【Spring Security OAuth2】客户端授权模式(client credentials)~获取访问令牌

最新推荐文章于 2022-05-13 17:02:46 发布
最新推荐文章于 2022-05-13 17:02:46 发布
阅读量6.8k 收藏 14
点赞数 2
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quan20111992/article/details/100171368
版权

访问路径:http://localhost:8081/oauth/token?grant_type=client_credentials&client_id=app&client_secret=app

如果我们在请求中添加了scope参数则会对该参数进行校验,没设置并不会报错
在这里插入图片描述
112行,验证请求中是否设置了grant_type参数,若没有设置则抛出异常

随后判断是否为隐式授权、是否授权码授权、是否时刷新令牌的请求
生成Token的逻辑

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest)

getTokenGranter()获得一个TokenGranter的匿名对象
在这里插入图片描述在这里插入图片描述
该匿名对象中含有一个CompositeTokenGranter对象,由上图可以,在创建CompositeTokenGranter对象时会注入一个TokenGranter集合,通过遍历TokenGranter集合找到能处理grantType类型的TokenGranter对象
在这里插入图片描述在这里插入图片描述
第61行,会验证单位详情中是否包含我们所使用的grantType,由于我们使用的grantType为client_credentials,所以在oauth_client_details表的authorized_grant_types字段中须含有client_credentials

由于我们在配置类中并未设置tokenService,系统中默认使用DefaultTokenServices
在这里插入图片描述
在这里插入图片描述
默认支持RefreshTokenReuseRefreshToken

调用DefaultTokenServices.createAccessToken()创建token

判断是否支持刷新Token

  • ClientDetailService对象不为空时则验证单位明细表中的authorized_grant_types字段是否包含refresh_token,若存在则支持
  • ClientDetailService对象为空时,则采用默认设置

刷新令牌的有效时间,若设置了则采用自定义的,若未设置则采用默认值

private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.

在这里插入图片描述
refreshToken 值由 UUID 生成

访问令牌的有效时间,若设置了则采用自定义的,若未设置则采用默认值

private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.

accessToken 值由 UUID 生成
在这里插入图片描述
tokenEnhancer 可以帮助我们在token中增加自定义信息

/**
 * Created by liuquan on 2019/8/31.
 */
public class CustomTokenEnhancer implements TokenEnhancer{

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<String, Object>();
        additionalInfo.put("resourceId","app");
        ((DefaultOAuth2AccessToken)accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore()).tokenEnhancer(tokenEnhancer());
    }

    @Bean
    public TokenEnhancer tokenEnhancer(){
        return new CustomTokenEnhancer();
    }

在这里插入图片描述
为什么明明已经生成了RefreshToken,可返回信息中却没有?
我们回到ClientCredentialsTokenGranter一探究尽,原来是默认不允许刷新,最后将RefreshToken置为null
在这里插入图片描述
可以看到ClientCredentialsTokenGranter提供了setter方法对allowRefresh属性进行设置,我们将对之前的配置文件(【Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置)进行调整,以便我们可以获取到RefreshToken

public class CustomAuthorizationServerConfigurer extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore());

        ClientDetailsService clientDetails = jdbcClientDetailsService();

        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setReuseRefreshToken(true);
        tokenServices.setClientDetailsService(clientDetails);
        tokenServices.setTokenEnhancer(tokenEnhancer());

        OAuth2RequestFactory requestFactory = new DefaultOAuth2RequestFactory(clientDetails);

        ClientCredentialsTokenGranter tokenGranter = new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory);
        tokenGranter.setAllowRefresh(true);

        endpoints.tokenGranter(tokenGranter);
    }

    @Bean
    public TokenEnhancer tokenEnhancer(){
        return new CustomTokenEnhancer();
    }

}

在这里插入图片描述
此处的自定义配置是参考的框架中的默认配置

不务正业的野猴子
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OAuth2授权(Client Credentials)
shonegg的技术人生
08-15 3万+
OAuth 2.0定义了四种授权方式。 1.授权模式(authorization code) 2.简化模式(implicit) 3.密码模式(resource owner password credentials) 4.客户端模式client credentialsClientCredentials客户端模式: Client使用自己的 client证书(如 clien
SpringBoot学习笔记(十五:OAuth2 )
最新发布
2401_84002448的博客
04-12 732
学习技术一定要制定一个明确的学习路线,这样才能高效的学习,不必要做无效功,既浪费时间又得不到什么效率,大家不妨按照我这份路线来学习。大家不妨直接在牛客和力扣上多刷题,同时,我也拿了一些面试题跟大家分享,也是从一些大佬那里获得的,大家不妨多刷刷题,为金九银十冲一波!一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!负担。**
Spring Security OAuth2 Demo —— 客户端模式ClientCredentials
拾级而上
12-14 1359
前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单的模式客户端模式 其中客户端模式的流程是:客户端使用授权服器给的标识与secret访问资源服务器获取token 本文目标 编写与说明密码模式Spring Security Oauth2的...
client_credentials
05-18
客户证书授予SpringMVC测试 故事:作为一个未经身份验证的用户,我想通过一个经过身份验证的REST API服务检索统计计算。 安装 该项目需要JDK 8和maven来构建和测试它。 使用以下命令在linux上安装Java: sudo apt-get install openjdk-8-jdk 安装Maven sudo apt-get install maven ##获取源代码 从Unix终端: git clone https://github.com/antoniosignore/client_credentials.git 建立战争 mvn clean package 生成的test.war文件位于下: /target/test.war 设计 该测试需要实现Oauth规范中定义的客户端证书授予 这是所有OAuth 2.0授予中最简单的授予,适用于不需
Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置
不务正业的野猴子
08-25 8541
基于Spring Boot 2.1.7.RELEASE 参考资源: OAuth 2 Developers Guide 授权服务配置 添加一个实现了AuthorizationServerConfigurer接口的实现类且使用@EnableAuthorizationServer注解进行标注 AuthorizationServerConfigurer接口的实现类是AuthorizationSer...
Spring Security OAuth2】客户端授权模式(client credentials)~校验访问令牌
不务正业的野猴子
09-08 5447
前文 【Spring Security OAuth2】客户端授权模式(client credentials)~资源服务配置 我们设定 授权服务 和 资源服务 是两个单独的应用,在 资源服务 中使用RemoteTokenServices对Token进行校验。 从图中可以看出,ResourceServerTokenServices接口有两个实现类(DefaultTokenServices、Remot...
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
(二)OAuth 2.0 客户端模式ClientCredentials
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 1782
Spring Security OAuth2】客户端授权模式(client credentials)~资源服务配置
不务正业的野猴子
08-27 2364
例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库 本例中资源服务为独立的应用 参考资源: Resource Server Configuration 添加一个实现了ResourceServerConfigurer接口的实现类且使用@EnableResourceServer注解进行标注 ResourceServerConfigurer接口有一个实现类Reso...
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在Spring Security中,OAuth2的四种标准授权模式包括: 1. 授权模式(Authorization Code):适用于有后台服务器...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Spring Security中,我们可以使用OAuth2提供者模式,创建一个认证服务器,它处理客户端授权请求,生成访问令牌。常见的OAuth2流程包括授权码(Authorization Code)流、隐式(Implicit)流、客户端凭证(Client ...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
密码模式(Resource Owner Password Credentials Grant)是OAuth2中的一种授权类型,它允许用户直接将用户名和密码传递给授权服务器以获取访问令牌。 在Spring Cloud OAuth2中,我们需要配置以下几个关键组件: 1....
spring-security-oauth2
03-17
3. 客户端凭据流程(Client Credentials Grant):客户端直接使用自己的凭证获取访问令牌,适用于机器对机器的交互。 4. 密码凭据流程(Resource Owner Password Credentials Grant):用户直接向授权服务器提供密码...
spring-security-oauth2源码
06-30
- **Client Credentials Grant**:客户端直接使用自己的凭证获取访问令牌,用于客户端的身份验证。 3. **Spring Security OAuth2的组件** - **AuthorizationEndpoint**:处理用户授权请求,提供授权码或直接返回...
spring-security-oauth2详细配置demo
09-30
2. **授权流程**:OAuth2定义了几种授权类型,如授权码(Authorization Code Grant)、隐式(Implicit Grant)、密码(Resource Owner Password Credentials Grant)和客户端凭证(Client Credentials Grant)。...
spring-Security-oauth2.zip
05-26
OAuth2 提供了四种授权类型:授权码(Authorization Code)、隐式(Implicit)、密码(Resource Owner Password Credentials)和客户端凭据(Client Credentials)。 2. **Spring Security OAuth2 结构** - **授权...
Spring cloud系列20 OAuth2.0的实现客户端模式(client_credentials)支持refesh code
不积跬步无以至千里; 不积小流无以成江海
07-17 7652
默认情况下OAuth2.0 客户端模式(client_credentials)不支持refresh code。现在由于业务的关系,需要支持refresh code。 在Spring OAuth2.0中 client_credentials模式对应的类是ClientCredentialsTokenGranter 在此类中有个变量可以控制是否返回refreshcode,此成员变量是allowRefresh,默认值为false。在此类的在grant()方法中,如果allowRefresh=false,则会将
Oauth2授权模式访问客户端模式(client_credentials)访问
热门推荐
面朝大海,春暖花开
06-04 4万+
Oauth2授权模式访问客户端模式(client_credentials)访问 使用POSTMAN获取token,url上填写http://localhost:8080/oauth/token?grant_type=client_credentials:
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0 的四种授权方式...
weixin_34804926的博客
01-14 605
一、OAuth2.0 为何物OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
springsecurity oauth2偶发性登录失败
07-28
4. 检查客户端凭证:确保客户端凭证(Client Credentials)正确配置,并且与授权服务器的规范一致。验证客户端凭证是否有效,并且具有适当的范围和权限。 5. 检查网络连接:偶发性登录失败可能与网络连接问题有关。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值