Spring Authorization Server 系列(二)获取授权码

已于 2023-05-28 17:55:02 修改
阅读量1.6k 收藏
点赞数
文章标签: spring Authorization
于 2023-05-28 16:02:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tergou/article/details/130908093
版权
本文详细介绍了SpringAuthorizationServer获取授权码的过程,包括匹配的URL路径、参数解析逻辑,如必须的response_type、client_id,可选的redirect_uri、scope等参数,以及state和code_challenge的安全机制。文章还提及了参数在URL中的编码规则和作用。
摘要由CSDN通过智能技术生成

Spring Authorization Server 系列(二)获取授权码

概述

Spring Authorization Server 是基于 OAuth2.1 和 OIDC 1.0 的。
只有 授权码,刷新token,客户端模式。

获取授权码

用过Spring Security 的都知道,ta是基于一系列 Filter 实现其功能的,Spring Authorization Server 以及之前的 Spring Security OAuth解决方案也是如此。
通过查看API 知道,获取授权码的Filter为 OAuth2AuthorizationEndpointFilter
OAuth2的流程这里不赘述,下面开始解析 OAuth2AuthorizationEndpointFilter

获取授权码的url

查看源码,可以看到,这个filter默认匹配的url是 /oauth2/authorize
授权url

http://localhost:9000/oauth2/authorize?client_id=messaging-client&response_type=code&scope=openid+profile&state=xzy&redirect_uri=http://www.baidu.com

逻辑解析

匹配url

在这里插入图片描述
这是入口,如果当前请求匹配不上,则跳过此Filter
第一步 GET 请求 /oauth2/authorize,只要url和请求方式匹配即可

参数解析

一旦匹配上,接下来会进行参数解析;

  1. 解析get请求参数(包括首次的授权请求和登录成功后重定向第二次授权请求);这里可以发现一个点,用户认证的Filter在OAuth2的Filter之前,对于未认证的请求,OAuth2的Filter会将其重定向到登录页
    通过debug可以发现,解析GET请求参数的 converter为 OAuth2AuthorizationCodeRequestAuthenticationConverter

    • response_type
      在这里插入图片描述
      必须,且只能有一个

    • client_id
      在这里插入图片描述
      必须,且只能有一个

    • 当前认证上下文,如果已经认证,则取出认证结果,否则设置为匿名认证
      在这里插入图片描述

    • redirect_uri在这里插入图片描述
      可选,最多一个

    • scope在这里插入图片描述
      可选,最多一个
      但这个参数,要注意,它和其他参数有点不一样,如果有值,还会进一步处理
      在这里插入图片描述
      这个参数会以空格为点,进行拆分,形成一个集合
      这里又牵出了一个基础知识,我们知道在url中的一些特殊符号是不能直接使用的;涉及到url编码的一些问题。
      对于scope的值,如果要传多个,可以使用 + 或者 空格(%20) 隔开。

    • state在这里插入图片描述
      state是一个可选,但是推荐使用的参数。主要用于客户端确保 OAuth2.x 中回调那一步时,是真正的授权服务器回调给自己。
      使用方式为:在开始请求授权时,客户端传给授权服务器的一个随机字符串,然后授权服务器回调时,会原封不动将这个参数传给客户端,此时,客户端可以比较这两个值是否一致,只有一致时,表示这个回调来自真实的授权服务器,这个授权码是可信的

    • code_challenge && code_challenge_method
      这俩是后面新加的参数,对于一般的OAuth2授权流程是不需要的。
      ta主要是针对公共客户端的授权,一般指前端应用,不方便存储密钥的客户端。

    目的:用于授权服务器确定,使用获取code和换取token的同一个客户端。
    使用方式
    1. 本地生成一个随机字符串 code_verifier,使用 code_challenge_method算法,得到 一个 code_challenge
    2. 请求授权码时,将这两个值,都传给授权服务器,授权服务器会保存两个值 code_challenge_method code_challenge

01空间
关注
spring-authorization-server 授权许可类型授权页面自定义JSON响应,应用前后端分离场景
tof
05-18 2254
spring-authorization-server 授权许可类型授权页面自定义JSON响应,应用前后端分离场景
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例
记录知识、锤炼自我
04-25 6560
在前几篇文档中,我们学习了OAuth 2.0协议,并使用完成了基于授权模式的第三方平台登录功能。OAuth 2.0中的四大角色,原生框架已经帮我们实现了资源所有者、客户端、资源服务器,那么Spring是否提供了授权服务器的实现呢?在OAuth 1.0时代,Spring组织已经开始开发基于对OAuth的支持,该框架就是。其实现了大部分的OAuth规范,并提供了资源服务器、客户端和授权服务器。
Oauth2授权模式访问之授权模式(authorization_code)访问
热门推荐
面朝大海,春暖花开
06-07 9万+
Oauth2授权模式访问之授权模式(authorization_code)访问 获取code redirect_uri可以随便写,在浏览器输入(注意是get请求方式): http://localhost:8080/oauth/authorize?response_type=code&client_id=pair&redirect_uri=http://bai...
Spring Authorization Server OAuth 2.0获取授权流程
m13012606980的专栏
08-18 5123
Spring Authorization Server OAuth 2.0获取授权流程
Spring Authorization Server使用
yang1yu的博客
09-10 1080
一个Spring Authorization Server和Resource Server的demo
Spring Oauth2-Authorization-Server-授权授权
面朝大海,春暖花开
05-04 3014
Spring Oauth2-Authorization-Server 授权方式(Authorization_Code) 基于 spring-security-oauth2-authorization-server 0.2.3 授权方式(Authorization_Code) 分两步: 根据client_id获取code 根据code 获取 access_token 配置 client 信息 @Bean public RegisteredClientRepository jdbcRegisteredC
Spring Authorization Server入门 (四) 自定义设备授权
云逸的博客
06-05 3168
设备流程一般使用在不便输入的设备上,设备提供一个链接给用户验证,用户在其它设备的浏览器中认证;其它的三方服务需要接入时就按各自特点使用不同的授权方式。
Spring Authorization Server入门 (十) 实现授权模式使用前后端分离的登录页面
云逸的博客
07-10 8912
今天的主题就是使用单独部署的登录页面替换认证服务器默认的登录页面(前后端分离时使用前端的登录页面),目前在网上能搜到的很多都是理论,没有很好的一个示例,我就按照我自己的想法写了一个实现,给大家提供一个思路,如果有什么问题或者更好的想法可以在评论区提出,谢谢。
Spring Authorization Server授权同意后如何获取授权
m13012606980的专栏
08-19 791
Spring Authorization Server授权同意后如何获取授权
前后端分离Oauth2.0 - springsecurity + spring-authorization-server授权模式
qjyn1314的博客
11-08 9052
前后端分离的Oauth2.0实践-授权模式
spring-authorization-server 公共客户端方式获取授权和Token的流程
m13012606980的专栏
02-02 1936
spring-authorization-server 公共客户端 (public clients)方式获取授权和Token的流程
spring authorization server系列教程】(一)入门系列spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
编程不良人
07-29 745
springauthorizationserverspring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。现在springauthorizationserver已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。springsecurityoauth迁移到新的授权服务器指南httpsspringauthorizationserver官方demohttps上篇文章也有集成jdbc例子。...
Spring Authorization Server:实现OAuth2认证服务
最新发布
m0_64132144的博客
11-13 826
Spring Authorization Server是一个安全框架,它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关的实现。Spring Authorization Server是在Spring Security的基础上构建的,它为构建OAuth2授权服务和OpenID Connect 1.0身份提供者提供了一个安全、轻量级、可定制的基础。OAuth2协议定义了一系列关于认证授权的标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。
微服务安全——OAuth2.1详解、授权模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
qq_44027353的博客
07-23 7296
Spring Authorization Server 是一个框架,它提供了 和 规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权)服务器。官方主页:https://spring.io/projects/spring-authorization-server因为随着网络和
spring oauth2 authorization server 配置源解析
路过君的博客
01-05 1008
1.2.1。
SpringBoot Spring Security OAuth2 密模式
csl12919的博客
11-28 1230
SpringBoot Spring Security OAuth2 授权模式_没有计划。的博客-CSDN博客我们可以通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密登录,登录,手机短信登录,指纹认证等方式。
Spring Security 源解读:OAuth2 Authorization Server
weixin_41866717的博客
02-15 3212
Spring Authorization Server刚发展不久,还没有springboot版本,而Resource Server有,但是两个底层很多不兼容,会重复引入不同版本的jar包。这里我将AuthorizationServer和ResourceServer分开实现,但是都用的是spring-security的依赖:
spring authorization server oidc客户端发起登出源分析
路过君的博客
03-12 720
spring authorization server OIDC协议,支持处理依赖方(客户端)发起的登出请求,注销授权服务器端的会话。客户端登出成功->跳转到授权服务端OIDC登出端点->授权服务端注销会话->跳转回客户端(可选)OIDC 登出请求端点过滤器。OIDC 登出端点配置器。
spring authorization server是什么
09-07
### 回答1: Spring Authorization Server是一个基于OAuth 2.0和OpenID Connect(OIDC)协议的身份验证和授权服务器,它提供了一个工具集来构建安全的、可伸缩的和互操作的身份验证和授权解决方案。它可以通过Java Spring框架进行集成,是Java开发人员用于保护Web应用程序的最佳选择。 ### 回答2: Spring Authorization Server是一个基于Spring框架构建的授权服务器。授权服务器是OAuth 2.0授权框架的一部分,用于控制和管理资源的访问权限。通过Spring Authorization Server,用户可以验证和授权第三方应用程序来访问其资源。 Spring Authorization Server 提供了一种安全可靠的方式,用于管理用户的身份验证和授权请求。它使得开发人员能够轻松地构建和定制一个符合其需求的授权服务器。 Spring Authorization Server实现了OAuth 2.0授权框架中的各种授权流程,包括客户端模式、授权模式、隐式模式和密模式等。开发者可以根据应用程序的需求来选择和配置适当的授权流程。 Spring Authorization Server还提供了丰富的扩展机制,使得开发者能够对其进行定制和扩展。它与Spring Security和Spring Boot等框架紧密集成,使得开发者能够使用这些强大的工具来增强授权服务器的安全性和功能。 总之,Spring Authorization Server 是一个用于构建和定制授权服务器的框架,通过它可以实现OAuth 2.0授权框架中各种授权流程。它为开发者提供了简单、安全和可扩展的解决方案,使得他们能够轻松地控制和管理应用程序的资源访问权限。 ### 回答3: Spring Authorization Server是一个基于Spring框架开发的认证和授权服务器。它提供了一套全面而灵活的身份验证和授权解决方案,旨在帮助开发者构建安全可靠的应用程序。 首先,Spring Authorization Server支持多种认证方式,包括常见的用户名密认证、基于OAuth2的授权认证、密授权和客户端凭证授权等。开发者可以根据实际需求选择合适的认证方式,确保用户身份验证的安全性。 其次,Spring Authorization Server还支持灵活的授权管理。开发者可以通过定义不同的权限范围和角色来限制用户对资源的访问权限,保护敏感数据的安全。同时,它提供了可扩展的授权策略和自定义认证逻辑的能力,使开发者能够根据具体业务需求进行灵活配置。 另外,Spring Authorization Server支持分布式部署,可以轻松处理高并发的请求。它基于Spring框架的优势,具有良好的扩展性和可维护性,可以与其他Spring生态系统组件无缝集成,如Spring Security、Spring Boot等。 总之,Spring Authorization Server是一个功能强大、安全可靠的认证和授权服务器,为开发者提供了完善的解决方案来保护应用程序的安全性和用户隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值