7 客户端认证方式 之 client_secret_jwt

已于 2022-09-29 11:22:32 修改
阅读量3.2k 收藏 1
点赞数 1
分类专栏: Spring Authorization Server 文章标签: 客户端认证 客户端认证方式 SAS client_secret jwt
于 2022-09-28 23:42:07 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_31772441/article/details/127084134
版权
本文详细介绍了OAuth2中client_secret_jwt的认证方式,包括原理、步骤和代码实现。首先,客户端使用HMAC算法和client_secret生成JWT,然后在授权请求中携带JWT。授权服务器通过相同算法和secret验证JWT,从而认证客户端。文中还展示了Postman测试和curl命令示例,完整呈现了整个认证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这篇文章来讲讲 client_secret_jwt 方式。

client_secret_jwt

client_secret_jwt方式就是利用 JWT 进行认证。请求方和授权服务器,两者都知道客户端的 client_secret,通过相同的 HMAC 算法(对称签名算法)去加签和验签 JWT ,可以达到客户端认证的目的。
请求方 通过 HMAC算法,以 client_secret 作为密钥,将客户端信息加签生成 JWT
授权服务器 使用相同的 HMAC算法和client_secret,对请求方的 JWT 进行验签以认证客户端。

了解 JWT 的签名算法

示例

请求方传参:

  • client_id
  • client_assertion_type:固定值 urn:ietf:params:oauth:client-assertion-type:jwt-bearer
  • client_assertion:client生成的jwt

环境准备

授权服务器

同样的,基于 快速搭建一个授权服务器 文章中的示例,修改 SecurityConfigurationregisteredClientRepository() 方法,如下:

    @Bean
    public RegisteredClientRepository registeredClientRepository() {
        RegisteredClient registeredClient3 = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("client3")
                // jwt方式验证,密码作为签名算法的密钥,不能配前缀!
                .clientSecret("01234567890123456789012345678912")
                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_JWT)
                .clientSettings(ClientSettings.builder()
                        // JWT 方式必须配置,确定jwt的签名算法(CLIENT_SECRET_JWT 方式使用 MacAlgorithm(对称加密算法),密钥为client_secret)
                        .tokenEndpointAuthenticationSigningAlgorithm(MacAlgorithm.HS256)
                        .build())
                .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
                .build();

        return new InMemoryRegisteredClientRepository(registeredClient3 );
    }

测试

  1. 生成 JWT
public class ClientJwtTest {
    public static void main(String[] args) throws JOSEException {
        String clientId = "client3";
        String clientSecret = "01234567890123456789012345678912";

        // 至少以下四项信息
        JWTClaimsSet claimsSet = new JWTClaimsSet.Builder()
                // 主体:固定clientId
                .subject(clientId)
                // 发行者:固定clientId
                .issuer(clientId)
                // 授权中心的地址
                .audience("http://localhost:9000")
                // 过期时间
                .expirationTime(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 24))
                .build();

        String jwt = hmacSign(claimsSet, clientSecret);
        System.out.println(jwt);
        // eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbGllbnQxIiwic3ViIjoiY2xpZW50MSIsImF1ZCI6Imh0dHA6XC9cL2xvY2FsaG9zdDo5MDAwIiwiZXhwIjoxNjYxNjk5ODAzfQ.xpv_8w_R8LTZFID3uoQPn3CyQK_Bli3G-WTmrSrwayE
    }

    /**
     * 使用 HMAC 算法加签生成jwt
     */
    private static String hmacSign(JWTClaimsSet claimsSet, String secret) throws JOSEException {
        SecretKeySpec secretKeySpec = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), "HmacSHA256");
        JWSSigner signer = new MACSigner(secretKeySpec);

        SignedJWT signedJWT = new SignedJWT(new JWSHeader(JWSAlgorithm.HS256), claimsSet);
        signedJWT.sign(signer);
        String token = signedJWT.serialize();
        return token;
    }

}
  1. 使用Postman测试,在 Body栏,填入’client_idclient_assertion_typeclient_assertiongrant_type’,发送请求。
    在这里插入图片描述
    可以看到,使用此方式能成功获取到 access_token,说明授权服务器确实支持此认证方式。
  • 相应的curl命令如下:
curl --location --request POST 'localhost:9000/oauth2/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'client_id=client3' \
--data-urlencode 'client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer' \
--data-urlencode 'client_assertion=eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJjbGllbnQzIiwic3ViIjoiY2xpZW50MyIsImF1ZCI6Imh0dHA6Ly9sb2NhbGhvc3Q6OTAwMCIsImV4cCI6MTY3Mjk5OTgwM30.Cu0JobiFyhyn0mS4rc8pMogI5eOE8uM84v8w5011Gkg'

源码分析

JwtClientAssertionAuthenticationConverter

从请求中解析出 client_idclient_assertion_typeclient_assertion 参数。

JwtClientAssertionAuthenticationProvider

JwtClientAssertionAuthenticationProvider 的核心就是对JWT进行解析和验证。
核心流程如下:

  1. 使用请求携带的 clientId 查询客户端信息,若不存在则直接抛出异常。
  2. 创建解析 JWT 的核心类 JwtDecoder
  3. 解析 JWT,并验签
    在这里插入图片描述

解析:
我们在文章开头就说到 授权服务器 需要使用相同的 HMAC算法和client_secret,对请求方的 JWT 进行验签以认证客户端。事实也确实如此,一路跟踪创建 JwtDecoder 的代码就会发现,JwtDecoder 的创建过程就会用到客户端的配置(签名算法、密钥)
在这里插入图片描述
创建完 JwtDecoder 之后,就要执行解析和验签了:jwtDecoder.decode(clientAuthentication.getCredentials().toString());
从上面可以看出,jwtDecoder 的实际类型为 NimbusJwtDecoder,其解析JWT和验签逻辑如下:
在这里插入图片描述
到这,已经梳理完整个主干流程。另外像比如一些规范性的校验逻辑,读者就可以自行去扩展了解。

下集预告:客户端认证方式 之 private_key_jwt,敬请期待。

end

39-Spring Authorization Server实现client_secret_jwt客户端认证
码农小胖哥
04-10 2468
上一篇对Spring Authorization Server利用JWT认证OAuth2客户端的逻辑进行了分析,本篇我们将对private_key_jwt类型的认证方式进行实战练习。 private_key_jwt客户端认证 关于private_key_jwt客户端认证,在我相关的文章中已经多次提及和讲述,基于篇幅的原因这里不再赘述。 不过还要提一下,这种认证方式的作用就是让OAuth2客户端认证更加安全,它摒弃了传统的密码认证机制,充分利用了JWT可以携带元信息的能力。接下来我们来看看Spring Aut
Oauth2.0基于Spring Authorization Server模块client_secret_basic或者post
Lance
03-15 2860
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 基于项目:Spring Authorization Server 1. maven项目依赖 spring-authorization-server v0.2.2 2.application.yml配置 spring:
基于client_secret_jwt客户端身份验证方法
m13012606980的专栏
03-15 1286
基于client_secret_jwt客户端身份验证方法
SpringSecurity OAuth2 Server认证方式client_secret_jwt采用jwt签名加密的方式,更加安全!
07-10 1072
JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上该文章中的项目代码是基于的代码进行改进的。如果不了解,可以直接下载,或看之前的文章。
Grant type 使用Client Credentials 或者 Authorization code 之间的区别
weixin_45428910的博客
03-19 811
Grant type 使用Client Credentials 或者 Authorization code 之间的区别
Client ID 与Client Secret
ershuiyan的博客
06-05 6034
了解Client ID与Client Secret
Spring Oauth2-Authorization-Server client_secret_jwt
面朝大海,春暖花开
05-04 2333
Spring Oauth2-Authorization-Server client_secret_jwt过程 基于 spring-security-oauth2-authorization-server 0.2.3 客户端使用 client_id和client_secret 进行认证,且使用Jwt加密请求时,加密的方式 JwsAlgorithm有: MacAlgorithm SignatureAlgorithm JWT 签名算法 MacAlgorithm: MAC(Message Authentica
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2134
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
Oauth2.0基于Spring Authorization Server模块private_key_jwt模式
Lance
03-18 1226
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 private_key_jwt JwtClientAssertionAuthenticationConverter 基于项目:Sp
6 客户端认证方式client_secret_basic & client_secret_post
Markix的博客
09-28 6316
client_secret_basic 和 client_secret_post 认证方式都是将客户端client_id 和 client_secret 传递给授权服务器,授权服务器接收到请求,则根据不同的认证方式从请求中解析出来客户端信息,对 client_secret 进行验证。
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7479
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
Google授权登录获取客户端ID(client_id)和客户端密钥(client_secret)及配置
热门推荐
龚清林的博客
05-07 3万+
1、获取客户端ID(client_id)和客户端密钥(client_secret) 需要去这里https://console.developers.google.com/apis/credentials创建 应用凭据 2、创建好应用凭据之后,可以去https://console.developers.google.com/apis/library把对应的API服务启用(获取授权信息,如果只是获取默认授权信息就不需要操作),这里是Web端(对应的是社交>G+和Google People API) 3、
HttpClient认证(1)
我的梦想,我去追!
01-15 352
J2EE 站点认证简介 出于安全性的需要和用户授权管理的考虑,常见的 J2EE 站点对特定资源都会加入认证/授权机制。例如一个公网上的论坛,一个只对特定用户开放的 RSS 或 Atom Feed,这些资源都必须在确信访问者为被授权用户时才能向访问者开放。为了实现这样的功能,J2EE 站点通常会采用某种站点认证机制,其中常见的有 HTTP Basic 认证和 J2EE Form-Based 认证。...
openid 客户端认证方法(Client Authentication methods)简介
fggdgh的博客
06-06 1838
openid 客户端认证方法(Client Authentication methods)简介
HttpClient认证(2)
我的梦想,我去追!
01-15 296
Form-Based 认证方式在 J2EE 站点中更为常见。这一方面是由于它提供了自定义的用户名密码输入界面;另一方面它的传输也更为安全,通常情况下 login.jsp 会被配置为需要使用 SSL 信道访问,这样在步骤 2、3 中对用户名和密码的传送就被安全信道所保护,而较难被非法截取。 Apache HttpClient 认证功能简介 Apache HttpClient 是 Apache 开...
Client. Secret. 刷新。token
12-20 127
http://stackoverflow.com/questions/8947437/how-to-generate-oauth-client-identifier-and-client-secret http://developers.douban.com/wiki/?title=o...
python sdk开发,【老土云|开发日记】7-Python SDK使用自己的client_id和client_secret
weixin_42117267的博客
03-25 658
PythonSDK虽然问题很多,但还是要继续,今天继续照着帮助进行下一步,使用自己的client_id和client_secret唤醒小度。首先登录百度DuerOS开放平台后台,打开控制台创建一个产品。选择创建一个音箱选Linux系统起个名字,叫“个人助理”吧。点击创建后,就会自动跳转到这个“个人助理”的基础信息页上,记下client_id和client_secret对应的两个值。点击OAUTH...
spring security oauth2 client_id或client_secret错误信息自定义
dechengtju的博客
08-03 1万+
在我们开发系统时,返回给前端的信息均具有统一的格式,但在使用spring security oauth2时,遇到client_id或client_secret错误时,返回信息为如下格式: { "timestamp": "2020-08-03T20:41:54.776+0800", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/uaa/oauth/token"
加密与授权 Oauth2.0
ys.hubery
01-05 5834
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username=zhangsan&password=111111
最新发布
04-23
引用[4]和[5]讨论了不同客户端认证方法,比如client_secret_jwt,但用户的问题是关于密码授权模式,所以主要关注client_secret_basic或client_secret_post。在请求示例中,Authorization头使用Basic认证,这是将...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值