java oauth2 client,Spring OAuth2 - Client Credentials授权类型中的用户信息

最新推荐文章于 2024-05-10 14:43:30 发布
最新推荐文章于 2024-05-10 14:43:30 发布
阅读量294 收藏
点赞数
文章标签: java oauth2 client

我一直在开发Spring Cloud(使用Netflix OSS堆栈)微服务架构 . 正如您所料,我将授权服务器分离为独立的微服务 . 我的前端应用程序使用“密码”授予类型进行用户登录 . 但是,我正在使用“客户端凭据”授权类型来进行从前端服务到其他后端服务的其余调用 . 客户端凭证授权类型也在其他后端服务中使用 . 通过这样做,我无法得到谁是请求的实际调用者(当前登录用户) . 有没有办法将主体的身份验证和授权信息注入到客户端凭据授予中发出的令牌?

我的授权服务器配置类

@Configuration

@EnableAuthorizationServer

@Order(Ordered.HIGHEST_PRECEDENCE)

public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {

@Autowired

private AuthenticationManager authenticationManager;

@Override

public void configure(final AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

oauthServer.tokenKeyAccess("permitAll()")

.checkTokenAccess("isAuthenticated()");

}

@Override

public void configure(final ClientDetailsServiceConfigurer clients) throws Exception {

clients.inMemory()

.withClient("testclient")

.secret("{noop}testsecret")

.authorizedGrantTypes("authorization_code","password","client_credentials")

.scopes("ui")

.autoApprove(true)

// .accessTokenValiditySeconds(3600)

.and()

.withClient("backend-service")

.secret("{noop}backendsecret")

.authorizedGrantTypes("client_credentials","refresh_token")

.scopes("server")

.autoApprove(true)

}

@Override

public void configure(final AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

endpoints.authenticationManager(authenticationManager);

endpoints.tokenEnhancer(tokenEnhancer());

endpoints.tokenStore(tokenStore());

}

@Bean

public TokenStore tokenStore() {

//return new JdbcTokenStore(dataSource);

return new InMemoryTokenStore();

}

@Bean

@Primary

public AuthorizationServerTokenServices tokenServices() {

DefaultTokenServices tokenServices = new DefaultTokenServices();

tokenServices.setTokenEnhancer(tokenEnhancer());

tokenServices.setTokenStore(tokenStore());

return tokenServices;

}

@Bean

public TokenEnhancer tokenEnhancer() {

return new CustomTokenEnhancer();

}

安全配置类

@Configuration

@Order(1)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.requestMatchers()

.antMatchers("/login", "/oauth/authorize")

.and()

.authorizeRequests()

.antMatchers("/resources/**", "/src/main/webapp/**","/css/**","/images/**").permitAll()

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.and()

.logout()

.permitAll().and().httpBasic().disable();

}

@Override

public void configure(WebSecurity web) throws Exception {

web.ignoring().antMatchers("/static/**","/resources/**", "/src/main/webapp/**","/css/**","/images/**");

}

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Override

protected void configure(final AuthenticationManagerBuilder auth) throws Exception {

auth.inMemoryAuthentication().withUser("admin").password("{noop}a1b2c3#").roles("User");

}

}

我试图实现一个Token Enhancer类来传播令牌中的其他数据 . 但是,我不认为这是我正在努力实现的正确和安全的方式 .

public class CustomTokenEnhancer implements TokenEnhancer {

@Override

public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {

final Map additionalInfo = new HashMap<>();

additionalInfo.put("customInfo", "testdata");

((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(additionalInfo);

return oAuth2AccessToken;

}

}

非常感谢您的协助 .

火小岚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java oauth2 client_使用spring-security-oauth2作为client实现
weixin_29712031的博客
03-04 1570
序本文主要讲一下如何使用spring security oauth2作为一个client来使用四种模式OAuth 2.0定义了四种授权方式。授权码模式(authorization code)简化模式(implicit)(client为浏览器/前端应用)密码模式(resource owner password credentials)(用户密码暴露给client端不安全)客户端模式(client c...
Spring Cloud基于OAUTH2+ZUUL实现client_credentials模式
10-11 718
本demo是基于公司需要提供接口给第三方平台调用获取数据,所以采用客户端模式来写的一个基本架构,还有很多细节暂未处理.如果有其他模式需要需自己进行调试. 整体架构分为 parent 为父工程. common-core为共用核心工具包 eureka:注册心 zuul:网关 oauth-console:认证授权心 baseinfo-console:基本信息微服务 demo...
IdentityServer4 之Client Credentials走起来
dotNET跨平台
01-01 345
前言API裸奔是绝对不允许滴,之前专门针对这块分享了jwt的解决方案(WebApi接口裸奔有风险);那如果是微服务,又怎么解决呢?每一个服务都加认证授权也可以解决问题,只是显得认证授权这...
Java最全Security+Oauth2权限认证(案例 源码)(1),一个星期+4轮面试终拿下offer
最新发布
ghfgjfg679的博客
05-10 1006
我个人认为,如果你想靠着背面试题来获得心仪的offer,用癞蛤蟆想吃天鹅肉形容完全不过分。想必大家能感受到面试越来越难,想找到心仪的工作也是越来越难,高薪工作羡慕不来,却又对自己目前的薪资不太满意,工作几年甚至连一个应届生的薪资都比不上,终究是错付了,错付了自己没有去提升技术。这些面试题分享给大家的目的,其实是希望大家通过大厂面试题分析自己的技术栈,给自己梳理一个更加明确的学习方向,当你准备好去面试大厂,你心里有底,大概知道面试官会问多广,多深,避免面试的时候一问三不知。
KeyCloak、OAuth2、Spring Boot、client_credentials整合
klaokai的冥想空间
08-08 3836
doc https://www.keycloak.org/docs/latest/getting_started/index.html 创建一个域和一个用户 Keycloak广利控制台的第一个用途是创建领域并在该领域创建用户。 您使用该用户登录到新领域,并访问所有用户都可以访问的内置账户控制台。 域和用户 当你登录管理员控制台,你将在一个域内工作,这是一个你可以管理对象的空间。 有两种域: Master realm:主域。这个域会在你第一次启动Keycloak就会为你创建好, 它包含了你第一次登录时创建的
Spring Security OAuth2 Demo —— 客户端模式(ClientCredentials
拾级而上
12-14 1360
前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单的模式:客户端模式 其客户端模式的流程是:客户端使用授权服器给的标识与secret访问资源服务器获取token 本文目标 编写与说明密码模式的Spring Security Oauth2的...
oauth2的client_credentials认证模式保护下API的openfeign使用方法
菜鸟的学习笔记
10-17 787
资源服务器在oauth2认证保护下,使用openfeign通过client_credentials认证模式访问资源服务器。每次调用前自动在header里面添加token
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring Security、OAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-security-oauth2-client-generic-grant-type:spring-security-oauth2-client-generic-grant-type
03-27
"spring-security-oauth2-client-generic-grant-type"是Spring Security用于处理非标准或自定义授权类型的组件。在OAuth2标准,定义了如授权码(Authorization Code)、密码(Resource Owner Password ...
spring-boot-oauth2-demo
05-12
【标题】"spring-boot-oauth2-demo"是一个基于Spring Boot实现的OAuth2授权服务的示例项目,旨在帮助开发者理解并应用OAuth2安全框架在实际开发的工作原理和配置。 【描述】该项目展示了如何利用Spring Boot集成...
spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring
09-20
OAuth2.0的核心流程包括授权码(Authorization Code)流、隐式(Implicit)流、客户端凭据(Client Credentials)流和资源所有者密码凭证(Resource Owner Password Credentials)流。在这个示例,我们关注的是...
spring boot 基于数据库整合OAuth2
08-25
6. **授权流程**:OAuth2提供了多种授权类型,如授权码(Authorization Code)、隐式(Implicit)、密码(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。根据实际应用场景选择合适的...
spring security 实战 6-使用客户端模式(Client Credentials grant)保护资源
weixin_33716941的博客
07-17 621
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring security和oauth2.0来保护你的资源。 课程从...
Spring security oauth2 client 自动配置获取当前登录用户信息
Lee_01的博客
11-27 6706
Spring security oauth2 client 自动配置获取当前登录用户信息 方法一:在AuthenticationSuccessHandler实现类获取 缺点:获取用户信息后需要做跳转,底层框架并不会自动跳转回未授权之前访问的页面 package com.lee.demo.handler; import lombok.extern.slf4j.Slf4j; import...
oauth2 java 获取token_OAuth2简易实战(一)-四种模式
weixin_42473904的博客
02-19 4039
1. OAuth2简易实战(一)-四种模式1.1. 授权授权模式(Authorization code Grant)1.1.1. 流程图1.1.2. 授权服务器配置配置授权服务器 client,secret,redirectUri,授权模式,权限配置//授权服务器配置@Configuration@EnableAuthorizationServerpublic class OAuth2Autho...
java oauth lib_Java OAuth 2.0 客户端编程(二): 客户端凭据授权
weixin_35143502的博客
02-13 248
概述OAuth 是一个开放的授权标准,允许客户端代表一个资源所有者获得对受保护服务器资源的访问权限。资源所有者可以是另一个客户端或最终用户。OAuth 还可以帮助最终用户将对其服务器资源的访问权限授权给第三方,而不必共享其凭据,比如用户名和密码。本系列文章遵从 RFC6749 列出的 OAuth 2.0 授权框架。可以在 Internet Engineering Task Force 的网站上找...
oauth2.0 java_【oauth2.0】【2】JAVA 客户端模式
weixin_33476149的博客
02-12 468
含义:用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题步骤:(A)客户端向认证服务器进行身份认证,并要求一个访问令牌(token)。(B)认证服务器确认无误后,向客户端提供访问令牌。(C)用令牌请求资源服务器的资源摘要:1,JAVA代码访问2,Postman访问3,Swagger访问正文:1,JAVA代码访问我的环境是Spring Boot,实现代码:...
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0 的四种授权方式...
weixin_34804926的博客
01-14 605
一、OAuth2.0 为何物OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
spring-security-oauth2-authorization-server 如何用
06-08
spring-security-oauth2-authorization-server是一个基于Spring Security的OAuth 2.0授权服务器,用于为客户端提供安全的访问资源的授权服务。您可以按照以下步骤使用该库: 1. 在您的Spring Boot项目添加以下依赖项: ```xml <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.1.0.RELEASE</version> </dependency> ``` 2. 配置您的授权服务器 在您的Spring Boot应用程序创建一个配置类,并使用@EnableAuthorizationServer注释启用授权服务器。例如: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { // ... } ``` 3. 配置您的客户端 您可以使用ClientDetailsServiceConfigurer配置您的客户端。例如: ```java @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client") .secret("{noop}secret") .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .autoApprove(true) .redirectUris("http://localhost:8080/login/oauth2/code/") .and() .withClient("resource") .secret("{noop}secret") .authorizedGrantTypes("client_credentials") .scopes("read"); } ``` 上面的代码将在内存配置两个客户端:一个用于授权授权,另一个用于客户端凭证授权。 4. 配置您的用户 您可以使用UserDetailsServiceConfigurer配置您的用户。例如: ```java @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } ``` 上面的代码将使用authenticationManager进行身份验证,并使用userDetailsService获取用户信息。 5. 启动您的应用程序 现在,您可以启动您的应用程序,并访问http://localhost:8080/oauth/authorize以获取授权码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值