前后端分离架构下的OAuth2.0授权流程

已于 2023-09-27 09:19:03 修改
阅读量4.2k 收藏 20
点赞数 4
分类专栏: Spring Security 文章标签: java
于 2022-10-02 15:53:40 首次发布
本文链接:https://blog.csdn.net/weixin_41866717/article/details/127092895
版权

前后端分离案例代码:spring-security-oauth2.0-sample

关于OAuth2.0规范介绍请参考 OAuth 2.0 Simplified
关于OAuth2.1草案介绍请参考 OAuth 2.1

在这里插入图片描述

  1. 用户点击前端开始第三方登录
  2. 前端调用后端接口开始第三方登录
  3. 后端组装完client_id,redirect_uri, response_type, state等参数构造重定向到第三方授权服务器的连接,返回给前端。链接如:http://wechat.com/oauth2/code?response_type=code&client_id=clientid&state=state&redirect_uri=http://我的应用前端地址
  4. 重定向链接回到浏览器,浏览器准备开始重定向
  5. 重定向至第三方应用
  6. 第三方应用返回是否授权页面给浏览器
  7. 用户点击同意授权,浏览器返回同意给授权服务器
  8. 授权服务器根据之前的redirect_uri返回code和state等参数(通过浏览器重定向实现,图中省略了到浏览器再到前端的步骤)
  9. 前端将code和state参数提交给当前应用后端
  10. 后端拿着前端返回的code、state和后端保存的client_id和client_secret参数去授权服务器换取accessToken以及refreshToken。(client_secret可以通过url(deprecated since OAuth2.1)、header、body方式传输,常用basic方式)
  11. 授权服务器校验参数成功,返回accessToken以及refreshToken给后端
  12. 后端拿着accessToken去资源服务器换取受限资源
  13. 资源服务器校验accessToken,成功后返回受限资源,后端根据受限资源可做处理
  14. 后端 也可将资源返回前端展示…

注意:前端先获取code,也就是前端地址就是redirect_url的地址,wechat直接发送code到前端,然后前端再把code返回后端(为什么不直接返回后端?因为当前应用和第三方应用的联系都是通过浏览器重定向建立了,不会直接交互;且后端不会也不应该直接暴露接口给本应用之外的请求);甚至再implicit模式下前端直接获取access_token都不需要后端参与,这种需要保证应用处于信任的环境中。(OAuth2.1草案中取消了implicit和password的模式)。

其中state参数是用来防止CSRF攻击的,关于这个问题,可参考 What is the purpose of the ‘state’ parameter in OAuth authorization request

此外,OAuth2.0可选、OAuth2.1强制要求的PKCE机制 不光可以用来防止CSRF,还可以防止authorization code injection attacks,这个问题可参考 RFC 7636: Proof Key for Code Exchange,所以用了PKCE就可以不用state参数了。

T.Y.Bao
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
spring cloud + vue + oAuth2.0全家桶实战
11-03
Spring Cloud作为Java领域的微服务治理框架,Vue.js作为前端的轻量级库,以及OAuth2.0作为授权框架,三者结合可以构建出高效、安全、易维护的前后端分离系统。本实战教程将详细介绍如何利用这些技术打造一个模拟商城...
前后端分离项目OAuth登录总结
qq_33816243的博客
09-22 2971
最近在开发博客网站登录过程中,涉及到了多个前端对应一个后端的前后端分离项目如何使用OAuth完成第三方授权登录的问题,特此总结一篇文章,详细记录了完整的开发过程思路分析和具体的代码实现,大家需要相同的业务场景时可参考使用
【Spring Security + OAuth2】前后端分离
最新发布
weixin_43676950的博客
05-16 928
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离的项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
【springboot+vue项目(十五)】基于Oauth2的SSO单点登录(二)vue-element-admin框架改造整合Oauth2.0
shanglin1122的博客
02-16 1061
第三步拿token放到请求头(在请求拦截器中),头信息根据约定好的具体修改,根据提供的接口发请求, 就会返回用户信息对象{},拿到用户放cookie。第一步前端拿到后端传来的token ,我们放到cookie里(用中间页存token,处理一些逻辑)第二步取cookie中的token 实现登录(permission.js中修改逻辑)还有一个前端实现登出,点击退出,删除用户信息以及token。第四步就是从cookie中拿到用户信息,渲染到页面上。
前后端完全分离项目的OAUTH2.0
头发茂密的假程序猿
12-03 7458
OAUTH2.0 业务需求 因业务需求,需要把两个不相干的系统帐号打通,要求A系统的帐号能登录B系统。从网上找的教程都千篇一律,廖雪峰老师的讲的算是比较透彻,不过没有提怎么实现前后端分离的项目。网上的教程都是前后端放一起,后端在oauth流程结束后很容易把token以及获取到的三方帐号给到前端,然后对于完全前后端分离的项目来说,前后端都是独立的服务,存在跨域,前端如果不主动请求后端,那么后端拿到的oauth信息是无法给到前端了。 解决方法 最后通过强大的谷歌找到了方法,参考的OAUTH2.0前后分离,最终用
前后端分离security oauth2.0授权流程
a807719447的专栏
11-15 3188
看了很多文章,但是没找到一篇能把前后端分离oauth2.0授权码单点登入讲清楚得。可能是我找资料得姿势不对吧。 以下是我自己总结得流程,如果说得不对请指正。 首先前后端不分离得时候我们可以直接使用security得client 和 resource server 得注解,但是在前后端分离得情况下这个就不适用了。 那么在前后端分离得时候,部分流程移到了前端来做,跳转流程需迁移,而获取token流程因为存在clientsecret安全问题,所以只能放在后端做,那么实际流程如下 前端页面需要提供一个中间页,当访
SpringCloud+Oauth2+Vue+ElementUI前后端分离快速上手项目实战开发
06-14
适用人群Java开发人员, Vue开发人员, 前后端分离开发人员, 权限管理和配置开发人员,微服务SpringCloud版本开发人员课程概述微服务SpringCloud前后端分离Vue企业项目实战,微服务脚手架,具有统一授权、认证后台管理系统;SpringCloud+Nacos+ SpringBoot+OAuth2+Jwt+Swagger等,核心技术采用Nacos、Fegin、Ribbon、Gateway、Hystrix、JWT Token、Mybatis、SpringBoot、Redis等主要框架和中间件。SpringCloud整合详细如下:
spring-security-oauth2做前后端分离实现无感知token续期
单筱风的博客
01-21 2029
1.问题由来 接触java已经将近3年现在大四在实习了,以前自己写的项目最多只用到了spring-security做权限认证其中的token是用jwt实现的,也考虑和使用过响应头返回新token前端判断替换token来实现访问续期的,但是总觉得不是很方便。 现在正在学习使用spring-security-oauth2做认证和授权,登录返回的AccessToken和RefreshToken可以很好地帮助我实现token续期。其中用到了oauth2的相关知识,在此不做解释。 2.前端vue处理 请求响应拦截添加
springcloud alibaba + 前后端分离 实现autho2 认证
liudongyang123的博客
04-07 1671
OAuth2是一个开放标准,也是一个授权框架,使应用程序能够访问其它公司提供的资源,允许用户在第三方应用访问存储在其他服务器上的私密资源,而在整个过程不需要提供用户名和密码给到第三方应用,可以通过提供一个令牌(token)实现该功能,采用令牌的方式可以让用户灵活的对第三方应用授权或收回权限。
SpringSecurity5-教程5-前后端分离系统OAuth2授权登录后渲染指定页面
zhouwenjun0820的博客
03-24 738
spring security
spring cloud oauth2 统一认证(前后端分离实战)
热门推荐
浅笑
07-12 1万+
spring cloud oauth2 统一认证(前后端分离实战) 介绍 前端使用了react实现个人博客,后端使用springcloud, oauth2做统一认证,springboot2.0,图片上传使用腾讯COS 可以直接去码云看: 后端代码(https://gitee.com/dy.huang/article-service) 前端(https://gitee.com/dy.hu...
基于spring cloud + vue + oAuth2.0开发的前后端分离的商城系统,完整的购物流程、后端运营平台微服务项目
01-04
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台,可以实现快速搭建企业级微服务项目。支持微信登录等三方登录。 功能点: 模拟商城,完整的购物流程、后端运营平台...
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台
05-15
spring cloud + vue + oAuth2.0全家桶实战,前后端分离模拟商城,完整的购物流程、后端运营平台,可以实现快速搭建企业级微服务项目。支持微信登录等三方登录。 功能点: 模拟商城,完整的购物流程、后端运营平台对...
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip
02-20
基于springcloud+vue+oAuth2.0全家桶实战并实现前后端分离模拟商城.zip 功能点: 模拟商城,完整的购物流程、后端运营平台对前端业务的支撑,和对项目的运维,有各项的监控指标和运维指标。 技术点: 核心技术为...
scala-oauth2-provider:用Scala编写的OAuth 2.0服务器端实现
02-05
5. **测试**:通过单元测试和集成测试确保授权流程的正确性。 **安全注意事项** - 令牌应被加密存储,防止泄露。 - 使用HTTPS保证通信安全,防止中间人攻击。 - 定期轮换刷新令牌,提高安全性。 - 对客户端进行...
oauth2.0第2季 分布式认证与授权实现单点登录
健康平安的活着的专栏
08-26 1560
1.介绍单体架构 使用sesion保存会话信息的情况2.前后端分离项目,调用方式session架构不适合前后端分离项目3.解决办法,引出oauth2.0
Oauth2.1第三方授权前后端分离实现
程序员们必读的博客,涵盖IT技术、编程经验等领域。
04-16 1291
完成上诉步骤我们就可以进行第三方授权登录了。复盘一下自定义登录页面自定义授权页面请求授权地址监听重定向改造登录成功监听改造(返回成功信息)授权成功监听改造(如果是前端请求则返回成功信息,由前端重定向到成功回调地址)前端登录改造(先请求我们自己的登录接口,成功后再请求oauth2提供的登录接口)https://resource.liulingfengyu.cn/img/扫码_搜索联合传播样式-标准色版压缩版.png。
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 3876
看完你就会懂oauth2.0的四种授权方式是如何工作的了
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式。 密码模式是OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring Security和Spring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring Security是Spring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式是OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用。 使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

T.Y.Bao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值