spring security oauth2.0 client集成第三方登录

最新推荐文章于 2024-03-21 17:06:39 发布
最新推荐文章于 2024-03-21 17:06:39 发布
阅读量1w 收藏 18
点赞数 1
分类专栏: 后端 文章标签: security Oauth2.0 第三方登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40693633/article/details/86571028
版权

   大家上网的时候可能会遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。
   这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。
   其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。

什么是 OAuth 2.0?

   OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。目前,OAuth 的最新版本为 2.0
   OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth 允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容

OAuth 2.0 主要有4类角色

  • resource owner:资源所有者,指终端的“用户”(user)
  • resource server:资源服务器,即服务提供商存放受保护资源。访问这些资源,需要获得访问令牌(access token)。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。如果,我们访问新浪博客网站,那么如果使用新浪博客的账号来登录新浪博客网站,那么新浪博客的资源和新浪博客的认证都是同一家,可以认为是同一个服务器。如果,我们是新浪博客账号去登录了知乎,那么显然知乎的资源和新浪的认证不是一个服务器。
  • client:客户端,代表向受保护资源进行资源请求的第三方应用程序。
  • authorization server: 授权服务器, 在验证资源所有者并获得授权成功后,将发放访问令牌给客户端

OAuth2.0的四种认证模式

OAuth 2.0定义了四种授权方式。

  • 授权码模式(authorization code)
  • 简化模式(implicit)(client为浏览器/前端应用)
  • 密码模式(resource owner password credentials)(用户密码暴露给client端不安全)
  • 客户端模式(client credentials)(主要用于api认证,跟用户无关)
    这里facebook、Twitter、github、google均支持第一种模式,也是最安全的模式。

OAuth 2.0认证流程

这里主要讲的是授权码模式,见下图
授权码模式认证流程
上图中所涉及到的对象分别为:

  • Client 第三方应用,我们的应用就是一个Client
  • Resource Owner 资源所有者,即用户
  • Authorization Server 授权服务器,即提供第三方登录服务的服务器,如Github
  • Resource Server 拥有资源信息的服务器,通常和授权服务器属于同一应用

根据上图的信息,我们可以知道OAuth2的基本流程为:

  • 用户点击客户端提供的授权请求
  • 客户端请求服务的授权页面呈现给用户,用户点击确认授权后服务端返回授权许可凭证给客户端
  • 客户端应用通过第二步的凭证(code)向授权服务器请求授权
  • 授权服务器验证凭证(code)通过后,同意授权,并返回一个资源访问的凭证(Access Token)。
  • 客户端应用通过第四步的凭证(Access Token)向资源服务器请求相关资源。
  • 资源服务器验证凭证(Access Token)通过后,将客户端应用请求的资源返回。

Start doing now

github配置

   好,我们了解了OAuth2.0之后,接下来介绍在spring boot2.0+security5环境下怎么实现Oauth2.0客户端第三方登录,这里我使用了github,其实qq,微信,微博那些都一样,都是基于OAuth2.0协议,只是国内这些还需要域名备案号这些信息罢了。
   首先去github注册开发者应用,点击settings> Developer settings>OAuth app>new Oauth App,会看到下面的页面
在这里插入图片描述

  • Application name    这个是你创建的应用名称,可以随便填
  • Homepage URL     这个是用户使用github登陆成功后跳转的页面
  • Applocation description 这个是你应用的描述,可以随便填
  • Authorization callback URL  这个是你的应用向github服务端请求node的回调地址,需要配置拦截器拦截此URL获取ccode.

依赖

        <dependency>
			<groupId>org.springframework.security.oauth.boot</groupId>
			<artifactId>spring-security-oauth2-autoconfigure</artifactId>
			<version>2.0.0.RELEASE</version>
		</dependency>

配置

#github新建app得到的id 和secret,这个需要填你自己配置的
github.client.clientId=a65cbf9654dfeb0d5142
github.client.clientSecret=5dd7327a494c4bea46b488a052fc1012dfbcc794
#获取token的地址
github.client.accessTokenUri=https://github.com/login/oauth/access_token
#登陆之后询问的地址
github.client.userAuthorizationUri=https://github.com/login/oauth/authorize
#2个Schema是指请求参数以什么样的方式跟随
github.client.authenticationScheme=query
github.client.clientAuthenticationScheme=form
#请求用户信息的url
github.client.resource.userInfoUri=https://api.github.com/user

security配置类

安全配置上需要加上@EnableWebSecurity 、 @EnableOAuth2Client注解,来启用Web security Oauth2 客户端,表明这是一个OAuth 2.0 客户端

@EnableWebSecurity
@EnableOAuth2Client  // 启用 OAuth 2.0 客户端 
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //注入Oauth2.0客户端上下文
    @Autowired
	OAuth2ClientContext oauth2ClientContext;

注册两个bean获取配置文件自定义的内容,并返回相应的类

 @Bean
	  @ConfigurationProperties("github.client")
	  public AuthorizationCodeResourceDetails github() {
	    return new AuthorizationCodeResourceDetails();
	  }
	  
	  @Bean
	  @ConfigurationProperties("github.resource")
	  public ResourceServerProperties githubResource() {
	    return new ResourceServerProperties();
	  }

注册一个过滤器,用来截取code的回调地址,获取token

//自定义过滤器,用于拦截oauth2第三方登录返回code的url,并根据code,clientid,clientSecret去授权服务器拿accace_token
	private Filter ssoFilter() {
		  //OAuth2ClientAuthenticationProcessingFilter
		  //它的构造器需要传入defaultFilterProcessesUrl,用于指定这个filter拦截哪个url。
		  //它依赖OAuth2RestTemplate来获取token
		  //还依赖ResourceServerTokenServices进行校验token
		  OAuth2ClientAuthenticationProcessingFilter githubFilter = new OAuth2ClientAuthenticationProcessingFilter("/login/github");
		  //对rest template的封装,为获取token等提供便捷方法
		  //DefaultUserInfoRestTemplateFactory实例了OAuth2RestTemplate,这个提供了OAuth2RestTemplate
		  OAuth2RestTemplate githubTemplate = new OAuth2RestTemplate(github(), oauth2ClientContext);
		  githubFilter.setRestTemplate(githubTemplate);
		  UserInfoTokenServices tokenServices = new UserInfoTokenServices(githubResource().getUserInfoUri(), github().getClientId());
		  tokenServices.setRestTemplate(githubTemplate);
		  githubFilter.setTokenServices(tokenServices);
		  return githubFilter;
		}

注意这里的/login/github对应与在github填的Authorization callback URL。页面上使用github登录的链接也要写这个,security会帮我们做好一切流程

接下来需要注册我们的过滤器

 /*注册一个额外的Filter:OAuth2ClientContextFilter
	   * 主要作用是重定向,当遇到需要权限的页面或URL,代码抛出异常,这时这个Filter将重定向到OAuth鉴权的地址
	   */
	  @Bean
		public FilterRegistrationBean<OAuth2ClientContextFilter> oauth2ClientFilterRegistration(OAuth2ClientContextFilter filter) {
			FilterRegistrationBean<OAuth2ClientContextFilter> registration = new FilterRegistrationBean<OAuth2ClientContextFilter>();
			registration.setFilter(filter);
			registration.setOrder(-100);
			return registration;
		}

最后还有至关重要的一步,把自定义的过滤器添加到过滤器链中基本过滤器的前面

//在网站基本认证之前添加ssoFilter过滤器
		http.addFilterBefore(ssoFilter(), BasicAuthenticationFilter.class);

如此这般,所有的工作就完成了
打开项目,点击页面上使用github登录的链接在这里插入图片描述
点击授权之后
在这里插入图片描述
   可以看到github的服务器给我们颁发了code,然后将页面重定向到我们配置的Homepage URL ,至此整个Oauth2.0的认证流程结束。
   这里只要配置客户端,@EnableOAuth2Client就可以支持所有的社交平台,关键有一点,如果用户时第一次登陆,需要将用户信息注册到我们自己的数据库中,与数据库中的用户一一映射,就可以判断当前登陆的用户是对应我们数据库自己的平台身份。并且,Oauth2登陆时,我们将自定义的用户身份(也就是社交平台对应自己数据库的User)返回给security,进行登陆。这样就进行了用户绑定。这里主要实现了自定义的PrincipalExtractor接口,并非使用默认实现FixedPrincipalExtractor。参考这篇文章

源码

这里就不贴我的代码了,放一下官网的demo,其实也一样

官方demo源码

老郑来了
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
spring security oauth 2.0 例子
08-28
OAuth 2.0 客户端模式的例子,client_id保存在数据库,而不是写死在配置文件中,支持多个client_id
Spring Security Oauth2 单点登录 第三方授权(QQ、微信登录
热门推荐
东风麦芽糖
10-01 1万+
SSO单点登录 第三方授权(QQ、微信登录Oauth2认证流程 Oauth2认证解决方案 Oauth2授权模式 对称/非对称加密 公钥私钥 JWT令牌 OAuth对接微服务 SpringSecurity权限控制
教你简单基本集成Spring Security OAuth2 邮箱,手机验证码,第三方社交登录(Security Extension)
流浪者的博客
05-26 2141
Security Extension 项目介绍 Security Extension是基于SpringCloud Security Oauth2,在其基础上新增了多种登录方式,扩展了用户登录的方式。主要包括邮箱验证码登录,手机验证码登录,第三方社交登录。支持登录失败自定义返回。实现了登出,从tokenStore中移除认证信息,从而实现统一登出。 项目结构 项目主要包括component config handler translator Component 主要是扩展登录的组件,包括email,mobil
SpringSecurity】十六、OAuth2.0授权服务器、资源服务器的配置(理论部分)
最新发布
llg___的博客
03-21 1165
授权服务:负责校验接入的客户端、登录的用户账户是否合法,以及颁发token.资源服务:校验token,返回资源信息
6spring boot+security+oauth2 第三方登录1
08-08
1.理解OAuth 2.0http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html2.github第三方登录h
Spring-Security-OAuth2.0
11-11
Spring-Security-OAuth2.0,采用SpringBoot + SpringSecurityOAuth2,有完整的示例文档及调用示例,包括授权码模式(authorization code)、简化模式(implicit)、密码模式(password)、客户端模式(client_credentials)。还有完整的数据库脚本。
Spring Security OAuth2 Provider 之 第三方登录简单演示
05-01
NULL 博文链接:https://rensanning.iteye.com/blog/2386309
使用spring-security-oauth2作为client实现
weixin_34389926的博客
12-06 1285
序 本文主要讲一下如何使用spring security oauth2作为一个client来使用 四种模式 OAuth 2.0定义了四种授权方式。 授权码模式(authorization code) 简化模式(implicit)(client为浏览器/前端应用) 密码模式(resource owner password credentials)(用户密码暴露给client端不安全) 客户端模...
Spring Security OAuth2 优雅的集成短信验证码登录以及第三方登录
weixin_34304013的博客
04-13 1963
前言 基于SpringCloud做微服务架构分布式系统时,OAuth2.0作为认证的业内标准,Spring Security OAuth2也提供了全套的解决方案来支持在Spring Cloud/Spring Boot环境下使用OAuth2.0,提供了开箱即用的组件。但是在开发过程中我们会发现由于Spring Security OAuth2...
Spring Security OAuth2——自定义OAuth2第三方登录(Gitee)
无限迭代中......
03-16 2223
官方文档 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2login-custom-provider-properties GiteeOAuth2 文档 https://gitee.com/api/v5/oauth_doc#/ 解决方案 application.yml spring: # Security Config security: oauth2: .
spring security oauth2.0搭建用户认证服务(四) - 实现第三方登录
u013911102的博客
09-14 2884
项目场景: 前面有说到登录的方式有用户名密码和手机验证码登录,最常用的还有第三方登录。第三方登录其实oauth已经有了很好的集成。 技术详解: 第三方登录的话,其实也是利用了oauth的相关思想。这里就已微信登录为例吧 从上面的流程图就可以看出,这其实就是oauth2的授权码模式,流程如下: 1.第三方应用请求登录,获取code 2.微信端返回code到回调地址 3.第三方应用根据code,获取token 4.第三方应用根据token获取用户信息 APP之前的第三方登录,是前端获取到了
OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security 2017
04-04
OAuth 2.0 is a standard protocol for authorization and it focuses on client-developer simplicity, while providing specific authorization flows for web applications, desktop applications, mobile phones, and so on. Given the documentation available for OAuth specification, you may think that it is complex; however, this book promises to help you start using OAuth 2.0 through examples in simple recipes. It focuses on providing specific authorization flows for various applications through interesting recipes. It also provides useful recipes for solving real-life problems using Spring Security and creating Android applications.
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis-Plus、Validation、各种自定义aop、发送邮件、Redis、Lombok、flywaydb(自动生成数据库表和初始化数据)、生成二维码、execl、跨域、全局异常处理、i18n国际化、图片滑块验证码、数据库敏感数据加密、字段脱敏、微信支付、微信扫一扫登录
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇
虚幻私塾
01-12 4337
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。 (关于总体流程,若对SS实在不熟悉可以简单理解为:Filte
前后端分离版的oauth2.0第三方登录,做个总结
m0_49194578的博客
01-27 6392
场景搭建过程adv向授权服务器发送申请授权码请求授权和资源授权服务器SecurityConfigAuthorizationServerConfigCustomJwtTokenFilter资源服务器SecurityConfigResourceServerConfig一些当前场景的奇怪自定义配置UserLoadCustomJwtTokenEncoder执行流程获取授权码授权码兑换access_token授权码访问资源 场景 1.提供登录服务的平台adv 2.第三方app生成state通过拉起adv传输客户端i.
15 Spring Security OAuth2登录(三方登录
Markix的博客
10-28 2579
OAuth2可以用来实现 OAuth2登录(三方登录)。在OAuth2登录的场景中,用户信息则是"资源"! Spring Security 实现了 OAuth2登录功能。实现原理是:Client获取用户授权,得到令牌,通过令牌,获取用户信息(资源)。再在本地构建用户登录认证信息,维持用户会话状态,以此达到登录的目的。
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8140
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
SpringSecurity基于OAuth2协议实现第三方登录源码剖析
drama_CJL的博客
02-19 957
1. 基础介绍 1.1 应用场景 目前互联网系统应用登录方式除了常规的账号密码登录、手机验证码登录方式之外,通过第三方平台进行认证登录的情景也逐渐成为主流的登录方式; 在国内通过第三方登录主流的平台有QQ、微信、微博等; 1.2 OAuth2.0协议 一句话解释:OAuth2.0是目前主流的授权机制,用来授权第三方应用,目的是从第三方获取用户数据。 OAuth2.0 与 1.0 的区别...
springsecurity oauth2.0 客户端动态跳过认证
05-31
您好,关于在 Spring Security OAuth2.0 客户端动态跳过认证,可以使用自定义过滤器来实现,具体实现如下: 1.自定义过滤器: ```java public class SkipTokenFilter extends OncePerRequestFilter { private AntPathMatcher antPathMatcher = new AntPathMatcher(); @Autowired private OAuth2AuthorizedClientService authorizedClientService; @Autowired private OAuth2AuthorizedClientRepository authorizedClientRepository; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String requestURI = request.getRequestURI(); String clientRegistrationId = "your-client-registration-id"; // 客户端注册ID if (!antPathMatcher.match("/oauth2/**", requestURI) && !antPathMatcher.match("/error", requestURI)) { OAuth2AuthorizedClient authorizedClient = authorizedClientService.loadAuthorizedClient(clientRegistrationId, getAuthentication(request), request); if (authorizedClient == null) { // 跳过认证 HttpSession session = request.getSession(false); if (session != null) { session.setAttribute(OAuth2AuthorizationContext.class.getName(), new OAuth2AuthorizationContext(null, null, clientRegistrationId)); } filterChain.doFilter(request, response); return; } request.setAttribute(OAuth2AuthorizationContext.class.getName(), new OAuth2AuthorizationContext(authorizedClient.getAccessToken(), null, clientRegistrationId)); } filterChain.doFilter(request, response); } private Authentication getAuthentication(HttpServletRequest request) { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication == null) { String authorization = request.getHeader(HttpHeaders.AUTHORIZATION); if (StringUtils.isNotEmpty(authorization)) { int index = authorization.indexOf(' '); if (index > 0) { String type = authorization.substring(0, index); if ("Bearer".equalsIgnoreCase(type)) { String token = authorization.substring(index + 1); authentication = new BearerTokenAuthentication(new BearerTokenAuthenticationToken(token)); } } } } return authentication; } } ``` 2.在 Spring Security 配置中添加自定义过滤器: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // ... http.addFilterBefore(new SkipTokenFilter(), OAuth2AuthorizationRequestRedirectFilter.class); } } ``` 以上就是通过自定义过滤器在 Spring Security OAuth2.0 客户端动态跳过认证的实现方法,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值