OAuth2的入门理解和案例解析

已于 2024-05-14 10:27:42 修改
阅读量412 收藏 5
点赞数 5
文章标签: github java
于 2024-05-14 00:48:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swx3155602684/article/details/138821922
版权

OAuth2基本概念

        OAuth2全名为开放授权2.0(Open Authorization2.0);它是一个开放标准的授权协议;

用于授权于一个应用程序或服务访问用户在另一个应用程序中的资源,但能够无需提供

用户名和密码;例如我们现在常用的B站,它就能够通过微信,QQ等第三方实现用户登录

来进行用户操作;此时就以OAuth2协议来获取我们用户的基本信息;

OAuth2相关属性解析

        client_id/appid:客户端id。

        client_secret/secret:客户端密码或密钥。

        code:授权码;用来后续获取第三方的token。

        grant_type:选择的客户端授权模式;具体有四种模式;下面会简单介绍。

        redirect_uri:重定向地址。

        scope:用于限制应用程序对用户帐户的访问。应用程序可以请求一个或多个范围,然后该信息会在同意屏幕中呈现给用户,并且颁发给应用程序的访问令牌将仅限于授予的范围。

        access_token:我们所需要的申请令牌。

OAuth2的四种授权模式

授权码模式:用户先通过第三方应用向认证服务器申请授权码,再用授权码换取访问令牌;该模式安全性最高;

简化模式/隐式授权模式:用户直接通过第三方应用向认证服务器申请访问令牌,无需授权码。

其实就是没有授权码这中间步骤

密码模式:如果你高度信任某个第三方应用,可以将用户名和密码告诉该第三方应用,第三方应用拿到用户名和密码去申请授权获取令牌。 在这种模式中,用户必须把自己的密码给客户端。

客户端模式:第三方应用直接向认证服务器申请访问令牌,无需用户参与。


OAuth2授权码的流程解析

图片流程

文字解析:

(1)用户在客户端中选择了第三方登录

(2)此时资源服务器会重定向到对应的授权服务器去获取授权码;

    private final String REDIRECT_URI="http://127.0.0.1:9000/login/rcv_code";
    private final String CLIENT_ID="sobook";
    private final String SCOPE="all";
    private final String GRANT_TYPE="authorization_code";
    private final String CLIENT_SECRET="223344";

    @RequestMapping("/login/code")
    public String LoginCode(){
    //发出请求获取授权码
    String url = "http://127.0.0.1:8000/oauth/authorize?response_type=code" +
                "&client_id=" +CLIENT_ID+
                "&redirect_uri="+REDIRECT_URI+
                "&scope="+SCOPE;
        return "redirect:" +url;
}

(3)获取用户授权;用户输入对应的账号密码

(4)授权服务器校验成功后重定向返回授权码给资源服务器

@Configuration
@EnableAuthorizationServer  //放在过滤器的链条  
public class QqAuth2ServerConfig extends
        AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
       clients.inMemory()
         .withClient("sobook").secret(passwordEncoder.encode("223344"))//资源服务器的id和密钥
         .authorizedGrantTypes( "authorization_code")//授权模式为验证码
         .scopes("all")
         .autoApprove(true)
         .redirectUris("http://127.0.0.1:9000/login/rcv_code");//重定向地址
     }
}

(5)资源服务器通过授权码再次发送请求到授权服务器中获取token(请求令牌)

HttpRequest postRequest =
                HttpRequest.post("http://127.0.0.1:8000/oauth/token");
        postRequest.form("grant_type",GRANT_TYPE);
        postRequest.form("code",code);
        postRequest.form("client_id",CLIENT_ID);
        postRequest.form("client_secret",CLIENT_SECRET);
        postRequest.form("redirect_uri",REDIRECT_URI);
        //通过授权码获取token
        HttpResponse resp = postRequest.execute();
        String body = resp.body();//我们需要的token在body里面
        Map map = objectMapper.readValue(body, Map.class);//将字符串转成对象
        String token = (String) map.get("access_token");//获取token

(6)授权服务器校验成功后返回token给资源服务器

(7)资源服务器通过携带token再次发送请求到授权服务器中获取我们当前用户的基本信息与权限

     //通过token获取用户信息
        String url = "http://127.0.0.1:8000/api/info/getUser";
        HttpRequest postUser = HttpRequest.get(url).
                        header("Authorization","bearer "+token);
        String body1 = postUser.execute().body();

(8)授权服务器会将对应的用户信息和权限返回给资源服务器

    @GetMapping("/getUser")
    public Object getUser() {
        Object principal =
                SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        System.out.println("principal=" + principal);
        if (principal==null)  return null;
        if (principal instanceof UserDetails) {
            return (UserDetails) principal;
        } else {
            return String.valueOf(principal);
        }
    }

补充

        (1)在该例子中的client_id和client_secret都是我们自己手动创建的;在真正的项目当中我们使用OAuth2时需要向对应的第三方应用请求申请一下自己的client_id和client_secret.

        (2)所谓资源并非是我们资源服务器内Controller下的所有类;是要在我们资源服务器的声明类下所定义好的路径

@Configuration
@EnableResourceServer  //声明是资源服务器并且放在过滤器链条
public class ResourceServerConfig  extends ResourceServerConfigurerAdapter {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().antMatchers("/api/**")//定义以api开头的路由为资源
                .and()
                .authorizeRequests()
                .antMatchers("/api/adm/**").hasAuthority("adm")
                .antMatchers("/api/stu/**").hasAuthority("stu")
                .antMatchers("/api/**").authenticated();//authenticated已验证
    }

(3)在学习OAuth2中一定要理解什么是客户端,谁是第三方、哪些是资源;在不同的场景角度下

第三方的定义可能会有所不同;如对于微信来说,微信下的小程序应用就是第三方应用;而对于

小程序来说微信就是第三方授权;

(4)

@Configuration
@EnableAuthorizationServer  //放在过滤器的链条
public class QqAuth2ServerConfig extends
        AuthorizationServerConfigurerAdapter {
    
    @Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
        System.out.println("checkTokenAccess(\"permitAll()\")");
        oauthServer.tokenKeyAccess("permitAll()")  // /oauth/token
                .checkTokenAccess("permitAll()") // /ouath/check_token
                .allowFormAuthenticationForClients();
    }

}

每天一杯Java
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2】详细讲解
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
OAuth2 详细介绍!
热门推荐
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
OAuth2】授权框架的四种授权方式详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-24 6399
OAuth 2是一种授权框架,允许第三方应用通过用户授权的形式访问服务的用户信息,最常见的场景是授权登录;再复杂一点的比如第三方应用通过 Github 给开发者提供的接口访问权限内的用户信息或仓库信息OAuth2 广泛应用于 web 、桌面应用、移动 APP 的第三方服务提供了授权验证机制,以此实现不同应用间的数据访问权限。下面分别从不同角色、授权类型、使用场景及流程的纬度详细介绍 OAuth2。
前言技术之Oauth2全方面介绍
m0_53151031的博客
03-25 3969
一、Oauth2基本概念 1、定义 Oauth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据 2、场景带入 1、外卖场景 一户人家住在一个大型居住小区,小区有门禁系统,进入小区需要输入密码,这户人家经常性点外卖,必须让外卖人员进入到小区,如果把密码告诉外卖人员,这样的话,他就和户主拥有了一样的权限,这样安全隐患太大,给了外面人员密码之后,为了安全,必须要进行修改密码,这就很麻烦。 这时候Oauth2就诞生了,外卖人员的职责只是送货,没必要知道小区密码 ...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3757
如今很多互联网应用OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
v2_20200428.zip
04-28
《Spring Boot 2.x》是针对Java开发者的权威指南,主要涵盖了Spring Boot 2.x版本的核心概念、配置、开发实践及应用案例。Spring Boot作为Spring框架的延伸,旨在简化Spring应用的初始搭建以及开发过程,它通过提供...
nodejs-简单登录案例入门初学
07-24
在这个“nodejs-简单登录案例入门初学”,我们将探讨如何使用 Node.js 创建一个基础的用户登录系统。 首先,你需要安装 Node.js 开发环境。确保已经下载并安装了最新版本的 Node.js 和 npm(Node.js 包管理器)。...
arcgis server开发从入门到精通第五篇
05-11
《ArcGIS Server开发从入门到精通第五篇》深入解析了GIS技术在服务器端的应用与开发,这是一份针对GIS专业人员或对地理信息系统有热情的学习者的宝贵资源。本篇主要聚焦于ArcGIS Server的核心功能、服务发布、地图...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 9280
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2】OAuth2概述及使用GitHub登录第三方网站
Decade_Faiz的博客
07-19 2503
OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2 是 OAuth 的最新版本,同时也是被广泛应用的一个版本。我们在网站上常见的QQ登录,微信扫码登录,GitHub 授权登录就是基于 OAuth2.0 实现的。点击跳转。
OAuth2.0到底是什么?看完你就明白了!
qq_41826150的博客
06-30 1912
OAuth2是一种开放授权协议,是一种用于授权的规范。它提供了一种灵活的授权方式,允许用户在第三方应用安全地授权访问其受保护的资源,而无需共享其用户名和密码。OAuth2协议定义了客户端如何请求授权、用户如何在客户端和应用之间进行授权,以及如何交换授权信息以获取Access Token。Access Token是第三方应用访问用户资源的凭证,具有一定的有效期限。OAuth2的引入解决了传统授权方式存在的安全性和可维护性问题,使得用户可以更加灵活和安全地授权第三方应用访问其资源。
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
什么是OAuth2
weixin_60257072的博客
01-19 1580
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码,授权码的获取需要资源拥有者亲自授权同意才可以获取。
Spring Security OAuth2详解
qq_33814479的博客
10-12 6502
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5362
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
Spring Cloud OAuth2 简介及使用
weixin_56941647的博客
03-24 2194
Spring Cloud OAuth2 简介及使用
一篇文章带你认识 OAuth2
南淮北安的博客
09-29 963
文章目录一、什么是 OAuth2二、四种模式1. 授权码模式2. 简化模式3. 密码模式4. 客户端模式 一、什么是 OAuth2 Auth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。 OAuth2 是 OAuth 协议的下
OAuth 2.0授权框架详解
ALLEN'Blog
01-11 959
在现代的网站,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。但是这比单纯的注册要方便太多了,也容易让用户接受。
Spring Cloud微服务构建全解析OAuth2安全防护指南
通过丰富的实战案例,作者详细讲解了如何运用Spring Cloud的各种组件进行服务发现、负载均衡、API调用管理、熔断机制、API网关、配置管理以及服务追踪等,使读者能够实际操作并理解这些组件的作用和应用场景。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值