web服务器通过____________获取用户信息,Spring Cloud微服务安全实战_4-6_OAuth2的Scope参数_token转换为用户信息...

最新推荐文章于 2024-04-18 13:07:56 发布
最新推荐文章于 2024-04-18 13:07:56 发布
阅读量853 收藏
点赞数
文章标签: web服务器通过____________获取用户信息

一、通过OAuth2 Toke的Scope参数控制权限

1,在服务端认证服务器里,通过配置客户端的Scope,可以控制给这个客户端生成的token有哪些权限

8812bdcfe2ea30db901325cfcc92e6b6.png

2,在客户端,申请令牌的时候,可以指定scope

示例:在资源服务器 (nb-order-api)里,控制post请求的token ,其scope必须包含write权限,get请求的token必须包含read权限。

d5d54117a5048bfeb6616daa06099d01.png

用postman客户端(clientId=orderApp)去认证服务器申请一个scpoe=read的token,去调用资源服务器里的Post请求:

6b705da8ece8b2618f8e92f2e4a5da54.png

调用这个创建订单的Post请求:

3bfb7f44baeb9fd43f69b864c3263d25.png

返回错误信息:

d560d800e05848913edb0455c84deec5.png

二,将token转换为用户信息

目前在资源服务器里,想要获取用户信息,在Controller里,可以通过 @AuthenticationPrincipal 注解,获取生成token的用户名。但是获取不到用户的其他信息,如userId等。

eeb9735e08b573b9c7f36c34d59ca39f.png

做如下修改:

1,在资源服务器的安全配置: OAuth2WebSecurityConfig 里,的  tokenServices方法里,配置一个 AccessTokenConverter,用来将token信息转换为 User 信息

2,新建UserDetailsService的实现类

OAuth2WebSecurityConfig:

package com.nb.security.resource.server;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationManager;

import org.springframework.security.oauth2.provider.token.*;

/**

* 怎么验发往本服务的请求头的令牌

* 1,自定义tokenServices ,说明去哪里去验token

* 2,重写authenticationManagerBean()方法,将AuthenticationManager暴露为一个Bean

* 要认证跟用户相关的信息,一般用 AuthenticationManager

*

* 这样配置了后,所有发往nb-order-api的请求,

* 需要验token的时候就会发请求去http://localhost:9090/oauth/check_token验token,获取到token对应的用户信息

*/

@Configuration

@EnableWebSecurity

public class OAuth2WebSecurityConfig extends WebSecurityConfigurerAdapter{

@Autowired

private UserDetailsService userDetailsService;

/**

* 通过这个Bean,去远程调用认证服务器,验token

* @return

*/

@Bean

public ResourceServerTokenServices tokenServices(){

RemoteTokenServices tokenServices = new RemoteTokenServices();

tokenServices.setClientId("orderService");//在认证服务器配置的,订单服务的clientId

tokenServices.setClientSecret("123456");//在认证服务器配置的,订单服务的ClientSecret

tokenServices.setCheckTokenEndpointUrl("http://localhost:9090/oauth/check_token");

//配置一个转换器,将token信息转换为用户对象

// TODO:获取用户信息本应该是认证服务器的事吧!总感觉在这里做不合适

tokenServices.setAccessTokenConverter(getAccessTokenConverter());

return tokenServices;

}

//转换器,将token转换为用户信息

private AccessTokenConverter getAccessTokenConverter() {

DefaultAccessTokenConverter accessTokenConverter = new DefaultAccessTokenConverter();

//这个类的目的是设UserDetailsService,来将token转换为用户信息,不设默认为空

DefaultUserAuthenticationConverter userTokenConverter = new DefaultUserAuthenticationConverter();

userTokenConverter.setUserDetailsService(userDetailsService);

accessTokenConverter.setUserTokenConverter(userTokenConverter);

return accessTokenConverter;

}

/**

* 要认证跟用户相关的信息,一般用 AuthenticationManager

* 覆盖这个方法,可以将AuthenticationManager暴露为一个Bean

*

* @return

* @throws Exception

*/

@Bean

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

OAuth2AuthenticationManager authenticationManager = new OAuth2AuthenticationManager();

authenticationManager.setTokenServices(tokenServices());//设置为自定义的TokenServices,去校验令牌

return authenticationManager;

}

}

UserDetailsServiceImpl

package com.nb.security.resource.server;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Component;

@Component("userDetailsService") //TODO:不

public class UserDetailsServiceImpl implements UserDetailsService {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//这里就不去读数据库了

User user = new User();

user.setId(1L);

user.setUsername(username);

return user;

}

}

User对象,实现UserDetails接口:

package com.nb.security.resource.server;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

public class User implements UserDetails{

private Long id;

private String username;

private String password;

@Override

public Collection extends GrantedAuthority> getAuthorities() {

return AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN");

}

@Override

public boolean isAccountNonExpired() {

return true; //账号没过期

}

@Override

public boolean isAccountNonLocked() {

return true;//账号没被锁定

}

@Override

public boolean isCredentialsNonExpired() {

return true;//密码没过期

}

@Override

public boolean isEnabled() {

return true;//是否可用

}

@Override

public String getUsername() {

return username;

}

public void setUsername(String username) {

this.username = username;

}

@Override

public String getPassword() {

return password;

}

public void setPassword(String password) {

this.password = password;

}

public Long getId() {

return id;

}

public void setId(Long id) {

this.id = id;

}

}

然后在订单Controller里,就可以取到用户的 id等其他属性了:

用 @AuthenticationPrincipal User user 注解可以取出User对象。

用 @AuthenticationPrincipal(expression = "#this.id") Long id  可以取出User里面的属性

68d6df94068bd82e9fad4d9842151cde.png

标签:OAuth2,Spring,springframework,token,org,import,security,public

来源: https://www.cnblogs.com/lihaoyang/p/12057588.html

景海UI
关注
web服务器中获取统计数据-猜测
iamzhongyong的专栏
07-11 1015
web请求中,web服务器的日志中会留有一些信息,这些信息可以供后续数据分析只有。常用的有apache和nginx服务器,两者日志格式相差不是很多。日志格式可以配置,具体配置方式不详细介绍,网上肯定很多。 常见的分析方式有两种: (1)在服务器上通过shell或者python脚本分析,将结果数据搞到数据库 (2)将服务器上的原始文件拉到特定的分析服务器,分析服务器对于结果分析,然后搞到数
springcloud 微服务鉴权_springcloud 微服务权限校验JWT模式获取 token 实战(十二)...
weixin_28782221的博客
12-30 804
springcloud 微服务权限校验JWT模式获取 token 实战(十二)springcloud 微服务权限校验JWT模式获取 token 实战(十二)JWT:json web token 是一种无状态的权限认证方式,token信息不需要存到数据库,下游服务通过网关拿到token后,不在请求认证服务器做验证,减少了一次交互请求;一般用于前后端分离,效性比较端的权限校验,防止恶意攻击者通过抓...
web服务器如何获取用户信息,http协议-web服务端是从哪里获取客户端ip的,求底层详细分析...
weixin_39909212的博客
08-04 927
在HTTP服务器收到来自HTTP客户端的请求,HTTP协议是建立在TCP协议之上的。服务器收到请求后,会为每个请求建立一个请求的头部,这个head包含了客户端的浏览器发送的一些HTTP协议标准的信息。例如Host、User-Agent等。但是这个head里的客户端IP地址,是HTTP服务器通过查看底层的TCP通讯中的socket描述符,找到客户端的IP地址。例如在python的tornado中,在...
SpringCloud+SpringBoot+SSO单点登录之OAuth2.0 根据token获取用户信息(4)
iteye_3750的博客
06-10 659
今天我们看一下根据用户token获取yoghurt信息的流程: Java代码 /** * 根据token获取用户信息 * @param accessToken * @return * @throws Exception */ @RequestMapping(value = "/user/token/{accesstoken}", method = RequestMethod.GET) public ResponseVO getUserByToken(@PathVari
python web服务器怎么获取用户信息_python web服务器 与 爬虫获取
weixin_30908131的博客
01-28 313
所遇到的困难:1. python3.6的安装,需要把之前的全删干净,默认安装目录为:C:\Users\宋\AppData\Local\Programs\Python2. 配置变量 path环境变量中存在两个python版本,环境变量:Path中添加C:\Users\宋\AppData\Local\Programs\Python\Python36-32然后 pip 配置:Path在、环境添加...
微服务安全架构(Spring Boot _ Spring Cloud-JWT).pdf
03-26
基于Spring Boot与Spring Cloud微服务安全架构,主要关注点是使用JWT(JSON Web Token)作为微服务之间的认证和授权机制,这在当今云计算和分布式系统架构中是非常关键的部分。整个文档描述了在构建和维护微服务...
SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2
最新发布
2401_84003809的博客
04-18 517
webFlux环境下通过实现接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫@Slf4j@Override//根据access_token数据获取不到OAuth2AccessTokenreturn Mono.error(new InvalidTokenException(“Access Token 无效!”));}else {
erlangha-spring-boot-master_java_
10-01
《Erlangha-Spring-Boot-Master:Java微服务实战指南》 在现代软件开发领域,微服务架构已经成为主流趋势,它强调将单一应用程序分解为一组可独立部署的小型服务,每个服务运行在其自己的进程中,服务之间通过轻量...
SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2(2)
2401_84003771的博客
04-18 390
webFlux环境下通过实现接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫@Slf4j@Override//根据access_token数据获取不到OAuth2AccessTokenreturn Mono.error(new InvalidTokenException(“Access Token 无效!”));}else {每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。
python web服务器怎么获取用户信息_如何用python获取websocket数据
weixin_39653361的博客
11-29 281
展开全部这里,介绍如何使用 Python 与前e5a48de588b662616964757a686964616f31333363383463端 js 进行通信。websocket 使用 HTTP 协议完成握手之后,不通过 HTTP 直接进行 websocket 通信。于是,使用 websocket 大致两个步骤:使用 HTTP 握手,通信。js 处理 websocket 要使用 ws 模块; p...
python web服务器怎么获取用户信息_Python爬虫之web内容获取(一)
weixin_39804523的博客
12-03 169
Python爬虫之web内容获取:一:简单的向服务器发送请求方式: # -- coding:utf-8 --​import urllib2​向指定的url 发送请求,并返回响应的类文件对象​response = urllib2.urlopen("http://www.baidu.com")​服务器返回的对象支持python文件对象的方法​read()方法:读取文件的全部类容,返回字符串​html ...
Web服务获取网站上的信息
goodfenghiaopiaoon的专栏
11-02 319
   比如我想做一个软件,可以获取不同网站(新浪新闻,搜狐新闻,新华网等等)的不同新闻信息(体育新闻,娱乐新闻等),我想通过webservice去提取,但一直找不到相关的webservice,有哪位大哥知道怎么做或者知道有webservice的URL可以帮帮我吗??谢谢
新口令范筹(Token Scope)- viewables:read
weixin_34191845的博客
06-25 220
最近 Autodesk 针对 2-legged authentication 和 3-legged authorization 新增了一个 viewables:read 的口令范筹。这个 viewables:read 范筹是用来确保你的口令只有读取 Model Derivative API 转档结果 (svf, f2d等) 的权限,先前使...
Web应用程序的身份验证:Session认证、Token认证
Waylon_Ma的博客
04-01 3967
用户进行登录操作服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
Azure AD 获得 Token候得到 invalid_scope 的错误
HONEY MOOSE
10-08 1184
完整的错误信息如下: { "error": "invalid_scope", "error_description": "AADSTS70011: The provided request must include a 'scope' input parameter. The provided value for the input parameter 'scope' is not valid. The scope api://4ab1a0b7-da1d-423d-9fc3-e3a...
OAuth2.0的四种授权方式
一江溪水
12-11 2671
OAuth简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。
spring security oauth2.0 根据token信息获取用户信息
热门推荐
u013911102的博客
09-14 1万+
项目场景: 既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢? 技术详解: spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧. OAuth2AuthenticationProce
Security oauth2 通过 token 验证token获取用户信息
fengxing_2的专栏
07-08 6021
1、注入 tokenStore @Autowired private RedisTokenStore tokenStore; // 通过token值进行验证 OAuth2AccessToken oAuth2AccessToken = tokenStore.readAccessToken(token); if (null != oAuth2AccessToken) { OAuth2Authentication auth2Authentication = tokenStore.readAut
SpringCloud微服务实战:配置管理、服务发现与容错
"基于SpringCloud完整的微服务架构实战" 在微服务架构中,SpringCloud是一个非常重要的框架集合,它提供了构建分布式系统所需的多个子项目和服务。本实战教程将深入讲解如何利用SpringCloud构建一个完整的微服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值