spring security oauth2 配置不登陆也能访问_Spring Security Oauth2 SSO单点登录配置及原理深度剖析...

最新推荐文章于 2024-07-24 17:12:13 发布
最新推荐文章于 2024-07-24 17:12:13 发布
阅读量2.4k 收藏 1
点赞数
文章标签: spring security oauth2 配置不登陆也能访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31589331/article/details/113318620
版权
本文深入探讨Spring Security OAuth2的SSO单点登录配置及其原理,详细阐述了OAuth协议的授权流程,包括EnableAuthorizationServer、WebSecurityConfiguration的配置,以及SSO登录过程中的关键步骤和HttpSessionSecurityContextRepository的作用。通过实例展示了如何实现不登录也能访问受保护资源的功能。
摘要由CSDN通过智能技术生成
ec1d977db81327a72d86e80d8a65ae1c.gif

单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。

随着企业各系统越来越多,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等,登录问题就变得愈发重要。要记录那么多的用户名和密码,实在不是一件容易的事儿。而为了便于记忆,很多人都在不同的站点使用相同的用户名和密码,虽然这样可以减少负担,但是同时也降低了安全性,而且使用不同的站点同样要进行多次登录。基于以上原因,为用户提供一个畅通的登录通道变得十分重要。 单点登录(SingleSign-On,SSO)是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。OAuth是Open Authorization的简写。

虽然OAuth2一开始是用来允许用户授权第三方应用访问其资源的一种协议,并不是用来做单点登录的,但是我们可以用其特性,来变相的实现单点登录,其中就要用到其授权码模式(authorization code),并且,token生成使用JWT。 下面我们建立一套工程,包含授权平台、OA-综合办公平台、CRM-移动营销平台,来模拟单点登录过程,阐述其配置进行,并针对其原理,进行深度剖析。

授权平台

pom 最终的pom依赖如下: 
<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">    <modelVersion>4.0.0modelVersion>    <parent>        <artifactId>spring-security-oauth2-sso-sampleartifactId>        <groupId>org.xbdframework.samplegroupId>        <version>1.0.0-SNAPSHOTversion>    parent>    <groupId>org.xbdframework.samplegroupId>    <artifactId>sso-auth-serverartifactId>    <version>0.0.1-SNAPSHOTversion>    <name>sso-auth-servername>    <description>Demo project for Spring Bootdescription>    <properties>    properties>    <dependencies>        <dependency>            <groupId>org.springframework.bootgroupId>            <artifactId>spring-boot-starter-thymeleafartifactId>        dependency>        <dependency>            <groupId>org.springframework.bootgroupId>            <artifactId>spring-boot-starter-webartifactId>        dependency>        <dependency>            <groupId>org.springframework.bootgroupId>            <artifactId>spring-boot-starter-securityartifactId>        dependency>        <dependency>            <groupId>org.springframework.security.oauth.bootgroupId>            <artifactId>spring-security-oauth2-autoconfigureartifactId>        dependency>        <dependency>            <groupId>org.springframework.bootgroupId>            <artifactId>spring-boot-starter-testartifactId>            <scope>testscope>        dependency>    dependencies>    <build>        <plugins>            <plugin>                <groupId>org.springframework.bootgroupId>                <artifactId>spring-boot-maven-pluginartifactId>            plugin>        plugins>    build>project>
请注意,spring-security-oauth2-autoconfigure依赖必不可少,这是SpringBoot工程,而不是SpringCloud工程。SpringCloud的话,引入oauth2 starter即可。

EnableAuthorizationServer

授权服务器配置如下: 
package org.xbdframework.sample.sso.authserver.confg;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.oauth2.config.annotation.builders.InMemoryClientDetailsServiceBuilder;import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;import org.springframework.security.oauth2.provider.ClientDetailsService;import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;@EnableAuthorizationServer@Configurationpublic class Authoriza
最低0.47元/天 解锁文章
孫志貴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity
qq_27295923的博客
09-05 767
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
OAuth2.0免登陆授权
ITczh的博客
09-28 2420
单体应用:session+cookie方式实现权限管理 分布式环境:多个Tomcat,Nginx做负载均衡,无法实现session共享 ip轮询(session黏贴):每次请求,固定机制,都分发到第一台服务器,存储session的服务器一旦挂掉,其他服务器无法使用。 session复制:各个节点都复制session,但是session比较重,一旦请求早于复制过程,就会出现登录异常问题。 session集中存储:使用三方的redis。 基于无状态token方式:token保存用户所有信息,返回到客户
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1280
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
springboot使springsecurity不用登录
m0_67403076的博客
03-23 2748
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
spring security登录动态配置方案2
weixin_34037173的博客
11-26 919
序 之前有篇文章讲了怎么进行免登录动态配置的方案,动用了反射去实现,有点黑魔法的味道,这里再介绍另外一种方案 permitAll spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/conf...
springboot2.0 security登录
liu_xue_xue的专栏
06-22 4014
由于业务需要支持关闭了security验证,无需登录成功访问请求 主要实现方式如下: 第一种:在启动类上或者任意@Configure配置类上,移除默认自动启动的安全策略 @EnableAutoConfiguration(exclude = {SecurityAutoConfiguration.class}) @SpringBootApplication public class XxlJobAdminApplication { public static void main(String[] a
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
使用Spring Security OAuth2实现单点登录
08-25
在上面的配置中,我们使用了@ EnableOAuth2Sso注释来启用单点登录,并使用antMatchers()方法指定了可以在没有身份验证的情况访问的页面。 OAuth2客户端配置: 在application.yml文件中,我们需要配置OAuth2客户端...
spring security oauth2 实现的SSO单点登录案例.rar
03-18
在本案例中,我们将探讨如何利用Spring Security OAuth2实现SSO(Single Sign-On)单点登录功能。 SSO是一种让用户只需一次登录就能够访问多个相互信任的应用系统的技术。在企业环境中,这种功能能够极大地提高用户...
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录访问多个相互关联的应用系统,而无需再次进行身份验证。在本项目中,通过集成Spring Security OAuth2和JWT(JSON Web Token)技术,实现了...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
此外,笔记中可能还涉及了Spring SecurityOAuth2.0结合时的常见问题和最佳实践,例如如何处理刷新令牌以延长访问权限,如何实现单点登录SSO),以及如何利用JWT(JSON Web Tokens)来提高性能和安全性。...
oauth2实现免登录springSecurity
热门推荐
qq_38526245的博客
07-21 1万+
代码怎么写,原理等请参考阮一峰博客 四种模式都讲的非常清楚,这里我就我遇到的问题做个记录 什么用户存入数据库,客户端信息持久化,access_token存入redis等问题网上都可以搜到 我所遇到的问题 在获取code的时候,也就是 /oauth/authorize 接口(在AuthorizationEndpoint类中) User must be authenticated with Spring Security before authorization can be completed. 这是没有登
彻底搞懂OAuth2.0第三方授权免登原理
量子前端的博客
02-28 1108
OAuth 2.0是一个授权框架,允许第三方应用程序获取对资源拥有者(例如,用户)资源的有限访问权限,而不需要向第三方暴露资源拥有者的凭据(通常是一个密码)。这种授权通常用于允许用户让一个应用程序对另一个系统进行安全访问,通常用于“登陆”的场景。免登(免密码登录原理OAuth 2.0框架中可以通过几种不同的grant类型实现,最常见的是使用“授权码”(Authorization Code)流程。
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4278
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
SpringSecurity学习笔记(三)- 静态资源过滤配置(无需登录即可获取)
nuaa042216的博客
11-20 1197
3.在项目的resources/static 目录下新建images和jpgs目录(此处为举例,实际上上述两个目录只需与第一步的目录对应即可,注意必须放在resources/static 目录下),并准备好几张图片。1.启动项目,使用浏览器访问 http://localhost:8088/jpgs/1.jpg,此时因为未配置静态资源过滤,应该会跳转到指定登录页面。在一个实际项目中,并非所有请求都需要SpringSecurity过滤,像图片等静态资源很多是不需要登录即可访问的,那我们可以怎么配置呢。
SpringSecurity的关于权限的问题
qq_37247381的博客
09-19 299
参考大神的博客 https://www.springcloud.cc/spring-security-zhcn.html https://blog.csdn.net/larger5/article/details/81063438 代码主要是从这整过来的 https://blog.csdn.net/zzxzzxhao/article/details/83412648 https://www.cnb...
SpringSecurity源码分析-未登录下如何进行拦截与转发
u011439259的博客
09-16 1147
前言 基于SpringSecurity 5.1.6.RELEASE进行登录认证源码分析 1、引入库 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> <version>2.1.3.RELEASE</version> </..
spring security如果未登录,返回JSON数据
lichuangcsdn的博客
07-08 8851
默认情况下,spring security如果检测到未登录,会返回一个登录页面。对于前后端分离的项目,我们一般是希望能返回自定义的JSON数据。这时候,就需要继承类LoginUrlAuthenticationEntryPoint,并重写其 public void commence(HttpServletRequest request, HttpServletResponse response, ...
OAuth2单点登录SpringSecurity实现解析
这份资源深入探讨了OAuth2.0协议以及如何利用它与SpringSecurity配合实现单点登录,对于理解SSO机制和OAuth2的工作原理有着重要的参考价值。无论是对于前端还是后端开发者,都能从中受益,尤其是在处理多应用环境下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值