Spring Security——OAuth2.0

已于 2023-08-06 15:13:21 修改
阅读量1.3w 收藏 42
点赞数 6
分类专栏: Java 开发 文章标签: Spring Spring Security oauth java
于 2021-10-06 20:42:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43004044/article/details/120622127
版权

目录

本文章的笔记整理来自黑马视频https://www.bilibili.com/video/BV1vt4y1i7zA?p=52,相关资料可以在该视频的评论区获取。

注:如果对 Spring Security 不是很了解的读者,可以先去阅读Spring Security——入门介绍这篇文章。

1.概念说明

OAuth 是 Open Authorization 的简写。OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth 是安全的。OAuth2.0 是 OAuth 协议的延续版本,但不向前兼容(即完全废止了 OAuth1.0)。

2.使用场景

(1)假设,A 网站是一个打印照片的网站,B 网站是一个存储照片的网站,二者原本毫无关联。如果一个用户想使用 A 网站打印自己存储在 B 网站的照片,那么 A 网站就需要使用 B 网站的照片资源才行。按照传统的思考模式,我们需要 A 网站具有登录 B 网站的用户名和密码才行,但是,现在有了 OAuth2,只需要 A 网站获取到使用 B 网站照片资源的一个通行令牌即可!这个令牌无需具备操作 B 网站所有资源的权限,也无需永久有效,只要满足 A 网站打印照片需求即可。

(2)不过 OAuth2 与单点登录又有所区别,单点登录是用户一次登录,自己可以操作其他关联的服务资源。OAuth2 则是用户给一个系统授权,可以直接操作其他系统资源的一种方式。但 SpringSecurity 的 OAuth2 也是可以实现单点登录的!

(3)总结:SpringSecurity 的 OAuth2 既可以做服务之间资源共享,也可以实现单点登录。

3.Oauth2.0 的认证流程是什么?其中包括哪些角色?

(1)Oauth2.0 的认证流程如下图所示:
在这里插入图片描述
(2)OAuth2 协议主要包括以下角色:

  • 资源所有者 (Resource Owner):资源所有者是指拥有受保护资源的用户,即数据或服务的真正拥有者。资源所有者通过授权将访问权限委派给客户端。
  • 客户端 (Client):客户端是指请求访问受保护资源的应用程序、网站或设备。它可以是第三方应用、移动应用、桌面应用等。
  • 授权服务器 (Authorization Server):也称为认证服务器,授权服务器负责认证资源所有者,并颁发访问令牌给客户端。它验证客户端的身份和授权请求,并提供资源所有者进行授权的界面。
  • 资源服务器 (Resource Server):资源服务器存储和管理受保护的资源。它接收来自客户端的访问请求,并根据访问令牌的有效性来判断是否授权访问资源。
  • 授权许可 (Authorization Grant):授权许可是资源所有者授权给客户端访问受保护资源的凭证。OAuth2定义了多种授权许可类型,如授权码、简化授权、密码授权和客户端凭证等。
  • 访问令牌 (Access Token):访问令牌是由授权服务器颁发给客户端的凭证,表示客户端被授权访问受保护资源的权限。客户端使用访问令牌来请求资源服务器获取受保护资源。
  • 刷新令牌 (Refresh Token):刷新令牌是可选的,用于在访问令牌过期后获取新的访问令牌。客户端可以使用刷新令牌向授权服务器请求刷新访问令牌,以延长访问权限的有效期。

(3)这些角色在 OAuth2 协议中相互交互,实现了资源所有者的授权和客户端的受保护资源访问。不同的应用场景和授权类型可能会涉及到其中的一部分或全部角色。

4.OAuth2.0 中的四种授权方式

可以参照下面这张图来理解 OAuth2.0 中的四种授权方式。
在这里插入图片描述

4.1.✨授权码模式 (authorization code)

(1)流程:【A 服务客户端】需要用到【B 服务资源服务】中的资源

  • 第一步:【A 服务客户端】将用户自动导航到【B 服务认证服务】,这一步用户需要提供一个回调地址,以备【B 服务认证服务】返回授权码使用。
  • 第二步: 用户点击授权按钮表示让【A 服务客户端】使用【B 服务资源服务】,这一步需要用户登录 B 服务,也就是说用户要事先具有 B 服务的使用权限
  • 第三步:【B 服务认证服务】生成授权码,授权码将通过第一步提供的回调地址,返回给【A 服务客户端】。注意这个授权码并非通行【B 服务资源服务】的通行凭证。
  • 第四步:【A 服务认证服务】携带上一步得到的授权码向【B 服务认证服务】发送请求,获取通行凭证 token。
  • 第五步:【B 服务认证服务】给【A 服务认证服务】返回令牌 token 和更新令牌 refresh token。

(2)使用场景授权码模式是 OAuth2 中最安全最完善的一种模式,应用场景最广泛,可以实现服务之间的调用,常见的微信,QQ 等第三方登录也可采用这种方式实现。

4.2.简化模式 (implicit)

(1)流程
说明:简化模式中没有【A 服务认证服务】这一部分,全部有【A 服务客户端】与 B 服务交互,整个过程不再有
授权码,token 直接暴露在浏览器。

  • 第一步:【A 服务客户端】将用户自动导航到【B 服务认证服务】,这一步用户需要提供一个回调地址,以备【B 服务认证服务】返回token使用,还会携带一个【A 服务客户端】的状态标识state。
  • 第二步: 用户点击授权按钮表示让【A 服务客户端】使用【B 服务资源服务】,这一步需要用户登录B服务,也就是说用户要事先具有B服务的使用权限。
  • 第三步:【B 服务认证服务】生成通行令牌token,token将通过第一步提供的回调地址,返回给【A 服务客户端】。

(2)使用场景:适用于 A 服务没有服务器的情况。比如:纯手机小程序,JavaScript语言实现的网页插件等。

4.3.密码模式 (resource owner password credentials)

(1)流程

  • 第一步: 直接告诉【A 服务客户端】自己的【B 服务认证服务】的用户名和密码
  • 第二步:【A 服务客户端】携带【B 服务认证服务】的用户名和密码向【B 服务认证服务】发起请求获取 token。
  • 第三步:【B 服务认证服务】给【A 服务客户端】颁发 token。

(2)使用场景
此种模式虽然简单,但是用户将 B 服务的用户名和密码暴露给了 A 服务,需要两个服务信任度非常高才能使用。

4.4.客户端模式 (client credentials)

(1)流程
说明:这种模式其实已经不太属于 OAuth2 的范畴了。A 服务完全脱离用户,以自己的身份去向 B 服务索取 token。换言之,用户无需具备 B 服务的使用权也可以。完全是A服务与B服务内部的交互,与用户无关了。

  • 第一步: A 服务向 B 服务索取 token。
  • 第二步: B 服务返回 token 给 A 服务。

(2)使用场景:A 服务本身需要 B 服务资源,与用户无关。

5.OAuth2.0 中表结构说明

如果只是写个测试案例,完全可以不用连接数据库,直接将用户等信息写在项目中就行。但是,如果在企业开发中,试想,我们自己做的一个软件,想使用微信第三方登录。难道你还指望微信去修改他们的代码,让我们去访问?想都别想!那么微信会怎么做呢?微信会提供好一个接入的入口,让我们自己去申请访问权限。这些数据自然而然需要保存在数据库中!所以,下面将直接讲解数据库版实现方式!

5.1.建表语句

官方SQL语句地址:https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql

/*
SQLyog Ultimate v12.08 (64 bit)
MySQL - 8.0.16 : Database - security_authority
*********************************************************************
*/

/*!40101 SET NAMES utf8 */;

/*!40101 SET SQL_MODE=''*/;

/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
/*Table structure for table `oauth_access_token` */

DROP TABLE IF EXISTS `oauth_access_token`;

CREATE TABLE `oauth_access_token` (
  `token_id` varchar(255) DEFAULT NULL,
  `token` longblob,
  `authentication_id` varchar(255) DEFAULT NULL,
  `user_name` varchar(255) DEFAULT NULL,
  `client_id` varchar(255) DEFAULT NULL,
  `authentication` longblob,
  `refresh_token` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_access_token` */

/*Table structure for table `oauth_approvals` */

DROP TABLE IF EXISTS `oauth_approvals`;

CREATE TABLE `oauth_approvals` (
  `userId` varchar(255) DEFAULT NULL,
  `clientId` varchar(255) DEFAULT NULL,
  `scope` varchar(255) DEFAULT NULL,
  `status` varchar(10) DEFAULT NULL,
  `expiresAt` datetime DEFAULT NULL,
  `lastModifiedAt` datetime DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_approvals` */

/*Table structure for table `oauth_client_details` */

DROP TABLE IF EXISTS `oauth_client_details`;

CREATE TABLE `oauth_client_details` (
  `client_id` varchar(255) NOT NULL,
  `resource_ids` varchar(255) DEFAULT NULL,
  `client_secret` varchar(255) DEFAULT NULL,
  `scope` varchar(255) DEFAULT NULL,
  `authorized_grant_types` varchar(255) DEFAULT NULL,
  `web_server_redirect_uri` varchar(255) DEFAULT NULL,
  `authorities` varchar(255) DEFAULT NULL,
  `access_token_validity` int(11) DEFAULT NULL,
  `refresh_token_validity` int(11) DEFAULT NULL,
  `additional_information` varchar(255) DEFAULT NULL,
  `autoapprove` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_client_details` */

/*Table structure for table `oauth_client_token` */

DROP TABLE IF EXISTS `oauth_client_token`;

CREATE TABLE `oauth_client_token` (
  `token_id` varchar(255) DEFAULT NULL,
  `token` longblob,
  `authentication_id` varchar(255) DEFAULT NULL,
  `user_name` varchar(255) DEFAULT NULL,
  `client_id` varchar(255) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_client_token` */

/*Table structure for table `oauth_code` */

DROP TABLE IF EXISTS `oauth_code`;

CREATE TABLE `oauth_code` (
  `code` varchar(255) DEFAULT NULL,
  `authentication` varbinary(2550) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_code` */

/*Table structure for table `oauth_refresh_token` */

DROP TABLE IF EXISTS `oauth_refresh_token`;

CREATE TABLE `oauth_refresh_token` (
  `token_id` varchar(255) DEFAULT NULL,
  `token` longblob,
  `authentication` longblob
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `oauth_refresh_token` */

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

5.2.表字段说明

5.2.1.oauth_client_details【核心表】

在这里插入图片描述
在这里插入图片描述

5.2.2.oauth_client_token

在这里插入图片描述
该表用于在客户端系统中存储从服务端获取的token数据,在spring-oauth-server项目中未使用到,对oauth_client_token表的主要操作在JdbcClientTokenServices.java类中,更多的细节请参考该类。

5.2.3.oauth_access_token

在这里插入图片描述

5.2.4.oauth_refresh_token

在这里插入图片描述
在项目中,主要操作oauth_refresh_token表的对象是JdbcTokenStore.java.。(与操作oauth_access_token表的对象一样);更多的细节请参考该类。如果客户端的grant_type不支持refresh_token,则不会使用该表。

5.2.5.oauth_code

在这里插入图片描述
在项目中,主要操作 oauth_code 表的对象是 JdbcAuthorizationCodeServices.java,更多的细节请参考该类。 只有当 grant_type为 “authorization_code” 时,该表中才会有数据产生;其他的 grant_type 没有使用该表。

代码星辰
关注
专栏目录
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 1016
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security中的OAuth2。
最新发布
qq_33240556的博客
08-27 1077
Spring Security 中的OAuth2支持使得集成OAuth2变得更加简单和直观。无论是作为OAuth2客户端还是授权服务器,Spring Security都提供了丰富的API和配置选项来满足您的需求。希望这些信息对您有所帮助!如果您有任何具体的问题或需要进一步的帮助,请随时告诉我。
SpringSecurity+OAuth2.0
weixin_46301906的博客
07-07 6220
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth 在全世界得到广泛应用,目前的版本是 2.0 版。简单:不管是 OAuth 服务提供者还是应用开发者,都很易于理解与使用。安全:没有涉及到用户密钥等信息,更安全更灵活。开放:任何服务提供商都可以实现 OAuth,任何软件开发商都可以使用 OAuth。Resour
SpringSecurity整合OAuth2.0
玩转Java
12-10 1万+
springsecurity整合aoth2.0
Spring Security + OAuth2.0
zk86547462的博客
02-17 4871
授权服务器 授权服务器中有4个端点。说明如下: Authorize Endpoint :授权端点,进行授权。 Token Endpoint :令牌端点,经过授权拿到对应的Token。 lntrospection Endpoint :校验端点,校验Token的合法性。 Revocation Endpoint :撤销端点,撤销授权。 Spring Security Oauth2架构 说明如下: 用户访问,此时没有Token。Oauth2RestTemplate会报错,这个报错信息会被Oauth2Cli
Spring Security系列教程29--OAuth2.0协议详解
一一哥
11-05 2559
前言 截止到现在,一一哥 已经带各位把Spring Security中的主要功能学完了,并且剖析了这些内容的底层实现原理,希望你可以有所收获。 但是在安全认证领域,还有另一种很重要的授权机制---OAuth2.0开放授权。而且OAuth2.0开放授权与Spring Security经常配合使用,这两者之间可以说是“焦不离孟,孟不离焦”的搭配关系,所以为了进一步掌握Spring Security,在这里 壹哥 给大家再介绍另一个OAuth2.0开放授权协议。 OAuth2.0开放授权并不是Spring
Spring securityoauth2.0介绍
u014416842的博客
05-05 1992
OAuth2.0介绍 OAuth 2.0是用于授权的行业标准协议,允许用户让第三方应用访问该用户在某一网站受保护的资源(比如user API),而无需将用户名和密码提供给第三方应用。OAuth 2.0专注于简化客户端开发,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。 角色划分 resource owner:资源所有者,能够授予第三方应用访问特定保护资源的权限。 当资源所有者是个人时,它是被称为最终用户。 resource server: 资源服务器,受保护的资源一般通过..
微信oauth2.0授权
10-11
微信OAuth2.0授权是一种广泛应用于移动应用和网站的第三方登录解决方案,主要目的是为了安全地获取用户的微信身份标识——openid,以便提供个性化服务或者与其他微信功能集成。在本文中,我们将详细探讨微信OAuth2.0...
OAuth2.0代码模拟实现
12-26
在这个OAuth2.0实现中,它将定义项目依赖,如Spring Security OAuth2库,用于处理OAuth2.0协议的各个步骤。可能的依赖包括`spring-security-oauth2`, `spring-web`, `spring-security-core`, `spring-security-...
oauth2.0 资源服务
11-16
Spring SecuritySpring生态中强大的安全框架,而OAuth2模块则提供了全面的OAuth2.0支持,包括授权服务器和资源服务器的实现。 - **配置资源服务器**:在Spring Boot应用中,可以通过添加`spring-security-oauth2-...
《Learning Spring Boot 2.0》高清版
07-31
安全方面,书籍讲解了Spring Security的基本概念,包括认证、授权、CSRF保护以及OAuth2的集成,确保应用程序的安全性。另外,还涉及了测试策略,包括单元测试、集成测试以及Spring Boot测试支持库的使用。 性能优化...
拥抱Spring全新OAuth解决方案.doc
07-08
Spring Security OAuth 停止维护后,Spring 社区推出了全新的授权服务器解决方案——Spring Authorization Server (SAS),它已经能够用于生产环境。Spring Boot 2.7.0 及以上版本弃用了部分 Spring Security 的配置...
SpringSecurity-OAuth2万文详解
热门推荐
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
SpringSecurityOauth2介绍
justlpf的专栏
04-14 4169
第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript、Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
Spring Security OAuth2详解
qq_33814479的博客
10-12 6882
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
SpringSecurity】十四、OAuth2.0协议
llg___的博客
01-29 1207
关于第三方客户端系统何时用refresh_token来刷新令牌,可以写定时任务(授权码换token时,access_token的过期时间也返回过来了),也可以等出现access_token过期的返回结果时,再做刷新处理。比如:用户A微信扫码登录网站B,即用户A授权网站B去微信服务器拿自己的部分信息,以免去在网站B重复输入信息注册的麻烦,当然,你的微信登录密码,网站B并不知道。三方登录,社交登录(Q、V)等,比如用户想登录A网站,A网站让用户授权第三方网站,获取到用户在第三方网站的身份信息后,完成登录。
springsecurity oauth2.0
warrah 南极狼
02-08 3764
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
SpringSecurity 实现 OAuth 2.0
RawChen · Blog
10-09 1244
OAuth2.0 小了来说作为前后端分离项目来讲经常需要传递数据。专业上来说也就是客户端想要访问资源服务器的数据,那么就能通过资源服务器内部提供的api来访问数据,那么问题就来了,这安全吗?当然不安全,因为客户端可以伪装和伪造请求资源。所以我们需要权限验证。 那么怎么做嘞,OAuth2.0协议就是用来做这个的。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码星辰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值