oauth2实现免登录(springSecurity)

最新推荐文章于 2024-06-11 11:46:34 发布
最新推荐文章于 2024-06-11 11:46:34 发布
阅读量1w 收藏 28
点赞数 29
分类专栏: springboot 文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38526245/article/details/118971634
版权

代码怎么写,原理等请参考阮一峰博客
四种模式都讲的非常清楚,这里我就我遇到的问题做个记录
什么用户存入数据库,客户端信息持久化,access_token存入redis等问题网上都可以搜到

我所遇到的问题

  1. 在获取code的时候,也就是 /oauth/authorize 接口(在AuthorizationEndpoint类中)
    User must be authenticated with Spring Security before authorization can be completed.
    这是没有登陆的错误,springsecurity整合oauth2,必须要求用户登陆

解决方法:
a. 通过springSecurity中的form表单进行登陆后再进行请求(一般项目可能不需要登陆)
b. 如何实现免登录?
我们先来讲讲为什么需要登陆,当登陆之后,浏览器会保留一个sessionId,springSecurity也是通过这个来判断用户是否登陆,用户需要登陆才能访问被保护的资源

你在网上能够找到教程实现免登录:
在这里插入图片描述
确实是利用securityContextHolder进行操作(详细细节,自己看源码去或者百度去)

现在这里给出一个规范一点的实现流程:

@Slf4j
public class AuthenticationTokenFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        String account = httpServletRequest.getHeader("account");
        String credentials = httpServletRequest.getHeader("credentials");
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(account, credentials);
        authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        filterChain.doFilter(httpServletRequest,httpServletResponse);
    }
}

最关键的是中间三行代码,account和credentials是我这边的业务需求,这两个字段就相当于username和password,给这用户代码授权登陆
然后将过滤器添加到webSecurityConfig(也就是你配置security的)
在UsernamePasswordAuthenticationFilter.class之前添加,这个addFilterBefore也可以换成addFilterAt

@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)//禁止生成cookie
                .and().addFilterBefore(new AuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class)//免登录过滤器
                .authorizeRequests().antMatchers("/oauth/**","/login").permitAll()
                .and().formLogin().permitAll()
                .and().csrf().disable().httpBasic();
    }

  1. springSecurity如何禁用session/cookie,有些系统可能对安全性比较高(不能使用)
    解决方案见上面代码
    SessionCreationPolicy他有四个值,注意Never和STATELESS的区别

  2. 如何实现退出登陆,销毁access_token和refresh_token?
    我是将access_token 等信息保存在redis中,可以通过如下代码删除access_token

    @Autowired
    TokenStore tokenStore;
    @GetMapping(value = "/userLogout",name = "Nova退出")
    public void novaUserLogout(HttpServletRequest request){
        OAuth2AuthenticationDetails details = new OAuth2AuthenticationDetails(request);
        OAuth2AccessToken oAuth2AccessToken = tokenStore.readAccessToken(details.getTokenValue());
        OAuth2RefreshToken oAuth2RefreshToken = tokenStore.readRefreshToken(oAuth2AccessToken.getRefreshToken().getValue());
        tokenStore.removeAccessToken(oAuth2AccessToken);
        tokenStore.removeRefreshToken(oAuth2RefreshToken);
    }
  1. 如何从access_token 中获取用户信息(也就是登陆的用户信息)
    说明: auth.getPrincipal()保存的就是用户登陆信息,我的用户是来自于数据库
    MyUserDetails这个是我登陆用户信息的封装
@GetMapping("/getUserInfo")
    public OauthUserInfoVO getUserInfo(Authentication auth){
        MyUserDetails principal = (MyUserDetails) auth.getPrincipal();
        //long userId = principal.getUser().getUserId();
       // OauthUserInfo oauthUserInfo = userMapper.selectOauthUserInfoById(userId);
        //OauthUserInfoVO oauthUserInfoVO = CopyUtils.copy(oauthUserInfo, OauthUserInfoVO.class);
        //return oauthUserInfoVO;
    }

大概就是这些问题,匆匆忙忙的记录一下,希望对读者有帮助

不脱发的猴子
关注
  • 29
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 免密登录方法
weixin_38982591的博客
01-29 1968
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
若依 关于 springsecurity 不用密码登录,自定义第三方登录登录
u012943721的博客
08-29 4731
用的是若依的前后端分离的版本,项目接口是给小程序用 openid 直接登录。他这是根据用户名和密码进行比对、由于密码没办法转换成明文。只能改成如下方法登录
OAuth2.0实现单点登录
最新发布
GSON的博客
06-11 1251
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
User must be authenticated with Spring Security before authorization can be completed.解决方法
一火的专栏
11-26 3354
org.springframework.security.authentication.InsufficientAuthenticationException: User must be authenticated with Spring Security before authorization can be completed.
SpringSecurity(三):基于数据库的记住我(密登陆)
qq_39198749的博客
11-12 1588
1. 基于数据库的密登陆实现 1.1 创建表 CREATE TABLE `persistent_logins` ( `username` varchar(64) NOT NULL, `series` varchar(64) NOT NULL, `token` varchar(64) NOT NULL, `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY
APP后台 无密码登录 Security 认证流程思路
AKALXH的博客
07-27 3156
APP后台 无密码登录 Security 认证流程思路 后台使用spring security,但是app端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security",下面介绍app接入短信登录与一键登录后的 security认证流程。 基本流程(伪代码展示) : //短信登录 public Object SMSLogin(忽略信息参数){ // 构建一个由账号密码组成的认证对象,在这个构造器内部会将对应的信息赋值给各自的本地变量,并且会调用父类Abstrac.
oauth2.0 授权码模式简单理解
weixin_39887965的博客
10-27 2207
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
SpringSecurity+JWT单点登录,跳过密码校验】
m0_44976351的博客
05-15 1710
https://blog.csdn.net/z69183787/article/details/113717614
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
使用Spring Security OAuth2实现单点登录
08-25
使用Spring Security OAuth2实现单点登录 概述: 在本教程中,我们将讨论如何使用Spring Security OAuthSpring Boot实现单点登录(SSO)。单点登录是一种身份验证机制,允许用户使用一个身份验证凭证访问多个相关...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
spring security 实现登陆功能
json20080301
03-19 8329
spring security 实现登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
User must be authenticated with Spring Security before authorization can be completed
qq_25497867的博客
06-20 1090
问题提示 User must be authenticated with Spring Security before authorization can be completed. 背景是什么样子?怎么发生的? 我们之前是自己公司内部开发前端,只要用spring security + oauth2 的密码模式就可以了,但是最近 因为一些商务问题,我们需要把其中几个模块给到 第三方开发(这里的第三方 还不是说 他现有系统需要接入我们,而是他们开发完,给我们,和我们系统属于同一个), 后台我们可以通过给他们d
springboot使springsecurity不用登录
geejkse_seff的博客
04-26 1694
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
spring security 自动登录
有范编程
03-07 439
Spring Security记住自动登录,安全和便捷 用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段时间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了登录三天,或者自动登录。 自动登录实现原理 在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储登录用户名,过期时间。cookie session标识
Spring Security实现OAuth2.0授权服务 - 基础版
weixin_30879169的博客
04-16 280
一、OAuth2.0协议 1、OAuth2.0概述 OAuth2.0是一个关于授权的开放网络协议。 该协议在第三方应用与服务提供平台之间设置了一个授权层。第三方应用需要服务资源时,并不是直接使用用户帐号密码登录服务提供平台,而是通过服务提供平台的授权层获取token令牌,用户可以在授权时指定token的权限范围和有效期。第三方应用获取到token以后,才可以访问用户资源。 OA...
User must be authenticated with Spring Security before authorization can be completed.
热门推荐
程序员劝退师的博客
11-07 1万+
在整合SpringOAuth2.0时,启动后访问/oauth/authorize接口获取code时 显示User must be authenticated with Spring Security before authorization can be completed.异常,这个异常我在网上看了一些解决方案,都不符合我的问题。有一个是这样的 没用! 还一种就是 还一种 也解决不了,启动调试模式,看了一下 问题锁定principal这个值为空,然后就搜索了一下,找到这篇文章, OAuth2.0
SpringSecurity+OAuth2+SSO.pptx
05-30
浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结下来自己对协议理解还是不够透彻,对之前理解的前后端分离的SSO还是止步于session的交互方式。在涉及到多个域之间换取token还是有一些问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值