security-oauth2(token加密过程)

最新推荐文章于 2022-12-29 12:08:19 发布
最新推荐文章于 2022-12-29 12:08:19 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: security-oauth2 security-oauth2源码解析 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33421961/article/details/109599751
版权
本文详细介绍了Spring Security OAuth2中Token的加密过程,从用户登录开始,通过接口调用获取Token,深入到代码内部,解析了OAuth2AccessToken的创建与增强,特别是自定义的MyJwtAccessTokenConverter如何在enhance()方法中加密用户信息,以及使用Signer进行签名的流程。
摘要由CSDN通过智能技术生成

整体介绍

当用户登录某个系统的时候,一般都会在系统首页输入用户名和密码等用户信息,一般系统而言,在登陆的过程,后台会默默的调用某个方法,根据用户信息,生成一个字符串token,此过程,可以理解为token的加密

在oauth服务中

public OAuth2AccessToken token(HttpServletRequest request) {
   
        //Http Basic 验证
        String clientAndSecret = oAuth2ClientProperties.getClientId() + ":" + oAuth2ClientProperties.getClientSecret();
        //这里需要注意为 Basic 而非 Bearer
        clientAndSecret = MyConstant.BASIC + " " + Base64.getEncoder().encodeToString(clientAndSecret.getBytes());
        
        //设置请求头信息
        HttpHeaders httpHeaders = new HttpHeaders();
        httpHeaders.set("Authorization", clientAndSecret);
        
        MultiValueMap<String, String> map = new LinkedMultiValueMap<>();
        // ##############################################################
        // userNamemo模仿用户登录时候的用户名							  //#
        map.put("userName", Collections.singletonList("ev"));	      //#		
        //password模仿用户登录时候的密码								  //#
        map.put("passWord", Collections.singletonList("admin"));	  //#
        //# #############################################################
        
		//授权请求信息
        map.put("grant_type", Collections.singletonList(oAuth2ProtectedResourceDetails.getGrantType()));
        map.put("scope", oAuth2ProtectedResourceDetails.getScope());
        
        //将请求头信息和登陆时候的用户信息封装成HttpEntity参数
        HttpEntity httpEntity = new HttpEntity(map, httpHeaders);
        //调用配置文件中定义的接口路径(http://localhost:8081/oauth/token)获取token
        return restTemplate.exchange(oAuth2ProtectedResourceDetails.getAccessTokenUri(), HttpMethod.POST, httpEntity, OAuth2AccessToken.class).getBody();
    }

上面代码块中,调用接口(http://localhost:8081/oauth/token)获取token,该接口是源码中自带的接口,代码如下
在这里插入图片描述

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {
   

	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
   

		if (!(principal instanceof Authentication)) {
   
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}

		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient)
最低0.47元/天 解锁文章
呼哈EV
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2+JWT 加密token
技术札记
07-08 9203
JWT 对称加密 JWT将 相关信息放在 令牌里 jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘), 因为它可以把相关信息数据编码存放在令牌里 。JwtTokenStore 不会保存任何数据, 但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。 安全性 OAuth2提供了JwtAccessTokenCo.........
OAuth2 实现password与secret加密传输,解决明文传输问题
最新发布
uchiha1st的博客
06-05 763
解决oauth2获取Token过程中password与client_secret明文传输的问题
OAuth 2.0授权框架详解
热门推荐
程序那些事
11-24 1万+
在现代的网站中,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。 当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。 但是这比单纯的注册要方便太多了,也容易让用户接受。 今天,我们将要讲解一下OAuth 2.0授权框
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
oauth2 传递token是否需要加密_OAuth2.0协议入门(二)
weixin_39832829的博客
12-01 895
OAuth2.0授权服务端的设计在上一篇文章中,我介绍了OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知,使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤:client请求授权服务端,获取Authorization Code;client通过Authorization Code再次请求授...
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
SpringSecurity-oauth2-jwt整合1
08-08
在本文中,我们将探讨如何将SpringSecurityOAuth2结合,并使用JWT来替换原有的Redis存储的token。 首先,移除Redis存储。在整合过程中,原本OAuth2可能会使用Redis存储access_token和refresh_token,为了转向JWT...
spring-security-oauth-master
09-23
Spring Security OAuth2详解》 在当今的互联网应用中,安全性和权限管理是至关重要的环节。Spring Security OAuth2 是一个强大的、广泛使用的安全框架,它为开发者提供了实现OAuth2协议的工具,使得应用程序能够...
spring-security-oauth2-1.0.0.RC3
01-05
Spring Security OAuth2详解》 在Java开发领域,Spring Security OAuth2是一个不可或缺的组件,它为Web应用程序提供了强大的授权和安全框架。本文将深入探讨Spring Security OAuth2的1.0.0.RC3版本,包括它的核心...
Spring Security OAuth2实现使用JWT的示例代码
08-27
Spring Security OAuth2 实现使用 JWT 的示例代码 在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。 Spring Security OAuth2 介绍 Spring ...
spring-oauth2-demo
05-11
例如,添加`spring-boot-starter-security`和`spring-security-oauth2`依赖,并在配置类中实现`AuthorizationServerConfigurerAdapter`和`ResourceServerConfigurerAdapter`。 6. **授权类型** OAuth2支持多种...
discord-token-generator:不和谐的oauth2令牌生成器示例
05-12
不和谐令牌生成器 我的中等博客上的不和谐oauth2教程的示例应用程序。 跑步 npm install 在创建一个新应用 设置CLIENT_ID和CLIENT_SECRET变量并运行 node server.js 开发 npm install npm run watch
SpringSecurity(二十三)--OAuth2:使用JWT和加密签名(上)对称密钥加密
学习不止境的博客
12-29 1654
最近阳了所以一直都在休整,大家一定要注意身体,能不阳就不阳,如果阳康后还是一直咳嗽,最好是能去医院看看,这绝对不是专家口中所说的新冠感冒那么简单,也绝对不是什么80%的无症状,大家不要放松警惕,仅以我个人观点发声,身体才是最重要的。好了,接下来步入正题,终于,我们也迎来了Spring Security的尾声,学习完jwtTokenStore之后,Spring Security的主要内容学习就告一段落,之后我可能还会更新一些这方面的拓展,例如全局方法安全性,但这些都是后话了。
Spring Oauth2-Authorization-Server中OAuth2TokenGenerator 生成
面朝大海,春暖花开
05-04 2263
Spring Oauth2-Authorization-Server OAuth2TokenGenerator token生成 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2TokenGenerator @FunctionalInterface public interface OAuth2TokenGenerator<T extends OAuth2Token> { /** * Generate an OAuth
SpringBoot2 整合OAuth2组件,模拟第三方授权访问
【积累】,是一个长期持续的过程。
12-22 1848
验证第三方服务的身份,验证邮箱用户的身份,记录和管理认证Token,为资源服务器提供Token校验。场景第三方网站借助用户的邮箱登录,并访问邮箱账户的基础信息,头像、名称等。第三方服务通过邮箱账户登录后需要获取的一些信息,即理解为资源,存储邮箱账户的数据资源。即借助邮箱用户的账户,快速登录第三个服务,免去繁杂的注册流程,有助于快速积累新用户。第三方服务给用户开放快速邮箱登录功能,引导用户调到邮箱认证服务,通过认证后返回身份令牌到第三方服务,第三方服务携带令牌访问邮箱的资源服务,获取一些基本的邮箱用户信息。.
OAuth2】十六、Spring Authorization Server如何生成并发放token
zl5186888的博客
09-05 1982
这里有一个很好玩的东西OAuth2TokenCustomizer,这个是干啥的呢,这个是如果你JWT有自定义需求,主要定义JWT的header和claims,就可以定义一个该类型的Spring Bean就可以了。2、如果SharedObject中没有就从Spring IoC中找找,再没有就开始初始化一个,初始化的逻辑专门分析,这里你把它当作黑盒,可以不打断你的思路。首先了解的人肯定知道 这个**/oauth2/token**路径是用来申请token的,那那么他是怎么生效的和怎么配置的呢。
oath2+jwt 中token使用RSA非对称加密,以及资源服务器获取公钥方法
qq_42051837的博客
08-14 3141
oath2+jwt 中token使用RSA非对称加密,以及资源服务器获取公钥方法 秘钥生成请参考 ​ https://blog.csdn.net/freezingxu/article/details/71547485 鉴权服务器配置 encrypt: key-store: location: classpath:***.keystore ...
Spring Oauth2-Authorization-Server JwtGenerator
面朝大海,春暖花开
05-04 1088
Spring Oauth2-Authorization-Server JwtGenerator 使用 基于 spring-security-oauth2-authorization-server 0.2.3 JwtGenerator 顾名思义,使用 JwtEncoder 来生成 jwt 类型的 token public final class JwtGenerator implements OAuth2TokenGenerator<Jwt> { private final JwtEncoder
oauth2 传递token是否需要加密_OAuth2.0 最直观配置
weixin_39609051的博客
12-22 848
OAuth2.0基础认识可以看这里spring 全家桶已经实现了 OAuth2.0 的全部功能(spring-cloud-starter-securityspring-security-oauth2-autoconfigure),我们只要引用对应库就可以了。表结构无论哪种认证方式,总要把数据存储起来(无论是在缓存还是 DB),OAuth2.0 依赖的数据一般是存放在 DB 中的,全部表结构可以参...
spring-boot-starter-oauth2-authorization-server 1.1.0 配置
05-27
在上述配置中,`jwt.key-value` 用于指定加密 JWT 的密钥,`client.registration.myapp` 用于指定客户端信息,`provider.myapp` 用于指定 OAuth2 服务提供商信息。 3. 最后,在启动类中添加 `@...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值