微服务系列之-Oauth2安全认证

最新推荐文章于 2024-08-12 12:35:47 发布
最新推荐文章于 2024-08-12 12:35:47 发布
阅读量631 收藏 1
点赞数 1
分类专栏: 安全认证 微服务架构 # Security Oauth2
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/weinichendian/article/details/112846221
版权

文章目录

前言

OAuth是一个关于授权(authorization)的开放网络标准,在业界得到广泛应用,目前的版本是2.0版。
简单来说就是客户端应用程序(通常是web浏览器)代表用户(得到了用户的批准)去访问受保护的资源。

一、微信Oauth2认证

OAuth2的设计背景,在于允许用户在不告知第三方自己的帐号密码情况下,通过授权方式,让第三方服务可以获取自己的资源信息。
下面简单说明OAuth2中最经典的Authorization Code模式,流程如下:
在这里插入图片描述流程图中,包含四个角色:

  • ResourceOwner 为资源所有者,即为用户
  • User-Agent 为浏览器
  • AuthorizationServer 为认证服务器,可以理解为用户资源托管方,比如企业微信服务端
  • Client 为第三方服务

调用流程:

  1. 用户访问第三方服务,第三方服务通过构造OAuth2链接(参数包括当前第三方服务的身份ID,以及重定向URI),将用户引导到认证服务器的授权页
  2. 用户选择是否同意授权
  3. 若用户同意授权,则认证服务器将用户重定向到第一步指定的重定向URI,同时附上一个授权码。
  4. 第三方服务收到授权码,带上授权码来源的重定向URI,向认证服务器申请凭证。
  5. 认证服务器检查授权码和重定向URI的有效性,通过后颁发AccessToken(调用凭证)

4/5 的调用为后台调用,不通过浏览器进行

在这里插入图片描述流程图中,包含四个角色:

二、其他Oauth2认证

另外一种说法,其实就是比上一步多了资源服务器,这种是将权限认证与具体的业务模块做了分离。

在这里插入图片描述流程图中,包含四个角色:

  • 资源拥有者(如用户)
  • 授权服务器(Authorization Server)
  • 资源服务器(Resource Server)
  • 客户端(Client application)

调用流程:

  1. 用户打开客户端以后,客户端要求用户给予授权
  2. 用户同意给予客户端授权
  3. 客户端使用上一步获得的授权,向认证服务器申请令牌
  4. 认证服务器对客户端进行认证以后,确认无误,同意发放令牌
  5. 客户端使用令牌,向资源服务器申请获取资源
  6. 资源服务器确认令牌无误,同意向客户端开放资源

三、客户端的授权模式

客户端必须得到用户的授权(Authorization Grant),才能获得令牌(access token)。OAuth 2.0 定义了四种授权方式:authorization code、implicit、resource owner password credentials、client credentials。

1、授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与”服务提供商”的认证服务器进行互动。流程如下:

  1. 用户访问客户端,后者将前者导向认证服务器。
  2. 用户选择是否给予客户端授权。
  3. 假设用户给予授权,认证服务器将用户导向客户端事先指定的”重定向 URI”(redirection URI),同时附上一个授权码。
  4. 客户端收到授权码,附上早先的”重定向 URI”,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
  5. 认证服务器核对了授权码和重定向 URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

上面介绍的企业微信就是这种认证。

2、简化模式

简化模式(Implicit Grant Type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了”授权码”这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。流程如下:

  1. 客户端将用户导向认证服务器。
  2. 用户决定是否给于客户端授权。
  3. 假设用户给予授权,认证服务器将用户导向客户端指定的”重定向 URI”,并在 URI 的 Hash 部分包含了访问令牌。
  4. 浏览器向资源服务器发出请求,其中不包括上一步收到的 Hash 值。
  5. 资源服务器返回一个网页,其中包含的代码可以获取 Hash 值中的令牌。
  6. 浏览器执行上一步获得的脚本,提取出令牌。
  7. 浏览器将令牌发给客户端。

3、密码模式

密码模式(Resource Owner Password Credentials)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向”服务商提供商”索要授权。在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。流程如下:

  1. 用户向客户端提供用户名和密码。
  2. 客户端将用户名和密码发给认证服务器,向后者请求令牌。
  3. 认证服务器确认无误后,向客户端提供访问令牌。

4、客户端模式

客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向”服务提供商”进行认证。

在这种模式中,用户直接向客户端注册,客户端以自己的名义要求”服务提供商”提供服务,其实不存在授权问题。流程如下:

  1. 客户端向认证服务器进行身份认证,并要求一个访问令牌。
  2. 认证服务器确认无误后,向客户端提供访问令牌。

总结

目前只用过企业微信的Oauth2认证,即授权码模式,这种模式确实很严谨,也很安全不需要客户确认,设置静默模式就行,使用起来还是很方便的。

谦奕爸爸
关注
专栏目录
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。...通过理解OAuth2的工作原理和Spring Security的集成方式,开发者可以构建出更加健壮、安全微服务架构。
17.Oauth2-微服务认证
LB_bei的博客
08-31 811
第一种是技术性的开放,例如百度、腾讯、阿里巴巴等,例如阿里可以提供标准化的应用软件,但是数百万形形色色的卖家对于个性化要求的软件,并不是一个公司的力量可以满足的,所以就把这些需求开放给众多的第三方开发者的方式。认证服务器需要知道请求授权的客户端的身份以及该客户端请求的权限。例如,微信公众平台开发,在微信公众平台开发过程中当我们访问某个页面,页面可能弹出一个提示框应用需要获取我们的个人信息问是否允许,点确认其实就是授权第三方应用获取我们在微信公众平台的个人信息,这里微信网页授权就是使用的OAuth2.0。
SpringCloud gateway +oauht2.0 password模式+jwt 实现微服务认证和授权(二)
qq_44605317的博客
06-19 2031
1.我们把三个服务分别注册到nacos中 1.1:pom文件中加入 nacos依赖(三个服务都得加) <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> </dependency> 1.
微服务认证系列一:SpringCloud OAuth2
最新发布
wanping15825992341的博客
08-12 434
OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。
微服务实战(一)基于OAUTH2.0统一认证授权的微服务基础架构
热门推荐
仰望星空 脚踏实地
06-04 16万+
1.架构图 技术团队通过一段时间的积累后,我们打算对往后的一些新项目采用Spring Cloud技术栈来实现。大概微服务的架构如下: Euraka注册中心集群 Zuul网关集群 各模块微服务集群 Nginx实现负载均衡 Spring Cloud Config 统一配置中心 Monitor微服务监控 代码传送:https://github.com/babylikebird/Micro-
微服务OAuth 2.1认证授权Demo方案(Spring Security 6)
m0_51390969的博客
02-13 3261
书接上文 微服务OAuth 2.1认证授权可行性方案(Spring Security 6)三个微服务以下是授权相关数据库。当我们知道,我们就可以知道这个用户可以访问哪些资源,并把这些权限(也就是里的字段)写成数组,写到的负载部分的字段中。当用户携带此JWT访问具有修饰的资源时,我们解析出中的字段,判断是否包含指定的权限,以此来完成所谓的的“授权”。 这里需要注意几点 这里需要注意几点这样,微服务颁发的,现在就会包含字段。示例如下 三、gateway微服务代码 1. 统一处理CORS问题 这里需要注意几点
微服务权限解决方案,Cloud Gateway+Oauth2实现统一认证和鉴权
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务权限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和鉴权,其他API服务负.
微服务应用框架-esim.zip
01-29
9. **安全组件**:OAuth2或JWT可能用于授权和认证,保护微服务免受未经授权的访问。 10. **文档生成**:Swagger或ApiDoc可能被用来生成API的自动生成文档,方便开发者理解和使用服务接口。 通过对esim-master中的...
Laravel开发-oauth2-server-laravel
08-28
OAuth2-Server-Laravel通过提供一套完整的认证和授权机制,使得开发者能够快速、安全地集成这个功能到他们的Laravel或Lumen项目中。 ### OAuth 2.0核心概念 1. **客户端(Client)**: 请求访问资源的第三方应用。 ...
畅购的《微服务商城系统》Spring Security Oauth2 + JWT 用户认证微服务
03-20
微服务商城系统》是基于Spring Security Oauth2与JWT技术实现用户...以上就是基于Spring Security Oauth2和JWT的用户认证微服务的核心知识,这个系统的设计和实现充分体现了现代电商系统的安全性、可扩展性和灵活性。
微服务框架搭建 基于oauth2 认证中心服务
03-26
#微服务框架认证授权中心 项目采用spring cloud、oauth2、spring security # 依赖环境 JDK8、 Maven、 Mysql、 Redis 、nacos 注册中心采用阿里巴巴 nacos 缓存使用的是redis oauth2数据存储在数据库中 username: test password: 123456 phone: 13100000000 verifyCode: 1000 //数据库使用的是mysql5.7.23 执行sql语句 修改配置数据库密码 //数据库密码使用druid加密 *表示密码 java -cp druid-1.1.10.jar com.alibaba.druid.filter.config.ConfigTools ****** //nacos安装请查看官网资料 授权码: http://localhost:9001/auth/oauth/authorize?response_type=code&client_id=test&redirect_uri=https://www.ddd.com 密码模式: post http://localhost:9001/auth/oauth/token?grant_type=password&client_id=test&client_secret=123456&username=test&password=123456 客户端: post http://localhost:9001/auth/oauth/token?grant_type=client_credentials&client_id=test&client_secret=123456
彻底解决spring security oauth2 自动续签token问题
weixin_44330810的博客
12-28 4665
彻底解决spring security oauth2 自动续签token问题
springsecurity oauth2中refresh token模式需要注意的点
chuixue24的博客
12-16 3338
oauth2官方只有4种授权方式,不过springsecurity oauth2把refresh token也归为authorizedGrantTypes的一种,因此 springsecurity的oauth2实现有5中模式。 authorization_code 权码模式(即先登录获取code,再获取token) impli...
OAuth2.0的refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 4393
OAuth2自定义刷新refresh_token
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3478
微服务统一认证方案
Spring Cloud 学习笔记十二:搭建微服务工程之使用 OAuth2 实现认证
Stary 的 IT 之旅
03-20 955
目录 使用 OAuth2 实现认证 什么情况下需要用 OAuth2 实现统一认证功能 搭建认证服务端 创建用户客户端(密码模式) 测试认证功能 用 JWT 替换 redisToken OAuth2 授权码模式 使用 OAuth2 实现认证 OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials
SpringCloud搭建微服务OAuth2.1认证和授权
liu320yj的博客
10-10 6656
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
SpringCloudOauth2实战:微服务授权详解
"SpringCloudOauth2.md 是一篇关于OAuth2.0在SpringCloud环境中的应用文档,结合之前SpringCloudAlibaba系列,可全面掌握微服务的使用与安全授权问题。文档介绍了OAuth2.0的基本概念,核心机制,授权流程,并提到了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值