Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇

最新推荐文章于 2024-05-31 13:48:05 发布
最新推荐文章于 2024-05-31 13:48:05 发布
阅读量4.3k 收藏 13
点赞数 8
分类专栏: python 文章标签: spring java 后端 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013190417/article/details/122445258
版权

Python微信订餐小程序课程视频

https://edu.csdn.net/course/detail/36074

Python实战量化交易理财系统

https://edu.csdn.net/course/detail/35475

一、前言

本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。
(关于总体流程,若对SS实在不熟悉可以简单理解为:Filter构造Authentication-> Provider认证并填充-> 设置到SecurityContext -> 而后用于Filter/AOP鉴权)

要了解一个SpringSecurity模块,就是了解它如何身份认证、如何自定义、(至于如何鉴权是SpringSecurity通用部分),对应到代码就是:背后的相关 Configurer、Filter、Authentication、Provider。

本文以最新Spring Boot版本2.6.2 以授权码模式梳理;涉及源码太多,就不放源码对照了,可以自行fork查看;斜体表示可配置自定义替换的部分

  • 第一部分:先演示默认配置下 spring-boot-starter-oauth2-client 所带来的流程和效果,建立大概认知。对应代码 thirdpart-login 项目
  • 第二部分:全面解析 oauth2login、oauth2client 原理。
  • 第三部分:常见业务下我们自己用户系统也有token分发需求,因此也解读下提供JWT服务的 oauth2ResourceServer 模块
  • 第四部分:综上所述,实战定制SpringSecurity OAuth2。对应代码 thirdpart-login-custom

二、默认 spring-boot-starter-oauth2-client 效果预览

OAuth2ClientAutoConfiguration自动配置类引入的默认配置,可由代码 thirdpart-login 复现。

  1. 后端在 .yml 配置中做好相关配置
  2. 访问受限资源"/user",后端鉴权异常后,由LoginUrlAuthenticationEntryPoint重定向到登录页。
  3. 登录页则由DefaultLoginPageGeneratingFilter根据相关配置自动构造页面String返回。
  4. 页面点击发出授权请求。
    后端OAuth2AuthorizationRequestRedirectFilter匹配响应该模板路径,返回实际授权码请求的重定向响应,转入三方授权页面:
  5. 同意授权后,Gitee会向游览器返回重定向响应。
    游览器向 “redirect-uri” 发起访问,此时被后端OAuth2LoginAuthenticationFilter匹配处理,其会用请求携带的 code 向配置的 “token-
最低0.47元/天 解锁文章
虚幻私塾
关注
  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring security oauth2.0 (讲义+代码)
03-10
首先,OAuth2.0 有四个核心角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器(Authorization Server)。资源所有者是拥有受保护资源的用户,客户端是请求访问资源...
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的基本结构主要由三个部分组成:authorization-code-authorization-server、authorization-code-resource-server 和 authorization-code-client。authorization-code-...
Spring Security Resource Server的使用
huan的学习记录
07-17 2453
一、背景 在前一节我们学习了 Spring Authorization Server的使用,此处我们简单的记录下 Spring 资源服务器的使用。 二、需求 资源服务器提供2个资源 ,userInfo 和 hello。 userInfo:资源是受保护的资源,需要user.userInfo权限才可以访问。 hello:资源是公开资源,不要权限即可访问。 三、分析 1、如何验证资源服务器中访问的令牌是有效的? 此处只考虑JWT的令牌。 令牌是授权服务器颁发的,且进行了签名操作,因此资源服务器对令牌的验证,就
springboot整合Oauth2
LJH_java10086的博客
10-13 580
Spring Boot可以与Oauth2集成以提供安全的身份验证和授权。
Spring Boot 集成OAuth2:实现安全的单点登录
最新发布
阿里渣渣java研发组-群主
05-31 371
OAuth2是一个开放标准,用于访问被保护资源的授权。它提供了一种在不同应用之间安全地共享资源的机制,而无需暴露用户的凭据。OAuth2的主要角色包括资源所有者、客户端、授权服务器和资源服务器。
Spring Security(三):直观体验OAuth2.0
daijianzhou的专栏
08-07 855
单点登录:Single Sign On(简称SSO)以前单系统时代,所有功能都在一起,登录一次就可以访问所有功能,随着业务的发展,系统越来越庞大,为了对合理的利用资源以及减少模块这间的耦合度,现在一般会把系统拆成不同的服务,或拆分成各个子系统。为了方便,各个子系统会互相授权,也就是只要在一个子系统上登录,那么在访问其它子系统时,就不需要在登录了。也就是说用户只要登录一次,就可以访问各个子系统,这就是单点登录。......
OAuth 2
xbcai1的博客
05-30 433
OAuth 2,授权框架
OAuth2.0 Client 总结】对接github第三方登录以及其他第三方登录总结
qq_43430343的博客
04-20 1307
之前搞 oauth 登录一直没有搞好,客户端、授权服务端、资源端一起搞对于我刚接触的小菜鸡来说,难度有点大。然后就先搞了个 Client 端对接 Github 登录。网上关于 Github 登录的资料有很多,而且框架对 Github 集成的也很好,配置起来并不麻烦。
spring security oauth2.0 client集成第三方登录
热门推荐
weixin_40693633的博客
01-21 1万+
   大家上网的时候可能会遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。    这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。    其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。 什么是 OAuth 2.0?    ...
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
springboot-oauth2-ldap-example:Belajar Spring Security OAuth2 + JWT + LDAP
04-29
LDAP的安全性Oauth2请求令牌curl -X POST \ ' ...
使用Spring Security OAuth2实现单点登录
08-25
* thymeleaf-extras-springsecurity4 接下来,我们需要在Security配置中启用OAuth2单点登录。我们可以使用@EnableOAuth2Sso注释来启用单点登录: @Configuration @EnableOAuth2Sso public class UiSecurityConfig ...
OAuth2.0(三)之spring-boot集成OAuth2.0[client]
一个有梦想的混子
03-06 494
前面介绍了oauth2的serverresource环境搭建,这继续介绍client的环境搭建 客户端项目搭建: 1.构建一个简单的maven项目 2.在项目中增加spring-boot和securityoauth的依赖支持 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.ap...
No6-3.从零搭建spring-cloud-alibaba微服务框架,实现资源端用户认证与授权等(三,no6-3)
键上艺术家
10-28 1545
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~由于微服务包括认证这里内容太多,所以分了好几~文章包括:1.将服务系统注册到nacos注册中心;2.通过nacos实现配置动态更新;3.添加fegin服务,实现服务之间调用;
spring security oauth2.x迁移到spring security5.x 资源服务器启用url参数传递token
路过君的博客
11-25 1158
现象 opaque token模式使用url参数access_token传递token访问资源服务器时报错401未授权 原因 spring security 5.x默认的bear token解析器没有启用从请求参数中获取token 解决 在资源服务器安全配置中自行配置bearerTokenResolver,启用从请求参数中获取token protected void configure(HttpSecurity http) throws Exception { DefaultBearerTokenReso
Spring Security实战(九)—— 使用Spring Security OAuth实现OAuth对接
weixin_49561506的博客
04-25 2414
介绍OAuth2.0,并使用Spring Security OAuth实现GitHub快捷登录
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4899
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
oauth2-client 学习笔记 002
菜鸟阿达
12-07 1564
准备中。。。。请等待
Spring Authorization Server入门 (九) Spring Boot引入Resource Server对接认证服务
云逸的博客
06-13 2417
书接上文,本次来对接一下资源服务,在本文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。
Spring security oauth2的认证流程2
05-31
好的,关于 Spring Security OAuth2 的认证流程,我可以为您解释一下。 第二步是授权码模式中的授权请求。在此模式下,客户端向授权服务器发送请求,该请求包括以下参数: - response_type:必须设置为“code”,表示采用授权码模式。 - client_id:客户端ID,由授权服务器颁发。 - redirect_uri:客户端的回调URL,授权服务器将授权码发送到该URL。 - scope:请求的权限范围,表示客户端请求访问资源的范围。 - state:客户端的随机状态标识符,用于防止CSRF攻击。 授权服务器验证请求参数,并提示用户进行登录和授权。如果用户未登录,则会提示用户登录。如果用户已登录,则会提示用户授权请求所需的权限范围。 用户对授权请求进行授权后,授权服务器将生成一个授权码,并将其发送到客户端的回调URL中。授权码由客户端用于向授权服务器请求访问令牌。 这就是 Spring Security OAuth2 的授权码模式的认证流程的第二步。如果您还有其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值