Re:从零开始的Spring Security Oauth2(三)

最新推荐文章于 2025-02-21 17:32:13 发布
最新推荐文章于 2025-02-21 17:32:13 发布
阅读量6.8w 收藏 95
点赞数 32
分类专栏: Spring Security OAuth2 文章标签: spring security oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013815546/article/details/77046453
版权

上一篇文章中我们介绍了获取token的流程,这一篇重点分析一下,携带token访问受限资源时,内部的工作流程。

@EnableResourceServer与@EnableAuthorizationServer

还记得我们在第一节中就介绍过了OAuth2的两个核心概念,资源服务器与身份认证服务器。我们对两个注解进行配置的同时,到底触发了内部的什么相关配置呢?

上一篇文章重点介绍的其实是与身份认证相关的流程,即如果获取token,而本节要分析的携带token访问受限资源,自然便是与@EnableResourceServer相关的资源服务器配置了。

我们注意到其相关配置类是ResourceServerConfigurer,内部关联了ResourceServerSecurityConfigurer和HttpSecurity。前者与资源安全配置相关,后者与http安全配置相关。(类名比较类似,注意区分,以Adapter结尾的是适配器,以Configurer结尾的是配置器,以Builder结尾的是建造器,他们分别代表不同的设计模式,对设计模式有所了解可以更加方便理解其设计思路)

public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources <1> ) throws Exception {
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }

}

<1> ResourceServerSecurityConfigurer显然便是我们分析的重点了。

ResourceServerSecurityConfigurer(了解)

其核心配置如下所示:

public void configure(HttpSecurity http) throws Exception {

    AuthenticationManager oauthAuthenticationManager = oauthAuthenticationManager(http);
    resourcesServerFilter = new OAuth2AuthenticationProcessingFilter();//<1>
    resourcesServerFilter.setAuthenticationEntryPoint(authenticationEntryPoint);
    resourcesServerFilter.setAuthenticationManager(oauthAuthenticationManager);//<2>
    if (eventPublisher != null) {
        resourcesServerFilter.setAuthenticationEventPublisher(eventPublisher);
    }
    if (tokenExtractor != null) {
        resourcesServerFilter.setTokenExtractor(tokenExtractor);//<3>
    }
    resourcesServerFilter = postProcess(resourcesServerFilter);
    resourcesServerFilter.setStateless(stateless);

    // @formatter:off
    http
        .authorizeRequests().expressionHandler(expressionHandler)
    .and()
        .addFilterBefore(resourcesServerFilter, AbstractPreAuthenticatedProcessingFilter.class)
        .exceptionHandling()
            .accessDeniedHandler(accessDeniedHandler)//<4>
最低0.47元/天 解锁文章
spring security oauth2 自动刷新续签token (refresh token)
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
Spring Security Oauth2 认证(获取token/刷新token)流程
weixin_33720078的博客
03-06 1070
文章原作者链接地址:https://blog.csdn.net/gangsijay888/article/details/81977796 记下来以便以后查看 1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取acce...
SpringBoot详解
最新发布
geinvse_seg的博客
02-21 4134
因此,把应用的主类放在根包中,SpringBoot就会自动扫描并加载所有需要的组件和配置,让你可以专注于编写业务代码,而不用担心复杂的配置细节。Spring提供了大量的子模块,如Spring CoreSpring Web、Spring Data等,但它们的配置复杂度较高,且需要开发者手动配置各类文件和依赖。启用了SpringBoot的自动配置功能,SpringBoot会根据项目中的依赖,自动配置很多常用的 Spring组件,这样就不需要手动配置它们。目录下,提供了默认的配置。
Spring Security OAuth2.0()-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1635
新增“implicit” 和修改回调地址为本次地址。
spring security oauth2refresh token
崔向阳@李晓的博客
07-04 1万+
oAuth2.0认证服务器生成的Access_token是有有效期限制的默认为12个小时,refresh_token默认为十天。如果Access_token提示过期,可以根据refresh_token获取新的Access_token 下面介绍如何生成refresh_token,并根据refresh_token获取新的Access_token: authorizedGrantTypes oa...
基于Spring Security 6的OAuth2 系列之十 - 授权服务器--刷新token
代码还是得自己扣
02-03 1302
本章我们讲解了刷新token的方式以及原理。到目前为止,我们已经对Spring Security实现的授权服务器有了比较深入的了解。下面我们将结合Spring Security,实现一个生产可用的前后端分离的授权服务器。
Spring Security OAuth2实现多用户类型认证、刷新Token
Ying的博客
03-17 1万+
需求 用OAuth2想实现一个认证服务器能够认证多种用户类型,如前台普通用户、后台管理员用户(分了不同的表了),而OAuth2默认提供的UserDetailsService只允许传入一个参数,这样就区分不了用户类型了… public interface UserDetailsService { UserDetails loadUserByUsername(String var1) thro...
oauth2-demo:回复:从零开始Spring Security Oauth2
02-24
< oauth> Full authentication is required to access this resource unauthorized </ oauth> 尝试获取授权码 http://localhost: 8080 /oauth/authorize?client_id=aiqiyi&response_type=code&redirect_...
Re从零开始Spring Security Oauth2(一)
热门推荐
徐靖峰的专栏
08-08 8万+
前言今天来聊聊一个接口对接的场景,A厂家有一套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个方案。关于oauth2,其实是一个规范,本文重点讲解spring对他进行的实现,如果你还不清楚授权服务器,资源服务器,认证授权等基础概念,可以移步理解OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。 需要对spring
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9666
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器_springboot oauth 客户端模式使用数据库
2401_84263208的博客
04-18 407
/允许客户端使用表单方式发送请求token的认证(因为表单一般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便一请求过来验token是不验的)//默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()//如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同一个工程中。//“oauth/check_token"是校验token的地址。alibaba 数据连接池。
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
Spring Security OAuth2.0 token生成与刷新机制源码阅读
Mr1ght的博客
07-09 2779
一.介绍 Spring Security Oauth2是目前市面上非常流行的实现了OAuth2.0协议的权限框架。本文会介绍其是如何获取token以及刷新token的。 二.AbstractEndPoint Spring Security OAuth2的获取token、校验token等接口均配置在EndPoint中的 AuthorizationEndpoint主要是第方授权模式中的 获取code的流程接口 http://localhost:xxxx/auth/oauth/authorize Toke
SpringSecurityOauth2学习笔记
zhou22的博客
01-18 531
通过app_id和app_secret获取的access_token:用于全局接口调用,是服务器端操作的凭证,对应前面所说的客户端凭证模式。通过code获取的access_token:用于获取用户授权信息,主要用于网页授权场景,与特定用户关联,对应前面所说的授权模型。这周有空都在调试代码,查看springsecurityoauth2的认证授权流程,调试了几天之后,脑子有点蒙蒙了,只能初步了解一些流程原理,不得不说这个框架确实有点东西。。授权模型(用户认证接口)和密码模式。
解密Spring Security:多用户类型认证授权、刷新Token,助您构建安全完备的应用
资料免费分享,点击名片
10-31 612
1.2 复制org.springframework.security.authentication.dao.DaoAuthenticationProvider的代码,自定义 CustomAuthenticationProvider(注意写法,是实现AbstractUserDetailsAuthenticationProvider并将DaoAuthenticationProvider内容复制到此类里面),然后进行修改retrieveUser()方法,其他不需要动.= null &&!
springboot+Oauth2——自定义AuthenticationManager和认证path
huhanguang89的博客
03-14 3万+
本人在工作中需要构建这么一个后台框架,基于springboot,登录时认证使用自定义AuthenticationManager;同时支持Oauth2访问指定API接口,认证时的AuthenticationManager和登录规则不同。在研究了源码的基础上参考很多文章,目前基本得以解决。 @Configuration public class OAuth2Configuration { @
SpringBoot2.0之Security-Oauth2配置踩坑+源码分析
KingdomCoder
01-17 1540
最近使用SpringBoot2.0新版构建项目,新版的SpringBoot相关依赖的jar很多包结构做了变更,相关依赖也有很多不同,本人负责公司的基础服务,相关登录认证,资源认证采用了开源的 Spring-Security-Oauth2来构建,但是构建过程中会遇到很多坑,所以做此记录。 坑一: Spring boot 2.0.X引用的security 依赖是 spring security 5....
Spring Security OAuth2.0授权链接对应源码位置
程序员劝退师的博客
03-26 752
前言 看过我往期文章的道友应该知道,在20年11月份的时候写过Spring SecuritySpring Security OAuth2.0搭建整合一些问题即源码流程分析!但是今天调试框架的时候既然忘了Spring Security OAuth2.0授权链接的源码位置,害,年纪大了脑子不好使了! 源码位置 /oauth/token org.springframework.security.oauth2.provider.endpoint /oauth/token_key org.springframew
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值