Oauth2方式实现单点登录

最新推荐文章于 2024-04-13 16:55:46 发布
最新推荐文章于 2024-04-13 16:55:46 发布
阅读量1.6w 收藏 150
点赞数 13
分类专栏: java 文章标签: java 单点登录 Oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011296165/article/details/107683445
版权

下面先简单介绍一下Oauth2的原理

Oauth2是什么?

Oauth2是一种授权机制,用来授权给第三方应用,获取用户数据。

Oauth2是什么的解释 这是阮一峰老师的解释,因此解释的比较好了,就不在此重复了。

Oauth2 的原理

Oauth2 有四种授权模型 授权码,隐藏式,密码式,凭证式 目前主流的形式是授权码方式。 我们项目中使用的也是授权码方式。 这里就只介绍一下授权码方式 。

授权码方式

这块的内容完全是引用于Oauth2原理 只是为了方便大家截阅读不用在来回跳转。 其他的几种方式可以去这篇文章中查看。

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

上面 URL 中,response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求的授权范围(这里是只读)。
在这里插入图片描述

第二步,用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码,就像下面这样。
https://a.com/callback?code=AUTHORIZATION_CODE
上面 URL 中,code参数就是授权码。
在这里插入图片描述

第三步,A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。


https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

上面 URL 中,client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址。

在这里插入图片描述

第四步,B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

上面 JSON 数据中,access_token字段就是令牌,A 网站在后端拿到了。

在这里插入图片描述

单点登录的实现

下面我们就要开始动手了。

第一步,配置哪些应用可以到我们服务器中来获取认证。

可以看下图里面的关键往上,clientId,redirectUri 就是我们在上面的原理介绍中包括的, 这里还有一个关键的信息 就是clientSecret 。 因此我们不能随便让人拿到clientId 就能来我们服务器中认证。 我们需要一点案例机制。就是生成一个密钥,告诉第三方的应用,让他请求授权的时候,把这个密钥带上,否则就是非法请求。 其他的参数只是为了管理方便使用。
在这里插入图片描述

第二步: 获取授权码

下面可以看看真实的请求路径

http://127.0.0.1:9999/tboot/oauth2/authorize?username=superman&password=123456&code=560p&client_id=1287990317873762304&redirect_uri=http:%2F%2F127.0.0.1:10001%2F&state=1234

下面看看java代码

  @RequestMapping(value = "/authorize", method = RequestMethod.GET)
    @ApiOperation(value = "认证获取code")
    public Result<Object> authorize(@ApiParam("用户名") @RequestParam String username,
                                    @ApiParam("密码") @RequestParam String password,
                                    @ApiParam("客户端id") @RequestParam String client_id,
                                    @ApiParam("成功授权后回调地址") @RequestParam String redirect_uri,
                                    @ApiParam("授权类型为code") @RequestParam(required = false, defaultValue = "code") String response_type,
                                    @ApiParam("客户端状态值") @RequestParam String state

                                   ){

        Client client = clientService.getById(client_id);

        if(client==null){
            return ResultUtil.error("客户端client_id不存在");
        }

     
        User user = userService.findByUsername(username);
        if(user==null){
            return ResultUtil.error("用户名不存在");
        }
        if(!new BCryptPasswordEncoder().matches(password, user.getPassword())){
            return ResultUtil.error("用户密码不正确");
        }
        // 判断回调地址
        if(!client.getRedirectUri().equals(redirect_uri)){
            return ResultUtil.error("回调地址redirect_uri不正确");
        }
        // 生成code 5分钟内有效
        String code = UUID.randomUUID().toString().replace("-", "");
        // 存入用户及clientId信息
        redisTemplate.opsForValue().set("oauthCode:"+code, new Gson().toJson(new Oauth2TokenInfo(client_id, username)), 5L, TimeUnit.MINUTES);
        Map<String, Object> map = new HashMap<>(16);
        map.put("code", code);
        map.put("redirect_uri", redirect_uri);
        map.put("state", state);
        return ResultUtil.data(map);
    }

第三步: 获取token

这样就返回了授权码,然后夺通过 授权码获取accessToken就算完成了。

查看请求路径

http://127.0.0.1:10001/tboot/oauth2/token?code=3838482b50b1447e81cbf9e52403f629&response_type=code&grant_type=authorization_code&client_id=1287990317873762304&client_secret=f3ede985786a40c2b0d7c341c83af4f3&redirect_uri=http:%2F%2F127.0.0.1:10001%2F

查看java代码

 @RequestMapping(value = "/token", method = RequestMethod.GET)
    @ApiOperation(value = "获取accessToken令牌")
    public Result<Object> token(@ApiParam("授权类型") @RequestParam String grant_type,
                                @ApiParam("客户端id") @RequestParam String client_id,
                                @ApiParam("客户端秘钥") @RequestParam String client_secret,
                                @ApiParam("认证返回的code") @RequestParam(required = false) String code,
                                @ApiParam("刷新token") @RequestParam(required = false) String refresh_token,
                                @ApiParam("成功授权后回调地址") @RequestParam(required = false) String redirect_uri){

        Client client = clientService.getById(client_id);
        if(client==null){
            return ResultUtil.error("客户端client_id不存在");
        }
        // 判断clientSecret
        if(!client.getClientSecret().equals(client_secret)){
            return ResultUtil.error("client_secret不正确");
        }
        Oauth2TokenInfo tokenInfo = null;
        if("authorization_code".equals(grant_type)){
            // 判断回调地址
            if(!client.getRedirectUri().equals(redirect_uri)){
                return ResultUtil.error("回调地址redirect_uri不正确");
            }
            // 判断code 获取用户信息
            String codeValue = redisTemplate.opsForValue().get("oauthCode:"+code);
            if(StrUtil.isBlank(codeValue)){
                return ResultUtil.error("code已过期");
            }
            tokenInfo = new Gson().fromJson(codeValue, Oauth2TokenInfo.class);
            if(!tokenInfo.getClientId().equals(client_id)){
                return ResultUtil.error("code不正确");
            }
        } else if ("refresh_token".equals(grant_type)){
            // 从refreshToken中获取用户信息
            String refreshTokenValue = redisTemplate.opsForValue().get("oauthTokenInfo:"+refresh_token);
            if(StrUtil.isBlank(refreshTokenValue)){
                return ResultUtil.error("refresh_token已过期");
            }
            tokenInfo = new Gson().fromJson(refreshTokenValue, Oauth2TokenInfo.class);
            if(!tokenInfo.getClientId().equals(client_id)){
                return ResultUtil.error("refresh_token不正确");
            }
        } else {
            return ResultUtil.error("授权类型grant_type不正确");
        }

        String token = null, refreshToken = null;
        Long expiresIn = null;
        String tokenKey = "oauthToken:"+client_id+":"+tokenInfo.getUsername(), refreshKey = "oauthRefreshToken:"+client_id+":"+tokenInfo.getUsername();
        if("authorization_code".equals(grant_type)){
            // 生成token模式
            String oldToken = redisTemplate.opsForValue().get(tokenKey);
            String oldRefreshToken = redisTemplate.opsForValue().get(refreshKey);
            if(StrUtil.isNotBlank(oldToken)&&StrUtil.isNotBlank(oldRefreshToken)){
                // 旧token
                token = oldToken;
                refreshToken = oldRefreshToken;
                expiresIn = redisTemplate.getExpire("oauthTokenInfo:"+token, TimeUnit.SECONDS);
            } else {
                // 新生成 30天过期
                String newToken = UUID.randomUUID().toString().replace("-", "");
                String newRefreshToken = UUID.randomUUID().toString().replace("-", "");
                redisTemplate.opsForValue().set(tokenKey, newToken, 30L, TimeUnit.DAYS);
                redisTemplate.opsForValue().set(refreshKey, newRefreshToken, 30L, TimeUnit.DAYS);
                // 新token中存入用户信息
                redisTemplate.opsForValue().set("oauthTokenInfo:"+newToken, new Gson().toJson(tokenInfo),30L, TimeUnit.DAYS);
                redisTemplate.opsForValue().set("oauthTokenInfo:"+newRefreshToken, new Gson().toJson(tokenInfo),30L, TimeUnit.DAYS);
                token = newToken;
                refreshToken = newRefreshToken;
                expiresIn = redisTemplate.getExpire(token, TimeUnit.SECONDS);
            }
        } else if("refresh_token".equals(grant_type)) {
            // 刷新token模式 生成新token 30天过期
            String newToken = UUID.randomUUID().toString().replace("-", "");
            String newRefreshToken = UUID.randomUUID().toString().replace("-", "");
            redisTemplate.opsForValue().set(tokenKey, newToken, 30L, TimeUnit.DAYS);
            redisTemplate.opsForValue().set(refreshKey, newRefreshToken, 30L, TimeUnit.DAYS);
            // 新token中存入用户信息
            redisTemplate.opsForValue().set("oauthTokenInfo:"+newToken, new Gson().toJson(tokenInfo),30L, TimeUnit.DAYS);
            redisTemplate.opsForValue().set("oauthTokenInfo:"+newRefreshToken, new Gson().toJson(tokenInfo),30L, TimeUnit.DAYS);
            token = newToken;
            refreshToken = newRefreshToken;
            expiresIn = redisTemplate.getExpire("oauthTokenInfo:"+token, TimeUnit.SECONDS);
            // 旧refreshToken过期
            redisTemplate.delete("oauthTokenInfo:"+refresh_token);
        }

        Map<String, Object> map = new HashMap<>(16);
        map.put("access_token", token);
        map.put("expires_in", expiresIn);
        map.put("refresh_token", refreshToken);
        return ResultUtil.data(map);
    }

就可以获取相当的信息在这里插入图片描述
在通过 accessTonken 就可去资源服务器去获取相应的用户信息了。

重要

猿来衣舍

这是博主开的淘宝小店,主要经营舒适保暖的服饰,**有纯棉防臭袜子、主题卫衣、恒温发热保暖衣**。欢迎大家选购。一个人能够走多远,关键在于与谁同行,我用跨越山海的一路相伴,希望得到您用金钱的称赞。
猿来衣舍
猿来衣舍
猿来衣舍
猿来衣舍

打开淘宝搜索 “猿来衣舍”这四个字就可以搜到小店,希望大家多多支持。

交个朋友吧

在这里插入图片描述

田培融
关注
  • 13
    点赞
  • 150
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
OAuth2.0实现单点登录
GSON的博客
06-11 1632
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
Spring Security OAuth2基于JWT实现单点登录
weixin_38927257的博客
11-22 1118
文章目录引言Security OAuth2 单点登录流程示意图Security OAuth2 实现单点登录项目结构sso-server认证服务器security配置SsoUserDetailsServiceapplication.ymlsso-client1SsoClient1Applicationapplication.ymlsso-client2同sso-client1一致 引言 单点登录...
这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了!
最新发布
2401_83916204的博客
04-13 1020
spring-cloud-starter-oauth2包含了 spring-cloud-starter-security,所以不用再单独引入了。之所以引入 redis 包,是因为下面会介绍一种用 redis 存储 token 的方式。2、配置好 application.yml将项目基本配置设置好,并加入有关 redis 的配置,稍后会用到。
OAuth 2 实现单点登录,通俗易懂!
程序员高级码农的博客
02-20 3739
与常规服务架构不同,在微服务架构中,Authorization Server/Resource Server 是作为微服务存在的,用户的登录可以通过API网关一次性完成,无需与无法跳转至内网的 Authorization Server 来完成。(6)张三再次来到“授权信开具处”,出示身份证明信和档案局A的标识,该处从私用数据库中查得,张三的官职是市长级别(角色),该官职具有档案局A的查询权限,就开具“允许张三查询档案局A”的授权信():以“档案局ID/密码”标识,是掌握档案资源的机构。
OAuth2单点登录实现
lixiang987654321的专栏
08-02 2542
OAuth2客户端注解 一、介绍 1、相关概念 首先,要说明使用之前,我们来了解一下oauth2提供的几个注解相关功能: @EnableOAuth2Client 客户端,提供OAuth2RestTemplate,用于客户端访问资源服务。 简要步骤:客户端访问资源->客户端发现没有资源访问token->客户端根据授权类型生成跳转url->浏览器 302 到认证授权服务进行认证、授权。 @EnableOAuth2Sso 应用系统,使用远端认证授权服务,替换应用自身的用户登录鉴权securit
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
C# OAuth单点登录实现
laizhixue的博客
03-31 1563
单点登录(Single Sign-On,简称SSO)是一种身份验证技术,它允许用户使用一组凭据(如用户名和密码)登录多个相关但独立的系统,而无需在每个系统中都进行登录操作。下面是一个简单的SSO实现示例:假设我们有两个应用程序:App A和App B。这两个应用程序都信任同一个身份验证服务(Identity Service)。用户登录:用户首先访问App A的登录页面。用户输入用户名和密码,并提交给App A。App A将用户的登录信息转发给Identity Service进行验证。
Oauth2单点登录 vue前后端分离实现
weixin_39515823的博客
04-16 4119
Oauth2+Vue实现前后端分离,多域名下的单点登录
Oauth2.0实现单点登录的原理流程
锋声的博客
11-27 850
Oauth2.0实现单点登录的原理流程1、什么是单点登录2、OAuth2 认证授权的原理流程3、基于 SpringBoot 实现认证/授权4、综合运用 1、什么是单点登录 1.1 多点登录 传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。如下图,有两个术语含义如下: 认证(authentication): 验证用户的身份; 授权(authorization): 验证用户的访问权限。 1.2 单点登录 单点登录,英文是 S
Spring Boot+OAuth2单点登录
zxc_123_789的博客
08-28 606
一. 搭建统一认证中心 (port:1111) 1.1 引入依赖 1.2 资源服务器 项目创建成功之后,这个模块由于要扮演授权服务器+资源服务器的角色,所以我们先在这个项目的启动类上添加 @EnableResourceServer 注解,表示这是一个资源服务器: @SpringBootApplication @EnableResourceServer public class AuthServerApplication { public static void main(String[] arg
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
使用Spring Security OAuth2实现单点登录
08-25
使用Spring Security OAuth2实现单点登录 概述: 在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录(SSO)。单点登录是一种身份验证机制,允许用户使用一个身份验证凭证访问多个相关...
OAuth2+ SSO实现单点登录
07-18
OAuth2+ SSO实现单点登录,包括源码 看别人写的代码好像很简单似,到自己写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让...
springboot+oauth2单点登录.rar
04-13
springboot2.0+oauth搭建的SSO单点登录的源码,仅仅实现登录功能,无需积分即可下载,如有问题请留言
模拟OAuth2 单点登录
09-05
当你提到“模拟OAuth2 单点登录的java代码实现”时,我们可以探讨以下几个关键知识点: 1. **OAuth2 授权流程**: OAuth2 提供了四种授权类型:授权码(Authorization Code)、隐式(Implicit)、密码(Resource ...
StringUtils.split用法
田培融的博客
11-23 1万+
示例代码: String val = "abcd**aaa*b****ccc***ddd**qqq"; String[] split = StringUtils.split(val, "*", 2); for (String s : split) { System.out.println(s); } 结果: 解释: 重点说第三个参数 max = 2 是说将字符串最...
java并行流
田培融的博客
08-13 6636
在java7之前,处理并行数据非常麻烦. 第一:你得明确的把包含的数据结构分成若干子部分. 第二:你要给每个子部分分配独立的线程. 第三:你需要在恰当的时候对他们进行同步,来避免不希望出现的竞争条件,等待所有线程完成,最后把这些结果合并起来. 在前面的文章中,我们介绍了 Stream接口,让你可以很方便的处理它的元素,可以调用ParallelStream 方法把集合转换成并行流. 并行流就是把一个...
工作流中文乱码问题解决
田培融的博客
06-03 902
OAuth2单点登录与SpringSecurity实现解析
"该资源是关于SpringSecurity结合OAuth2实现单点登录(SSO)的讲解。主要内容涵盖了OAuth2.0的发展历史、角色定义、协议流程、授权模式以及在实际系统中的设计,同时提及了SSO的实现分析。" 在讲解OAuth2.0时,我们...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值