Spring Authorization Server 系列(三)code换取token

已于 2023-05-28 17:52:17 修改
阅读量1.3k 收藏
点赞数
文章标签: 服务器 java 运维
于 2023-05-28 17:48:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tergou/article/details/130914061
版权

code换取token

概述

在获取到code后,就可以使用code换取token了,但在换取token这一步还会对客户端进行一些校验,而这也支持不同的方式,一起来看看。

客户端认证方式

在这里插入图片描述

  1. JwtClientAssertionAuthenticationConverter
    这里面又包含两种具体的方式:
  • ClientAuthenticationMethod.PRIVATE_KEY_JWT:这里直接以私钥生成一个 JWT 令牌发给授权服务器,然后将公钥暴露给授权服务器,授权服务器通过公钥来验证这个jwt,从而验证客户端。
  • ClientAuthenticationMethod.CLIENT_SECRET_JWT:这种方式是以客户端密钥创建jwt发送给授权服务器,由授权服务器根据客户端密钥进行验签,从而验证客户端
    其实这两种都是 JWT 的签名用法,只是加签的密钥不一样

  1. ClientSecretBasicAuthenticationConverter
    这是客户端直接传递以请求头的方式传递密钥,注意这里须用https保证安全,而且都是后端交互,以下两种本质都一样,只是一个是手动添加header;一种是由协议转换后添加,这种更标准化,也就是所谓的HTTP Basic 认证

    • 直接在header 中传递 客户端id和密钥,
      先用 :连接clientId和clientSecret;
      然后,再进行Base64编码;
      最后,前面拼上 Basic + 空格
      Authorization = Basic Base64(clientId:clientSecret)
    • 直接在url中传递嵌入客户端id和密钥,由HTTP协议层处理,这其实算是HTTP协议下 URL 规范的一部分。
      形式为
    protocol://[user:password@]hostname[:port] / path / [:parameters][?query]#fragment

  2. ClientSecretPostAuthenticationConverter
    这种比较好理解,直接在POST请求中将客户端id和密钥传过去
    这里可以直接将 以 查询参数body(x-www-form-urlencoded) 两种方式传递
    在这里插入图片描述
    在这里插入图片描述

http://localhost:9000/oauth2/token?grant_type=authorization_code&code=GvwOHTwHfnk50lwQOK1mLyYqOeARBpUUQzt1mSPPLWndqt51rV9sYDJmUmYY04HpRoTNhMH1XmFI-AT0FnVkjdEOKqHOdMeIh_9I-Sc1XSVP_MTp6h9ChdF9wYNI86Y&redirect_uri=http://www.baidu.com&client_id=messaging-client&client_secret=secret
  1. PublicClientAuthenticationConverter
    这种方式就是为了之前提到的公共客户端而创建的,这种客户端校验,使用的不是客户端密钥,而是客户端每次随机生成的一个编号保存起来,并对其进行 SHA-256 散列算法,生成一个hash值,并将 散列算法和和hash值传给授权服务器。
    在换取token阶段,客户端再将 原始值传给授权服务器,授权服务器再以同样的算法得到一个 hash值。二者比较,匹配则校验成功。
    在这里插入图片描述

换取结果

在这里插入图片描述

01空间
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
40-Spring Authorization ServerToken配置
码农小胖哥
04-15 2798
OAuth2TokenEndpointConfigurer用来配置Spring Authorization Server的OAuth2TokenEndpointFilter过滤器,这个过滤器用来处理客户端发来的/oauth2/token(默认)请求。配置项有以下五个: 其中requestMatcher需要通过ProviderSettings自定义,这里并没有自定义入口。 配置误区 这里还有一些误区,如果你要自定义accessTokenRequestConverter的话,就意味着你修改了默认的配置。而默认
spring-authorization-server 公共客户端方式获取授权码和Token的流程
m13012606980的专栏
02-02 1765
spring-authorization-server 公共客户端 (public clients)方式获取授权码和Token的流程
Spring Authorization Server入门 () 集成流程说明、细节补充和各种方式获取token测试
云逸的博客
06-05 4234
至此oauth2.1的所有流程基本都测试了一遍,设备码因为需要在原有基础上进行扩展,也留到下一章的扩展篇一块儿测试,在以后的文章会有设备码流程、登录添加图形验证码、自定义token生成和解析、自定义响应体和去除权限前缀等内容。
spring-authorization-server(3)--authorization_code模式实现流程
最新发布
qq_16033193的博客
05-27 626
判断能否处理是通过provider.supports(toTest)这个来判断的,以OAuth2AuthorizationCodeAuthenticationProvider为例,其实就是看看传入的authentication类型是不是该provider处理的类型,也就是说OAuth2AuthorizationCodeAuthenticationProvider只处理子类为OAuth2AuthorizationCodeAuthenticationToken类型的authentication。
SpringOauth2 Authorization_code 模式(一)
热门推荐
有信仰的蜗牛
10-19 1万+
1. Oauth2 authorization_code 认证协议说明 Oauth2 Authorization_code 模式是 Oauth2 认证中最完善的认证方式。其完整的认证模式如下: (A)用户访问客户端,客户端将用户引导向认证服务器。 (B)用户选择是否给予客户端授权。 (C)如用户给予授权,认证服务器将用户引导向客户端指定的redirection uri,同时加上授权码code。...
oauth2授权码模式下为什么要code换取token
菜鸟的学习笔记
03-21 870
为什么需要code换取token之胡扯八道
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的基本结构主要由个部分组成:authorization-code-authorization-serverauthorization-code-resource-serverauthorization-code-clientauthorization-code-...
oauth2.0 access_token资源认证
01-10
OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器Authorization Server)。在Oracle数据库资源认证的背景下,资源所有者通常指的是...
oauth2-client-springsecurity5.zip
08-24
在这个项目中,客户端是我们的应用,它通过用户登录授权,获取授权码(Code),然后用这个Code换取访问令牌(Token),从而能够安全地访问受保护的资源。 项目的核心在于Spring Security 5的集成,这是一个强大的...
Springboot网站第方登录 微信登录
08-28
`getAccessToken()`方法用于通过用户在微信端完成授权后的code换取access_token和openid。 **步骤:处理回调** 当用户在微信端完成授权后,微信会将用户重定向回我们在微信开放平台配置的回调域名,携带code参数...
spring oauth2 服务端
12-11
- **授权码(Authorization Code)**:在授权请求过程中短暂存在,用于换取访问令牌。 ### 5. Sparklr2 示例 `sparklr2` 是 Spring Security OAuth2 示例项目的一部分,模拟了一个社交网络服务。在这个示例中,...
41-Spring Authorization Server发放Token的过滤器的逻辑
码农小胖哥
04-18 1692
上一篇对Spring Authorization Servertoken端点过滤器配置类OAuth2TokenEndpointConfigurer进行了分析,这一篇我们来看看它配置的token端点过滤器OAuth2TokenEndpointFilter。 OAuth2TokenEndpointFilter 这个过滤器负责拦截/oauth2/token(默认)的POST请求。 它会根据不同的授权方式AuthorizationGrantType(目前只支持authorization_code、refresh
codetokens
weixin_30779691的博客
07-09 164
/** codetokens* *///判断字符function isEqual(test,code,pos,end) { if(pos<end&&code.charCodeAt(pos-1)!==92&&test===code.substr(pos,test.length)){ return true; } ...
微信小程序登录的问题——codeopenidtoken——结合spring-security-oauth2-autoconfigure
cjx913的博客
06-10 8230
微信小程序登录的问题——codeopenidtoken——结合spring-security-oauth2-autoconfigure 问题描述:在微信小程序登录时我们得到的是code,需要自己的服务器换取openid,再得到本系统对应的用户。现在我想使用spring security oauth2在查到对应的用户后可以生成token,整体思路如下图 因为整个架构涉及很多自定义的类,自...
Spring Authorization Server的使用
zzy7075的专栏
05-21 549
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
token会被截取吗_OAuth2 为什么要用 code token
weixin_39941262的博客
11-22 1729
先简单介绍下 OAuth2,再用一个例子说明下为什么要用 code tokenOAuth2 简单介绍4 个角色resource owner可以授权访问被保护资源的实体,如果是人的话,即是最终用户resource server存储被保护资源的服务器,使用 access token 可以访问受保护的资源client经由 resource owner(即用户) 授权,访问受保护资源的应用程...
SpringBoot2+SpringSecurity+JWT+VUE(ElementUI) 支持自定义登陆Token 配置(六位随机码code) 艰苦配置历程
u014212540的博客
12-30 1641
SpringBoot2 +SpringSecurity +JWT 自定义token
Spring官宣新家族成员:Spring Authorization Server
m0_63437643的博客
12-16 439
8月17日,Spring官方宣布 Spring Authorization Server 已正式脱离实验状态,并进入Spring-Project家族!正在上传…重新上传取消​编辑添加图片注释,不超过 140 字(可选)背景Spring Authorization Server (以下简称 SAS)是 Spring 团队最新开发适配 OAuth 协议的授权服务器项目,旨在替代原有的 Spring Security OAuth Server
Springcloud gateway怎么通过访问Spring authorization server检验token
06-02
Spring Cloud Gateway 中,你可以通过 Spring Security OAuth2 来验证 Access Token。具体来说,你可以在 Spring Cloud Gateway 中使用 Spring Security OAuth2 的 ResourceServerConfigurerAdapter 来配置资源服务器。 以下是一些基本步骤: 1. 在 Spring Cloud Gateway 的配置类中,添加 @EnableWebFluxSecurity 注解来启用 Spring Security。 2. 实现一个 ResourceServerConfigurerAdapter 类,并在其中配置资源服务器的信息。其中包括: - 配置 JWT Token 的解析器和验证器 - 配置 Access Token 的验证规则 具体可以参考 Spring Security OAuth2 的官方文档。 3. 在 Spring Cloud Gateway 的配置类中,添加一个路由规则,来将请求转发到 Spring Authorization Server 进行验证。例如: ``` .route("oauth", r -> r.path("/oauth/**") .filters(f -> f.rewritePath("/oauth/(?<path>.*)", "/${path}") .oauth2ResourceServer(o -> o.jwt(j -> j.decoder(JwtDecoders.fromIssuerLocation("http://auth-server:8080/auth/realms/demo")))) .uri("http://auth-server:8080")) ``` 在这个路由规则中,我们将请求路径为 /oauth/** 的请求转发到认证服务器,并使用 jwt 解码器进行解码和验证。 注意,你需要在认证服务器的配置中,开启 CORS 支持,以便 Spring Cloud Gateway 可以跨域访问认证服务器。 以上是一些基本步骤,你可以根据自己的具体需求和情况进行适当调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值