security-oauth2(token加密过程)

最新推荐文章于 2024-06-05 11:08:56 发布
最新推荐文章于 2024-06-05 11:08:56 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: security-oauth2 security-oauth2源码解析 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33421961/article/details/109599751
版权
本文详细介绍了Spring Security OAuth2中Token的加密过程,从用户登录开始,通过接口调用获取Token,深入到代码内部,解析了OAuth2AccessToken的创建与增强,特别是自定义的MyJwtAccessTokenConverter如何在enhance()方法中加密用户信息,以及使用Signer进行签名的流程。
摘要由CSDN通过智能技术生成

整体介绍

当用户登录某个系统的时候,一般都会在系统首页输入用户名和密码等用户信息,一般系统而言,在登陆的过程,后台会默默的调用某个方法,根据用户信息,生成一个字符串token,此过程,可以理解为token的加密

在oauth服务中

public OAuth2AccessToken token(HttpServletRequest request) {
   
        //Http Basic 验证
        String clientAndSecret = oAuth2ClientProperties.getClientId() + ":" + oAuth2ClientProperties.getClientSecret();
        //这里需要注意为 Basic 而非 Bearer
        clientAndSecret = MyConstant.BASIC + " " + Base64.getEncoder().encodeToString(clientAndSecret.getBytes());
        
        //设置请求头信息
        HttpHeaders httpHeaders = new HttpHeaders();
        httpHeaders.set("Authorization", clientAndSecret);
        
        MultiValueMap<String, String> map = new LinkedMultiValueMap<>();
        // ##############################################################
        // userNamemo模仿用户登录时候的用户名							  //#
        map.put("userName", Collections.singletonList("ev"));	      //#		
        //password模仿用户登录时候的密码								  //#
        map.put("passWord", Collections.singletonList("admin"));	  //#
        //# #############################################################
        
		//授权请求信息
        map.put("grant_type", Collections.singletonList(oAuth2ProtectedResourceDetails.getGrantType()));
        map.put("scope", oAuth2ProtectedResourceDetails.getScope());
        
        //将请求头信息和登陆时候的用户信息封装成HttpEntity参数
        HttpEntity httpEntity = new HttpEntity(map, httpHeaders);
        //调用配置文件中定义的接口路径(http://localhost:8081/oauth/token)获取token
        return restTemplate.exchange(oAuth2ProtectedResourceDetails.getAccessTokenUri(), HttpMethod.POST, httpEntity, OAuth2AccessToken.class).getBody();
    }

上面代码块中,调用接口(http://localhost:8081/oauth/token)获取token,该接口是源码中自带的接口,代码如下
在这里插入图片描述

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {
   

	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
   

		if (!(principal instanceof Authentication)) {
   
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}

		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient)
最低0.47元/天 解锁文章
呼哈EV
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity-oauth2-jwt整合1
08-08
在本文中,我们将探讨如何将SpringSecurityOAuth2结合,并使用JWT来替换原有的Redis存储的token。 首先,移除Redis存储。在整合过程中,原本OAuth2可能会使用Redis存储access_token和refresh_token,为了转向JWT...
Spring Oauth2-Authorization-Server中OAuth2TokenGenerator 生成
面朝大海,春暖花开
05-04 2263
Spring Oauth2-Authorization-Server OAuth2TokenGenerator token生成 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2TokenGenerator @FunctionalInterface public interface OAuth2TokenGenerator<T extends OAuth2Token> { /** * Generate an OAuth
OAuth2】十六、Spring Authorization Server如何生成并发放token
zl5186888的博客
09-05 1982
这里有一个很好玩的东西OAuth2TokenCustomizer,这个是干啥的呢,这个是如果你JWT有自定义需求,主要定义JWT的header和claims,就可以定义一个该类型的Spring Bean就可以了。2、如果SharedObject中没有就从Spring IoC中找找,再没有就开始初始化一个,初始化的逻辑专门分析,这里你把它当作黑盒,可以不打断你的思路。首先了解的人肯定知道 这个**/oauth2/token**路径是用来申请token的,那那么他是怎么生效的和怎么配置的呢。
OAuth2 实现password与secret加密传输,解决明文传输问题
最新发布
uchiha1st的博客
06-05 763
解决oauth2获取Token过程中password与client_secret明文传输的问题
OAuth 2.0授权框架详解
热门推荐
程序那些事
11-24 1万+
在现代的网站中,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。 当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。 但是这比单纯的注册要方便太多了,也容易让用户接受。 今天,我们将要讲解一下OAuth 2.0授权框
Oauth2+JWT 加密token
技术札记
07-08 9203
JWT 对称加密 JWT将 相关信息放在 令牌里 jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘), 因为它可以把相关信息数据编码存放在令牌里 。JwtTokenStore 不会保存任何数据, 但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。 安全性 OAuth2提供了JwtAccessTokenCo.........
oauth2 传递token是否需要加密_OAuth2.0协议入门(二)
weixin_39832829的博客
12-01 895
OAuth2.0授权服务端的设计在上一篇文章中,我介绍了OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知,使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤:client请求授权服务端,获取Authorization Code;client通过Authorization Code再次请求授...
spring-security-oauth-master
09-23
Spring Security OAuth2详解》 在当今的互联网应用中,安全性和权限管理是至关重要的环节。Spring Security OAuth2 是一个强大的、广泛使用的安全框架,它为开发者提供了实现OAuth2协议的工具,使得应用程序能够...
spring-security-oauth2-1.0.0.RC3
01-05
Spring Security OAuth2详解》 在Java开发领域,Spring Security OAuth2是一个不可或缺的组件,它为Web应用程序提供了强大的授权和安全框架。本文将深入探讨Spring Security OAuth2的1.0.0.RC3版本,包括它的核心...
Spring Security OAuth2实现使用JWT的示例代码
08-27
Spring Security OAuth2 实现使用 JWT 的示例代码 在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。 Spring Security OAuth2 介绍 Spring ...
spring-oauth2-demo
05-11
例如,添加`spring-boot-starter-security`和`spring-security-oauth2`依赖,并在配置类中实现`AuthorizationServerConfigurerAdapter`和`ResourceServerConfigurerAdapter`。 6. **授权类型** OAuth2支持多种...
接口加密Token&SpringCloud项目中进行token认证)
Dean_xiu的博客
03-28 4375
文章目录
Spring Oauth2-Authorization-Server JwtGenerator
面朝大海,春暖花开
05-04 1088
Spring Oauth2-Authorization-Server JwtGenerator 使用 基于 spring-security-oauth2-authorization-server 0.2.3 JwtGenerator 顾名思义,使用 JwtEncoder 来生成 jwt 类型的 token public final class JwtGenerator implements OAuth2TokenGenerator<Jwt> { private final JwtEncoder
spring-security-oauth2-authorization-server(二)Token生成分析之JWT Token和Opaque Token
weixin_42229668的博客
09-17 3806
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
SpringBoot2 整合OAuth2组件,模拟第三方授权访问
【积累】,是一个长期持续的过程。
12-22 1848
验证第三方服务的身份,验证邮箱用户的身份,记录和管理认证Token,为资源服务器提供Token校验。场景第三方网站借助用户的邮箱登录,并访问邮箱账户的基础信息,头像、名称等。第三方服务通过邮箱账户登录后需要获取的一些信息,即理解为资源,存储邮箱账户的数据资源。即借助邮箱用户的账户,快速登录第三个服务,免去繁杂的注册流程,有助于快速积累新用户。第三方服务给用户开放快速邮箱登录功能,引导用户调到邮箱认证服务,通过认证后返回身份令牌到第三方服务,第三方服务携带令牌访问邮箱的资源服务,获取一些基本的邮箱用户信息。.
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
No1.搭建基本的密码模式请求token(授权服务端)
键上艺术家
09-24 2453
首先,暂时不搭建cloud相关的环境,暂时不会使用到数据库和redis等库,用户信息、客户端信息、授权信息等都存储在内存中,只编写跟密码模式相关的代码(此处的密码模式是按照自定义代码编写)仅作为最基础的授权认证服务端。
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Spring Security Oauth2之获取token流程分析
ityw520的博客
11-28 7285
ClientDetailsService则是读取客户端信息的,也就是根据我们发送/oauth/token请求是存放在Authorization中的username和password,注意这个不是用户的,而是客户端的端点信息。OAuth2Authentication: 这个对象就是将当前授权登录的用户信息,当前授权的是那个客户端信息,还有授权模式是什么,还有一些授权中的其他参数,最终这些数据都会被封装在这个对象中。因为获取token的url是/oauth/token,所以他会进入下面的代码。
spring-boot-starter-oauth2-authorization-server 1.1.0 配置
05-27
您好,针对 `spring-boot-starter-oauth2-authorization-server` 版本为 1.1.0 的配置,以下是一个简单的示例: 1. 首先,在 `pom.xml` 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId> <version>1.1.0</version> </dependency> ``` 2. 然后,在 `application.yml` 文件中添加以下配置: ```yaml spring: security: oauth2: authorization: server: jwt: key-value: "secret" client: registration: myapp: client-id: myapp client-secret: secret scope: read,write redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}" authorization-grant-type: authorization_code client-name: My App provider: myapp: issuer-uri: http://localhost:8080/oauth2/token authorization-uri: http://localhost:8080/oauth2/authorize token-uri: http://localhost:8080/oauth2/token user-info-uri: http://localhost:8080/userinfo user-name-attribute: sub ``` 在上述配置中,`jwt.key-value` 用于指定加密 JWT 的密钥,`client.registration.myapp` 用于指定客户端信息,`provider.myapp` 用于指定 OAuth2 服务提供商信息。 3. 最后,在启动类中添加 `@EnableAuthorizationServer` 注解即可启用 OAuth2 授权服务器功能: ```java @SpringBootApplication @EnableAuthorizationServer public class AuthorizationServerApplication { public static void main(String[] args) { SpringApplication.run(AuthorizationServerApplication.class, args); } } ``` 希望以上内容能够帮助到您。如果您有任何疑问,请随时提出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值