OAuth2.0 - 使用 SpringGateWay 网关实现统一鉴权

已于 2022-03-12 11:07:44 修改
阅读量1.4w 收藏 68
点赞数 11
分类专栏: 微服务 文章标签: 安全 oauth2
于 2022-01-18 21:28:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43692950/article/details/122566821
版权

一、OAuth2.0

上篇文章我们学习了将用户信息存储至数据库中,前面的学习大家肯定已经对Oauth2.0已经有了自己认识,从前面我们可以了解到了,在用户认证时可以得到自己的用户信息及权限信息,然后权限的校验还是在资源服务实现的,从前面讲解SpringSecurity单体环境的时候我们要做统一的动态鉴权操作,需要实现FilterInvocationSecurityMetadataSource 接口,在其中进行地址的动态角色权限的返回。现在服务的大环境下,每个业务服务都可以称为一个资源服务,那众多的资源服务,每个都实现这个相同的逻辑,有点显得程序的冗余了。

这个时候我们就可以从服务的统一入口gateway网关处寻找突破口了,我们完全可以将每次请求,地址鉴权的操作移交到gateway网关处进行统一拦截处理,并且还可以将Jwt的校验也在gateway网关中进行,现在就不显得程序的冗余了,因为我们只在网关做了改动,其他业务服务不做权限的校验了。

但是这样还是有一个问题,从整体上看我们的服务是安全的,但是每个业务服务之间还是裸奔的形式,一旦黑客绕过了网关,那我们的业务服务就没有安全可言了。而且还有一个问题就是有的接口我们不想配制在网关的统一把控,要通过SpringSecurity的权限注解进行操作,这个时候不就是不生效了吗。

面对上面问题,我们既要保证每个服务是安全的,也要允许每个服务拥有自定义权限的操作,这个时候我们可以就选择对当网关校验成功后,在header中再添加一个Token,这个Token可以还是一个JWT,不过可以把过期时长设置的短一些,也可以是Base64加密之后的字符,业务服务接收到请求,通过继承BasicAuthenticationFilter 过滤器,将用户角色权限信息添加到UsernamePasswordAuthenticationToken 中,交给SpringSecurity管理,这样每个服务就拥有自定义权限的功能,就算绕过网关,还是需要token的校验。

上面已经保证了服务的安全,但是给用户的Jwt是通过对称加密的也有点不太安全,我们可以采用RSA非对称加密的方式生成JWT,认证服务用私钥加密,网关通过公钥校验解析数据,然后转发到每个微服务的Token,如果采用Jwt就可以使用对称加密的方式,减少性能的开销。

总结上面的过程,就是下面我画的这个流程图:

注意:这里为了方便大家的理解,把认证服务和网关分离开来了,正常大家微服务项目中,认证服务也要经过网关的。
在这里插入图片描述
下面我们结合前面文章的内容,继续修改项目,实现上面所说的功能,其中网关转发到业务服务,业务服务进行token的解析,由于篇幅,这里就不做展示了,因为这个和前面讲解SpringSecurity整合JWT完全就是一个类型,这里就没必要再拿出来说一遍了,大家可以看下这篇博客:

https://blog.csdn.net/qq_43692950/article/details/122396221

二、认证服务

认证服务前面是通过对称加密生成的JWT,这里我们要修改为RSA非对称加密的方式。

首先生成密钥,可以通过JDK自带的keytool工具进行生成,在cmd中输入以下命令:

keytool -genkey -alias bxc -keyalg RSA -keypass 123456 -keystore bxc.jks -storepass 123456

在这里插入图片描述
上面提示的信息可填写也可以不填,最后的一定要填,不然一直循环。

在当前目录就可以看到生成的jks文件了:
在这里插入图片描述
将上面生成的文件复制到认证服务的resources下:
在这里插入图片描述
在开始前我们还要对资源服务再引入一个依赖,就是nimbus,也是一个JWT的生成库,要比jjwt更加强大,有兴趣的可以学习下

<dependency>
    <groupId>com.nimbusds</groupId>
    <artifactId>nimbus-jose-jwt</artifactId>
    <version>8.16</version>
</dependency>

下面修改TokenConfig,修改为使用非对称密钥:

@Configuration
public class TokenConfig {

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setKeyPair(keyPair()); //非对称秘钥
        return converter;
    }

    @Bean
    public KeyPair keyPair() {
        KeyStoreKeyFactory factory = new KeyStoreKeyFactory(new ClassPathResource("bxc.jks"), "123456".toCharArray());
        return factory.getKeyPair("bxc", "123456".toCharArray());
    }

}

下面还要编写一个公钥的接口,既然是公钥,就要公开,当然也可以使用keytoolopenssl生成公钥放在资源服务的resources下,通过本地读取的方式获取公钥,这里先提供一个公钥的接口:

@RestController
public class KeyController {

    @Autowired
    KeyPair keyPair;

    //获取公钥
    @GetMapping("/key/public-key")
    public Map<String, Object> getPublicKey() {
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAKey key = new RSAKey.Builder(publicKey).build();
        return new JWKSet(key).toJSONObject();
    }
}

将该接口放行,不需要认证,修改WebSecurityConfigconfigure(HttpSecurity http),将/key/**规则的直接permitAll()即可

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/key/**").permitAll()
            .antMatchers("/login/*").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin();
}

到这认证服务就已经修改完成,重启服务,先看下获取的JWT:
在这里插入图片描述
可以明显看到使用RAS非对称生成的JWT要比对称的内容要长,下面再看下公钥的样子:
在这里插入图片描述
下面我们就可以去实现网关的逻辑了。

三、GateWay网关

新建一个SpringBoot的module,在依赖中添加GateWay 和 Oauth2.0 的依赖:

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-gateway</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-oauth2-resource-server</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

修改配制文件,转发到资源服务,这里我直接配制的地址转发,由于篇幅这里没有继承注册中心,对网关不了解的,可以看下本专栏关于GateWay网关的讲解。

server:
  port: 80

spring:
  application:
    name: gateway
  cloud:
    gateway:
      httpclient:
        connect-timeout: 2000
        response-timeout: 10s
      routes:
        - id: resuorce
          uri: http://127.0.0.1:8080
          order: 0
          predicates:
            - Path=/resuorce/**
          filters:
            - StripPrefix=1

下面我们先创建两个Handler,一个无权访问的,一个登录失效的:

@Component
public class AccessDeniedHandler implements ServerAccessDeniedHandler {
    @Override
    public Mono<Void> handle(ServerWebExchange serverWebExchange, AccessDeniedException e) {
        JSONObject params = new JSONObject();
        params.put("code", 403);
        params.put("msg", "权限不足!");

        ServerHttpResponse response = serverWebExchange.getResponse();

        response.getHeaders().setContentType(MediaType.APPLICATION_JSON);
        Mono<Void> ret = null;
        try {
            ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));
        } catch (UnsupportedEncodingException e0) {
            e0.printStackTrace();
        }
        return ret;
    }
}

@Component
public class LoginLoseHandler extends HttpBasicServerAuthenticationEntryPoint {

    @Override
    public Mono<Void> commence(ServerWebExchange exchange, AuthenticationException e) {
        JSONObject params = new JSONObject();
        params.put("code", 401);
        params.put("msg", "登录失效!");

        ServerHttpResponse response = exchange.getResponse();

        response.getHeaders().setContentType(MediaType.APPLICATION_JSON_UTF8);
        Mono<Void> ret = null;
        try {
            ret = response.writeAndFlushWith(Flux.just(ByteBufFlux.just(response.bufferFactory().wrap(params.toJSONString().getBytes("UTF-8")))));
        } catch (UnsupportedEncodingException e0) {
            e0.printStackTrace();
        }
        return ret;
    }
}

下面创建一个AuthManagerHandler类进行统一权限的控制,其中这块在注释中也写的比较明确了,就看你们的逻辑自行发挥

@Component
public class AuthManagerHandler implements ReactiveAuthorizationManager<AuthorizationContext> {

    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public Mono<AuthorizationDecision> check(Mono<Authentication> authentication, AuthorizationContext object) {
        ServerHttpRequest request = object.getExchange().getRequest();
        String requestUrl = request.getPath().pathWithinApplication().value();
        //这里可以根据requestUrl查询redis,或者数据库得到requestUrl所需的角色,放入roles中
       List<String> roles = new ArrayList<>();
        if (antPathMatcher.match("/resuorce/admin/**",requestUrl)){
            roles.add("ROLE_admin");
        }else {
            roles.add("ROLE_common");
        }
        roles.add("ROLE_admin");
        return authentication
                .filter(a -> a.isAuthenticated())
                .flatMapIterable(a -> a.getAuthorities())
                .map(g -> g.getAuthority())
                .any(c -> {
                    if (roles.contains(String.valueOf(c))) {
                        return true;
                    }
                    return false;
                })
                .map(hasAuthority -> new AuthorizationDecision(hasAuthority))
                .defaultIfEmpty(new AuthorizationDecision(false));
    }

    @Override
    public Mono<Void> verify(Mono<Authentication> authentication, AuthorizationContext object) {
        return null;
    }
}

编写接受JWT,并将其转化放入header传入资源服务过滤器:

@Component
@Slf4j
@RequiredArgsConstructor
public class SecurityGlobalFilter implements WebFilter {

    @SneakyThrows
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();

        String token = request.getHeaders().getFirst("Authorization");
        if (StringUtils.isEmpty(token)) {
            JSONObject jsonObject = setResultErrorMsg(401, "登录失效");
            DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toString().getBytes());
            return response.writeWith(Mono.just(buffer));
        }
        // 解析JWT获取jti,以jti为key判断redis的黑名单列表是否存在,存在则拦截访问

        token = token.replace("Bearer ", "");
        String payload = "";
        try {
            payload = StrUtil.toString(JWSObject.parse(token).getPayload());
        } catch (Exception e) {
            JSONObject jsonObject = setResultErrorMsg(401, "登录失效");
            DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toString().getBytes());
            return response.writeWith(Mono.just(buffer));
        }
        if (StringUtils.isEmpty(payload)) {
            JSONObject jsonObject = setResultErrorMsg(401, "登录失效");
            DataBuffer buffer = response.bufferFactory().wrap(jsonObject.toString().getBytes());
            return response.writeWith(Mono.just(buffer));
        }

        //给header里面添加值
        JSONObject jsonObject = JSONUtil.parseObj(payload);
        String base64 = Base64.encode(jsonObject.toString());
        ServerHttpRequest tokenRequest = exchange.getRequest().mutate().header("token", base64).build();
        ServerWebExchange build = exchange.mutate().request(tokenRequest).build();
        return chain.filter(build);
    }

    private JSONObject setResultErrorMsg(Integer code, String msg) {
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("code", code);
        jsonObject.put("message", msg);
        return jsonObject;
    }
}

下面就要创建ResourceServerConfig,对上面的进行整合及,JWT的配制:

@Configuration
@EnableWebFluxSecurity
public class ResourceServerConfig {

    @Autowired
    AuthManagerHandler authManagerHandler;

    @Autowired
    AccessDeniedHandler accessDeniedHandler;

    @Autowired
    LoginLoseHandler loginLoseHandler;

    @Autowired
    SecurityGlobalFilter securityGlobalFilter;


    // security的鉴权排除列表
    private static final String[] excludedAuthPages = {
            "/auth/**"
    };


    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
          http.oauth2ResourceServer().jwt()
              .jwtAuthenticationConverter(jwtAuthenticationConverter())
              //.publicKey(rsaPublicKey()) // 本地获取公钥
              .jwkSetUri("http://localhost:8020/key/public-key")  // 远程获取公钥
              .and()
              .accessDeniedHandler(accessDeniedHandler)
              .authenticationEntryPoint(loginLoseHandler)
              .and().authorizeExchange()
              .pathMatchers(excludedAuthPages).permitAll()  //无需进行权限过滤的请求路径
              .pathMatchers(HttpMethod.OPTIONS).permitAll() //o
              .pathMatchers("/**").access(authManagerHandler)
              .anyExchange().authenticated()
              .and()
              .addFilterAfter(securityGlobalFilter, SecurityWebFiltersOrder.FIRST)
              .cors().disable().csrf().disable();
        return http.build();
    }


    @Bean
    public Converter<Jwt, ? extends Mono<? extends AbstractAuthenticationToken>> jwtAuthenticationConverter() {
        JwtGrantedAuthoritiesConverter jwtGrantedAuthoritiesConverter = new JwtGrantedAuthoritiesConverter();
        jwtGrantedAuthoritiesConverter.setAuthorityPrefix("");
        jwtGrantedAuthoritiesConverter.setAuthoritiesClaimName("authorities");

        JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();
        jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(jwtGrantedAuthoritiesConverter);
        return new ReactiveJwtAuthenticationConverterAdapter(jwtAuthenticationConverter);
    }
}

启动网关服务

四、测试

如果不携带JWT访问:
在这里插入图片描述
登录获取JWT
在这里插入图片描述
访问资源服务接口:
在这里插入图片描述
访问/common/**,应该无权访问:
在这里插入图片描述
通过Debug也可以看出,权限校验统一在AuthManagerHandler中了:
在这里插入图片描述
在这里插入图片描述
喜欢的小伙伴可以关注我的个人微信公众号,获取更多学习资料!

小毕超
关注
专栏目录
Spring Cloud Gateway整合OAuth2.0 实现分布式统一认证授权
BUG指挥课堂
01-24 1万+
今天这篇文章介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多,有不清楚的可以看下陈某的往期文章。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务商控制 统一网关层面认证鉴权,微服务只负责业务 你们公司目前用的是哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认证鉴权 无法做到统一认证鉴权
SpringCloudGateway统一鉴权
HMing的博客
03-14 3373
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
springboot使用Gateway+JWT实现网关鉴权
最新发布
weixin_34278711的博客
08-28 697
1. **创建 Spring Cloud Gateway 项目**:设置基本的项目依赖和配置。2. **实现 JWT 过滤器**:自定义 JWT 过滤器以处理 JWT 验证。3. **配置 Gateway 过滤器**:将 JWT 过滤器配置到 Gateway 的过滤链中。4. **配置 Spring Security**:配置 Spring Security 以与 JWT 过滤器一起使用
springCloud-14 gateWay 统一鉴权
阿涩的博客
02-22 3392
目录 一,统一鉴权 1.1 鉴权逻辑 1.2 代码实现 一,统一鉴权 内置的过滤器已经可以完成大部分的功能,但是对于企业开发的一些业务功能处理,还是需要我们自己 编写过滤器来实现的,那么我们一起通过代码的形式自定义一个过滤器,去完成统一的权限校验。 1.1 鉴权逻辑 开发中的鉴权逻辑: 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每次请求,客户端都携带认证的token 服...
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!
码猿技术专栏
12-21 6321
大家好,我是不才陈某~这是《Spring Cloud 进阶》第15篇文章,往期文章如下:五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强?openFeign夺命连环9问,这谁受得了?...
SpringCloud:Gateway鉴权
拒绝熬夜啊的博客
11-03 2万+
一、JWT 实现微服务鉴权 JWT一般用于实现单点登录。单点登录:如腾讯下的游戏有很多,包括lol,飞车等,在qq游戏对战平台上登录一次,然后这些不同的平台都可以直接登陆进去了,这就是单点登录的使用场景。JWT就是实现单点登录的一种技术,其他的还有oath2等。 1 什么是微服务鉴权 我们之前已经搭建过了网关使用网关网关系统中比较适合进行权限校验。 那么我们可以采用JWT的方式来实现鉴权校验。 2.代码实现 思路分析 1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务
SpringCloud-Gateway鉴权
海的那边,还是海吗
09-15 2734
API 网关是位于客户端和后端服务之间的中间层,负责管理、监控和保护 API。它可以用于实现许多功能,包括路由请求、负载均衡、鉴权、日志记录、缓存和限速等。在这里,我们将重点关注如何使用 API 网关实现鉴权。API 网关实现鉴权安全性的重要工具之一。它可以集中管理鉴权逻辑,提供监控和日志记录功能,同时还具有灵活性和性能优势。在构建微服务架构或任何需要鉴权的应用程序时,考虑使用 API 网关来提高安全性并简化管理。
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1578
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
gateway-oauth2.zip
09-09
spring cloud gateway+oauth2验证 spring cloud gateway网关 通过 oauth2 token 鉴权请求
【实战】Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权
superjava_的博客
12-22 765
大家好 今天这篇文章小编介绍一下Spring Cloud Gateway整合OAuth2.0实现认证授权,涉及到的知识点有点多。 文章目录如下: 微服务认证方案 微服务认证方案目前有很多种,每个企业也是大不相同,但是总体分为两类,如下: 网关只负责转发请求,认证鉴权交给每个微服务控制 统一网关层面认证鉴权,微服务只负责业务 你们公司目前用的哪种方案? 先来说说第一种方案,有着很大的弊端,如下: 代码耦合严重,每个微服务都要维护一套认证鉴权 无法做到统一认证鉴权,开发难度太大 第二种方
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 1979
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
(119)Part32-Gateway微服务网关-04-微服务网关鉴权
希冀
07-09 792
一、网关鉴权 1、问题 当我们在未登录状态下点击“立即购买”按钮时,会显示“需要登录”,当未登录时需要跳转到登录页面 2、解决方案 微服务网关中添加自定义全局过滤器,统一处理需要鉴权的服务 3、鉴权逻辑描述 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,生成token,返回给客户端 作为登录凭证以后每次请求,客户端都携带认证的token 服务端对token进行校验,并解析自包含信息,判断是否有效 对于验证用户是否已经登录鉴权的过程可以在网关统一检验。检验的标准就是请求中是否携
微服务-gateway鉴权
无简介
09-02 4062
网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。也就是说,API 的实现方面更多的考虑业务逻辑,而安全、性能、监控可以交由 网关来做,这样既提高业务灵活性又不缺安全性。RBAC基于角色访问控制,目前使用最为广泛的权限模型。相信大家对这种权限模型已经比较了解了。此模型有三个用户、角色和权限,在传统的权限模型用户直接关联加了角色,解耦了用户和权限,使得权限系统有了更清晰的职责划分和更高的灵活度。
Spring Cloud Gateway实现网关统一鉴权网关统一Token认证
热门推荐
bufegar0的博客
10-31 2万+
需求背景 在微服务的场景下,采用了Spring Cloud Oauth2进行token的管理,实现认证和授权,在这下背景下,有两种解决方案: 网关统一鉴权 此模式适用于网关下的所有模式都是通过一种模式进行鉴权操作,可以统一管理 微服务模块各自鉴权 此模式适用于网关下的各个模块有不同的鉴权模式,针对不同的业务场景需要满足不同的实现,如采用oauth2、shiro、签名等方式。 下文就网关统一鉴权实现方式提供解决方案,以供参考 实现方案 通过过滤器的方式实现统一拦截,下面以核心代码的方式展示,具体所有代码可以
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式。 密码模式是OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring Security和Spring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring Security是Spring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式是OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小毕超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值