Spinrg Security原理 ------OAuth原理(一)

最新推荐文章于 2023-06-21 12:30:30 发布
最新推荐文章于 2023-06-21 12:30:30 发布
阅读量643 收藏 1
点赞数 1
分类专栏: springboot 文章标签: springboot oauth security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010811939/article/details/89486841
版权

目录

准备工作

环境springboot2.0+

在pom.xml文件中增加

<dependency>
	 <groupId>org.springframework.boot</groupId>
	 <artifactId>spring-boot-starter-security</artifactId>
</dependency>
 <dependency>
	 <groupId>org.springframework.security.oauth.boot</groupId>
	 <artifactId>spring-security-oauth2-autoconfigure</artifactId>
	 <version>2.1.0.RELEASE</version>
</dependency>

spring security oauth2 中的 endpoint(聊聊spring security oauth2的几个endpoint的认证)
/oauth/authorize(授权端,授权码模式使用)
/oauth/token(令牌端,获取 token)
/oauth/check_token(资源服务器用来校验token)
/oauth/confirm_access(用户发送确认授权)
/oauth/error(认证失败)
/oauth/token_key(如果使用JWT,可以获的公钥用于 token 的验签)

解析

认证服务器

增加@EnableAuthorizationServer注解

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Import({AuthorizationServerEndpointsConfiguration.class, AuthorizationServerSecurityConfiguration.class})
public @interface EnableAuthorizationServer {

}

AuthorizationServerSecurityConfiguration:OAuth认证服务器拦截器配置,继承自WebSecurityConfigurerAdapter,在这个里边会加载实现AuthorizationServerConfigurer的所有类(配置Oauth的主类)。

在Springboot 自动配置OAuth2AutoConfiguration类中

@Configuration
@ConditionalOnClass({ OAuth2AccessToken.class, WebMvcConfigurer.class })
@Import({ OAuth2AuthorizationServerConfiguration.class,// 2
		OAuth2MethodSecurityConfiguration.class, OAuth2ResourceServerConfiguration.class,
		OAuth2RestOperationsConfiguration.class })
@AutoConfigureBefore(WebMvcAutoConfiguration.class)
@EnableConfigurationProperties(OAuth2ClientProperties.class)
public class OAuth2AutoConfiguration {// 1
}

OAuth2AuthorizationServerConfiguration实现AuthorizationServerConfigurer,会被步骤1中加载,OAuth2AuthorizationServerConfiguration主要用来配置ClientDetailsServiceConfigurer、AuthorizationServerSecurityConfigurer、AuthorizationServerEndpointsConfigurer类信息
(如果自定义AuthorizationServerConfigurerAdapter,不会加载OAuth2AuthorizationServerConfiguration配置,加载自定义)

  • ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
  • AuthorizationServerSecurityConfigurer:用来配置令牌端点(Token Endpoint)的安全约束.
  • AuthorizationServerEndpointsConfigurer:用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)。

ClientDetailsServiceConfigurer

ClientDetailsServiceConfigurer (AuthorizationServerConfigurer 的一个回调配置项) 能够使用内存或者JDBC来实现客户端详情服务(ClientDetailsService),Spring Security OAuth2的配置方法是编写@Configuration类继承AuthorizationServerConfigurerAdapter,然后重写void configure(ClientDetailsServiceConfigurer clients)方法,如:

@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
   // 使用JdbcClientDetailsService客户端详情服务
   clients.withClientDetails(new JdbcClientDetailsService(dataSource));
}

这里使用Jdbc实现客户端详情服务,数据源dataSource不做叙述,使用框架默认的表,schema链接

AuthorizationServerEndpointsConfigurer

配置令牌 管理 (jwtAccessTokenConverter)

JwtAccessTokenConverter是用来生成token的转换器,而token令牌默认是有签名的,且资源服务器需要验证这个签名。此处的加密及验签包括两种方式:
对称加密、非对称加密(公钥密钥)

对称加密需要授权服务器和资源服务器存储同一key值,而非对称加密可使用密钥加密,暴露公钥给资源服务器验签,本文中使用对称加密方式,配置于AuthorizationServerConfigurerAdapter如下:

public JwtAccessTokenConverter jwtAccessTokenConverter() {
	JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
	accessTokenConverter.setSigningKey("gggg");
	return accessTokenConverter;
}
	
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
	endpoints.accessTokenConverter(jwtAccessTokenConverter());
}

AuthorizationServerSecurityConfigurer:

@Override
public void configure(AuthorizationServerSecurityConfigurer security)
			throws Exception {
	security.tokenKeyAccess("isAuthenticated()");
}
流程

发起请求对应的url地址:/oauth/authorize(具体请看AuthorizationEndpoint类)
在这里插入图片描述

通过授权码获取token 对应的url地址:/oauth/token (具体请看TokenEndpoint类)
在这里插入图片描述

资源服务器

增加@EnableAuthorizationServer注解

@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Import(ResourceServerConfiguration.class)
public @interface EnableResourceServer {

}

在Springboot 自动配置OAuth2AutoConfiguration类中

@Configuration
@ConditionalOnClass({ OAuth2AccessToken.class, WebMvcConfigurer.class })
@Import({ OAuth2AuthorizationServerConfiguration.class,// 2
		OAuth2MethodSecurityConfiguration.class, OAuth2ResourceServerConfiguration.class,
		OAuth2RestOperationsConfiguration.class })
@AutoConfigureBefore(WebMvcAutoConfiguration.class)
@EnableConfigurationProperties(OAuth2ClientProperties.class)
public class OAuth2AutoConfiguration {// 1
}

OAuth2ResourceServerConfiguration中加载相关类

扩展:Security自动配置和Security生成拦截器配置

可以看出自动配置OAuth的时候有WebSecurityConfigurerAdapter 实现类,所以不会加载SpringBootWebSecurityConfiguration 生成拦截器,具体请看下文springboot1.5+和springboot2.0+ 生成的拦截器的区别

@Configuration
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {
}

@Configuration
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = Type.SERVLET)
public class SpringBootWebSecurityConfiguration {

	@Configuration
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

	}

}

springboot1.5+和springboot2.0+ 生成的拦截器的区别

springboot2.0+
[
    [
        OrRequestMatcher[
            requestMatchers=[
                Ant[
                    pattern='/oauth/token'
                ],
                Ant[
                    pattern='/oauth/token_key'
                ],
                Ant[
                    pattern='/oauth/check_token'
                ]
            ]
        ],
        [
            org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@7f0b93b4,
            org.springframework.security.web.context.SecurityContextPersistenceFilter@7f4596d0,
            org.springframework.security.web.header.HeaderWriterFilter@5d878b25,
            org.springframework.security.web.authentication.logout.LogoutFilter@18b6d3c1,
            org.springframework.security.web.authentication.www.BasicAuthenticationFilter@1859ffda,
            org.springframework.security.web.savedrequest.RequestCacheAwareFilter@588545ac,
            org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@f238e4f,
            org.springframework.security.web.authentication.AnonymousAuthenticationFilter@1376883,
            org.springframework.security.web.session.SessionManagementFilter@390037e7,
            org.springframework.security.web.access.ExceptionTranslationFilter@18d11527,
            org.springframework.security.web.access.intercept.FilterSecurityInterceptor@69cd7630
        ]
    ]
]


--------------------------------------------------------------------------------------------------------------
springboot1.5+
[
    [
        OrRequestMatcher[
            requestMatchers=[
                Ant[
                    pattern='/css/**'
                ],
                Ant[
                    pattern='/js/**'
                ],
                Ant[
                    pattern='/images/**'
                ],
                Ant[
                    pattern='/webjars/**'
                ],
                Ant[
                    pattern='/**/favicon.ico'
                ],
                Ant[
                    pattern='/error'
                ]
            ]
        ],
        [
            
        ]
    ],
    [
        OrRequestMatcher[
            requestMatchers=[
                Ant[
                    pattern='/oauth/token'
                ],
                Ant[
                    pattern='/oauth/token_key'
                ],
                Ant[
                    pattern='/oauth/check_token'
                ]
            ]
        ],
        [
            org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@56e9a474,
            org.springframework.security.web.context.SecurityContextPersistenceFilter@3a90c13c,
            org.springframework.security.web.header.HeaderWriterFilter@6aa7b67f,
            org.springframework.security.web.authentication.logout.LogoutFilter@365cdacf,
            org.springframework.security.web.authentication.www.BasicAuthenticationFilter@3ba348ca,
            org.springframework.security.web.savedrequest.RequestCacheAwareFilter@188598ad,
            org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@3a1706e1,
            org.springframework.security.web.authentication.AnonymousAuthenticationFilter@45b15381,
            org.springframework.security.web.session.SessionManagementFilter@590f0c50,
            org.springframework.security.web.access.ExceptionTranslationFilter@2721044,
            org.springframework.security.web.access.intercept.FilterSecurityInterceptor@3d0cac1f
        ]
    ],
    [
        OrRequestMatcher[
            requestMatchers=[
                Ant[
                    pattern='/**'
                ]
            ]
        ],
        [
            org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@7316523a,
            org.springframework.security.web.context.SecurityContextPersistenceFilter@4b960b5b,
            org.springframework.security.web.header.HeaderWriterFilter@7ed3df3b,
            org.springframework.security.web.authentication.logout.LogoutFilter@64dae3b7,
            org.springframework.security.web.authentication.www.BasicAuthenticationFilter@1fedf0a4,
            org.springframework.security.web.savedrequest.RequestCacheAwareFilter@1b13467c,
            org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@7bd96822,
            org.springframework.security.web.authentication.AnonymousAuthenticationFilter@33a55bd8,
            org.springframework.security.web.session.SessionManagementFilter@465b38e6,
            org.springframework.security.web.access.ExceptionTranslationFilter@d5bb1c4,
            org.springframework.security.web.access.intercept.FilterSecurityInterceptor@784223e9
        ]
    ]
]

Spinrg Security原理 ------OAuth使用认证服务器(二)

参考文献:
Spring Security OAuth 2.0
Spring Cloud OAuth2(一) 搭建授权服务

言玉gz
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4498
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权。
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇
虚幻私塾
01-12 4333
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。 (关于总体流程,若对SS实在不熟悉可以简单理解为:Filte
Spring Security OAuth2授权原理、流程与源码解读
最新发布
swg321321的博客
06-21 1724
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
springcloud — 微服务鉴权管理之OAuth2原理解析(一)
qq_38658567的博客
08-05 1590
Spring Security OAuth2建立在Spring Security的基础之上,实现了OAuth2的规范,Spring Cloud Security模块用于构建安全的应用程序和服务。在Spring Boot和Spring Security OAuth2的基础上,我们可以快速创建实现常见模式(如单点登录,令牌中继和令牌交换)的系统。 Spring OAuth2.0 提供者实现原理 Spring OAuth2.0提供者实际上分为: 授权服务 Authorization Service 资源服务 R
Springboot + oauth2 单点登录 - 原理
qq_39749620的博客
05-25 5229
一、前言 1.什么是OAuth2? OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 二、Oauh2详细介绍 1.OAuth2四种授权模式 授权码模式(authorization code) 密码模式(resource owner pass
Spring Security使用Oauth2时的跨域问题
LJL's博客
01-12 2897
Spring Security使用Oauth2时的跨域问题
spring-Security-oauth2.zip
05-26
资源服务器和授权服务器的讲解
spring-security-oauth2详细配置demo
09-30
spring-security-oauth2详细配置demo 配套说明 https://blog.csdn.net/tiancxz/article/details/108856337
WeChat-OAuth:微信OAuth SDK
05-25
微信OAuth登录SDK Installation Composer (推荐) 把下面的配置加入你的composer.json文件 "henter/wechat-oauth": "dev-master" 然后使用来安装SDK composer install 如果故障或者不可用导致无法安装SDK的,可以使用...
jpsite-security-oauth2-open:微服务开放API授权平台
05-28
jpsite-security-oauth2-open(微服务开放API授权平台)本项目是一个基于oath2协议的应用,实现的的功能逻辑与,类似,都是同一套认证授权流程。项目结构简单易懂,却不偷工减料,在学习完本Demo后,Demo中的项目...
Spring Security Oauth2 如何鉴别Token是否有效
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
Spring Oauth2 Token处理原理
曳凡的博客
11-10 1952
前言 相信大家在开始时经常会分不清spring securityspring oauth2的区别,对于spring security都知道是鉴权,授权服务。而oauth2的提出是为了解决第三方软件登入时的授权问题,所以oauth2可以理解为资源授权服务。例如我们在打开王者荣耀游戏时,这时候系统会提醒我们使用qq还是微信登入,这时就是王者荣耀这个第三方软件申请qq或者微信的授权来登入对应的账号。 上面就是Oauth2中授权中最严谨的授权码模式流程,这篇文章主要是想分享一下客户端(也就是王者荣耀)在得到to
31、关于oauth2.0 认证服务器同时也是资源服务器(同一进程)不能使用access_token原因解析
lixiang987654321的专栏
03-12 2289
获的了access_token怎么使用?我们历经千辛万苦,才获取到access_token,那么获取到了access_token如何使用access_token? 1、单独的资源服务器如何使用access_token 在《30、oauth2.0认证服务器与资源服务器分离成不同服务(进程)或既是认证服务又是资源服务器》一文中,我们后面一段代码解释了核心过滤器 OAuth2Au...
SpringSecurityOauth原理
喝醉的咕咕鸟
03-20 3939
SpringSecurityOauth2包含了认证服务器和资源服务器,认证服务器是用来生成令牌(token),资源服务器是验证该请求是否存在令牌,如果存在才能通过,否则不通过。 认证服务器:在类上加上@EnableAuthorizationServer 认证服务器有4中授权模式: 1.用户名和密码模式 2.授权码模式 3.客户端模式 4.简化模式 关于这四种...
OAuth2.0 原理流程及其单点登录和权限控制
热门推荐
kefeng.wang 的博客
07-26 13万+
单点登录是多域名企业站点流行的登录方式。本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程。同时总结了权限控制的实现方案,及其在微服务架构中的应用。 作者:王克锋 出处:https://kefeng.wang/2018/04/06/oauth2-sso/ 版权:自由转载-非商用-非衍生-保持署名,转载请标明作者和出处。 1 什么是单点登录 1....
spring-oauth2原理及使用
yueguanyun的专栏
08-04 6913
spring-oauth2原理及使用 转自:http://patrick002.iteye.com/blog/2207795 spring-oauth2 (bearer)是基于spring-security的验证机制,对于第三方访问受限资源时通过token机制来验证 验证steps:  通过时序图来看一下,验证方式:   发送username, password, clie
由浅入深理解SpringSecurityOauth2框架原理
2017年
03-14 2308
图解Oauth2框架那些事
spring-security-oauth2-autoconfigure
04-03
Spring Security OAuth2 Autoconfigure is a module in the Spring Security framework that simplifies the configuration of OAuth2 authentication and authorization for RESTful web services. It provides pre...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值