SpringBootSecurity学习(14)前后端分离版之 OAuth2.0介绍

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量2k 收藏 3
点赞数 1
分类专栏: spring-boot-security学习 文章标签: springboot springboot-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011857851/article/details/102213604
版权

登录总结

前面基本介绍了security的常规用法,同时介绍了JWT和它的一个简单实现,基本上开发中遇到的登录问题都能解决了,即使在分布式开发,或者微服务开发中实现登录也基本没有问题了。security本身已经实现的比较完善的安全处理,加上JWT的验证方式,可以实现一个理想的登录功能。

我们来看登录,给用户一个账号,验证有效后登录成功,这一步是任何系统都无法避免的。无论这个账号只能登录一个系统还是像支付宝账号一样登录多个app,无论账号是用户名密码,还是手机验证码,或者邮箱等其他形式,可以说认证这一步是最基础的,无法避免。

登录成功后,通过授权可以让用户访问一些登录前无法访问的页面或者接口,而且无论session或者token,其实都是有有效期的,过了有效期就需要重新登录。从这种形式上看,授权包含了更多的场景,不仅是内部已经登录的用户,还有可能是第三方的应用,或者两个系统之间的信息交换等等。而且微服务的开发模式下,服务越来越多,可以被授权的内容也越来越多,如果没有统一的方式来管理这些接口资源的授权,会非常麻烦。因此,系统针对所有的访问需要有统一的认证和授权的机制,而 OAuth2.0 是我们实现这种统一认证授权非常好的一个选择。

OAuth2.0介绍

OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。最经典的场景就是我们使用QQ来进行第三方登录的时候,选择可以访问用户的哪些信息。关于OAuth 2.0的介绍,推荐读取阮一峰的三篇介绍文章,地址是:

这三篇文章是一个非常好和非常详细的OAuth2.0的入门。

关于OAuth2.0的理解,用来授权第三方应用,以前总是理解不到位的原因是,我没有站在不同的角度去分析思考。比如在使用QQ进行第三方登录时,是我们登录的软件需要获取我们qq账号的部分用户信息,因此需要腾讯的认证授权,我们需要在一键登录(授权)的时候,登录QQ,点击同意即可。

而如果我们作为开发人员,去设计一个OAuth2.0授权功能的时候,需要从开发人员角度去思考哪部分是我们要完成的功能,比如上面的QQ第三方登录,首先QQ软件是我们开发人员开发的,第三方应用有一个我们软件的QQ账号,第三方用户想在自己的软件上面展示第三方的QQ账号的部分用户信息,需要来我们的授权服务申请,同意后才能查询我们开发的软件中的用户信息,因此我们要开发的是一个基本的QQ服务(资源服务),一个授权服务,并且第三方可以在我方注册账号,或者可以给第三方分配账号。

关于第三方应用,可以是其它公司的系统,也可以本公司架构内的其它服务,大家可以根据阮一峰的文章,参考开发人员的任务属于文章中的哪些内容。这样,对开发OAuth2.0和使用OAuth2.0会有清晰的区分和理解。

SSO单点登录

单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。

当用户第一次访问应用系统A的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统B和应用系统C了。

从上面的介绍可以看得出,单点登录需要的正是一个共享的授权和验证系统,也就是说SSO是可以使用OAuth2.0机制去设计实现的。但是SSO和OAuth2.0也有一点区别,sso和oauth2.0在应用场景上的区别在于,使用sso的各个系统(子模块)之间是互相信任的,通常是一个厂家的各个软件产品,或者是一个产品的不同模块系统。使用oauth2.0的各个应用大部分之间是互相不信任的,通常是不同厂家之间的账号共享。OAuth2.0 解决的是服务提供方(微信等)给第三方应用授权的问题,而SSO解决的是大型系统中各个子系统如何共享登陆状态的问题(比如你登录了百度首页,那么你进入百度百科,百度贴吧,百度音乐等服务的时候都不需要重新登录)。

Spring Cloud Security

Spring Cloud Security组件可以理解为,springboot security加上OAuth2.0的整合,可以实现微服务系统中sso单点登录功能,和第三方授权功能,是一个强大的权限组件。关于springboot2.1.x版本对应使用的springcloud的security组件的官方文档如下:

  • https://cloud.spring.io/spring-cloud-static/spring-cloud-security/2.1.4.RELEASE/single/spring-cloud-security.html

文档的目录如下:

file

从目录上看,Spring Cloud Security组件主要的功能也是sso和资源认证授权,后面的内容主要用来学习Spring Cloud Security。

郭艺宾
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springCloud-分享-基于Spring Cloud、OAuth2.0前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动
08-06
基于Spring Cloud、OAuth2.0前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录 基于 Spring Cloud Hoxton 、Spring Boot 2.3、 ...
基于Spring Cloud、OAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录
10-23
全网最新的Cloud 权限系统 基于Spring Boot 2.0.4.RELEASE ...基于 Spring Security oAuth 深度定制,支持社交登录等 完整的OAuth 2.0 流程,资源服务器控制权限 去除了部分对于开发不友好的中间件,快速上手
springsecurity OAuth2.0springboot集成springsecurity 以及springcloud集成springsecurity
qq_73182976的博客
03-12 1252
用户认证通过后,为了避免用户的每次操作都进行认证,将用户的信息保存在会话中。会话就是系统为了保持当前登录的用户的登录状态锁提供的机制。
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 5955
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户、授权服务器和资源服务器。资源所有者是资源的拥有者,客户是请求访问资源的应用程序,授权服务器是授权客户访问资源的服务器,资源服务器是托管受保护资源的服务器。客户向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户访问该资源。如果资源所有者授权客户访问该资源,则授权服务器向客户颁发访问令牌。
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1509
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
SpringBootSecurity学习(15)前后端分离OAuth2.0简单示例
Blues的专栏
10-07 2131
OAuth2.0 OAuth 引入了一个授权层,用来分离两种不同的角色:客户和资源所有者。客户来申请资源,资源所有者同意以后,资源服务器可以向客户颁发令牌。客户通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。 具体的OAuth学习建议仔细研读阮一峰的教程, ...
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —序言
qjyn1314的博客
11-08 3393
前后端分离Oauth2.0实践-序言
前后端分离项目OAuth登录总结
qq_33816243的博客
09-22 2952
最近在开发博客网站登录过程中,涉及到了多个前对应一个后前后端分离项目如何使用OAuth完成第三方授权登录的问题,特此总结一篇文章,详细记录了完整的开发过程思路分析和具体的代码实现,大家需要相同的业务场景时可参考使用
Oauth2单点登录 vue前后端分离实现
weixin_39515823的博客
04-16 4012
Oauth2+Vue实现前后端分离,多域名下的单点登录。
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip
02-20
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip 功能点: 模拟商城,完整的购物流程、后运营平台对前业务的支撑,和对项目的运维,有各项的监控指标和运维指标。 技术点: 核心技术为...
springboot+vue前后端分离的个人博客系统.zip
08-05
SpringBoot+Vue 前后端分离的个人博客系统】是典型的现代Web应用开发模式,结合了Java的SpringBoot框架和前的Vue.js库,实现了高效、灵活的开发流程。这种架构允许开发者将后逻辑与前用户体验进行清晰的划分...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
搞定 OAuth 2.0 第三方登录,So Easy !
良月柒
05-08 1197
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 14分钟。来自:blog.csdn.net/lemon_TT/article/details/127500409一、OAuth简介1、OAuth2.0介绍1.1 介绍OAuth协议:https://www.rfc-editor.org/rfc/rfc6749OAuth(Open Authorization)是一个关于授权(au...
Spring Boot 中的OAuth 2
探索er的博客
05-12 7987
Spring Boot 中的OAuth 2
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9181
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
Spring Cloud Gateway集成OAuth2.0架构前后端分离开发时前访问后服务要点
分享技术,传播知识!
08-11 1205
Spring Cloud Gateway集成OAuth2.0架构前后端分离开发时前访问后服务要点1、Spring Cloud Gateway集成OAuth2.0后的接口访问流程2、前访问后服务要点1-获取access_token3、前访问后服务要点2-携带access_token访问后服务 1、Spring Cloud Gateway集成OAuth2.0后的接口访问流程 在网关集成Oauth2.0后,后台接口访问流程如下: 项目案例如下图: 这里有3个服务 服务 应用名称 口 说
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4926
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring Security 和 Spring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring Security 和 OAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
千云物流-基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。
热门推荐
Hello Word
05-30 3万+
基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。 在接到需求要做SPA方式的单点登录的需求,发现好多的坑,之前我们接触的只是浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结...
springboot和springsecurity整合OAuth2
足迹人生的博客
01-13 2823
springboot和springsecurity整合OAuth2
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前界面与后逻辑进行分离开发的架构方式,使得前与后可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式。 密码模式是OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前首先需要收集用户的用户名和密码,并将其发送给后。后使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后向客户颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后进行验证。后可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring Security和Spring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前和后通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring Security是Spring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式是OAuth 2.0协议中的一种授权模式,允许前应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用。 使用spring-authorization-server的密码模式,我们可以在前应用程序中收集用户的用户名和密码,并将其提交给后应用程序进行验证。后应用程序将使用Spring Security进行身份验证,并向前应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值