13 spring security和oauth2学习

最新推荐文章于 2024-08-25 12:00:00 发布
最新推荐文章于 2024-08-25 12:00:00 发布
阅读量321 收藏
点赞数
分类专栏: 微服务 读书笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38421237/article/details/114793118
版权

Spring Security

简介

Spring Security是Spring Resource社区的一个安全组件,为系统提供安全的防护。Spring Security通过注解为每一层(controller、service、dao)都提供安全保护。

 

Spring Security的主要目标是认证和授权,认证即认证主体的过程,通常指可以在应用程序中执行操作的用户、设备或其他系统。授权即决定是否允许已认证的主体执行某一项操作。

 

这部分不做说明。(大佬的书中给了一个生动形象的例子,买本书看看非常好)

 

OAuth2

简介

OAuth2 是一个标准授权协议,允许不同的客户端通过认证和授权的形式来访问被其保护的资源。

认证授权流程:

 

  1. 用户通过客户端访问自己持有的资源;
  2. 资源服务器发现当前请求缺少用户身份标识,将请求重定向授权服务器;
  3. 客户端携带用户信息访问授权服务器;
  4. 用户信息正确,授权服务器返回用户访问资源服务器的令牌;
  5. 客户端携带令牌访问资源服务器;
  6. 资源服务器返回用户想访问的的资源。

 

OAuth2协议再Spring Resources中体现为Spring OAuth2。Spring OAuth2主要有两个部分OAuth2 Provider和OAuth2 Client。

 

OAuth2 Provider

负责公开被OAuth2包含起来的资源。包含权限控制,资源访问控制等功能。可以分为Authorization Service(授权服务)和Resource Service(资源服务),通常情况下,授权服务和资源服务不会部署再同一个服务中,应该是一个Authorization Service对应多个Resource Service。

 

Authorization Server

Authorization Server需要配置客户端的详细信息和令牌服务的实现。

开启Authorization Server的功能,实现以下配置:

  1. 配置客户端信息:ClientDetailsServiceConfigurer;
  2. 配置授权Token节点和Token服务:AuthorizationServerEndpointsConfigurer;
  3. 配置Token节点的安全策略:AuthorizationServerSecurityConfigurer

客户端信息 ClientDetailsServiceConfigurer

客户端Id:clientId,唯一

客户端密码:secret

客户端的域:scope

认证类型:authorizedGrantTypes

权限信息:authorities

配置授权Token节点和Token服务 AuthorizationServerEndpointsConfigurer

authenticationManager:密码验证配置

userDetailsService:配置获取用户认证信息接口

authorizationCodeService:配置验证码服务

implicitGrantService:配置管理implict验证的状态

tokenGranter:配置token Granter

配置Token节点的安全策略 AuthorizationServerSecurityConfigurer

其余的配置说明省略

 

 

示例

一共三个服务,一个注册中心,一个资源服务器,一个认证服务器

注册中心

使用之前的服务

资源服务器

配置访问规则:除特定路径,其他路径都需要校验权限

 

设置资源服务器的认证方式:访问认证服务器进行校验

 

配置客户端信息

 

认证服务器

设置安全认证

 

设置认证时获取信息的流程

 

说明

1.当调用认证服务进行获取token的时候,认证服务器根据userDetailsService获取用户信息,认证成功后往oauth_access_token表插入数据

 

 

2.根据获取到的access_token去请求资源服务器的接口

 

资源服务器在接收请求的时候,通过过滤器OAuth2AuthenticationProcessingFilter调用OAuth2AuthenticationManager发起rest请求,请求资源服务器,详细内容看OAuth2AuthenticationManagerauthenticate(Authentication authentication)方法
链路如下:
资源服务器-OAuth2AuthenticationProcessingFilter-OAuth2AuthenticationManager-UserInfoTokenServices-》认证服务器-OAuth2AuthenticationProcessingFilter-OAuth2AuthenticationManager-
DefaultTokenServices-JdbcTokenStore-》表oauth_access_token

 

 

内容来源《深入理解Spring Cloud与微服务构建》
 

 

 

 

 

 

 

 

心怀敬意
关注
专栏目录
Spring Securityoauth2的关系
m0_67393039的博客
07-28 602
网上有很多SpringSecurityoauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系和区别参见【SpringSecurity】基本功能介绍springsecurity的核心功能主要包括认证(你是谁)通过注解开启简单来说,就是需要登录,你需要输入用户名和密码,才能访问某个url。授权(你能干什么)不需要通过指定的开关开启,而是通过配置来增加授权规则来生效,不增加授权规则就不生效一种是同步session不需要再次输入用户名和密码。...
Spring SecurityOAuth2(介绍)
chucan4529的博客
01-26 350
摘要:使用OAuth2 认证的好处就是你只需要一个账号密码,就能在各个网站进行访问,而面去了在每个网站都进行注册的繁琐过程,如:很多网站都可以使用微信登录,网站作为第三方服务、微信作为服务提供商 OAuth2 角色 resource owner:资源所有者(指用户) resource s...
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
A_991128a的博客
08-25 1188
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 5003
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
Oauth2与Spring Security
lijinghua的博客
10-24 3403
文章目录Oauth21. Oauth2概念2. OAuth2 授权流程3. OAuth2 角色4 OAuth2 授权模式简介5. Spring Security Oauth2 入门案例5.1 什么是Spring Security5.2 搭建授权服务器5.2.1 POM配置文件5.2.2 编写启动器5.2.3 Application.yml5.2.4 Oauth2配置类5.2.5 Spring Security配置类5.3 搭建资源服务器5.3.1 POM配置文件5.3.2 编写启动器5.3.3 Applic
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
学习这门课程,开发者将不仅理解Spring SecurityOAuth2的基本原理,还能掌握如何在实际项目中灵活运用,从而提高企业级应用的安全性和可靠性。对于任何希望提升安全技能的Java开发者来说,这是一份不可多得的学习...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证与授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
spring securityoauth2整合开发资料汇总
01-26
spring securityoauth2整合开发资料汇总,自己总结收集的。
Spring SecurityOAuth2(完整案例)
乌龟的专栏
07-23 1789
案例简述 简述: 允许内存、数据库、JWT等方式存储令牌 允许 JWT 方式验证令牌 允许从内存、数据库中读取客户端详情 封装配置类,简化配置,通过注解方式定制使用何种令牌存储方式、客户端详情获取方式,可使用 JWT 方式存储令牌,从数据库中获取客户端详情 提供完整单元测试 较为详细的代码注释 允许从授权服务器(适用于 JDBC、内存存储令牌)验证令牌该代码尚未完善,仅供参考 数据库 Schema :https://github.com/spring-projects/spring-s..
Spring SecurityOAuth2
qifeng78的博客
12-04 437
SpringSecurity所解决的问题就是而安全访问控制功能其实就是对所有进入系统的请求进行拦截 校验每个请求是否能够访问它所期望的资源 SpringSecurity对Web资源的保护是靠Filter实现的导入依赖之后自动有一个登录界面添加WebSecurityConfig.java类 类里主要配置这几个部分 用户信息 密码方式 安全拦截机制 配置用户拥有哪些权限。
Spring SecurityOAuth2(授权服务器)
chucan4529的博客
01-26 1151
Spring SecurityOAuth2 authrization-server(授权服务器) 授权服务配置 配置一个授权服务,需要考虑 授权类型(GrantType)、不同授权类型为客户端(Client)提供了不同的获取令牌(Token)方式,每一个客户端(Client)都能够通...
Spring Security + OAuth2】OAuth2
weixin_43676950的博客
05-22 1085
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值