Oauth2.0 security 中对client-secret的加密

最新推荐文章于 2024-07-10 15:42:59 发布
最新推荐文章于 2024-07-10 15:42:59 发布
阅读量7.1k 收藏 7
点赞数 2
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40823552/article/details/115957739
版权

简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据
在这里插入图片描述
实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案

原本的client加载数据库资源是这么写的

 @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    	 clients.jdbc(dataSource);
    }

现在要改成这样

 @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    	 clients.jdbc(dataSource).passwordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()); /
    }

重要的是加密工具

 private static final BCryptPasswordEncoder bcryptEncoder = new BCryptPasswordEncoder();

	    public static String bcryptEncode(String password) {
	        return bcryptEncoder.encode(password);
	    }

	    public static String genOauthEncodePwd(String password) {
	        return  bcryptEncode(password);
	    }


	    public static void main(String[] args) {
	        String oriPwd = "order"; //这里要替换在yml中配置的client-secret的值
	        System.out.println(genOauthEncodePwd(oriPwd));

	    }

亲测可用,虽然搞定了,但是对于整体的Oauth2.0和Security是一塌糊涂,开始慢慢研究吧。

Talents_QK
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3265
oauth2.0 密码方式认证分析
SpringSecurity-OAuth2万文详解
热门推荐
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
SpringSecurity OAuth2 Server认证方式之client_secret_jwt采用jwt签名加密的方式,更加安全!
最新发布
07-10 648
JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上该文章的项目代码是基于的代码进行改进的。如果不了解,可以直接下载,或看之前的文章。
OAuth2 实现password与secret加密传输,解决明文传输问题
uchiha1st的博客
06-05 878
解决oauth2获取Token过程password与client_secret明文传输的问题
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2021
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
加密与授权 Oauth2.0
ys.hubery
01-05 5205
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
OAuth2客户端明文和用户密码为密文
xzj80927的博客
11-17 2870
一、问题描述: 使用Spring-security-0Auth2:2.5.1 版本,进行用户认证时,一直出现问题: { "error":"invalid_client", "error_description":"Badclientcredentials" } 出现问题的条件: 用户的密码使用明文验证时,不会出现此问题。而把密码验证设置为: bcrypt后,再次获取token时,就会报此问题。 postMan的请求和结果如下: 二、代码: 认证服务安全配置类:主要...
oada-client-secret:生成验证 OADA 格式的 OAUTH 2.0 客户端机密
06-22
oada-client-secret 用于创建和验证客户端机密的节点库 例子 var clientSecret = require ( 'oada-client-secret' ) ; var id = getOAuth2SessionClientId ( ) ; var accessCode = getOAuth2SessionAccessCode ( ) ; var audience = getOAuth2SessionAudience ( ) ; var issuer = getOAuth2Issuer ( ) ; var key = getSigningKey ( ) ; // Generate Client Secret var cSecret = clientSecret . generate ( key , issuer , audience , accessCode
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1505
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
OAuth2.0_完善环境配置_把资源微服务客户端信息_授权码存入到数据库_Spring Security OAuth2.0认证授权---springcloud工作笔记149
添柴程序猿的专栏
01-11 367
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 然后我们之前资源微服务的客户端信息,我们都是配置在内存的,现在 我们配置到数据库去,授权码也存在数据库去. 先去生成oauth_client_details 这个表. 可以看到我们现在要把客户端详情,配置到数据库去,上面的这些客户端的详情数据. oauth_client_details,这个用来存储客户端的信息 DROP TABLE IF EXISTS `oaut.
oauth2-credentials-generator:一个小库,具有零依赖性,用于为您的oauth2应用程序生成加密安全的client_id和client_secret
05-01
Oauth2凭证生成器 描述 一个小的加密安全库,具有零依赖性,用于为您的oauth2应用程序生成和 。 安装 npm i jeremyhamm/oauth2-credentials-generator 使用情况 客户编号 const credentials = require('oauth2-credentials-generator'); const client_id = credentials.clientId(); 带有可选名称的客户ID 这会将name + _附加到返回的客户端ID上。 如果为多个客户端创建客户端ID,则很有用。 const credentials = require('oauth2-credentials-generator'); const client_id = credentials.clientId('name'); 客户机密 const cre
OAuth2.0_授权服务配置_Spring Security OAuth2.0认证授权---springcloud工作笔记140
添柴程序猿的专栏
01-10 329
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 1.咱们先来搭建这个授权微服务,可以看到首先我们要写一个配置类叫做: AuthorizationServer 要加上configuration注解和 EnableAuthorizationServer这个注解表明这个微服务是个授权微服务. 2.可以看到这个授权服务类,继承的这个AuthorizationServerConfigurerAdapter类,这个类要求做下面三个配置: Autho
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3510
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
【2.5 认证心(Spring Security)】基于Spring Security OAuth2实现OAuth2.0授权服务器和客户端
本本本添哥
04-08 1120
OAuth2.0是一种用于授权的开放标准,它允许用户授权第三方应用程序访问他们的资源,例如照片、联系人列表和其他个人信息。
7 客户端认证方式 之 client_secret_jwt
Markix的博客
09-28 2828
`client_secret_jwt`方式就是利用 `JWT` 进行认证。请求方和授权服务器,两者都知道客户端的 `client_secret`,通过相同的 `HMAC` 算法(对称签名算法)去加签和验签 `JWT` ,可以达到客户端认证的目的。
spring Oauth2-Authorization-Server client_secret_basic流程
面朝大海,春暖花开
05-04 2399
Spring Oauth2-Authorization-Server client_secret_basic 过程 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2ClientAuthenticationFilter 对 client_id 和 client_secret 进行认证,目前支持四种: JwtClientAssertionAuthenticationConverter: Jwt 方式 ClientSecretBasicAut
SpringSecurity(十六)---OAuth2的运行机制()-密码、客户端凭据授权类型以及刷新令牌
学习不止境的博客
11-23 969
本篇将讨论剩余的授权类型以及使用刷新令牌重新获得令牌等内容,仍然以概念为主。下一节我们将通过一个SSO实例让大家对授权码授权类型更加熟悉。
spring-security-oauth2密码模式
u013008898的博客
06-12 1394
AuthorizationServerConfig: SecurityConfig:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值