security OAuth2

    默认提供了对Goole,Github,Facebook,Okta 这些平台的第三方登陆支持,如果需要定制其他第三方登陆增加代码实现即可。

    github地址:https://github.com/spring-projects/spring-security

    提供了Oauth2的解决方案,如果用于对接Spring Security 建议使用

    文档:spring -security官方Oauth2文档示例

听说点赞关注的人,身体健康,一夜暴富,升职加薪迎娶白富美!!!

点我领取每日福利
微信公众号:耿子blog
GitHub地址:gengzi
在这里插入图片描述

耿子666
关注
专栏目录
Spring Security OAuth2 概念及实战:OAuth2 是一种用于授权第三方应用访问某些受保护
程序员光剑
08-05 1440
OAuth(开放授权)是一个开放标准,它允许用户提供一个标识符让应用得以安全地请求特定的服务(如照片,视频或联系人数据)。该标准由 IETF 管理,并得到了行业的广泛支持。OAuth 允许用户直接授权给第三方应用其需要的权限,而无需将用户名和密码等敏感信息暴露给这些应用。OAuth2 是 OAuth 的最新版本,具有更好的安全性、更强的可伸缩性和易用性。它允许第三方应用获得仅限特定资源的访问权,并且不会向资源所有者授予超过所需的权限。
jwt实现oauth2.0 java_SpringSecurity实现OAuth2+JWT
weixin_28696185的博客
02-17 322
一、基本概念1.1 认证方式1.1.1 基于session方式认证他的流程是:用户认证成功后,服务端生成相应的用户数据保存在session中,发给客户端的session_id保存在cookie中。这样用户请求时只要带上session_id就可以验证服务端是否存在session,以此完成用户的校验。当用户退出系统或session过期时,客户端的session_id也就无效了。1.1.2 基于toke...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security OAuth2 Provider 之 第三方登录简单演示
05-01
NULL 博文链接:https://rensanning.iteye.com/blog/2386309
Spring Authorization-实现联合身份认证,集成Github与Gitee的OAuth登录
最新发布
qq_33240556的博客
07-18 350
如果你需要更复杂的用户处理逻辑,比如将OAuth账户与已有用户系统整合,你可以自定义或实现接口。
spring security 浏览器第三方登录
lzf2284466的博客
08-09 1701
spring security 浏览器第三方登录OAuth 协议1、概要简介2、四种授权模式3、spring social基本原理4、使用spring social实现第三方登录5、QQ第三方登录实现 OAuth 协议 1、概要简介 服务器提供商不提供账号密码的情况下,通过发放令牌,让第三方应用可以进行认证、授权并访问资源 (1)采用账号密码登录第三方 弊端 ① 应用可以访问用户在微信上的所有数据 ② 用户只有修改密码,才能收回权限 ③ 密码泄露的可能性大大提高 (2)采用令牌登录(OAuth协议) 2
Spring Security渐入佳境(四) -- 第三方应用授权登录
分享技术,共同进步!
12-11 1491
单点登录(Single Sign On,简称SSO),它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。对于用户而言,访问多个应用子系统只需要登录一次,同样在需要注销的时候也只需要注销一次。①各应用间的关系:OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8841
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
SpringSecurity实战(八)-通用第三方登陆-自定义认证配置实现
qq1164014750
12-08 3239
文章目录目标通用第三方登陆设计思路自定义登陆流程代码实现核心依赖创建第三方授权应用调用第三方平台部分login.htmlcontroller 层service 层核心配置通用第三方登陆配置本系统的授权认证部分认证流程一:已经绑定现有用户流程OtherSysOauth2LoginFilterOtherSysOauth2LoginAuthenticationTokenOtherSysOauth2LoginProviderOtherSysOauth2LoginUserDetailsServiceImpl认证成功事
spring-boot-1.2.6.RELEASE.zip
04-21
- **第三方库升级**:更新了包括Jackson、Thymeleaf、Hibernate等在内的依赖库,确保了与最新技术的兼容性。 4. **实战应用** - **Web开发**:通过Spring MVC,轻松构建RESTful API,支持模板引擎如Thymeleaf和...
java 公众号授权 源码_微信公众账号第三方平台全网发布源码(java-jeewx)
weixin_39929793的博客
02-25 733
下面是编程之家 jb51.cc 通过网络收集整理的代码片段。编程之家小编现在分享给大家,也给大家做个参考。微信公众账号第三方平台全网发布源码(java)-实战测试通过技术交流请加QQ群:Jeewx微信开发④【289709451】社区论坛:www.jeecg.orgpackage org.jeecgframework.web.rest.controller;import java.io.Buffe...
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Java项目实战-基于B2C的网上拍卖系统-秒杀与竞价(附源码,部署说明).zip
07-26
10. **支付集成**:为了完成交易,系统可能需要与第三方支付平台如支付宝、微信支付等进行接口对接,实现在线支付功能。 通过这个项目,学习者可以深入理解Java Web开发、B2C业务逻辑、拍卖机制的实现以及项目部署...
超级简单的springboot整合springsecurity oauth2第三方登录
gzmyh的博客
11-09 2684
springboot整合进行第三方登录,例如qq、微信、微博。网上一堆教程,并且很多都是旧版本的,篇幅又长,哔哩吧啦一大堆,就算你搞下来了,等下次版本升级或变更一下,你又不知道怎么改了。这篇文章主要是分享一下我自己是如何实现第三方登录的,其实很简单~~~
[Spring Security] Spring Social开发第三方登录
ShotMoon的博客
06-06 649
社交账号登录在当今互联网应用中使用已经相当广泛,像是国内比较流行的qq账号登录、微信登录等,为用户提供便利的同时,通过OAuth协议认证大大保证了用户数据的安全性。一. OAuth协议认证流程:服务提供商(Provider):社交软件提供(微信)资源所有者(Resource Owner):用户第三方应用(Client):程序员开发的第三方应用认证服务器(Authorization Server):...
SpringSecurityOAuth2第三方登录初体验
张氏小毛驴的博客
06-29 890
首先第一个,得先了解什么是OAuth2?关于OAuth2基础的学习,可以学习下阮一峰大佬的这几篇文章,相信聪明的你看完肯定能理解。OAuth 2.0 的一个简单解释OAuth 2.0 的四种方式GitHub OAuth 第三方登录示例教程这一篇文章主要是快速体验一遍使用第三方授权登录的感觉,可能会感觉到有很多疑惑,比如是不是配置所有的第三方平台授权都是同样的流程?咱们后续继续逐步深入学习,瞄瞄源码,以及接入其他第三方,比如微信等。
【深入浅出 Spring Security(十二)】使用第三方(Github)授权登录
qq_63691275的博客
06-23 3266
这里的Github授权登录,就是使用的OAuth2权限模式中的授权码模式。过程即通过向Github进行授权,授权成功的话会返回一个授权码,后端通过授权码可以去向Github申请Access-Token,通过这个Token,即可读取一些Github的用户资源,观察到获取的用户信息里只有ROLE_USER,即user角色,所以说是获取Github上的用户的一些信息资源。
SpringSecurity3.0实战教程-吴老师教学讲义
`spring-security-web`则包含了过滤器和Web安全相关的架构代码,这些都是构建Web应用程序安全保护的关键组件。 通过这一步步的指导,吴老师的教学讲义帮助读者理解SpringSecurity的安装过程,同时也为深入学习框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值