spring中如何实现参数隐式传递_Spring security oAuth2 - 带有表单身份验证的隐式令牌...

最新推荐文章于 2024-01-28 03:23:45 发布
最新推荐文章于 2024-01-28 03:23:45 发布
阅读量319 收藏
点赞数
文章标签: spring中如何实现参数隐式传递
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35728049/article/details/112932445
版权

我对 spring 安全性一般都是新手,我一直在尝试 spring 安全oAuth2 . 如果我在配置中启用了httpBasic并使用基本身份验证标头,我可以使用以下方法隐式从授权 endpoints 获取令牌:

我正在尝试使用表单身份验证而不是基本身份验证 . 但是当我将凭证作为表单数据发送时,我总是被重定向到登录表单 .

这是我的配置:

WebSecurityConfigurerAdapter:

@EnableWebSecurity

public class PortalWebSecurityConfigurer extends WebSecurityConfigurerAdapter {

@Autowired

UserDetailsService userDetailsService;

@Autowired

PasswordEncoder fastPasswordEncoder;

@Autowired

AuthenticationEntryPoint authenticationEntryPoint;

@Autowired

public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {

authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(fastPasswordEncoder);

}

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

@Bean

AuthenticationEntryPoint authenticationEntryPoint() {

return new OAuth2AuthenticationEntryPoint();

}

@Override

protected void configure(org.springframework.security.config.annotation.web.builders.HttpSecurity http) throws Exception {

http

//When this is enabled, basic authentication works

//.httpBasic().authenticationEntryPoint(authenticationEntryPoint).and()

.formLogin().permitAll().and()

.sessionManagement()

.sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().csrf().disable().authorizeRequests()

.antMatchers("/oauth/saveCode").permitAll()

.antMatchers("/login").permitAll()

.antMatchers("/oauth/token").fullyAuthenticated().antMatchers("/secure/**").authenticated()

.and().exceptionHandling()

.accessDeniedHandler(new OAuth2AccessDeniedHandler());

}

}

和oAuth2配置:

@Configuration

public class OAuth2ServerConfig {

private static final String RESOURCE_ID = "resource";

private static final int TOKEN_LIVE_SECONDS = 120;

private static final String PORTAL_CLIENT_NAME = "portal";

private static final String PORTAL_CLIENT_SECRET = "portalSecret";

@Configuration

@EnableResourceServer

protected static class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

@Autowired

@Qualifier("tokenServices")

private ResourceServerTokenServices tokenServices;

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

resources.resourceId(RESOURCE_ID);

}

@Override

public void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers("/oauth/saveCode").permitAll()

.antMatchers("/login").permitAll()

.anyRequest().authenticated().antMatchers("/secure/**").fullyAuthenticated().and().sessionManagement()

.sessionCreationPolicy(SessionCreationPolicy.STATELESS);

}

@Configuration

@EnableAuthorizationServer

protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

@Autowired

@Qualifier("tokenServices")

private AuthorizationServerTokenServices tokenServices;

@Autowired

private TokenStore tokenStore;

@Autowired

private ClientDetailsService clientDetailsService;

@Autowired

private UserDetailsService userDetailsService;

@Override

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

clients.inMemory().withClient(PORTAL_CLIENT_NAME).secret(PORTAL_CLIENT_SECRET).scopes("read", "write", "trust")

.authorizedGrantTypes("implicit", "authorization_code", "refresh-token").authorities('Admin_Role')

.resourceIds(RESOURCE_ID).accessTokenValiditySeconds(TOKEN_LIVE_SECONDS).autoApprove(true);

}

@Override

public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {

security.allowFormAuthenticationForClients();

}

}

}

}

我只需要能够获取令牌而不通过登录表单本身(就像调用服务时一样) . 我正在努力实现的目标是什么?提前致谢 .

挺复杂一人
关注
Spring Security OAuth2入门Demo
诺浅的专栏
11-17 1639
写在前面 项目基于Spring Cloud,需要你对Spring Cloud有所了解,篇幅所限,本文只会列出关键代码,文末会给出完整的项目GIT地址,建议下载下来导入到idea再进行查看。 项目的目录结构 其auth-server为认证模块,client-user为资源模块。 auth-server模块配置 首先需要导入oauth2的包 <dependency> <groupId>org.springframework.cloud</groupId>
spring如何实现参数隐式传递_Spring Security OAuth2 Demo —— 隐式授权模式(Implicit)...
weixin_39893042的博客
12-24 354
本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html写在前面在文章OAuth 2.0 概念及授权流程梳理 我们谈到OAuth 2.0的概念与流程,上一篇文章Spring Security OAuth2 Demo —— 授权码模式简单演示了OAuth2的授权码模式流程,本文继续整理隐式授权模式相关内容写文...
BUG写累了分享下笔记-关于spring-security-oauth2传递的principal对象没有id等自定义属性
weixin_44536909的博客
05-04 4024
只分享思路没有代码 下边是正题 我们进入debug模式,逆向分析这个principal怎么来的.点打上断点看下是哪来的(后面每次请求debug都用’->'代替) -> 可以看到是一个UsernamePasswordAuthenticationToken的对象,计入这个类可以看到一个构造方法,我们在构造方法内打上断点,看下是谁创建的 -> 我们f它可以看到extractAuthe...
Spring SecuritySpring Security Oauth2用户授权及token的传递
batman
12-28 1788
前言 上边分享如何实现网关鉴权介绍,那么问题来了,所有用户进来可以是不同的角色,不同的权限,这里后端怎么控制呢。 方法授权 需求分析 方法授权要完成的是provider访问根据jwt令牌完成对方法的授权,具体流程如下: 生成Jwt令牌时在令牌写入用户所拥有的权限我们给每个权限起个名字,例如某个用户拥有如下权限: batman:访问provider的hello接口 在hello方法上添加注解P...
java url 授权,Spring Security OAuth2 - 向授权URL添加参数
weixin_32287801的博客
03-13 784
我需要在OAuth2授权网址添加参数 . 我不确定应该如何将它添加到AuthorizationCodeResourceDetails bean?问题是我想通过登录或从客户端站点注册来启动用户旅程 . 客户端将发送OAuth请求,在授权服务器上,我将显示注册表单或登录表单,以便用户继续其旅程 .默认流只有以下参数/ oauth / authorize?client_id = []&redirect...
spring如何实现参数隐式传递_spring security实战 4-使用隐式模式(implicit grant type)保护资源...
weixin_28740299的博客
12-24 282
写在开篇本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring securityoauth2.0来保护你的资源,。课程从第二章开始,在Chaptor2,我们将学习以下内容:本节为隐式模式...
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1796
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1586
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
鉴权 OAuth 2.0的实现Spring_Security_Oauth2)
最新发布
qq_25156781的博客
01-28 2946
可以理解为客户端和服务器之间的一次私密谈话,在一次对话可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3594
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring security 获取用户信息的几种方式
yanshendeyinji的博客
10-19 1497
1通过Bean方式 (1)最简单的检索当前用户进行身份认证的方式是静态使用SecurityContextHolder (2)注意验证该用户是否已经认证过了 2Controller通过框架解析传参方式 (1)框架可解析的principal 传参方式 (2)框架可解析的authentication token传参方式 (3)认证的开放是为了保持框架的灵活性,所以 Spring Security principal只能映射到固定的UserDetails 实例 (4)从HTTP request获取 3自
说说如何使用 Spring Security 保护 web 请求
读万卷书,行万里路
10-01 462
利用 WebSecurityConfigurerAdapter 类的configure(HttpSecurity http) 方法,可以实现以下功能: 只有满足特定条件的请求,才允许提供服务; 自定义登录页; 退出账户; 预防跨站请求伪造。 1 权限配置 对 HTTP 请求路径进行权限配置。假设必须具有 ROLE_USER 角色的账户才能访问 /notice 与 /sms 路径;而其它路径无限制。具体配置代码如下: @Override protected void configure(Htt
spring security实现传参
brushli的专栏
11-04 5208
本人现在开发的项目用到了spring security,但只能传递两个
spring-security-oauth2(二) 自定义个性化登录
codeing-tiger
12-07 1万+
自定义认证逻辑 1.认证逻辑接口 spring-security用户登录逻辑验证接口org.springframework.security.core.userdetails.UserDetailsService只有一个方法 UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; ...
利用Spring Cloud Security开发OAuth服务器的PasswordEncoder问题
robinz1001的博客
11-30 637
利用Spring Cloud Security开发OAuth服务器的PasswordEncoder问题PasswordEncoder怎么起作用客户端Secret验证问题指定PasswordEncoder的方式 PasswordEncoder怎么起作用 PasswordEncoder是Spring Security定义的一个接口,用于抽象密码验证过程。它的核心方法是matches。 public interface PasswordEncoder { String encode(CharSequenc
OAuth2密码授权流程
mengxin_chen的博客
04-28 534
OAuth2密码授权流程 资源服务器和授权服务器(OAuth2) 一.前端传递信息Token,一共有五个信息: 1.client_id,2.client_secret,3.用户username,4.密码password,5.grabt_type password 二.前端请求发送到 /oauth/token,如果信息正确就会拿到授权服务器返回的令牌(Token),然后前端要把Token储存起来(Token是有时效性的)。 三.访问资源服务器时,发送Token令牌给到资源服务器,资源服务器会到授权服务器进行
security-oauth2(token加密过程)
qq_33421961的博客
11-11 1861
六、 源码解析 1. 过滤器链 关键类: 过滤器链:FilterChain 过滤器代理:FilterChainProxy extendsGenericFilterBean implement 过滤器链:DefaultSecurityFilterChain SecurityFilterChain public OAuth2AccessToken token(HttpServletRequest request) { //Http Basic 验证 String clientA
Spring Security Oauth2 (一) 整体流程介绍
Claroja
03-08 283
整体流程 1.用户授权 用户点击(微信授权)按钮既发送get请求到下面的链接,跳转到授权页面 http://localhost:8080/oauth/authorize?response_type=code&client_id=client&redirect_uri=http://www.baidu.com&scope=all 跳转到登录页面,这个是有因为未登录授权服务器,所以需要登录.(就像我们在使用微信扫码授权时,首先要登录微信一样,如果不登录微信就无法授权.可以先登录,这样
解决Spring Security OAuth在访问/oauth/token时候报401 authentication is required
热门推荐
02-22 3万+
出现这个问题的具体原因一般有以下两点: 1.在授权的部分我们一般是通过使用自己的login action进行http basic的方式进行授权,而我们在使用Spring Security的时候只对外暴露了登陆的这个接口,就是说其它的接口都在Spring Security的保护范围内了,包括/oauth的接口。 2.在通过1的post方式授权通过之后使用/oauth/authorize?gran
spring-securityspring-security-oauth2-autoconfigure的区别
06-13
`Spring Security OAuth2`是一个基于Spring SecurityOAuth2框架,它提供了一组API和工具来实现OAuth2身份验证和授权。它支持多种OAuth2授权流程,包括授权码流程、隐式流程、客户端凭证流程等。 `Spring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值