【Spring Security OAuth2】- spring security - 基本原理

于 2024-10-07 18:22:38 发布
阅读量496 收藏 15
点赞数 8
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142744178
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

基本原理

打开security的依赖

    compile('org.springframework.cloud:spring-cloud-starter-security')

打开之后默认就保护了所有的请求路径;访问任意一个都会跳转到一个默认的用户密码登录认证页面,

    用户名固定的:user
    密码,项目启动日志打印出来的(每次启动都不一样):Using generated security password: 60c4246b-735f-4f59-9a18-0861e1b7130a

默认的肯定不满足我们的需求,来看看怎么自定义配置

代码项目变更

从现在开始要改变项目模块来写安全代码了

启用该模块security-browser,安全相关的都在这里写,其他项目依赖安全模块即可;
该模块是基于浏览器的开发

注意:对于项目依赖,core的application.yml是不会生效的,只有在bobrowser中的application.yml才会生效

    dependencies {
        compile project(':security-core')
    }

编写第一个配置类

更改默认配置为form表单方式

    package cn.mrcode.imooc.springsecurity.securitybrowser;
    
    import org.springframework.context.annotation.Configuration;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    
    /**
     * @author : zhuqiang
     * @version : V1.0
     * @date : 2023/8/3 0:05
     */
    
    // WebSecurityConfigurerAdapter 适配器类。专门用来做web应用的安全配置
    @Configuration
    public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
    
        // 有三个configure的方法,这里使用http参数的
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            // 最简单的修改默认配置的方法
            // 在v5+中,该配置(表单登录)应该是默认配置了
            // basic登录(也就是弹框登录的)应该是v5-的版本默认
            http
                    // 定义表单登录 - 身份认证的方式
                    .formLogin()
    //                .httpBasic()   // 切换为basic方式也很简单。感叹一下太强大
                    .and()
                    // 对请求授权配置:注意方法名的含义,能联想到一些
                    .authorizeRequests()
                    .anyRequest()
                    // 对任意请求都必须是已认证才能访问
                    .authenticated();
        }
    }

基本原理

202306181903365991.png

核心就是一组过滤器链。项目启动自动配置上的。

最核心的就是 Basic Authentication Filter 用来认证用户的身份;

一个过滤器处理一种认证方式;

对于username password认证过滤器来说,
* 会检查是否是一个登录请求,
* 是否包含username 和 password (也就是该过滤器需要的一些认证信息)
* 如果不满足则放行给下一个

下一个按照自身职责判定是否是自身需要的信息,

basic的特征就是在请求头中有 Authorization:Basic eHh4Onh4 的信息

中间可能还有更多的认证过滤器。 最后一环是 FilterSecurityInterceptor ,

这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;

如果被拒绝了就会抛出不同的异常(根据具体的原因)。

Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示

注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;

以上就是security最基本的一个原理,其他的衍生的功能都是基于这个架子进行扩展的

源码查看

源码查看思路:

上面描述了最基本的流程,这里把上面列出来的几个类关键部分打上断点,然后访问api进行跟进代码

  • org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke

    大约120行InterceptorStatusToken token = super.beforeInvocation(fi);

  • org.springframework.security.web.access.ExceptionTranslationFilter#doFilter

    大约130行

  • org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication

    大约68行

  • org.springframework.security.web.authentication.www.BasicAuthenticationFilter#doFilterInternal

    大约150行

  • 任意一个api服务中

关键调试代码记录

    1. 访问一个服务
    2. 发现先走了 org.springframework.security.web.access.ExceptionTranslationFilter#doFilter
        为什么会先走这里,因为我们随意访问一个服务,都不满足前面几个认证过滤器的要求
    3. 执行后到了org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke 中的 InterceptorStatusToken token = super.beforeInvocation(fi); 执行后就报错了
    4. 返回到了ExceptionTranslationFilter,并且被捕获到了异常信息 Access is denied (拒绝访问)
    5. 处理异常信息之后根据配置返回到了登录页面
    6. 登录之后,被拦截到 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication
    7. 认证成功之后,又经过了 ExceptionTranslationFilter
    8. 接着又到了 FilterSecurityInterceptor 会验证是否有权限访问,如果有的话,InterceptorStatusToken token  会返回值,
    9. 下一步放行,由于之前处理的是一个登录请求,所以会有一个重定向,到我们访问的api中
      只要不是认证请求的话,前面的认证过滤器是不会走的,反而这两个类的流程都会走一遍 ExceptionTranslationFilter 、FilterSecurityInterceptor ; 看来这两个类是真的固定死的流程架子

smart哥
关注
专栏目录
使用spring-security-oauth2和spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案
Ead_Y的博客
03-18 1444
关于早些时候的Spring Security版本中,可以使用和依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代作为授权服务器。本文为复现通过和实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。
spring-security-oauth2-authorization-server.zip
08-25
本项目“spring-security-oauth2-authorization-server”将带你深入理解如何利用Spring Security OAuth2构建一个授权服务器,以保护你的API并提供安全的访问控制。 OAuth2是一种开放标准,用于授权第三方应用访问...
SpringSecurity Oauth2 - SpringSecurity Oauth2 搭建授权服务器和资源服务器
你今天真好看呀
09-25 3845
① 请求用户是否授权,获取授权码code,浏览器访问完整路径:http://localhost:8080/oauth/authorize?① 请求用户是否授权,获取授权码code,浏览器访问完整路径:http://localhost:8080/oauth/authorize?① 访问授权服务器,获取授权码code:http://localhost:8080/oauth/authorize?① 访问授权服务器,获取授权码code:http://localhost:8080/oauth/authorize?
Spring Security OAuth2--密码模式 实战
weixin_45452416的博客
04-25 3420
1.OAuth2协议简介: OAuth是一种用来规范令牌(Token)发放的授权机制,目前最新版本为2.0,不兼容1.0,主要有四种授权模式:授权码模式、简化模式、密码模式和客户端模式。我这边的前端系统是通过用户名和密码来登录系统的,所以这里只介绍密码模式 2.密码模式简介: 在密码模式中,用户向客户端提供用户名和密码,客户端通过用户名和密码到认证服务器获取令牌。流程如下: 如上图所示,密码模式包含了三个步骤: (A)用户访问客户端,提供URI连接包含用户名和密码信息给授权服务器 (B)授权服务器对客户
SpringSecurity Oauth2 - 01 搭建授权服务器(密码模式)
你今天真好看呀
11-01 1416
密码模式:在密码模式中,用户向客户端提供用户名和密码,客户端通过用户名和密码到认证服务器获取令牌: (A)用户访问客户端,提供URI连接包含用户名和密码信息给授权服务器 (B)授权服务器对客户端进行身份验证 (C)授权通过,返回access_token给客户端
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8085
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4591
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 7411
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
baimao__Ch的博客
09-20 1445
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Spring Security Oauth2源码分析
小小本科生
07-16 996
1、用户发起了一个未经身份验证的请求。2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
Spring Boot 3.3.2新特性发布,spring-security-oauth2-authorization-server使用1.3.1
曼陀罗的博客
06-03 1398
Prometheus Client 1.0.0是一个备受期待的流行 Java 指标库版本,它包含一些突破性的变化,包括但不限于对本机直方图的内置支持、与 OpenTelemetry 跟踪的无缝集成以及对 OpenTelemetry Exporter 的支持。spring-boot-actuator 模块现在包含 SBOM 端点。Spring Boot 进入了全新的 3.x 时代了,3.1.x 和 3.0.x 也相继停止维护了,商业支持的版本也只有 2.7+ 了,2.6.x 以下的版本彻底退出历史舞台。
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
Spring MVC的运行流程详解
J老熊
10-03 951
Spring MVC作为一个广泛使用的框架,提供了灵活且强大的MVC架构支持。尤其在业务系统中,Spring MVC能够有效地处理大量并发请求,提供良好的用户体验。本文将详细讲解Spring MVC的运行流程,以电商交易系统为案例,帮助读者深入理解其工作原理。
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
qq_51321722的博客
10-05 511
Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架的依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高级消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 686
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
Springboot人才求职招聘系统源码(前台+后台)
最新发布
10-06 411
项目技术:springboot运行环境:jdk1.8+idea/eclipse+maven3+mysql5.6。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值