OAuth2认证和授权:ClientCredentials认证

最新推荐文章于 2024-03-08 09:18:05 发布
最新推荐文章于 2024-03-08 09:18:05 发布
阅读量836 收藏
点赞数
文章标签: java 数据库 测试
原文链接:http://www.cnblogs.com/nsky/p/10349146.html
版权

1:创建授权服务器项目:AuthorizationServer,添加包:IdentityServer4

2:创建资源服务器项目:ResourcesServer,添加包:IdentityServer4.AccesstokenValidation

3:创建请求客户端项目:ClientCredentials,添加包:IdentityModel

 

AuthorizationServer代码示例:

  public class Config
    {
        /// <summary>
        /// 定义用户可以访问的资源
        /// </summary>
        /// <returns></returns>
        public static List<ApiResource> GetApiResources()
        {
            return new List<ApiResource> {
                /*
                 具有单个作用域的简单API,这样定义的话,作用域(scope)和Api名称(ApiName)相同
                 */
                new ApiResource("api","描述"),

                 //如果需要更多控制,则扩展版本
                new ApiResource{
                    Name="userinfo", //资源名称,对应客户端的:ApiName,必须是唯一的
                    Description="描述",
                    DisplayName="", //显示的名称
                  
                    //ApiSecrets =
                    //{
                    //    new Secret("secret11".Sha256())
                    //},

                    //作用域,对应下面的Cliet的 AllowedScopes
                    Scopes={
                        new Scope
                        {
                            Name = "apiInfo.read_full",
                            DisplayName = "完全的访问权限",
                            UserClaims={ "super" }
                        },
                        new Scope
                        {
                            Name = "apiinfo.read_only",
                            DisplayName = "只读权限"
                        }
                    },
                },
            };
        }

        /// <summary>
        /// 客户端合法性验证
        /// </summary>
        /// <returns></returns>
        public static List<Client> GetClients()
        {
            #region 客户端模式 ClientCredentials
            var ClientCredentials = new Client
            {

                /******************客户端 请求对应的字段*******************
                 client_id:客户端的ID,必选
                 grant_type:授权类型,必选,此处固定值“code”
                 client_secret:客户端的密码,必选
                 scope:申请的权限范围,可选,如果传了必须是正确的,否则也不通过
                 ************************************/

                //这个Client集合里面,ClientId必须是唯一的
                ClientId = "780987652", // 客户端ID,客户端传过来的必须是这个,验证才能通过,
                AllowedGrantTypes = GrantTypes.ClientCredentials,// 授权类型,指客户端可以使用的模式
                ClientSecrets = { new Secret("secret".Sha256()) }, //客户端密钥
                //ClientSecrets={new Secret("secret".Sha512()) },
                //RequireClientSecret = false, //不验证secret ,一般是信得过的第三方

                ClientName = "客户端名称",
                Description = "描述",
                //Claims = new List<Claim> {
                //    new Claim("super","super")
                //},
                /*
                 权限范围,对应的ApiResouce,这里是客户端模式,对应的是用户资源,所以是ApiResouce
                 如果是oidc 这对应的是identityResouece,身份资源
                 所以是取决于AllowedGrantTypes的类型

                允许客户端访问的API作用域
                 */
                AllowedScopes = { "apiInfo.read_full" } //
            };

            var ClientCredentials1 = new Client
            {
                ClientId = "userinfo",
                AllowedGrantTypes = GrantTypes.ClientCredentials, //客户端输入:client_credentials
                ClientSecrets = { new Secret("secret".Sha256()) },
                ClientName = "客户端名称",
                AllowedScopes = { "apiInfo.read_full" } //
            };
            #endregion
            #region 密码模式 ResourceOwnerPassword
            var pwd = new Client
            {
                ClientId = "userinfo_pwd",
                AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,//客户端输入:password
                ClientSecrets = { new Secret("secret".Sha256()) },
                ClientName = "客户端名称",
                RefreshTokenUsage = TokenUsage.ReUse,
                AlwaysIncludeUserClaimsInIdToken = true,
                AllowOfflineAccess = true,
                AllowedScopes = { "apiInfo.read_full" } //
            };
            #endregion

            return new List<Client> {
               ClientCredentials,
               //ClientCredentials1,
               //pwd,
           };
        }


        /// <summary>
        /// 密码模式,需要用的到用户名和密码,正式操作是在数据库中找
        /// </summary>
        /// <returns></returns>
        public static List<TestUser> GetTestUsers()
        {
            return new List<TestUser> {
                new TestUser
                {
                    SubjectId="100000", //用户ID
                    Username="cnblogs", //用户名
                    Password="123", //密码
                    Claims=new List<Claim>{
                        new Claim("name","name")
                    }
                }
            };
        }
    }

 

Startup.cs配置:

public void ConfigureServices(IServiceCollection services)
        {
            services.Configure<CookiePolicyOptions>(options =>
            {
                // This lambda determines whether user consent for non-essential cookies is needed for a given request.
                options.CheckConsentNeeded = context => true;
                options.MinimumSameSitePolicy = SameSiteMode.None;
            });


            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

            //注册ids中间件
            services.AddIdentityServer()
               //设置开发者临时签名凭据
               .AddDeveloperSigningCredential()
               
               //in-men 方式把信息添加到内存中
               .AddInMemoryApiResources(Config.GetApiResources())
               .AddInMemoryClients(Config.GetClients())
               .AddTestUsers(Config.GetTestUsers());

        }

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
          //使用ids中间件
            app.UseIdentityServer();
}

 

ResourcesServer 资源服务器认证示例:

 public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

            //默认的认证方式是Bearer认证
            services.AddAuthentication("Bearer")
            //配置要验证的信息
            .AddIdentityServerAuthentication(options =>
            {
                //令牌或者说AccessToken颁发的地址,Token中会包含该地址
                //第一次会去认证服务器获取配置信息
                options.Authority = "http://localhost:5003"; //必填
                options.ApiName = "userinfo";
                options.ApiSecret = "secret";
                //options.SaveToken = true;
                options.RequireHttpsMetadata = false;//暂时取消Https验证,
            });

            //services.AddAuthorization(options => {
            //    options.AddPolicy("client", policy => policy.RequireClaim("client_id"));
            //});
        }
 public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
 app.UseAuthentication();

}

 

 

资源接口:

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using System.Linq;

namespace ResourcesServer.Controllers
{
    [Route("identity")]
    [Authorize]
    public class IdentityController : ControllerBase
    {
        /// <summary>
        /// 获取当前的信息
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        public ActionResult Get()
        {
            return new JsonResult(User.Claims.Select(
                c => new { c.Type, c.Value }));
        }

        [HttpGet]
        [Route("userInfo")]
        public ActionResult GetUserInfo()
        {
            return new JsonResult(User.Claims.Select(
                c => new { c.Type, c.Value }));
        }
      
    }
}

 

通过Postman请求授权服务器获取access_token

参数:

client_id:780987652
client_secret:secret
grant_type:client_credentials

 

 

 然后通过该access_token 请求资源服务器获取资源

 

nbf:非必须。not before。如果当前时间在nbf里的时间之前,则Token不被接受;一般都会留一些余地,比如几分钟。

exp:#非必须。expire 指定token的生命周期。unix时间戳格式

iss:#非必须。issuer 请求实体,可以是发起请求的用户的信息,也可是jwt的签发者。

aud:#非必须。接收该JWT的一方。

详细信息参考:https://www.cnblogs.com/zjutzz/p/5790180.html

 

可以把access_token放到jwt.io 看下:

 

 可以通过 http://localhost:5003/.well-known/openid-configuration 查看配置信息

ClientCredentials第三方代码请求方式:

using IdentityModel;
using IdentityModel.Client;
using Newtonsoft.Json.Linq;
using System;
using System.Net.Http;
using System.Text;

namespace ClientCredentials
{
    /// <summary>
    /// 客户端模式,请求授权服务器获取token,请求资源服务器获取资源
    /// 依赖包:IdentityModel
    /// </summary>
    class Program
    {
        static void Main(string[] args)
        {
            string Authority = "http://localhost:5003";
            string ApiResurce = "http://localhost:5002/";
            var tokenCliet = new HttpClient()
            {
                BaseAddress = new Uri(ApiResurce)
            };

            /*
             这样做的目的是:
             资源服务器会去授权服务器认证,所以在客户端可以先判断下授权服务器是否挂了
             */
            DiscoveryCache _cache = new DiscoveryCache(Authority);
            var disco1 =  _cache.GetAsync().Result;
            if (disco1.IsError) throw new Exception(disco1.Error);
            //或者
            var disco = tokenCliet.GetDiscoveryDocumentAsync(Authority).Result;
            if (disco.IsError) throw new Exception(disco.Error);


            var response = tokenCliet.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest
            {
                Address = disco.TokenEndpoint,
                ClientId = "780987652",
                ClientSecret= "secret",
                //GrantType= "client_credentials"
            }).Result;

            if (response.IsError) throw new Exception(response.Error);

            var token = response.AccessToken;

            //把token,Decode
            if (response.AccessToken.Contains("."))
            {
                //Console.WriteLine("\nAccess Token (decoded):");
                Console.ForegroundColor = ConsoleColor.Green;
                Console.WriteLine("\nAccess Token (decoded):");
                Console.ResetColor();

                var parts = response.AccessToken.Split('.');
                var header = parts[0];
                var claims = parts[1];

                Console.WriteLine(JObject.Parse(Encoding.UTF8.GetString(Base64Url.Decode(header))));
                Console.WriteLine(JObject.Parse(Encoding.UTF8.GetString(Base64Url.Decode(claims))));
            }
            //设置请求的Token
            tokenCliet.SetBearerToken(token);
            //请求并返回字符串
            var apiResource1 = tokenCliet.GetStringAsync("identity").Result;
            var userinfo = tokenCliet.GetStringAsync("identity/userinfo").Result;

           var j =  JObject.Parse(userinfo);
            //或者
            var getVal = tokenCliet.GetAsync("api/values").Result;
            if (getVal.IsSuccessStatusCode)
            {
                Console.WriteLine(getVal.Content.ReadAsStringAsync().Result);
            }
            Console.ReadLine();
        }
    }
}

 

 Access Token (decoded)的结果

 

 

转载于:https://www.cnblogs.com/nsky/p/10349146.html

weixin_30613727
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权码模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
Spring Security OAuth2客户端凭据授权
new_ord的博客
07-10 1448
在没有明确的资源拥有者,或对于客户端来说资源拥有者不可区分,该怎么办?这是一种相当常见的场景。比如后端系统之间需要直接通信时,将使用客户端凭据授权
Spring Cloud OAuth2 实现用户认证及单点登录
最新发布
杜海的博客
03-08 196
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。本文我们将使用授权码模式和密码模式两种方式来实现用户认证授权管理。OAuth2 其实是一个关于授权的网络标准,它制定了设计思路和运行流程,利用这个标准我们其实是可以自己实现 OAuth2 的认证过程的。
OAuth2授权(Client Credentials)
热门推荐
shonegg的技术人生
08-15 3万+
OAuth 2.0定义了四种授权方式。 1.授权码模式(authorization code) 2.简化模式(implicit) 3.密码模式(resource owner password credentials) 4.客户端模式(client credentials) ClientCredentials客户端模式: Client使用自己的 client证书(如 clien
OAuth2.0 授权 & OpenID Connect 身份认证
weixin_43294560的博客
06-06 1340
【代码】OAuth2.0 授权 & OpenID Connect 身份认证
(二)OAuth 2.0 客户端模式(ClientCredentials
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 1748
spring cloud oauth2 zuul 单点登录 认证授权
01-08
spring cloud框架下的单点登录sso技术 oauth2实现的认证 授权 以及zuul作为网关路由 可以参考学习使用
Spring Cloud下基于OAUTH2认证授权的实现示例
08-27
主要介绍了Spring Cloud下基于OAUTH2认证授权的实现示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
oauth2认证、鉴权框架知识点汇总
03-15
关于oauth2认证、鉴权框架知识点汇总,以及使用的理解。
oauth2+openidconnect 授权身份认证
01-12
oauth2+openidconnect 授权身份认证
【Spring Security OAuth2】客户端授权模式(client credentials)~资源服务配置
不务正业的野猴子
08-27 2343
例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库 本例中资源服务为独立的应用 参考资源: Resource Server Configuration 添加一个实现了ResourceServerConfigurer接口的实现类且使用@EnableResourceServer注解进行标注 ResourceServerConfigurer接口有一个实现类Reso...
M2M场景之客户端凭证模式|OIDC & OAuth2.0 认证协议最佳实践系列 【4】
Authing的博客
04-27 707
一文读懂 OIDC Client Credentials 授权模式
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 5308
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
【Spring Security OAuth2】客户端授权模式(client credentials)~获取访问令牌
不务正业的野猴子
09-02 6706
访问路径:http://localhost:8081/oauth/token?grant_type=client_credentials&client_id=app&client_secret=app 如果我们在请求中添加了scope参数则会对该参数进行校验,没设置并不会报错 112行,验证请求中是否设置了grant_type参数,若没有设置则抛出异常 随后判断是否为隐式授权、是...
【Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置
不务正业的野猴子
08-25 8488
基于Spring Boot 2.1.7.RELEASE 参考资源: OAuth 2 Developers Guide 授权服务配置 添加一个实现了AuthorizationServerConfigurer接口的实现类且使用@EnableAuthorizationServer注解进行标注 AuthorizationServerConfigurer接口的实现类是AuthorizationSer...
Spring Security OAuth2 Demo —— 客户端模式(ClientCredentials
拾级而上
12-14 1315
前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单的模式:客户端模式 其中客户端模式的流程是:客户端使用授权服器给的标识与secret访问资源服务器获取token 本文目标 编写与说明密码模式的Spring Security Oauth2的...
SpringSecurity系列 - 08 oauth2认证ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 1821
在 Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
【Spring Security OAuth2】客户端授权模式(client credentials)~校验访问令牌
不务正业的野猴子
09-08 5404
前文 【Spring Security OAuth2】客户端授权模式(client credentials)~资源服务配置 我们设定 授权服务 和 资源服务 是两个单独的应用,在 资源服务 中使用RemoteTokenServices对Token进行校验。 从图中可以看出,ResourceServerTokenServices接口有两个实现类(DefaultTokenServices、Remot...
Oauth2进行认证授权代码示例
06-10
以下是一个基于Spring Security OAuth2的认证授权代码示例: 1. 添加Maven依赖 ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.4.0.RELEASE</version> </dependency> ``` 2. 配置OAuth2服务器 ```java @Configuration @EnableAuthorizationServer public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private DataSource dataSource; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager); } } ``` 3. 配置资源服务器 ```java @Configuration @EnableResourceServer public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated(); } } ``` 4. 配置Spring Security ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/oauth/**").permitAll().anyRequest().authenticated().and().csrf().disable(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 5. 配置数据源 ```java @Configuration public class DataSourceConfig { @Bean @ConfigurationProperties(prefix = "spring.datasource") public DataSource dataSource() { return DataSourceBuilder.create().build(); } } ``` 6. 配置应用属性 ```properties spring.datasource.url=jdbc:mysql://localhost:3306/oauth2 spring.datasource.username=root spring.datasource.password=root security.oauth2.client.client-id=client security.oauth2.client.client-secret=secret security.oauth2.client.access-token-validity-seconds=3600 security.oauth2.client.authorized-grant-types=authorization_code,refresh_token,password,client_credentials security.oauth2.client.scope=read,write security.oauth2.resource.id=resource security.user.name=user security.user.password=password security.user.roles=USER ``` 以上代码仅供参考,具体实现需要根据实际场景进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值