spring security实现authorization code模式,自定义登录页面,自动授权,自定义密码编码,跳转登录页面http转https

已于 2023-06-07 10:44:57 修改
阅读量1.3k 收藏 3
点赞数
文章标签: spring oauth2 授权 spring security https
于 2023-05-30 17:59:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxudongx/article/details/130948188
版权

spring security实现authorization code模式# 系列文章目录

SpringSecurity实现OAuth2
JWT和OAuth2在SpringBoot下的实现

spring security实现authorization code模式

摘要

为了将老项目接口安全暴露给第三方,我采取了OAuth 2.0 authorization code技术给接口做了鉴权。以spring security authorization code模式,论述了OAuthServer程序中自定义资源的方法。在项目中采用自定义登录页面替换默认的login页面,来使样式UI与自己系统风格保持一致;采用设置自动授权,省去了登录成功后要点击approve二次确认;采用了自定义密码验证,对接老系统账号数据与老系统密码编码验证保持一致,相应client_secret密码编码替换;采用了跳转登录页面http转https,使登录页链接与服务器https环境一致。

自定义登录页面

自定义登录页面必须放到后端项目里,跟授权接口在一个域里。
如果这是你的登录页html
resources/static/login.html

<form action="./login.html" method="post">
  <div class="input">
    <label for="name">用户名</label>
    <input type="text" name="username" id="username">
    <span class="spin"></span>
  </div>
  <div class="input">
    <label for="pass">密码</label>
    <input type="password" name="password" id="password">
    <span class="spin"></span>
  </div>
  <div class="button login">
    <button type="submit">
      <span>登录</span>
      <i class="fa fa-check"></i>
    </button>
  </div>
</form>

需要在HttpSecurity方法里做相应配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http
                .formLogin().loginPage("/login.html")
                .permitAll()
                .and()
                .csrf().disable()
        ;
    }

在做如上配置后,spring security会自动映射默认的login接口为/login.html,登录页面的表单action也写为form action=“./login.html”。

自动授权

自动授权是在oauth_client_details表里autoapprove配置的。配置之后登录页数据账号密码验证成功就直接跳转到redirect_uri?code=xxxx。
在这里插入图片描述

自定义密码验证

先实现PasswordEncoder接口。
在实现并使用了自己实现的PasswordEncoder之后,client_secret也要用这种编码方式写入数据库。

public class CustomPasswordEncoder implements PasswordEncoder {
    private static Logger log = LoggerFactory.getLogger(CustomPasswordEncoder.class);
    @Override
    public String encode(CharSequence rawPassword) {
        return EncryptUtil.encodePassword(rawPassword.toString());
    }
/**
 rawPassword 数据来自表单输入;
 encodedPassword 数据来自UserDetailsService#loadUserByUsername;
 */
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (encodedPassword == null || encodedPassword.length() == 0) {
            log.warn("Empty encoded password");
            return false;
        }
        
        return encode(rawPassword).equals(encodedPassword);
    }
}

在WebSecurityConfigurerAdapter中定义Encoder的bean就会使用。

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new CustomPasswordEncoder();
    }

记得修改UserDetailsService#loadUserByUsername方法。

跳转登录页面http转https

这里以springboot的tomcat为例。

server:
  tomcat:
    redirect-context-root: true
    remote-ip-header: x-forwarded-for
    protocol-header-https-value: https
    protocol-header: x-forwarded-proto

放出refresh token的endpoint

在AuthorizationServerConfigurerAdapter的继承类中配置:

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 设置令牌
        endpoints.tokenStore(tokenStore())
                .userDetailsService(userDetailsService); // 此配置是将refresh token放出来。
    }
wangxudongx
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Security 6.x 系列【37】授权服务器篇之自定义登录、同意授权页面
记录知识、锤炼自我
05-12 1440
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例授权模式中,使用的是Spring Authorization Server提供的默认登录和授权页面,在实际开发集成时,需要自定义。 注: 前后端分离场景下,由前端编写相关页面,后端提供JSON,在授权流程中,就需要前端进行各种页面跳转,在了解其原理后,也很容易实现
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例
记录知识、锤炼自我
04-25 5862
在前几篇文档中,我们学习了OAuth 2.0协议,并使用完成了基于授权模式的第三方平台登录功能。OAuth 2.0中的四大角色,原生框架已经帮我们实现了资源所有者、客户端、资源服务器,那么Spring是否提供了授权服务器的实现呢?在OAuth 1.0时代,Spring组织已经开始开发基于对OAuth的支持,该框架就是。其实现了大部分的OAuth规范,并提供了资源服务器、客户端和授权服务器。
Spring Authorization Server自定义登录与授权页面
岁月 メ 不及时光长
01-23 4589
基于该篇文章修改。 目前官方文档并不完善,便做此记录。 置方式来源于官方仓库issues oauth2-server模块pom添加thymeleaf依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> .
spring-security-oauth2-authorization-server(三)自定义登录页 + JDBC模式获取用户信息
最新发布
weixin_42229668的博客
06-29 856
获取数据库用户登录,自定义登录页面,解决用户对象反序列化白名单问题
Spring Security OAuth2.0(五)-----OAuth2实现自定义统一认证登录页/自定义授权页/基于mysql存储数据
qq_42264638的博客
06-19 4142
Spring Security OAuth2.0(五)-----OAuth2实现自定义统一认证登录页/自定义授权页/基于mysql存储数据
SpringSecurity——Web权限方案用户认证(自定义用户登录页面
程序员阿皓的博客
04-27 430
SpringSecurity——Web权限方案用户认证(自定义用户登录页面
Spring Security Oauth2 如何增加自定义授权模式
wangxuelei036的博客
11-06 5661
oauth2 中已经默认有的授权模式中有4种: 授权模式 隐式授权模式 密码模式 客户端模式 但是实际使用过程中万一我们要基于短信授权,或者基于token 直接授权该怎么办? 这里我们可以先看下源码 ...
Spring cloud Oauth2的密码模式内存方式实现登录授权验证
灰太狼
12-09 1900
oauth2有四种授权模式,是授权模式,简化模式密码模式,客户端模式。 1.oauth2的使用场景 目前大多数网站授权都是使用oauth2, 比如单点登录,第三方授权登录,微信登录,微博登录等等。这些第三方授权登录使用的是oauth2的授权模式授权。 2.oauth2实现统一认证功能 接下来采用oauth2的密码模式实现授权,主要应用于登录场景,输入用户名,密码进行验证。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服
Spring Security 自定义授权服务器实践
Java_ttcd的博客
08-20 937
还需要多多完善,Spring Security也不例外,不久前我还提了一个PR,把一个持续数个版本的bug给修复了藍(过了,只是文档中的错误罢了,被标记为文档中的bug),看多了外国人的产品,其实也没有太比国内的开源项目好,坑也很多,而我们某些大厂的开源项目其实很好,却被网友门各种喷。另外授权服务器如果发生异常,是不会打印堆栈的,而是把错误信息放入到response中,是打算要在页面上显示,然而demo的默认错误页并不会显示错误详情,只有错误编号400,如图。
SpringSecurity使用自定义认证页面
Leon_Jinhai_Sun的博客
11-16 103
SpringSecurity使用自定义认证页面 在SpringSecurity主配置文件中指定认证页面配置信息 修改认证页面的请求地址 再次启动项目后就可以看到自定义的酷炫认证页面了!
security四种授权模式
拱卒的博客
03-01 272
参考文档:https://github.com/lansinuote/Spring-Oauth2-Toturials。
SpringBoot安全管理:SpringSecurity自定义用户授权管理
Xmumu_的博客
08-17 864
SpringSecurity安全管理第三期:自定义用户授权管理
Spring Security(十一):授权认证(OAuth2)-授权模式(authorization_code)
人不风流枉少年
06-25 3405
一:简介 二:代码 1. pom.xml 注意:这里使用的springboot的版本为2.1.5.RELEASE,不同的版本功能实现上可能会有差异。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.o...
springboot security自定义认证,授权,前端页面授权显示
m0_52711494的博客
04-12 243
springboot security自定义认证,授权,前端页面授权显示
Spring Authorization Server入门 (十二) 实现授权模式使用前后端分离的登录页面
云逸的博客
07-10 7951
今天的主题就是使用单独部署的登录页面替换认证服务器默认的登录页面(前后端分离时使用前端的登录页面),目前在网上能搜到的很多都是理论,没有很好的一个示例,我就按照我自己的想法写了一个实现,给大家提供一个思路,如果有什么问题或者更好的想法可以在评论区提出,谢谢。
八、SpringSecurity授权模式授权模式
洛阳城下逢公子
01-15 1297
OAuth协议中我介绍了四种授权模式,其中特别常见、特别主流、特别安全的一种授权模式,就是授权模式authorization code),下面我来详细介绍一下这种授权模式。 一、授权模式简介 授权模式是四种授权模式中功能最完整、流程最严密的一种授权模式,不管是微信也好、微博也好,几乎所有的互联网提供商都是采用这种方式来完成授权的。 二、授权模式授权步骤 授权码...
springboot 整合oauth2实现自定义登录
htf_520306的博客
08-08 606
OAuth2是一种用于授权的开放标准,它允许第三方应用程序访问特定的用户信息,而不需要访问用户的凭据。在上面的代码中,我们通过@Value注解读取了application.properties文件中的配置信息,并创建了OAuth2ProtectedResourceDetails和OAuth2RestTemplate类的实例。在你的Spring Boot应用程序中,创建一个OAuth2客户端配置类,用于配置OAuth2客户端。现在,你可以在你的应用程序中使用OAuth2了。
Spring Security)学习六:自定义用户(如:数据库用户)登录
希克的博客
08-30 667
实现UserDetailsService接口重写loadUserByUsername方法,这个方法是实现自定义用户登录的关键,这个方法中实现查询数据库用户信息,并判定用户存在性,同时还有实现PasswordEncoder接口,来匹配登录密码与数据库密码的关系。...
springboot整合springsecurity+oauth2.0实现token认证
07-08
嗨!关于Spring Boot整合Spring SecurityOAuth2.0实现token认证,你可以按照以下步骤进行操作: 1. 添加依赖:在你的Spring Boot项目的pom.xml文件中,添加Spring SecurityOAuth2.0相关的依赖。 ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> </dependencies> ``` 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法来配置Spring Security的行为。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutSuccessUrl("/") .invalidateHttpSession(true) .clearAuthentication(true) .deleteCookies("JSESSIONID"); } } ``` 在上述配置中,我们允许访问一些特定的URL(如/oauth2/**,/login/**和/logout/**),并保护所有其他URL。我们还设置了自定义登录页面和注销成功后的跳转页面。 3. 配置OAuth2.0:创建一个继承自AuthorizationServerConfigurerAdapter的配置类,并重写configure方法来配置OAuth2.0的行为。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients .inMemory() .withClient("client_id") .secret("client_secret") .authorizedGrantTypes("authorization_code", "password", "refresh_token") .scopes("read", "write") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(86400); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .authenticationManager(authenticationManager); } } ``` 在上述配置中,我们使用内存存储客户端信息(client_id和client_secret),并配置了授权类型(如authorization_code、password和refresh_token)。我们还设置了访问令牌和刷新令牌的有效期。 4. 创建登录页面:创建一个HTML登录页面,用于用户进行身份验证并获取访问令牌。 ```html <!DOCTYPE html> <html> <head> <title>Login</title> </head> <body> <h2>Login</h2> <form th:action="@{/login}" method="post"> <div> <label for="username">Username:</label> <input type="text" id="username" name="username" /> </div> <div> <label for="password">Password:</label> <input type="password" id="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 处理登录请求:创建一个控制器来处理登录请求,并在登录成功后重定向到受保护的资源。 ```java @Controller public class LoginController { @GetMapping("/login") public String showLoginForm() { return "login"; } @PostMapping("/login") public String loginSuccess() { return "redirect:/protected-resource"; } } ``` 在上述控制器中,我们使用@GetMapping注解来处理GET请求,@PostMapping注解来处理POST请求。登录成功后,我们将用户重定向到受保护的资源。 这样,你就完成了Spring Boot整合Spring SecurityOAuth2.0实现token认证的配置。你可以根据自己的需求进行进一步的定制和扩展。希望对你有所帮助!如果你有任何疑问,请随时问我。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值