java 授权码模式_【Spring Security + OAuth2 + JWT入门到实战】17. oauth2授权码模式

最新推荐文章于 2023-05-31 23:31:58 发布
最新推荐文章于 2023-05-31 23:31:58 发布
阅读量540 收藏 1
点赞数
文章标签: java 授权码模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35159324/article/details/114969850
版权
本文介绍了OAuth2授权码模式的详细流程,包括客户端引导用户授权、用户同意授权、获取授权码、用授权码换取令牌等步骤。在Spring Security环境下,文章解决了授权过程中遇到的身份验证、redirect_uri未注册等问题,并提供了相应的配置示例。
摘要由CSDN通过智能技术生成

简介

做oauth2之前项目架构给调整了一下,spring-boot更新到最新版本,真是一代版本一代神两天遇到很多问题这里一一解决。

2.2.4.RELEASE

Hoxton.SR2

2.3.6.RELEASE

授权码模式

授权码模式是最能体现OAuth2协议,最严格,流程最完整的授权模式,流程如下所示:

c0ad895c82064d0df8184742e3b17999.png

A. 客户端将用户导向认证服务器;

B. 用户决定是否给客户端授权;

C. 同意授权后,认证服务器将用户导向客户端提供的URL,并附上授权码;

D. 客户端通过重定向URL和授权码到认证服务器换取令牌;

E. 校验无误后发放令牌。

其中A步骤,客户端申请认证的URI,包含以下参数:

response_type:表示授权类型,必选项,此处的值固定为”code”,标识授权码模式

client_id:表示客户端的ID,必选项

redirect_uri:表示重定向URI,可选项

scope:表示申请的权限范围,可选项

state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

grant_type:表示使用的授权模式,必选项,此处的值固定为”authorization_code”。

code:表示上一步获得的授权码,必选项。

redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。

client_id:表示客户端ID,必选项。

认证服务器

app项目根目录创建HkAuthorizationServerConfig类

package com.spring.security;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;

/**

* 认证服务器

*/

@Configuration

@EnableAuthorizationServer

public class HkAuthorizationServerConfig{

}

启动项目控制台输出:

cf195779c6420ae4fb04f048c4afc52e.png

访问:http://127.0.0.1:8080/oauth/authorize?response_type=code&client_id=6edc003b-bf47-4b1b-a4c1-13a63b0df14b&redirect_uri=http://example.com&scope=all

关于参数上面有详细解释

错误一:

13e58421333c869efbb8bb8fc9536057.png

错误原因:用户必须通过Spring Security的身份验证才能访问/oauth/authorize

User must be authenticated with Spring Security before authorization can be completed.

解决办法配置不需要身份验证:

同目录创建WebSecurityConfigurer认证相关配置类

package com.spring.security;

import org.springframework.context.annotation.Configuration;

import org.springframework.context.annotation.Primary;

import org.springframework.core.annotation.Order;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**

* 认证相关配置

*/

@Primary

@Order(90)

@Configuration

public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

@Override

public void configure(HttpSecurity http) throws Exception {

http.csrf().disable();

http

.requestMatchers().antMatchers("/oauth/**", "/login/**", "/logout/**", "/token/**", "/actuator/**")

.and()

.authorizeRequests()

.antMatchers("/oauth/**").authenticated()

.and()

.formLogin().permitAll(); //新增login form支持用户登录及授权

}

}

启动项目再次访问,记得修改client_id为本次启动控制台的输出client-id:

729720b2498dc0258b86aa2fbb3051bf.png

输入admin,123456   这个是之前MyUserDetailsService里面配置的:

错误二:

34d2057ea41b86ca017a973953f07f3b.png

错误原因:意思是说我们没有配置redirect_uri,实际上我们是配置了的为什么还报这错,是因为像QQ互联的回调地址是需要配置的我们这

个也需要配置到白名单

error="invalid_request", error_description="At least one redirect_uri must be registered with the client."

解决办法,配置到白名单:

security:

oauth2:

client:

registered-redirect-uri: http://example.com

client-id: myhk

client-secret: myhk123

重启项目访问,输入账号密码:

7e4f12e5d9c093576eadb50c5c535849.png

Approve:同意授权

Deny:拒绝

选择Approve点Authoriez:

3cad341769672bc6faeba138ee0f57aa.png

code已经获取现在去获取token

获取令牌Token

4c6cb38c32f8d13f54b8de12f6155e18.png

这里要填的参数和上面介绍的授权码模式D步骤介绍的一致。grant_type固定填authorization_code,code为上一步获取到的授权码,client_id和redirect_uri必须和我们上面定义的一致。

除了这几个参数外,我们还需要在请求头中填写:

f03601e7cbc1b45460591bfe7417adc9.png

key为Authorization,value为Basic加上client_id:client_secret经过base64加密后的值(可以使用http://tool.chinaz.com/Tools/Base64.aspx):

f35b3c14fc8d38caa4e63a0157ac668d.png

参数填写无误后,点击发送便可以获取到令牌Token:

1086f123020102ffcd0c7bc7880e8c78.png

一个授权码只能换一次令牌,如果再次点击postman的发送按钮,将返回:

e6ad949f7c49f196151567fc5c7d316a.png

苏文强
关注
授权码授权请求的具体逻辑(Java 实现)
TechChamp的博客
09-06 321
授权码授权是一种常见的身份验证方式,它允许用户通过授权码来获取访问令牌,以便在应用程序或服务中进行授权操作。在以下的示例中,我们将展示如何使用 Java 编程语言实现授权码授权请求的具体逻辑。请注意,此示例仅展示了授权码授权请求的基本逻辑,并不涵盖错误处理、身份验证和其他安全考虑。类来发送POST请求,将授权码和其他相关参数作为请求体发送到令牌端点。希望这个示例能帮助您理解授权码授权请求的具体逻辑。在上面的代码中,我们定义了一些常量,包括客户端ID(授权码授权请求的具体逻辑(Java 实现)
java 授权码模式_Spring Security OAuth2 授权码模式的实现
weixin_32452447的博客
03-02 1219
写在前边在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式的demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出,如果文中有错误的地方,请评论指正,在此不胜感激受众前提阅读本文,默认读者已经过Spring Security有一定的了解,对OAuth2流程有一定了解本文目标带领读者对Spring Security O...
oauth过滤login_Oauth2认证模式授权码模式实现
weixin_35987118的博客
12-23 890
Oauth2认证模式授权码模式(authorization code)本示例实现了Oauth2授权码模式授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。阅读本示例之前,你需要先有以下两点基础:需要对spring security有一定的配置使用经验,用户认证这一块,spring s...
oauth2.0 java_OAuth2.0授权码模式
weixin_29723669的博客
02-12 697
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端与服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录,登录...
Oauth2授权码模式
最新发布
qq_43530309的博客
05-31 360
SpringCloud Oauth2授权码模式
SpringSecurity+JWT项目实战Java权限管理实战(九)--授权码模式
daimeijin的博客
07-25 184
前言 本文是参考尚学堂SpringSecurity精讲和中文文档仅作为学习记录使用。 这个系列设计到的技术点如下: SpringSecurity Oauth2 SpringSecurity + Oauth2 SpringSecurity +JWT SpringSecurity + Oauth2 SpringSecurity + Oauth2 + JWT 背景 上一篇讲到授权模式,本次讲一下授权码模式。 新建项目 导入依赖 <?xml version="1.0" encoding="UTF-8"?
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
Spring SecurityOAuth2是两个非常流行的Java安全框架,它们被广泛用于构建安全、可扩展的Web服务。本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方...
SpringSecurity+oauth2+jwt.docx
01-25
Spring Security作为Java领域中强大的安全框架,配合OAuth2JWT(JSON Web Token),可以构建出高效且安全的认证系统。下面将详细阐述这三者的结合及其在B/S结构中的应用。 首先,让我们了解一下传统的B/S结构认证...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
开发者可以从中学习到如何配置Spring Security来处理认证和授权,如何使用OAuth2来管理用户授权,以及如何利用JWT来进行无状态的身份验证。同时,"3_store_in_db"文件的实现可以帮助理解如何在数据库中存储和管理...
java随机生成8位数授权码的实例
08-31
下面小编就为大家带来一篇java随机生成8位数授权码的实例。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 制作简单的系统授权文件以及验证
04-21
NULL 博文链接:https://sdfx.iteye.com/blog/1908008
使用truelicense实现用于JAVA工程license机制(包括license生成和验证)
04-03
使用truelicense实现用于JAVA工程license机制(包括license生成和验证)
Java 授权内幕--转载
06-21 199
在信息安全性领域,授权是世界的的中心,因为它是控制个体(即人、进程和计算机)对系统资源的访问权限的过程。直到最近,在 Java 安全体系结构中相关的问题都是“这段运行中的代码的访问权限是什么?” 随着 Java 认证和授权服务(Java Authentication and Authorization Service,JAAS)的引入,这种情况改变了。JAAS 首先是作为 JDK 版本 ...
微信开放平台【第三方平台】java开发总结:预授权码(pre_auth_code)(三)
u011627598的博客
12-23 3277
授权码授权码(pre_auth_code)是第三方平台方实现授权托管的必备信息,每个预授权码有效期为 10 分钟。需要先获取令牌才能调用 请求地址: https://api.weixin.qq.com/cgi-bin/component/api_create_preauthcode?component_access_token=COMPONENT_ACCESS_TOKEN 请求方式: POS...
java静态方法什么意思_java 静态方法区别是什么意思
weixin_35033679的博客
02-12 181
怎么 没人来呀 @中山野鬼###### 1、如果想去掉while(true),可以考虑通知实现; 2、关于自动重连的问题,可以考虑重发送逻辑中抽离出来,采用心跳检测完成; 3、另外发送速率统计部分也应该抽离出来。 4、上多通道要考虑资源使用可控。 5、实在不行按照业务拆分成多模块,用redis 或mq类的扩展一下架构设计; ######回复 @OS小小小 : map =(Map)JSONObjec...
User must be authenticated with Spring Security before authorization can be completed
honor_zhang的博客
08-10 9234
问题描述 利用Spring cloud oauth2实现Oauth 2权限控制时,调用/oauth/authorize获取授权码,抛出了User must be authenticated with Spring Security before authorization can be completed异常? 请求接口: 控制台异常信息为: 接口部分源码为: @RequestMapping(value = "/oauth/authorize") public ModelAndV...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值