SecurityAauth2安全认证

最新推荐文章于 2024-04-17 05:23:46 发布
最新推荐文章于 2024-04-17 05:23:46 发布
阅读量342 收藏
点赞数
分类专栏: 安全认证 文章标签: 安全 java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40278285/article/details/114134010
版权

SecurityAauth2安全认证

oauth2.0配置

配置token保存dataSource
配置客户端登录成功监听器
认证流程
	首先走-AbstractAuthenticationProcessingFilter-抽象父类(认证处理过滤器),处理是否请求包含(client_id)字段,如果有,就走oauth2.0认证过滤器(进行认证),没有就执行下一个其他过滤器
		ClientCredentialsTokenEndpointFilter-为oauth2.0继承继承过滤器实现认证流程。把请求参数取出来,构成oauth2.0认证对象,交给 AuthenticationManager (认证管理器进行认证,里面有认证提供商(AuthenticationProvider)、就是处理 oauth2.0认证的、和查数据库操作等)
			AuthenticationManager (获取所有的认证服务提供商,并循环处理需要认证的数据)。首先交给(AbstractUserDetailsAuthenticationProvider)抽象父类认证服务提供商进行处理,oauth2.0默认的认证服务为-DaoAuthenticationProvider(根据client_id,从数据库查询客户端是否存在、进行密码判断等)
				密码判断了成功,那么过滤器(AbstractAuthenticationProcessingFilter)处理完成,进行登录成功处理,通过请求
					接下来进入-(TokenEndpoint)类(
@RequestMapping(value = "/oauth/token"))地址,进行用户登陆处理
						创建token进入(tokenRequest)、根据客户端登录(password),进入(ResourceOwnerPasswordTokenGranter)密码token创建器,首先执行父类(AbstractTokenGranter)的(getAccessToken)方法获取token信息,再调用(getOAuth2Authentication)方法(可以不同的子类继承)进行用户登录验证,这里调用(ResourceOwnerPasswordTokenGranter)类里面的(getOAuth2Authentication)
							ResourceOwnerPasswordTokenGranter类,获取当前客户端登录验证的用户进行登录,进行调用(WebSecurityConfigurerAdapter-authenticate)配置类中方法进行验证用户。(WebSecurityConfigurerAdapter)里面有 认证管理器(ProviderManager),然后调用管理器当中的认证服务器提供商(DaoAuthenticationProvider)进行用户查询,调用(UserDetailsService(用户详情服务)的 (loadUserByUsername (根据用户名称加载登录用户))),返回登录的人员信息,在此处加载人员权限等
								默认token服务(DefaultTokenServices),根据登录的用户进行token创建。首先根据(JdbcTokenStore)token管理器,根据授权id查询已经授权的token信息,过期就移除重新创建刷新token,再根据storeAccessToken,创建新的token并保存
									token返回对象(OAuth2AccessToken)优化进行返回

spring-security配置
配置静态资源文件路径
配置允许访问路径、登录成功处理,登录失败处理

怎么实现登录认证的

  1. 登录认证请求地址 ->/oauth/token
    响应的SecurityAauth安全认证实现类: /oauth/token
  2. 项目2
  3. 项目3

关于请求头的设置

  1. SecurityAauth安全认证必须设置的请求头Authorization请求头,作为设置的token信息
  2. SecurityAauth安全认证设置的token前面需要加一个Bearer+空格 + token只有这样SecurityAauth安全认证才能解析出来正确的token信息
    注意这些请求头的设置都是通过SecurityAauth的拦截器:OAuth2AuthenticationProcessingFilter去进行拦截获取token信息的

备注:安全拦截截图
在这里插入图片描述

备注:请求头设置的截图

在这里插入图片描述请求示例:
在这里插入图片描述
重要
1、在使用 JdbcTokenStore 类作为token存储的时候
2、在请求头加上了token之后会取出token,然后把 token 进行md5 运算,在进行数据库 token_id 查找
3、存储时也是把生成的 token 进行 MD5运算,保存到 token_id

    //获取
	private static final String DEFAULT_ACCESS_TOKEN_INSERT_STATEMENT = "insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)";

	private static final String DEFAULT_ACCESS_TOKEN_SELECT_STATEMENT = "select token_id, token from oauth_access_token where token_id = ?";
    //获取
	private static final String DEFAULT_ACCESS_TOKEN_AUTHENTICATION_SELECT_STATEMENT = "select token_id, authentication from oauth_access_token where token_id = ?";
	// 插入
	private static final String DEFAULT_ACCESS_TOKEN_INSERT_STATEMENT = "insert into oauth_access_token (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) values (?, ?, ?, ?, ?, ?, ?)";

社交登录流程

微博登录

  1. 浏览器,用户点击微博登录图标(需要开发者到微博注册 client_id)
  2. 跳转到微博登录授权页面,跳转的时候需要带上client_id,以及登录成功的重定向地址:redirect_url
  3. 用户输入微博的用户名、密码进行登录
  4. 登录成功之后,根据重定向地址redirect_url进行返回,并携带 code,作为登录凭证
  5. 重定向地址为开发者的地址,解析得到的 code
  6. 根据code调用微博获取access_token的URL地址。调用的时候需要携带 凭证 code、注册 client_id、注册 的 秘钥key,重定向地址。
  7. 根据上一步可以得到access_token,然后通过access_token调用提供的一些基本的用户在微博上面的基础信息
qq_40278285
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurityOAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 2697
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
OAuth2认证请求头中的authorization从哪里来的
houjx3的博客
11-23 341
Oauth2的登录接口oauth/token, 在请求头里有个 authorization: Basic
SpringSecurityOauth2介绍
justlpf的专栏
04-14 4090
第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript、Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
Spring Security OAuth2 简介和历史
Leon_Jinhai_Sun的博客
12-17 762
Spring Security OAuth2 简介和历史
spring security oauth2学习 -- 快速入门
本郡主是喵
06-19 779
1.我们不是自定义实现UserDetailService 去自定义 loadUserByUsername()方法, 2.自定义SercutiyConfigextends WebSecurityConfigurerAdapter 继承这个逻辑。 3.自定义 AuthenticationServer extends AuthorizationServerConfigurerAdapter (在实际开发中,授权服务器逻辑是框架帮我们定义的) 4. 自定义ResourcesServerConfig ext
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2313
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
Spring Security OAuth2 协议
有范编程
07-22 184
后面spring 团队对OAuth2 实现的框架进行优化和合并,Spring Security项目从5.x版本开始实现了OAuth2 Client、OAuth2 Client Login 、OAuth2 Resource Server的模块,而OAuth2 Authorization Server 成为一个独立的项目进行开发。实现了是客户端和资源服务的角色功能,客户端获取授权令牌token,请求资源服务器的资源。微服务环境下sso单点登录,oauth2 的授权码模式和sso协议很接近,扩展可实现。
SpringSecurity Oauth2实战一
hc312455392的博客
04-09 761
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security Oauth2 认证流程
山巅
09-16 4006
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
Spring Security Oauth2架构学习
waooi的博客
04-16 3427
目录 1.基本概念 2.授权码模式 3.密码模式 4.JWT加密令牌 5.SpringSecurityOauth2整合JWT 刷新令牌 1.基本概念 简介,Oauth协议为用户资源的授权提供了一个安全的,开放而又简易的标准,同时,任何第三方都可以使用Oauth认证服务,目前Oauth是2.0版本使用最为广泛. 分析一下网站使用vx认证的过程: 1.首先用户想访问资源,需要认证,使用第三方认证比如(vx,qq,新浪等等) 2.用户确认使用第三方认证,那么需要向对应的第三方
微服务授权 springsecurity+auth2基本入门
银魄清辉自夜凝的博客
07-08 2964
微服务登录问题: 解决方式: 我们使用客户端Token+oauth2+jwt+springsecurity oauth2:简易,开放,安全,不接触账号密码 oauth2四种模式: 授权码模式 简化模式:没有授权码,直接token,安全性降低 密码模式:一般在自己系统中用(不接触三方) 客户端模式:不要用户名密码,直接返回token,在自己的服务器中使用,比如认证服务访问资源模式,你来访问我就直接返回token 实现 建立几个微服务 1导包 2搭建eureka,配置yml 注册
Spring Security OAuth2 入门
最新发布
ehehhahs的博客
04-17 636
还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!在原有的基础上,多返回了 “refresh_token” 刷新令牌。美滋滋。⑤ 调用资源服务器的 API和原有一致。5.2 “刷新”访问令牌。
四、SpringSecurity OAuth2统一授权服务
时间海绵
06-02 1399
OAuth是一个关于授权(authorization)的开放网络标准,2.0版本在全世界得到广泛应用,SpringSecurity OAuth2提供了相关实现
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
Security+Oauth2权限认证(案例 源码)
热门推荐
白大锅的博客,毕设WangLoveBai_999
06-25 1万+
1.1 Oauth2认证流程: 1.2 Token携带相关参数注释: 首先讲下资源与授权服务配置注解: 请求优先@EnableAuthorizationServer,@EnableResourceServer处理,剩下的无法匹配的由SpringSecurity处理 2.1资源服务器配置: 2.2其他属性: accessDeniedHandler 授权失败且主叫方已要求特定的内容类型响应 resourceTokenServices加载 OAuth2Authentication 和 OAuth2Acces
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3867
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
OAuth2学习(三)——OAuth2信息持久化存储
Anumbrella
11-30 3077
在上一篇文章中我们简单介绍了OAuth2的基本案例和简单使用——OAuth2学习(二)——OAuth2实战,但是配置信息都是基于内存当中进行设置的,这在我们实际应用中很少使用,一般我们都需要进行持久化设置。今天我们就来聊聊OAuth2中信息持久化存储。 ...
SpringSecurity使用指南
硅谷工具人
05-22 260
1.认证 解决登录时,使用数据库设置的用户名和密码查询。 1.1 配置 1.1.1 配置POM文件 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
JAVA】spring cloud微服务中使用spring security auth2登录认证流程和自定义手机号认证(1)
Hey-Girl
12-07 3071
hey-girl原创文章,若有歧义可留言,若需转载需标明出处。 1.概括:本文主要根据微服务pig<v3.3.3>项目pig码云地址,学习安全登录流程。通过扩展登录需求,自定义其他登录模式,比如常见的手机号登录或者微信登录等。 2.涉及服务介绍: gateway:9999(网关服务) auth:3000(认证服务) upms:4000(资源服务) common-security(安全模块) 3.先看看pig项目中登录大致流程图: #mermaid-svg-XsEXxUni7CgjXiIP .la
Spring Cloud 入门 ---- Security 权限管理【随笔】
qq_39668819的博客
12-05 1231
Spring Cloud Security Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是 Spring 生态系统中的一员,因此他伴随着整个 Spring 生态系统不断修正、升级,在 Spring boot 项目中加入 Spring Security 更是十分简单,使用 Spring Security 减少了企业系统安全控制编写大量重复代码的工作。 官网:https://spring.io/projects/spring-

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值