oauth password模式_转 - spring security oauth2 password授权模式

最新推荐文章于 2022-06-25 15:34:00 发布
最新推荐文章于 2022-06-25 15:34:00 发布
阅读量187 收藏
点赞数
文章标签: oauth password模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39640543/article/details/111851667
版权

原贴地址: https://segmentfault.com/a/1190000012260914#articleHeader6

前面的一篇文章讲了spring security oauth2的client credentials授权模式,一般用于跟用户无关的,开放平台api认证相关的授权场景。本文主要讲一下跟用户相关的授权模式之一password模式。

回顾四种模式

OAuth 2.0定义了四种授权方式。

授权码模式(authorization code)

简化模式(implicit)

密码模式(resource owner password credentials)

客户端模式(client credentials)(主要用于api认证,跟用户无关)

maven

org.springframework.security.oauth

spring-security-oauth2

org.springframework.boot

spring-boot-starter-security

配置

security config

支持password模式要配置AuthenticationManager

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

//需要正常运行的话,需要取消这段注释,原因见下面小节

// @Override

// public void configure(HttpSecurity http) throws Exception {

// http.csrf().disable();

// http.requestMatchers().antMatchers("/oauth/**")

// .and()

// .authorizeRequests()

// .antMatchers("/oauth/**").authenticated();

// }

//配置内存模式的用户

@Bean

@Override

protected UserDetailsService userDetailsService(){

InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

manager.createUser(User.withUsername("demoUser1").password("123456").authorities("USER").build());

manager.createUser(User.withUsername("demoUser2").password("123456").authorities("USER").build());

return manager;

}

/**

* 需要配置这个支持password模式

* support password grant type

* @return

* @throws Exception

*/

@Override

@Bean

public AuthenticationManager authenticationManagerBean() throws Exception {

return super.authenticationManagerBean();

}

}

这个是比client credentials模式新增的配置,主要配置用户以及authenticationManager

auth server配置

@Configuration

@EnableAuthorizationServer //提供/oauth/authorize,/oauth/token,/oauth/check_token,/oauth/confirm_access,/oauth/error

public class OAuth2ServerConfig extends AuthorizationServerConfigurerAdapter {

@Override

public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception {

oauthServer

.tokenKeyAccess("permitAll()") //url:/oauth/token_key,exposes public key for token verification if using JWT tokens

.checkTokenAccess("isAuthenticated()") //url:/oauth/check_token allow check token

.allowFormAuthenticationForClients();

}

/**

* 注入authenticationManager

* 来支持 password grant type

*/

@Autowired

private AuthenticationManager authenticationManager;

@Override

public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

endpoints.authenticationManager(authenticationManager);

}

@Override

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

clients.inMemory()

.withClient("demoApp")

.secret("demoAppSecret")

.authorizedGrantTypes("client_credentials", "password", "refresh_token")

.scopes("all")

.resourceIds("oauth2-resource")

.accessTokenValiditySeconds(1200)

.refreshTokenValiditySeconds(50000);

}

这里记得注入authenticationManager来支持password模式

否则报错如下

➜ ~ curl -i -X POST -d "username=demoUser1&password=123456&grant_type=password&client_id=demoApp&client_secret=demoAppSecret" http://localhost:8080/oauth/token

HTTP/1.1 400

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: 0

X-Frame-Options: DENY

X-Application-Context: application

Cache-Control: no-store

Pragma: no-cache

Content-Type: application/json;charset=UTF-8

Transfer-Encoding: chunked

Date: Sun, 03 Dec 2017 07:01:27 GMT

Connection: close

{"error":"unsupported_grant_type","error_description":"Unsupported grant type: password"}

resource server 配置

@Configuration

@EnableResourceServer

public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

// /**

// * 要正常运行,需要反注释掉这段,具体原因见下面分析

// * 这里设置需要token验证的url

// * 这些需要在WebSecurityConfigurerAdapter中排查掉

// * 否则优先进入WebSecurityConfigurerAdapter,进行的是basic auth或表单认证,而不是token认证

// * @param http

// * @throws Exception

// */

// @Override

// public void configure(HttpSecurity http) throws Exception {

// http.requestMatchers().antMatchers("/api/**")

// .and()

// .authorizeRequests()

// .antMatchers("/api/**").authenticated();

// }

}

验证

请求token

curl -i -X POST -d "username=demoUser1&password=123456&grant_type=password&client_id=demoApp&client_secret=demoAppSecret"http://localhost:8080/oauth/token

返回

HTTP/1.1 200

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: 0

X-Frame-Options: DENY

X-Application-Context: application

Cache-Control: no-store

Pragma: no-cache

Content-Type: application/json;charset=UTF-8

Transfer-Encoding: chunked

Date: Sun, 03 Dec 2017 04:53:40 GMT

{"access_token":"4cfb16f9-116c-43cf-a8d4-270e824ce5d7","token_type":"bearer","refresh_token":"8e9bfbda-77e5-4d97-b061-4e319de7eb4a","expires_in":1199,"scope":"all"}

携带token访问资源

curl -i http://localhost:8080/api/blog/1\?access_token\=4cfb16f9-116c-43cf-a8d4-270e824ce5d7

或者

curl -i -H "Accept: application/json" -H "Authorization: Bearer 4cfb16f9-116c-43cf-a8d4-270e824ce5d7" -X GET http://localhost:8080/api/blog/1

返回

HTTP/1.1 302

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: 0

X-Frame-Options: DENY

Set-Cookie: JSESSIONID=F168A54F0F3C3D96A053DB0CFE129FBF; Path=/; HttpOnly

Location: http://localhost:8080/login

Content-Length: 0

Date: Sun, 03 Dec 2017 05:20:19 GMT

出错原因见下一小结

成功返回

HTTP/1.1 200

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: 0

X-Frame-Options: DENY

X-Application-Context: application

Content-Type: text/plain;charset=UTF-8

Content-Length: 14

Date: Sun, 03 Dec 2017 06:39:24 GMT

this is blog 1

错误返回

HTTP/1.1 401

X-Content-Type-Options: nosniff

X-XSS-Protection: 1; mode=block

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

Pragma: no-cache

Expires: 0

X-Frame-Options: DENY

Cache-Control: no-store

Pragma: no-cache

WWW-Authenticate: Bearer realm="oauth2-resource", error="invalid_token", error_description="Invalid access token: 466ee845-2d08-461b-8f62-8204c47f652"

Content-Type: application/json;charset=UTF-8

Transfer-Encoding: chunked

Date: Sun, 03 Dec 2017 06:39:28 GMT

{"error":"invalid_token","error_description":"Invalid access token: 466ee845-2d08-461b-8f62-8204c47f652"}

WebSecurityConfigurerAdapter与ResourceServerConfigurerAdapter

二者都有针对http security的配置,他们的默认配置如下

WebSecurityConfigurerAdapter

spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/configuration/WebSecurityConfigurerAdapter.java

@Order(100)

public abstract class WebSecurityConfigurerAdapter implements

WebSecurityConfigurer {

//......

protected void configure(HttpSecurity http) throws Exception {

logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

http

.authorizeRequests()

.anyRequest().authenticated()

.and()

.formLogin().and()

.httpBasic();

}

//......

}

可以看到WebSecurityConfigurerAdapter的order是100

ResourceServerConfigurerAdapter

spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/ResourceServerConfigurerAdapter.java

public void configure(HttpSecurity http) throws Exception {

http.authorizeRequests().anyRequest().authenticated();

}

它的order是SecurityProperties.ACCESS_OVERRIDE_ORDER - 1

spring-boot-autoconfigure-1.5.5.RELEASE-sources.jar!/org/springframework/boot/autoconfigure/security/oauth2/resource/ResourceServerProperties.java

/**

* The order of the filter chain used to authenticate tokens. Default puts it after

* the actuator endpoints and before the default HTTP basic filter chain (catchall).

*/

private int filterOrder = SecurityProperties.ACCESS_OVERRIDE_ORDER - 1;

由此可见WebSecurityConfigurerAdapter的拦截要优先于ResourceServerConfigurerAdapter

二者关系

WebSecurityConfigurerAdapter用于保护oauth相关的endpoints,同时主要作用于用户的登录(form login,Basic auth)

ResourceServerConfigurerAdapter用于保护oauth要开放的资源,同时主要作用于client端以及token的认证(Bearer auth)

因此二者是分工协作的

在WebSecurityConfigurerAdapter不拦截oauth要开放的资源

@Override

public void configure(HttpSecurity http) throws Exception {

http.csrf().disable();

http.requestMatchers().antMatchers("/oauth/**")

.and()

.authorizeRequests()

.antMatchers("/oauth/**").authenticated();

}

在ResourceServerConfigurerAdapter配置需要token验证的资源

@Override

public void configure(HttpSecurity http) throws Exception {

http.requestMatchers().antMatchers("/api/**")

.and()

.authorizeRequests()

.antMatchers("/api/**").authenticated();

}

这样就大功告成

doc

weixin_39640543
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth password模式_OAuth2:客户端验证授权(Resource Owner Password)类型的开放授权...
weixin_39757040的博客
12-22 237
适用范围这种模式会直接将用户密码暴露给应用程序,因此应谨慎使用。一般说来,只有信任度极高的客户才应授权使用该模式,如官方移动应用、操作系统或高权限程序。流程剖析为了阐述该授权类型的认证过程,我们以Salesforce中基于REST的API为例进行说明。1. 向用户索要认证信息首先,我们必须得让用户将认证信息提供给应用程序。对于Salesforce来说,如果用户处于不可信的网络中时,除了需要输入用户...
聊聊spring security oauth2的password方式的认证
weixin_33895475的博客
12-11 676
序 本文主要来聊聊spring security oauth2的password方式的认证 /oauth/token 这个主要见上一篇文章,讲了是怎么拦截处理/oauth/token的,其中有个点还需要强调一下,就是支持password授权模式的话,还需要额外支持用户登录认证。 password模式 这个模式需要额外处理,首先经过filter认证通过,然后进入endpoint spring-sec...
oauth password模式_Spring Security OAuth2 Demo —— 密码模式Password
weixin_39863759的博客
12-22 279
前情回顾前几节分享了OAuth2的流程与授权模式和隐式授权模式两种的Demo,我们了解到授权模式OAuth2四种模式流程最复杂模式,复杂程度由大至小:授权模式 > 隐式授权模式 > 密码模式 > 客户端模式其中密码模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户的用户名、密码、客户端的id和密钥的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全...
spring security oauth2 password授权模式
weixin_33748818的博客
12-03 1192
序 前面的一篇文章讲了spring security oauth2的client credentials授权模式,一般用于跟用户无关的,开放平台api认证相关的授权场景。本文主要讲一下跟用户相关的授权模式之一password模式。 回顾四种模式 OAuth 2.0定义了四种授权方式。 授权模式(authorization code) ...
spring security oauth2 password模式简单入门
zuoyigehaizei的博客
02-21 3995
1,oauth2需要配置三部分  (1)配置spring security   因为oauth2是基于security的 用来验证用户名和密码的 (2)配置认证服务器 用来分发token并且存储token,因为本地没有安装redis,所以本文采用数据库的形式存储token (3)配置资源服务器 保护被需要访问的资源,解析token 导入依赖 <!--spring secur...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring
09-20
在这个名为"spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring"的项目中,我们将深入探讨如何将Spring SecurityOAuth2.0结合,并在Spring Cloud环境中实现这一集成。 首先,Spring Security是...
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在Spring Security中,OAuth2的四种标准授权模式包括: 1. 授权模式(Authorization Code):适用于有后台服务器...
demo-oauth2-spring-security:带有Spring Security OAuth 2的简单密码流演示
01-30
demo-oauth2-spring-security 一个带有Spring Security OAuth 2的简单密码流演示 测验 您可以使用进行测试。 首先,您需要获取access_token 为该地址创建POST请求: 您也必须通过基本身份验证,这是客户端凭据,...
spring-security-oauth2
03-17
总结,Spring Security OAuth2是Spring Security框架的重要组成部分,它提供了一套完整的OAuth2授权解决方案。通过理解和掌握Spring Security OAuth2,开发者能够构建出安全、高效且符合标准的授权系统,为现代Web...
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
Oauth2系列4:密码模式
weigeshikebi的博客
06-25 2689
Oauth2系列4:密码模式
oauth password模式_Spring Boot Security Oauth2之客户端模式及密码模式实现
weixin_39936310的博客
12-22 486
Spring Boot Security Oauth2之客户端模式及密码模式实现示例主要内容1.多认证模式(密码模式、客户端模式)2.token存到redis支持3.资源保护4.密码模式用户及权限存到数据库5.使用说明介绍oauth2 client credentials 客户端模式获取access_token流程客户端模式(Client Credentials Grant)指客户端以自己的名义,...
Spring Security Oauth2 认证流程(password模式
热门推荐
穷水叮咚的博客
07-08 1万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、password ...
oauth password模式_史上最干的Oauth案例分析
weixin_42515120的博客
01-06 576
一、什么是Oauth2OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据,访问用户资源。1.授权模式的第三方登录架构client:第三方应用。eg:使用qq 或者微信 1.登录web端的processon 2.登录知乎 3.登录百度网盘等Resource owner : 资源拥有者。即qq和微信账号的拥有者,拥有的资源如:qq 号、qq密码、昵称、头像、身份证号等个人...
Spring Security OAuth2笔记系列】- App认证框架- 重构用户名密码登录
代码有毒的博客
08-24 1967
重构用户名密码登录 让自己的逻辑获取token的话,oath前面的逻辑都不能使用。使用我们自己的逻辑来代替。 也就是相当于只使用后面的功能;把自定义认证模式添加进来 在AuthenticationSuccessHandle中存在authentication对象, 所以只要获取到 ClientDetails和TokenRequest即可; 有时间了查看源码找这些吧 思路 提交登...
spring security实战 5-使用密码模式(password grant type)保护资源
weixin_34198797的博客
07-11 1640
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring securityoauth2.0来保护你的资源。 课程从第二...
(八)springcloud Oauth2授权- 四种授权类型
djdddoy5191的博客
05-06 1342
client_credentials 1、创建应用资源 @SpringBootApplication public class ClientOAuth2Application { public static void main(String[] args) { SpringApplication.run(ClientOAuth2Application.class...
Spring Security项目涉及到的重要类说明以及可以使用的地方
11-25 488
Spring Security 介绍 Spring Security 应该属于 Spring 全家桶中学习曲线比较陡峭的几个模块之一,下面我将从起源和定义这两个方面来简单介绍一下它。 起源:Spring Security 实际上起源于 Acegi Security,这个框架能为基于 Spring 的企业应用提供强大而灵活安全访问控制解决方案,并且框架这个充分利用 Spring 的 IoC 和...
springboot 整合spring-security-oauth2-authorization-server
最新发布
05-13
Spring Security OAuth2 Authorization Server 是一个基于 Spring SecurityOAuth2 认证服务器,用于管理 OAuth2 模式下的授权和令牌。 要将 Spring Boot 与 Spring Security OAuth2 Authorization Server 集成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值