SpringBoot整合SpringSecurity(十)窥探OAuth2

最新推荐文章于 2024-05-22 16:44:30 发布
最新推荐文章于 2024-05-22 16:44:30 发布
阅读量852 收藏 2
点赞数 2
分类专栏: SpringSecurity实战 文章标签: SpringSecurity OAauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32867467/article/details/103336989
版权

序言

OAuth2是一个关于授权的开放网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。

代码请参考 https://github.com/AutismSuperman/springsecurity-example

应用场景主要有如下

  • 第三方应用授权登录 在APP或者网页接入一些第三方应用时,时长会需要用户登录另一个合作平台,比如QQ,微博,微信的授权登录。
  • 原生app授权 App登录请求后台接口,为了安全认证,所有请求都带token信息,如果登录验证、请求后台数据。
  • 前后端分离单页面应用(spa) 前后端分离框架,前端请求后台数据,需要进行oauth2安全认证,比如使用vue、react后者h5开发的app。

OAuth2的一个流程

这幅图是OAuth2 官网的一幅图,讲述了OAuth2的 一个大体协议流程。
在这里插入图片描述

  • A)用户(资源所有者)打开 客户端 ,客户端 要求 用户 给予授权。
  • B)用户 同意给予 客户端 授权。
  • C)客户端 获得授权后,向 认证服务器 申请令牌。
  • D)认证服务器对 客户端 进行认证后,确认无误,同意发放令牌。
  • E)客户端 使用令牌,向 资源服务器 申请获取资源。
  • F)资源服务器 确认 令牌无误, 同意 向 客户端开放资源。

引用阮老师的话 OAuth2 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

OAuth2四种不同的标准模式

OAuth2标准为了应对不同的场景,设计了四种不同的标准模式。分别是以下几种

  • 授权码模式
  • 简化模式
  • 密码模式
  • 客户端模式

先不提这接种原理到底是什么,先说明以下这几种模式的应用场景

  • 授权码模式:第三方Web服务器端应用与第三方原生App
  • 简化模式:第三方单页面应用
  • 密码模式:自家单页应用与自家原生App
  • 客户端模式:没有用户参与的,完全信任的服务器端服务

好知道这些后我们就来窥探以下这几种模式。

授权码模式 Authorization code

在这里插入图片描述
授权码模式是 四种模式中最繁琐也是最安全的一种模式,大概步骤如下

  • (A) 用户访问客户端如果需要用户授权则将用户导向认证服务器
  • (B) 如果用户在认证服务器上进行授权
  • (C) 如果授权通过,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码
  • (D) 客户端收到授权码后 拿着授权码向认证服务器索要 Access Token,这一步呢通常是在客户端后台完成
  • (E) 认证服务器会和对客户端发来的授权码检测是否正确 返回 Access Token和 Refresh Token给客户端

这些步骤做完后,有了Access Token,既可以访问用户那些受保护的资源了。因为在这种模式中 Access Token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了 Access Token泄漏的风险。

简化模式Implicit

在这里插入图片描述
这种模式和 授权码模式有所不同,他省略了客户端去请求认证服务器的这一步

  • (A) 用户访问客户端如果需要用户授权则将用户导向认证服务器
  • (B) 用户在认证服务器上完成验证
  • (C) 如果认证成功 认证服务器将Access Token以 Hash的形式存放在重定向 uri 的fargment中发送给浏览器
  • (D) 浏览器访问重定向URI
  • (E) 资源服务器返回一个脚本,用以解析uri Hash中的Access Token
  • (F) 在浏览器里将Access Token解析出来
  • (G) 将解析出的Access Token发送给client

这种模式呢有个弊端就是会把 Access Token暴漏出来,所以呢,该模式不支持refresh tokens,简化模式用于没有服务器端的第三方单页面应用,因为没有服务器端就无法使用授权码模式同样呢 该模式最容易受安全攻击。

用户名密码 Resource Owner Credentials

在这里插入图片描述
这种模式就比较简单了 密码模式是用户直接将自己的用户名密码交给客户端,客户端用用户的用户名密码直接换取Access Token。

  • (A)用户将认证密码发送给client
  • (B)客户端拿着用户的密码向认证服务器请求Access Token
  • (C)认证服务器将Access Token和Refresh Token发送给客户端

这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了client,因此这就说明这种模式只能用于client是我们自己开发的情况下。

因此密码模式一般用于我们自己开发的原生App或者单页应用。

客户端凭证 Client Credentials

在这里插入图片描述
这是一种最简单的模式,只要client请求,我们就将Access Token发送给它。

  • (A)客户端向认证服务器发送自己的身份信息,并请求Access Token
  • (B)确认客户端信息无误后,将Access Token发送给客户端

这种模式是最方便但最不安全的模式, 就是因为这种太不安全,因此这种模式一般用来提供给我们完全信任的服务器端服务。在这个过程中不需要用户的参与。

总结

知道了这些概念后,在学习SpringSecurity 中的 Spring Social 和用来搭建自己的一套授权服务的 Spring OAuth2就会变的格外的简单。

本博文是基于springboot2.x 和security 5 如果有什么不对的请在下方留言。

MelancholyCat
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring securityOAuth2 四种授权模式概念
weixin_40991408的博客
05-27 2741
Springboot +spring securityOAuth2 四种授权模式概念
Spring Security OAuth2 Provider 最小实现(Spring Boot 2.1.3)
kamiaowudi的博客
03-18 987
原文链接:https://www.iteye.com/blog/rensanning-2384996 Spring Boot 2.1.3、Spring Security OAuth2 2.0.12 OAuth2.0的开源 Server / Client 实现可以参考这里:https://oauth.net/code/,这里采用Spring Security OAuth2实现四种授权模式中最常用的...
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 2826
springbootspringsecurity整合OAuth2
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5959
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Security + OAuth2】OAuth2
最新发布
weixin_43676950的博客
05-22 877
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
Spring Boot、Spring SecurityOauth2实现的权限控制和认证服务
https://gitee.com/micai-code
02-16 3143
新一代基于Spring Boot、Spring SecurityOauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等、详情请点击下面的项目地址查看,欢迎大家使用体验,觉得不错的给个star,谢谢
springboot整合springsecurity+oauth2.0密码授权模式
qq_45072555的博客
01-15 6976
本文采用的springboot整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文仅为学习记录,如有不足多谢提出。
Spring Boot 2.0 整合 Spring Security Oauth2
热门推荐
郑龙飞
04-29 1万+
是金子在哪都会发光的——每个说这句话的人都误以为自己是金子。 前言在Spring Security源码分析一:Spring Security OAuth2整合JWT中,我们使用Spring Boot 1.5.6.RELEASE版本整合Spring Security Oauth2实现了授权码模式、密码模式以及用户自定义登录返回token。但更新至Spring Boot 2.0.1.RELEASE版本
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springBoot-springSecurity-OAuth2
01-16
总之,"springBoot-springSecurity-OAuth2"项目展示了如何在SpringBoot应用中整合SpringSecurityOAuth2,实现安全的用户认证和授权功能。这个示例对于理解和学习现代Web应用的安全架构具有很高的参考价值。通过...
springboot+springsecurity+oauth2.zip
07-21
SpringBootSpringSecurityOAuth2是Java开发领域中三个非常重要的技术组件,它们共同构建了安全、高效的应用程序框架。让我们深入探讨这三个组件的核心概念、功能以及如何在实际项目中结合使用。 首先,...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4944
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
手把手教你用SpringBootSpring SecurityOAuth 2.0进行整合
淮南King的博客
08-09 2509
@TOC 写在前面 Spring Security 作为一款Spring 家族中的一款安全框架,在Spring Boot 环境下可以很容易的将其嵌入其中。 本项目建议有一些Spring Security基础的人学习。纯小白用户建议先学习 [Spring Security 入门](https://blog.csdn.net/qq_26020387/article/details/107495056) 本文涉及知识点 Spring Boot Spring Security OAuth 2.0 MySQL
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7006
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的
SpringSecurity+OAuth2权限管理实战
qq_42689918的博客
02-08 1141
Resource@Override} else {true, //用户账号是否过期true, //用户凭证是否过期true, //用户是否未被锁定//权限列表@Override@Override@Override@Override@Override@Override。
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 5205
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring SecurityOAuth2.0模块来实现授权验证。
Spring Boot 整合 Spring Security + OAuth2
程序员35
04-02 5504
学习在 Spring Boot 中整合 Spring SecurityOAuth2 。 1 OAuth2 概述 1.1 OAuth2 简介 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服...
SpingBoot集成OAuth实现认证鉴权
u013916394的博客
10-11 885
1、Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2、Oauth2服务器 授权服务器 Authorization Service. 资源服务器 Res...
springboot整合springsecurity+oauth2
08-11
关于Spring Boot整合Spring SecurityOAuth2,可以按照以下步骤进行: 1. 首先,确保你的Spring Boot项目中包含了相应的依赖,如spring-security-oauth2、spring-boot-starter-security等。 2. 在Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值