基于spring-security-oauth2实现oauth2

最新推荐文章于 2024-03-24 11:04:46 发布
最新推荐文章于 2024-03-24 11:04:46 发布
阅读量286 收藏
点赞数
分类专栏: spring security
原文链接:https://segmentfault.com/a/1190000019344734
版权

本文转自: https://segmentfault.com/a/1190000019344734

另外几篇不错的文章

Spring Security 与 OAuth2入门: https://mrbird.cc/Spring-Security-OAuth2-Guide.html
Spring Security 与 OAuth2(介绍):https://www.jianshu.com/p/68f22f9a00ee
Spring Security 与 OAuth2(授权服务器):https://www.jianshu.com/p/227f7e7503cb
Spring Security 与 OAuth2(资源服务器):https://www.jianshu.com/p/6dd03375224d
Spring Security 与 OAuth2(客户端):https://www.jianshu.com/p/03e515c2b43f
Spring Security 与 OAuth2(相关类参考):https://www.jianshu.com/p/c2395772bc86
Spring Security 与 OAuth2(完整案例):https://www.jianshu.com/p/d80061e6d900

基于spring-security-oauth2实现oauth2

文章代码地址:链接描述可以下载直接运行,基于springboot2.1.5,springcloud Greenwich版本实现

该系列分为两个部分:分为内存实现,数据库实现。其中数据库实现采用RBAC权限角色管理。

首先声明oauth2是一种协议规范,spring-security-oauth2是对他的一种实现。其次,还有shiro实现,自己根据规范编写代码的实现方式。主流的qq,微信等第三方授权登录方式都是基于oauth2实现的。
oauth2的认证方式有授权码,简单,账户密码,客户端等方式,具体请自行百度不做过多的阐述。 本文基于授权码方式实现
oauth生态设计的范围很大,可以说是一种解决方案,它有“第三方客户端(web服务,APP服务)”、“用户”、“认证服务器”、“资源服务器”等部分。认证流程如下图:

clipboard.png

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。

(C)客户端使用上一步获得的授权,向认证服务器申请令牌。

(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

(E)客户端使用令牌,向资源服务器申请获取资源。

(F)资源服务器确认令牌无误,同意向客户端开放资源。

好了,简单介绍后,现在开始实现基于内存的认证服务编写:
(1)使用idea在nacos-test项目中创建authserver-memory模块。
目录如下图:

clipboard.png

(2)创建好module之后,我们开始配置pom文件加载依赖。
注意:springcloud的版本1.x和2.x差别很大,有很多不兼容,例如jpa1.x的findOne方法在2.x版本中不能使用。因为我们需要先配置依赖管理

clipboard.png
我把spring-cloud-Alibaba一起配置了。好了,现在添加oauth2的依赖,因为我们使用springcloud,并且springcloud-security为我们封装好了oauth2,
因次我们只添加这个依赖就可以

clipboard.png

(3)依赖添加完成,下面我们开始写代码,创建config包,因为,我们认证之前需要先校验用户的账户密码是否正确,所以我们先配置WebSecurityConfig拦截:

clipboard.png

在config方法里,我们在内存中,配置了两个用户,这里注意密码用了BCryptPasswordEncoder进行加密,在springboot2.x中不加密会报错的。
(4)到这里,用户验证已经完成,我们创建AuthConfig配置认证拦截处理:

clipboard.png

需要添加 @EnableAuthorizationServer注解开启认证服务,注入加密用的BCryptPasswordEncoder实例。然后,配置需要认证的客户端,
这里需要细说一下,首先是client_id代表是哪个客户端也就是哪个APP或者web服务需要认证的,然后是客户端的secret秘钥需要加密,
authorizedGrantTypes授权方式指的是授权码,简单,客户端,账户密码等,这里使用的是授权码(authorization_code),然后是scopes范围,
redirectUris重定向地址,就是你的登录地址,授权后跳转的地址。

(5)配置application.properties文件:

clipboard.png
很简单,不在多说,现在,我们启动应用:

clipboard.png
成功,我们用这个地址进行授权访问:
http://localhost:9000/oauth/authorize?client_id=client&response_type=code
成功后,跳转到登录页面:

clipboard.png

输入账户:admin 密码: 123456 点登录

clipboard.png

选择approve点击Authorize认证

clipboard.png
这个code就是授权码
我们打开postman用post方式获取access_token

clipboard.png
这个client就是配置的client_id,secret就是配置的secret,返回access_token

ok,基于内存的oauth2实现完成,下一篇基于数据库的实现。有问题请留言。

                        </article>
奔跑者runner
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
SpringSecurity之Oauth2介绍
-
04-11 1万+
Oauth2认证的简单介绍 简介 第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 业界提供了OAUTH的多种实现如PHP、JavaScript、J...
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 1349
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
Spring中的OAuth2
qq_45726327的博客
03-24 1128
Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示,OAuth2是一种开放授权协议。
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5486
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Boot 中的OAuth 2
探索er的博客
05-12 7904
Spring Boot 中的OAuth 2
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
spring-security-oauth2文档
最新发布
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
spring-security-oauth2
03-17
spring-security-oauth2
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security——OAuth2.0
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
OAuth2】详细讲解
热门推荐
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
Springcloud之OAuth2
xiaopang2020的博客
08-22 7786
springcloud之OAuth2
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 9935
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
Spring OAuth2
github_38730134的博客
02-25 2318
Spring OAuth2 OAuth2协议在Spring Resource中的实现为Spring OAuth2。Spring OAuth2分为OAuth2 Provider和OAuth2 Client OAuth2 Provider OAuth2 Provider负责公开被OAuth2保护起来的资源。OAuth2 Provider需要配置代表用户的OAuth2客户端信息,通过管理和验证OAuth2令牌来控制客户端是否可以访问受保护资源,同时还必须为用户提供认证API接口 OAuth2 Provider的角
Spring Security OAuth2详解
qq_33814479的博客
10-12 4696
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
Spring Security Oauth2架构学习
waooi的博客
04-16 3380
目录 1.基本概念 2.授权码模式 3.密码模式 4.JWT加密令牌 5.SpringSecurityOauth2整合JWT 刷新令牌 1.基本概念 简介,Oauth协议为用户资源的授权提供了一个安全的,开放而又简易的标准,同时,任何第三方都可以使用Oauth认证服务,目前Oauth是2.0版本使用最为广泛. 分析一下网站使用vx认证的过程: 1.首先用户想访问资源,需要认证,使用第三方认证比如(vx,qq,新浪等等) 2.用户确认使用第三方认证,那么需要向对应的第三方
Spring Security实现OAuth2协议及实战
qq_43372633的博客
05-13 2176
OAuth2是目前最流行的授权协议,用来授权第三方应用,获取用户数据。举个例子:快递员想要进入小区,有3种方式。1是业主远程开门,2是业主告诉门禁密码,3是使用令牌(Oauth2)。如图:令牌和密码的区别:令牌相当于火车票,密码相当于是钥匙。令牌是短期的,自动失效。密码是长期有效。令牌是可以撤销的,撤销立即生效。密码一般不允许他们撤销。令牌有权限范围,如车票座位为10车A15座。密码一般是完整权限。第三方登录演示(网易云客户端利用QQ扫码登录)
spring-security-oauth2与spring-cloud-starter-oauth2
06-10
spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于客户端和资源服务器的认证和授权。主要用于在独立的OAuth 2.0服务器上运行的情况下,为客户端和资源服务器提供认证和授权的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值