oauth2-怎么使用

已于 2022-04-27 11:20:09 修改
阅读量1.2k 收藏
点赞数 3
分类专栏: spring security springboot 文章标签: spring boot spring
于 2022-04-25 11:56:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31211493/article/details/124397116
版权

1.权限模型RBAC模型

迄今为止最为普及的权限设计模型是 RBAC 模型, 基于角色的访问控制(Role-Based Access Control)
在这里插入图片描述

2.使用框架

  1. shiro
  2. spring security

3.spring security 如何使用

1. WebSecurityConfigurerAdapter
@Configuration
// 启用spring security
@EnableWebSecurity(debug = true)
//启用方法注解 例如 @PreAuthorize和@PostAuthorize
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 设置默认的加密方式
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
    // 配置用户认证
    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        return new UserDetailsServiceImpl();
    }
    // 认证模块
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService());
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    // 授权
    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 禁用csrf 防止csrf攻击
        http.csrf().disable();
        http
                // 配置登录信息
                .logout()
                .logoutUrl("/logout").logoutSuccessUrl("/")
                .and()
                // 配置授权信息
                .authorizeRequests()
                .mvcMatchers( "/login","/login/**", "/assets/**")
                .permitAll()
                .anyRequest()
                // 配置匿名登录
                .authenticated()
                .and()
                // 配置oauth2 登录
                .oauth2Login()
                .authorizationEndpoint();
        http.oauth2Client().authorizationCodeGrant();
    }

    // 静态资源配忽略
    @Override
    public void configure(WebSecurity web) throws Exception {
       //oauth2 获取公钥配置
        web.ignoring().mvcMatchers("/oauth/token_key", "/oauth/check_token");
    }
}

HttpSecurity 日常的基本配置使用

方法说明
requestMatchers()为 SecurityFilterChain 提供URL拦截策略,具体还提供了 antMatcher 和 mvcMathcer
openidLogin()用于基于 OpenId 的验证
headers()将安全标头添加到响应,比如说简单的 XSS 保护
cors()配置跨域资源共享( CORS )
sessionManagement()配置会话管理
portMapper()配置一个 PortMapper(HttpSecurity#(getSharedObject(class))) ,其他提供 SecurityConfigurer 的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。默认情况下,Spring Security使用一个 PortMapperImpl 映射 HTTP 端口8080到 HTTPS 端口8443, HTTP 端口80到 HTTPS 端口443
jee()配置基于容器的预认证。 在这种情况下,认证由Servlet容器管理
x509()配置基于x509的预认证 rememberMe 配置“记住我”的验证
authorizeRequests()基于使用 HttpServletRequest 限制访问
requestCache()配置请求缓存
exceptionHandling()配置错误处理
securityContext()在 HttpServletRequests 之间的 SecurityContextHolder 上设置 SecurityContext 的管理。 当使 用 WebSecurityConfigurerAdapter 时,这将自动应用
servletApi()将 HttpServletRequest 方法与在其上找到的值集成到 SecurityContext 中。 当使用 WebSecurityConfigurerAdapter 时,这将自动应用
csrf()添加 CSRF 支持,使用 WebSecurityConfigurerAdapter 时,默认启用
logout()添加退出登录支持。当使用 WebSecurityConfigurerAdapter 时,这将自动应用。默认情况是,访问 URL”/ logout”,使HTTP Session无效来清除用户,清除已配置的任何#rememberMe()身份验证,清除 SecurityContextHolder ,然后重定向到 /login?success anonymous() 配置匿名用户的表示方法。 当与 WebSecurityConfigurerAdapter 结合使用时,这将自动应用。 默认 情况下,匿名用户将使用 org.springframework.security.authentication.AnonymousAuthenticationToken 表示,并包含 角色 ROLE_ANONYMOUS authenticationManager() 配置 AuthenticationManager
authenticationProvider()添加 AuthenticationProvider
formLogin()指定支持基于表单的身份验证。如果未指定 FormLoginConfigurer#loginPage(String) ,则将生成默 认登录页面
oauth2Login()根据外部OAuth 2.0或OpenID Connect 1.0提供程序配置身份验证
oauth2Client()OAuth2.0 客户端相关的配置
oauth2ResourceServer()OAuth2.0资源服务器相关的配置
requiresChannel()配置通道安全。为了使该配置有用,必须提供至少一个到所需信道的映射
httpBasic()配置 Http Basic 验证
addFilter()添加一个已经在内置过滤器注册表注册过的过滤器实例或者子类
addFilterBefore()在指定的Filter类之前添加过滤器
2.PasswordEncoder 密码校验器(主要用于)
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 设置默认的加密方式
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
3.UserDetailsService 用户信息接口
public interface UserDetailsService {

	根据用户名定位用户。在实际实现中,搜索可能区分大小写,也可能不区分大小写,具体取决于实现实例的配置方式。
	在这种情况下,返回的 <code>UserDetails<code> 对象的用户名可能与实际请求的用户名不同。
	@param username 标识需要其数据的用户的用户名。
	@return 完全填充的用户记录(从不 <code>null<code>@throws UsernameNotFoundException 
	如果找不到用户或用户没有 GrantedAuthority
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

根据用户名加载用户 UserDetails ,可能抛出用户不存在的异常 security 中 登录用UserDetailsService 去检索个人信息。
项目中的实践如下

@Service
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    private UserService userService;
    @Autowired
    private PermissionService permissionService;
    @Override
    @Transactional(readOnly = true)
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        // 查询用户信息
        com.template.cloud.oauth.entity.User user = userService.loadUserByUserName(userName);
        List<GrantedAuthority> grantedAuthorities =new ArrayList<>();
        if (user != null) {
            // 获取用户授权
            Set<String> permissions = permissionService.loadPermissionByUserId(user.getId());
            // 声明用户授权
            if(CollUtil.isNotEmpty(permissions)){
                permissions.forEach(permission -> {
                    if (StrUtil.isNotBlank(permission)) {
                        GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(permission);
                        grantedAuthorities.add(grantedAuthority);
                    }
                });
            }
            // 由框架完成认证工作
            return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), grantedAuthorities);
        }else {
            return null;
        }
    }
}
4.AuthenticationManager 认证管理器

主要处理认证请求的管理器
主要的实现如下
在这里插入图片描述

5.Authentication 认证信息

Spring Security中抽象了一个认证的概念接口 Authentication 。认证主体的认证信息、状态都
由 Authentication 来负责维护

6.spring security filter 顺序
FilterComparator() {
		Step order = new Step(INITIAL_ORDER, ORDER_STEP);
		put(ChannelProcessingFilter.class, order.next());
		put(ConcurrentSessionFilter.class, order.next());
		put(WebAsyncManagerIntegrationFilter.class, order.next());
		put(SecurityContextPersistenceFilter.class, order.next());
		put(HeaderWriterFilter.class, order.next());
		put(CorsFilter.class, order.next());
		put(CsrfFilter.class, order.next());
		put(LogoutFilter.class, order.next());
		filterToOrder.put(
			"org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter",
				order.next());
		filterToOrder.put(
				"org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationRequestFilter",
				order.next());
		put(X509AuthenticationFilter.class, order.next());
		put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
		filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter",
				order.next());
		filterToOrder.put(
			"org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter",
				order.next());
		filterToOrder.put(
				"org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationFilter",
				order.next());
		put(UsernamePasswordAuthenticationFilter.class, order.next());
		put(ConcurrentSessionFilter.class, order.next());
		filterToOrder.put(
				"org.springframework.security.openid.OpenIDAuthenticationFilter", order.next());
		put(DefaultLoginPageGeneratingFilter.class, order.next());
		put(DefaultLogoutPageGeneratingFilter.class, order.next());
		put(ConcurrentSessionFilter.class, order.next());
		put(DigestAuthenticationFilter.class, order.next());
		filterToOrder.put(
				"org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationFilter", order.next());
		put(BasicAuthenticationFilter.class, order.next());
		put(RequestCacheAwareFilter.class, order.next());
		put(SecurityContextHolderAwareRequestFilter.class, order.next());
		put(JaasApiIntegrationFilter.class, order.next());
		put(RememberMeAuthenticationFilter.class, order.next());
		put(AnonymousAuthenticationFilter.class, order.next());
		filterToOrder.put(
			"org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter",
				order.next());
		put(SessionManagementFilter.class, order.next());
		put(ExceptionTranslationFilter.class, order.next());
		put(FilterSecurityInterceptor.class, order.next());
		put(SwitchUserFilter.class, order.next());
	}

每个filter 的作用
1、WebAsyncManagerIntegrationFilter:
提供了对securityContext和WebAsyncManager的集成,使其支持把SecurityContext设置基于ThreadLocal的SecurityContextHolder中,使controller中线程安全地获取到用户上下文认证信息。

2、SecurityContextPersistenceFilter
请求到来时,通过HttpSessionSecurityContextRepository接口从Session中读取SecurityContext,如果读取结果为null,则创建之。获得SecurityContext之后,会将其存入SecurityContextHolder,其中SecurityContextHolder默认是ThreadLocalSecurityContextHolderStrategy实例。
请求结束时清空SecurityContextHolder,并将SecurityContext保存到Session中。
3、HeaderWriterFilter
用来给http response添加一些Header,比如X-Frame-Options、X-XSS-Protection*、X-Content-Type-Options。
X-Frame-Options:防止某些重要网页被其他网站框架导入
X-XSS-Protection*:防止XSS攻击
X-Content-Security-Policy:这个响应头主要是用来定义页面可以加载哪些资源,减少XSS的发生
X-Content-Type-Options:互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:text/html、text/css
4、CsrfFilter
防止csrf跨域攻击,伪造表单,要求表单POST提交时带有crsf令牌
5、LogoutFilter
对登出url的请求处理,执行登出操作
6、UsernamePasswordAuthenticationFilter
对登陆url的请求处理,校验用户账号密码,校验成功后执行以下操作:

a. (ConcurrentSessionStrategy)向框架特有的SessionRegistry添加用户和session信息,并管理策略执行用户多点登陆检查,做出对应的‘不予许登陆’或‘令旧会话失效’和‘允许登陆的操作’
b. 在SecurityContext存认证信息
c. 执行rememberme服务,添加cookies
d. 由eventpublisher发布认证事件
e. 结束filter链,登陆成功跳转,执行新一轮的filter链检查(这次时已登陆状态不用再登陆啦)
7、ConcurrentSessionFilter
根据当前sessionID检查SessionRegistry保存的session信息是否过期

过期:则执行登出操作(销毁旧过期session触发session事件从而删除SessionRegistry的信息)跳转到login操作尝试自动登陆,此时一般会由rememberme执行登陆,此时登出操作一般会把rememberme删除,登陆失败,跳转到登陆页,手动登陆
不过期:则刷新访问时间
不存在则跳过
8、RequestCacheAwareFilter
将request存到session中,用于缓存request请求,可以用于恢复被登录而打断的请求
此处从session中取出request,存储request是ExceptionTranslationFilter
9、SecurityContextHolderAwareRequestFilter
此过滤器对ServletRequest进行了一次包装,使得request具有更加丰富的API
10、RememberMeAuthenticationFilter
服务器重启后rememberme失效,默认保存在内存的和SessionRegistry一样需要重新配置
读取客户端的remember的cookies来实现自动登陆,在SecurityContext存认证信息
11、AnonymousAuthenticationFilter
前面都没有成功登陆则执行匿名登陆,在SecurityContext存认证信息
12、SessionManagementFilter
session固化保护-通过session-fixation-protection配置
session并发控制-通过concurrency-control配置 (这个主要在过过滤器6和7执行的)和session相关的过滤器,内部维护了一个SessionAuthenticationStrategy,两者组合使用,常用来防止session-fixation protection attack,以及限制同一用户开启多个会话的数量
与登录认证拦截时作用一样,持久化用户登录信息,可以保存到session中,也可以保存到cookie或者redis中。
13、ExceptionTranslationFilter
异常拦截,其处在Filter链后部分,只能拦截其后面的节点并且只处理AuthenticationException
与AccessDeniedException两个异常。AuthenticationException指的是未登录状态下访问受保护资源,
AccessDeniedException指的是登陆了但是由于权限不足(比如普通用户访问管理员界面)。
14、FilterSecurityInterceptor
这个filter用于授权验证。FilterSecurityInterceptor的工作流程引用一下,可以理解如下:

FilterSecurityInterceptor从SecurityContextHolder中获取Authentication对象,
然后比对用户拥有的权限和资源所需的权限。前者可以通过Authentication对象直接获得,
而后者则需要引入我们之前一直未提到过的两个类:SecurityMetadataSource,AccessDecisionManager。

7.filter 的认证过程

在这里插入图片描述

我就是个菜鸟2021
关注
专栏目录
OAuth 2.0 介绍和使用示例
21空间的博客
07-29 1002
OAuth 2.0 是一种开放标准授权协议,用于安全地让第三方应用访问用户在另一个服务上的资源,而无需暴露用户的凭证。OAuth 2.0 主要用于 Web 应用程序、桌面应用程序、移动应用程序和物联网设备等场景。
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
$ docker run --name oauth2-proxy bitnami/oauth2-proxy:latest 为什么要使用Bitnami Images? Bitnami密切跟踪上游源代码变化,并使用我们的自动化系统及时发布该图像的新版本。 对于Bitnami映像,将尽快提供...
oauth2的使用
qq_33012981的博客
10-12 2825
oauth2.0的使用 1 oauth2介绍 oauth是一个协议,它允许第三方网站无需获取用户的用户名和密码即可申请授权获取用户的资源信息,非常安全。比如我们常见的第三方登录功能就是使用oauth。 2 oauth的表结构 官方的sql地址:https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql -- used in
小白也能看懂的OAuth2讲解
最新发布
wendao76的专栏
09-30 2710
OAuth 2是一个重要的授权框架,它通过颁发令牌的方式实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
OAuth2的使用
m0_46486963的博客
02-25 451
1.OAuto2 a.开放系统间的授权 i.授权常用的方式 1.用户名密码复制(适用于同一公司内部的多个系统,不适用于不受信的第三方系统 2.通用开发者key(适用于合作或者授信的不同业务部门之间) 3.按照特定的规则,生成一个字符串,再将字符串颁发给访问者,并设置字符串的有效时间,与管理字符串,如吊销等,访问者拿着生成的字符串就可以进行访问 b.分布式访问 2.概括 a.涉及的角色 b.令牌类型 c.误解 ...
OAuth2介绍与使用
youbo_sun的专栏
03-27 2727
1. 什么是OAuth2 OAuth(Open Authorization:开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2. OAuth2运行流程 (A)用户打开客户端...
OAuth2的简单使用
weixin_41029286的博客
02-15 1347
OAuth2 协议:认证服务器允许⽤户授权第三⽅应⽤访问他们存储在另外的服务提供者(用户服务)上的信息,⽽不需要将⽤户名和密码提供给第三⽅应⽤或分享他们数据的所有内容 Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以⽤来做多个微服务的统⼀认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统⼀认证授权服务)发送某个类型的grant_type进⾏集中认证和授权,从⽽获得access_token(访问令牌),⽽这个token是受其他微服务信任
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
在本文中,我们将深入探讨如何使用Yii 2.0框架结合League的OAuth2-Server库来构建一个符合PHP联盟标准的OAuth2服务器接口。OAuth2是一种授权协议,它允许第三方应用在用户授权的情况下访问受保护的资源。在Yii 2.0中...
node-oauth2-server:完整,合规且经过良好测试的模块,用于在node.js中使用express实现OAuth2 ServerProvider
04-21
oauth2-服务器 完整,合规且经过良好测试的模块,用于在实现OAuth2服务器。 注意:经过一段时间的中断后,该项目现在可以正常维护。 依赖关系已更新,错误修复将在v3(当前版本)中发布。 对于使用受支持的节点...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
OAuth2-Client:包装了Apache Oltu的简单OAuth2-Client-OAuth 2.0
05-28
使用OAuth2-Client库,开发者可以方便地实现这些流程,只需关注如何处理业务逻辑,而无需过多关注OAuth协议的复杂性。例如,你可以设置客户端ID、客户端密钥、授权URL、令牌URL以及回调URL,然后库会处理跳转、获取...
使用OAuth2的SSO分析
weixin_34189116的博客
05-14 111
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2-vanilla/README.adoc 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许可码 3.从授权服务器带授权许可码跳回来 4.UI服务器向授权服务器获取AccessToken 5.返回A...
OAuth2】OAuth2概述及使用GitHub登录第三方网站
2401_84969915的博客
05-13 1899
OAuth2】OAuth2概述及使用GitHub登录第三方网站0. 导言1. OAuth2 简介2. OAuth2 认证授权总体流程3. OAuth2 标准接口4. OAuth2 四种授权模式4.1 授权码模式4.2 简化模式4.3 密码模式4.4 客户端模式5. GitHub授权登录OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2 是 OAuth 的最新版本,同时也是被广泛应用的一个版本。
Oauth2使用入门
CodersCoder的博客
12-11 490
OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 OAuth2 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可以是浏览器、移动设备或者服务器;
(十)使用oauth2
axe的专栏
04-26 1552
如果第三方应用和本开放平台对接时需要获取用户隐私数据(如商品、订单),为为了安全与隐私,第三方应用需要取得用户的授权,即获取访问用户数据的授权令牌 AccessToken 。这种情况下,第三方应用需要引导用户完成帐号“登录授权”的流程。 easyopen从1.2.0版本开始支持oauth2认证。接入方式很简单: 新建一个Oauth2ManagerImpl类,实现Oauth2Manager接口...
OAuth2使用文档
levelmini的专栏
03-19 1087
翻译自:spring-security-oauth2-boot 写在前面的话: 一直在学习Spring OAuth2 ,但是网上的讲解材料让我看了头疼,而且一直也没有能让我一次就顺利运行起来的例子。不得已只能翻看官方文档。但是以我半吊子英语水平,很多句子的意思都是很模糊,甚至有时候猜测的意思完全相反。正好最近趁着在家,尝试翻译一下官方文档。 受英语水平所限,尽管有有道翻译和GOOGLE翻译,难免有...
go-oauth2-server
03-28
go-oauth2-server是一个基于Go语言开发的OAuth2服务器库,用于实现OAuth2认证和授权功能。OAuth2是一种开放标准的授权协议,用于授权第三方应用访问用户资源。go-oauth2-server提供了一套简单易用的API,帮助开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值