OAuth 2.0认证授权 流程 以及Spring Security OAuth 2.0

已于 2022-10-15 11:03:09 修改
阅读量671 收藏 1
点赞数
分类专栏: 基础 文章标签: java spring jwt oauth2 Spring Security
于 2021-05-12 13:06:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010020726/article/details/116644505
版权

原理

  1. 在对称加密体系中,公钥用来加密信息,私钥用来数字签名。或者说只有一个密钥 AES、DES (比如ssh 公钥登陆,用户将自己的公钥储存在远程主机上authorized_keys , 登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell
  2. 在非对称加密体系中, 要有一对密钥对 ,一个被称为私钥,一个称为公钥。把公钥分发给想给你传密文的用户,然后用户使用该公钥加密过得密文,只有使用私钥才能解密 RSA

双向认证 甲乙各自有一对公私钥 ,甲先用乙的公钥加密这段数据,再用自己的私钥加密这段加密后的数据,最后再发给乙。乙 先用甲的公钥解密,再用自己私钥解密 (这样确保了内容即不会被读取,也不会被篡改。)
.
非对称加密比对称加密的效率低,因此在实际的通信过程中一般会同时使用非对称加密和对称加密来实现数据加密传输
例如 https, 首选浏览器向网站服务器请求,服务器把公钥A明文给传输浏览器。浏览器随机生成一个用于对称加密的密钥clientAesKey,用公钥A加密后传给服务器。服务器用私钥 解密 后还原成clientAesKey , 之后双方所有数据都通过密钥clientAesKey 加密解密 ,这样是防止不了中间人攻击,因此还需要CA数字证书

现象

  1. 访问oauth授权的URI以启动OAuth2流程:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client

  2. 重定向到登录页面:http://localhost:8080/server/login

  3. 处理批准并重定向到我配置的重定向页面,其中包含一个代码参数:http://localhost:8080/client?code=HMJO4K

  4. 使用基本身份验证使用客户端ID和密码以及授权类型和代码构造GET请求:http://localhost:8080/server/oauth/token?grant_type=authorization_code&code=HMJO4K

  5. 作为回报接收access_token和刷新令牌对象

{
     "access_token": "f853bcc5-7801-42d3-9cb8-303fc67b0453",
     "token_type": "bearer",
     "refresh_token": "57100377-dea9-4df0-adab-62e33f2a1b49",
     "expires_in": 3600,
     "scope": "read write"
}

  1. 尝试使用access_token访问受限资源:http://localhost:8080/server/me?access_token=f853bcc5-7801-42d3-9cb8-303fc67b0453

  2. 令牌过期,再次POST到令牌uri以刷新令牌http://localhost:8080/server/oauth/token?grant_type=refresh_token&refresh_token=57100377-dea9-4df0-adab-62e33f2a1b49

Spring Security流程

认证

  1. 用户登陆,会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,
  2. AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等)
  3. 如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。

授权

  1. 访问资源,访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,
  2. 再调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,然后根据所配的策略
    AccessDecisionManager实现有:一票通过AffirmativeBased,,
    – 一票通过AffirmativeBased
    – 一票否定UnanimousBased
    – 少数服从多数ConsensusBased
  3. 再邀请AccessDecisionVoter 投票器参与投票,如果权限足够,则返回,权限不够则报错并调用权限不足页面。
    AccessDecisionVoter 实现有
    AuthenticatedVoter 根据认证对象的级别进行投票,具体查询完整认证用户、记住我认证或匿名认证
    RoleVoter 基于任何一个以“ROLE_”开头的配置属性进行投票. 如果符合条件,则搜索认证对象的GrantedAuthority列表.
    WebExpressionVoter 允许我们使用 SpEL (Spring Expression Language) 去授权使用@PreAuthorize注解的请求.
aaaak_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3243
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
SpringSecurityOAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 2674
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
使用OATH Toolkit实现ssh登录时进行TOTP双因子认证
最新发布
MengMengDeXiaoJi的博客
05-12 1073
双因子认证(英语:Two-factor authentication,缩写为2FA),又译为双重验证、双因子验证、双因素验证、二元认证,是多重要素验证中的一个特例,使用两种不同的元素,合并在一起,来确认用户的身份。传统的单一密码认证(即知识要素,如用户名和密码)容易受到攻击,因此,为了增强安全性,双因子认证引入了至少还需要第二种形式的认证。:用户知道的东西,例如密码、PIN码。:用户拥有的东西,如安全令牌、智能卡、手机(通过短信或认证应用生成的一次性代码)。
Oauth2与Spring Security框架的认证授权管理
小蜜蜂1010的博客
10-24 926
又到了一年一度的1024程序员节,需要守住csdn的1024勋章,准备总结一点关于授权相关的知识点!
Spring Security OAuth2 自定义GrantedAuthority授权接口
OceanSky的专栏
07-30 9813
使用security oatuh2的时候需要返回给前端用户的角色或者权限,框架提供了GrantedAuthority接口,有一个默认的实现SimpleGrantedAuthority,但是它只能返回简单 的字符串,如果我们想灵活的使用很难控制;所以我这边通过实现GrantedAuthority接口,自定义实现权限控制; 1.自定义授权接口如下 package com.yaomy.security....
理解 OAuth 2.0 认证流程
SecularBird的专栏
08-31 474
OAuth 2.0 是广泛使用的授权标准,设计的本身也有许多安全性的考量。本文浅尝辄止,只介绍 Authorization Code 与 Implicit 模式的授权过程,而这些流程背后想要解决的问题,需要另选学习。假设我们的网站有一个功能是同步用户在 Github 的所有仓库。(更多安全相关的考虑参考最后的参考文章)...
Spring-Security-Oauth整合Spring-Security,拦截器
盲目的拾荒者的博客
04-22 1万+
程序的目的主要是,在自己开发的web项目中,即提供前端页面调用访问得接口(带有安全机制),也提供第三方调用的API(基于授权认证的). 在整合的过程中发现SpringSecurity不能到即处理自己的web请求也处理第三方调用请求。所以采用拦截器拦截处理本地的web请求,spring-security-oauth对第三方认证请求进行认证授权。如果对Oauth2.0不熟悉请参考Oauth2.0介...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权流程、隐式授权流程、密码流程和客户端凭证流程等。 二、短信验证码登录示例 在该示例中,我们将使用 Spring Security Oauth2.0 实现...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统的认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
通过扩展Spring Security,我们可以将其与OAuth2.0结合起来,实现现代Web服务的安全认证授权流程OAuth2.0的核心概念包括四个主要角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
oauth2.0核心加解密工具,里面有详细说明
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
springsecurity+oauth2.0分布式认证授权*-资源服务order对用户权限进行拦截10
健康平安的活着的专栏
09-04 795
一微服务用户鉴权拦截 当微服务收到明文token时,应该怎么鉴权拦截呢?自己实现一个fifilter?自己解析明文token,自己定义一套资源访问策略? 能不能适配Spring Security呢,是不是突然想起了前面我们实现的Spring Security基于token认证例子。咱们还拿 统一用户服务作为网关下游微服务,对它进行改造,增加微服务用户鉴权拦截功能 二 操作 2.1 在资源order服务中进行修改 2.2Spring Security配置 开启方法保护,并增加Spr..
拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
极客on之路
10-10 340
拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别 https://blog.csdn.net/zxd1435513775/article/details/80556034
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3189
oauth2.0 密码方式认证分析
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4778
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
开发笔记 | 认证授权+Spring Security+OAuth2快速学习笔记
qq_37630282的博客
07-18 2204
认证授权+Spring Security+OAuth2学习笔记
详细介绍OAuth2.0及实现和SpringSecurity的整合应用
热门推荐
波波烤鸭的博客
12-12 1万+
一、OAuth2.0介绍 GitHub地址案例代码地址 1.概念说明   先说OAuthOAuth是Open Authorization的简写。   OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全...
springsecurity oauth2.0认证流程
05-12
具体来说,Spring Security OAuth2.0的认证流程如下: 1. 客户端向认证服务器发送认证请求。 2. 认证服务器验证客户端的身份,并向客户端发送授权码。 3. 客户端使用授权码向认证服务器发送访问令牌请求。 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值