oauth2密码方式的登录如何用java代码实现_一张图搞定OAuth2.0-授权码模式

最新推荐文章于 2024-05-10 14:43:30 发布
最新推荐文章于 2024-05-10 14:43:30 发布
阅读量654 收藏 3
点赞数
文章标签: oauth2密码方式的登录如何用java代码实现

1、引言

本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式

非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。

一项新的技术,无非就是了解它是什么为什么怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。

那我们就重点聊聊OAuth2.0是什么怎么用。但首先在读本文之前,你要先对OAuth2.0有一定的了解,建议到我主页找一下文章,直接看即可,带着疑问再来读本文效果更好。

2、OAuth2.0是什么

OAuth2.0是什么——豆瓣和QQ的故事

OAuth简单说就是一种授权的协议,只要授权方和被授权方遵守这个协议去写代码提供服务,那双方就是实现了OAuth模式。

举个例子,你想登录豆瓣去看看电影评论,但你从来没注册过豆瓣账号,又不想新注册一个再使用豆瓣,怎么办呢?不用担心,豆瓣已经为你这种懒人做了准备,用你的qq号可以授权给豆瓣进行登录,请看。

第一步:在豆瓣官网点击用qq登录

5539743704cd9167a2b64a724f9db6f5.png

第二步:跳转到qq登录页面输入用户名密码,然后点授权并登录

c0b5ca59aee0eec0f3fa6b9bb0246a8f.png

第三步:跳回到豆瓣页面,成功登录

9b526dad47f79fbd4e70a6579cf8c3e4.png

这几秒钟之内发生的事情,在无知的用户视角看来,就是在豆瓣官网上输了个qq号和密码就登录成功了。在一些细心的用户视角看来,页面经历了从豆瓣到qq,再从qq到豆瓣的两次页面跳转。但作为一群专业的程序员,我们还应该从上帝视角来看这个过程。

OAuth2.0是什么——上帝视角

简单来说,上述例子中的豆瓣就是客户端,QQ就是认证服务器,OAuth2.0就是客户端和认证服务器之间由于相互不信任而产生的一个授权协议。呵呵,要是相互信任那QQ直接把自己数据库给豆瓣好了,你直接在豆瓣输入qq账号密码查下数据库验证就登陆呗,还跳来跳去的多麻烦。

先上一张图,该图描绘了只几秒钟发生的所有事情用上帝视角来看的流程

470f8bce5ddf4562881c1d1bfc7f5b5a.png

就这这张图,来说一下上述例子中的三个步骤在图中的表现。所用到的请求路径名称都是虚构的,所附带的请求参数忽略了一些非重点的。

第一步:在豆瓣官网点击用qq登录

当你点击用qq登录的小图标时,实际上是向豆瓣的服务器发起了一个 http://www.douban.com/leadToAuthorize 的请求,豆瓣服务器会响应一个重定向地址,指向qq授权登录

浏览器接到重定向地址 http://www.qq.com/authorize?callback=www.douban.com/callback ,再次访问。并注意到这次访问带了一个参数是callback,以便qq那边授权成功再次让浏览器发起这个callback请求。不然qq怎么知道你让我授权后要返回那个页面啊,每天让我授权的像豆瓣这样的网站这么多。

至于访问这个地址之后,qq那边做出怎样的回应,就是第二步的事情了。总之第一步即对应了图中的这些部分。

aff8babdf0b4ed049fd21a148c679e1e.png

第二步:跳转到qq登录页面输入用户名密码,然后点授权并登录

上一步中浏览器接到重定向地址并访问 http://www.qq.com/authorize?callback=www.douban.com/callback

qq的服务器接受到了豆瓣访问的authorize,在次例中所给出的回应是跳转到qq的登录页面,用户输入账号密码点击授权并登录按钮后,一定还会访问qq服务器中校验用户名密码的方法,若校验成功,该方法会响应浏览器一个重定向地址,并附上一个code(授权码)。由于豆瓣只关心像qq发起authorize请求后会返回一个code,并不关心qq是如何校验用户的,并且这个过程每个授权服务器可能会做些个性化的处理,只要最终的结果是返回给浏览器一个重定向并附上code即可,所以这个过程在图中并没有详细展开。现把展开图画给大家。

a0e1641d2216123a326f682594c4f751.png

第三步:跳回到豆瓣页面,成功登录

这一步背后的过程其实是最繁琐的,但对于用户来说是完全感知不到的。用户在QQ登录页面点击授权登陆后,就直接跳转到豆瓣首页了,但其实经历了很多隐藏的过程。

首先接上一步,QQ服务器在判断登录成功后,使页面重定向到之前豆瓣发来的callback并附上code授权码,即 callback=www.douban.com/callback

页面接到重定向,发起 http://www.douban.com/callback 请求

豆瓣服务器收到请求后,做了两件再次与QQ沟通的事,即模拟浏览器发起了两次请求。一个是用拿到的code去换token,另一个就是用拿到的token换取用户信息。最后将用户信息储存起来,返回给浏览器其首页的视图。到此OAuth2.0授权结束。

b285b355b683dd892201724f683e5059.png

3、OAuth2.0怎么写

了解了上述过程后,代码自然就不难写了,起码框架是可以写出来的。我在github上分享了一个我自己模拟的简单的不能再简单的oauth2.0,大家可以参考一下,仅仅用于了解oauth的过程,可别用于公司哦,不然老板得开除你。

github地址:https://github.com/sunym1993/dataU-OAuth.git/

如果无法下载,可以加我单独发。

项目结构非常简单,只有两个模块,分别是豆瓣和QQ,分别启动即可。

bccc16aba8134f4ff2ef76f8e5ab2199.png

最终效果也非常简单清晰,下面请忍受low逼的显示效果

第一步

a0733bc0ba8295ba2c412a345e88740a.png

第二步

20b5e07004e07a607ee2c3a3202e8f01.png

第三步

d010926c8ca3cf9934bd819d22835ad7.png
weixin_39743423
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 授权模式_Oauth2认证模式授权模式实现
weixin_29098117的博客
03-02 1272
Oauth2认证模式授权模式(authorization code)本示例实现Oauth2之授权模式授权模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。阅读本示例之前,你需要先有以下两点基础:需要对spring security有一定的配置使用经验,用户认证这一块,spring s...
java oauth_Java实现OAuth2.0授权方式
weixin_33407806的博客
02-12 1803
Java实现OAuth2.0授权方式前面介绍了OAuth2.0授权方式,可以参考以下文章:简单认识OAuth2.0OAuth2.0授权方式今天就用Java来验证OAuth2.0授权方式授权式,我们Spring Cloud的OAuth实现认证和资源服务器,以下是Web Security的配置。Web Security的配置我们另外要实现一个认证服务器,其实很简单我们做个配置类,继承Auth...
oauth2密码方式登录如何用java代码实现_Spring Cloud项目OAuth2授权验证终极必杀技...
weixin_39807352的博客
12-04 1013
Spring Cloud项目OAuth2授权验证终极必杀技一、OAuth2兴起背景 OAuth2是一种授权验证获取用户信息的标准,在传统的用户认证体系中,想要获取用户信息必须通过输入用户名和密码,不是很安全。必须记录登录的Session会话状态,十分不利。 (片) 那么有没有一种标准,无需记录登录Session状态,就能获取用户信息呢?最早的思路是基于Spring Session,利用Redis...
oauth2密码方式登录如何用java代码实现_Java实现Google第三方登录
weixin_39700394的博客
12-02 486
其实所有的第三方登录都是基于OAuth协议的,大多数平台都支持OAuth2.0,只有Twitter的是基于OAuth1.0来做的。所以只要弄明白一个,其他的什么qq、微信、微博的第三方登录也都一样。上一篇写的Facebook,现在再写一个Google,两篇都看完的同学就会明白“道理都是相通的”这句话的意思了!我做第三方登录的目的仅仅是获取到用户信息,然后将用户信息和本地程序的某一部分绑定,保存到数...
Java最全Security+Oauth2权限认证(案例 源)(1),一个星期+4轮面试终拿下offer
ghfgjfg679的博客
05-10 1016
我个人认为,如果你想靠着背面试题来获得心仪的offer,用癞蛤蟆想吃天鹅肉形容完全不过分。想必大家能感受到面试越来越难,想找到心仪的工作也是越来越难,高薪工作羡慕不来,却又对自己目前的薪资不太满意,工作几年甚至连一个应届生的薪资都比不上,终究是错付了,错付了自己没有去提升技术。这些面试题分享给大家的目的,其实是希望大家通过大厂面试题分析自己的技术栈,给自己梳理一个更加明确的学习方向,当你准备好去面试大厂,你心里有底,大概知道面试官会问多广,多深,避免面试的时候一问三不知。
实战讲解Spring Oauth2.0密码模式授权模式(内存inMemory+持久化jdbc配置)
天然玩家的博客
10-27 5357
(1)Oauth2.0认证需要配置:认证拦截、认证服务、资源服务以及用户服务,其中,认证拦截是拦截认证相关的URI,如$/oauth/**$系列的URI,$/login/**$系列的URI;认证服务是认证服务器相关的配置信息,如认证方式、token有效期等;资源服务是需要使用oauth2.0进行授权访问的服务;用户服务是自定义的用户校验,可以自定义校验逻辑,如从MySQL查询账户; (2)认证服务的授权方式有四种:密码模式授权模式、客户端模式和简化模式,本文实现前两种,即密码模式授权模式
OAuth2.0-授权模式
超频化石鱼的博客
01-29 1616
OAuth2.0授权模式主要解决了信任问题:一个第三方网站需要访问我们Github上的数据(例如用户头像),那Github为什么要信任该网站?该对网站信任到什么程度?基于此,如果可以为该网站提供一个专门的,该有专门的权限和过期时间,且Github可随时清除的授权,这样问题就可以解决了。
Spring Security OAuth2.0(一)-----前言-授权模式代码实例
qq_42264638的博客
04-21 2885
Spring Security OAuth2.0(一)-----前言-授权模式代码实例
OAuth2.0 - 授权模式分析
TrustNature
11-17 1497
1、客户端跳转至用户授权页面 http://localhost:53010/uaa/oauth/authorize?response_type=code&client_id=heima_two 后台:AuthorizationEndpoint 接收请求 其中根据client_id获取客户端信息: 然后存入session: 浏览器重定向至用户登录页面,用户输入用户名口令登录成功...
oauth2.0 java_OAuth2.0授权模式
weixin_29723669的博客
02-12 655
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端与服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录登录...
Spring cloud Oauth2的密码模式内存方式实现登录授权验证
灰太狼
12-09 1885
oauth2有四种授权模式,是授权模式,简化模式密码模式,客户端模式。 1.oauth2的使用场景 目前大多数网站授权都是使用oauth2, 比如单点登录,第三方授权登录,微信登录,微博登录等等。这些第三方授权登录使用的是oauth2的授权模式授权。 2.oauth2实现统一认证功能 接下来采用oauth2的密码模式实现授权,主要应用于登录场景,输入用户名,密码进行验证。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
在“Spring Cloud Oauth2的密码模式数据库方式实现登录授权验证”这个主题中,我们将深入探讨如何利用OAuth2的密码模式,通过数据库存储用户信息来实现用户的登录授权验证。 首先,OAuth2是一种开放标准,主要用于...
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
本文将深入探讨如何使用Spring Cloud Oauth2的密码模式和JWT来实现登录验证授权。 首先,OAuth2是一个开放标准,用于授权第三方应用访问特定资源。在密码模式(Resource Owner Password Credentials Grant)下,...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
Spring Security OAuth2 授权模式实现
08-18
Spring Security OAuth2 授权模式OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权交给客户端,客户端凭授权换取 access_token(访问凭证)。...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源-优质项目实战.zip
最新发布
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源_优质项目实战
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式密码模式OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring Security和Spring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring Security是Spring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用。 使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值