12.3。OAuth 2.0资源服务器

最新推荐文章于 2024-05-22 16:44:30 发布
最新推荐文章于 2024-05-22 16:44:30 发布
阅读量993 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981133/article/details/108817662
版权

12.3。OAuth 2.0资源服务器

Spring Security支持使用两种形式的OAuth 2.0 Bearer Tokens来保护端点:

  • JWT
  • Opaque Tokens

在应用程序将其权限管理委派给授权服务器(例如Okta或Ping Identity)的情况下,这很方便。资源服务器可以咨询该授权服务器以授权请求。

本节详细介绍了Spring Security如何提供对OAuth 2.0 Bearer Token的支持。

Spring Security存储库中提供了JWT和Opaque Tokens的工作样本。

让我们看一下承载令牌认证在Spring Security中如何工作。首先,我们看到,就像基本身份验证一样,WWW-Authenticate header被发送回未经身份验证的客户端。
在这里插入图片描述
图14. Sending WWW-Authenticate Header

上图建立在我们的SecurityFilterChain图表之上。

  1. 首先,用户向未经授权的资源发出未经身份验证的请求。
  2. Spring Security的FilterSecurityInterceptor表示通过抛出AccessDeniedException拒绝了未经身份验证的请求。
  3. 由于用户未通过身份验证,因此ExceptionTranslationFilter会启动“开始身份验证”。 配置的AuthenticationEntryPoint是BearerTokenAuthenticationEntryPoint的实例,该实例发送WWW-Authenticate 请求头。 RequestCache通常是一个NullRequestCache,它不保存请求,因为客户端能够重播它最初请求的请求。

当客户端收到WWW-Authenticate: Bearer 请求头时,它知道应该使用承载令牌重试。以下是正在处理的承载令牌的流程。

bearertokenauthenticationfilter
图15.验证承载令牌
该图基于我们的SecurityFilterChain图。

  1. 当用户提交其承载令牌时,BearerTokenAuthenticationFilter通过从HttpServletRequest中提取令牌来创建BearerTokenAuthenticationToken,这是一种身份验证类型。
  2. 接下来,将HttpServletRequest传递到AuthenticationManagerResolver,后者选择AuthenticationManager。 BearerTokenAuthenticationToken传递到AuthenticationManager进行身份验证。 AuthenticationManager外观的详细信息取决于您是否配置了JWT或opaque token.。
  3. 如果身份验证失败,则失败
    • SecurityContextHolder已清除。
    • AuthenticationEntryPoint被调用以触发WWW-Authenticate 请求头再次发送。
  4. 如果身份验证成功,则为成功。

    • 身份验证是在SecurityContextHolder上设置的。

    • BearerTokenAuthenticationFilter调用FilterChain.doFilter(request,response)继续进行其余的应用程序逻辑。

12.3.1。JWT的最小依赖项

大多数资源服务器支持被收集到spring-security-oauth2-resource-server中。但是,对解码和验证JWT的支持在spring-security-oauth2-jose中,这意味着为了有一个支持jwt编码的承载令牌的工作资源服务器,这两者都是必需的。

12.3.2。JWT的最小配置

使用Spring Boot时,将应用程序配置为资源服务器包括两个基本步骤。首先,包括所需的依赖关系,其次,指示授权服务器的位置。

指定授权服务器
在Spring Boot应用程序中,要指定要使用的授权服务器,只需执行以下操作:

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://idp.example.com/issuer

其中https://idp.example.com/issuer是授权服务器将颁发的JWT令牌的iss声明中包含的值。 资源服务器将使用此属性进行进一步的自我配置,发现授权服务器的公钥,然后验证传入的JWT。

要使用该issuer-uri属性,它也必须是真实的一个https://idp.example.com/issuer/.well-known/openid-configuration,https://idp.example.com/.well-known/openid-configuration/issuer或者https://idp.example.com/.well-known/oauth-authorization-server/issuer是授权服务器支持的端点。此endpoint也称为提供者配endpoint或授权服务器元数据endpoint。
就是这样!

启动期望

使用此属性和这些依赖关系时,资源服务器将自动配置自身以验证JWT编码的承载令牌。

它通过确定性的启动过程来实现:

  1. 命中提供者配置或授权服务器元数据端点,处理jwks url属性的响应

  2. 配置验证策略以查询jwks_url有效的公共密钥

  3. 配置验证策略以针对验证每个JWT的iss声明https://idp.example.com。

此过程的结果是,授权服务器必须启动并接收请求,才能成功启动资源服务器。

如果在资源服务器查询授权服务器时授权服务器已关闭(给出适当的超时),则启动将失败。

运行时期望

应用程序启动后,资源服务器将尝试处理任何包含Authorization: Bearer标头的请求:

GET / HTTP/1.1
Authorization: Bearer some-token-value # Resource Server will process this

只要指示了此方案,资源服务器就会尝试根据Bearer Token规范处理请求。

给定格式正确的JWT,资源服务器将:

  • 根据启动期间从jwks_url端点获取并与JWT匹配的公钥验证其签名

  • 验证JWT的时间戳exp和nbf时间戳以及JWT的iss声明,并

  • 将每个范围映射到具有前缀SCOPE_的权限。

当授权服务器提供新的密钥时,Spring Security将自动旋转用于验证JWT的密钥。

默认情况下,生成的Authentication#getPrincipal是Spring Security Jwt对象,并且Authentication#getName映射到JWT的sub属性(如果存在)。

从这里,考虑跳到:

  • JWT身份验证如何工作

  • 如何在不将资源服务器启动绑定到授权服务器的可用性的情况下进行配置

  • 如何在没有Spring Boot的情况下进行配置

12.3.3。JWT身份验证如何工作

接下来,让我们看看Spring Security 在基于servlet的应用程序中用来支持JWT身份验证的体系结构组件,就像我们刚刚看到的那样。

JwtAuthenticationProvider是一种AuthenticationProvider利用JwtDecoder和JwtAuthenticationConverter验证JWT的实现。

让我们看一下JwtAuthenticationProviderSpring Security中的工作方式。该图详细说明了AuthenticationManager从读取承载令牌中获取的数字的工作方式。

jwtauthenticationprovider
图16. JwtAuthenticationProvider用法

  1. The authentication Filter从读取承载令牌开始,将BearerTokenAuthenticationToken传递给由ProviderManager实现的AuthenticationManager。

  2. ProviderManager配置为使用JwtAuthenticationProvider类型的AuthenticationProvider。

  3. JwtAuthenticationProvider使用JwtDecoder对Jwt进行解码、验证和验证。

  4. 然后,JwtAuthenticationProvider使用JwtAuthenticationConverter将Jwt转换为已授予的权限集合。

  5. 当身份验证成功时,返回的身份验证类型为JwtAuthenticationToken,其主体是配置的JwtDecoder返回的Jwt。最终,身份验证过滤器将在securitycontexts上设置返回的JwtAuthenticationToken。

Marcel111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20-BearerTokenAuthenticationFilter
码农小胖哥
03-17 3168
BearerTokenAuthenticationFilter是Spring Security资源服务器的核心过滤器。负责对请求中携带的Token进行校验,提取认证信息,以确定当前请求是否有权限访问对应的资源BearerTokenAuthenticationFilter 以下是BearerTokenAuthenticationFilter的大致结构: 成员属性都在上一文中进行了说明,这里就不再赘述了。 核心逻辑 作为一个OncePerRequestFilter核心的逻辑还在doFilterIntern
[6] OAuth2AuthenticationProcessingFilter之Bearer Token验证流程
热门推荐
既无风雨也无晴
03-19 3万+
OAuth2AuthenticationProcessingFilter 简介 我们通过Spring Security的认证服务获取Access Token之后就可以用于请求资源服务(业务系统)的接口了。我们需要把特定的信息放到请求头中,例如在请求头中写入Authorization: Bearer !xBYUEBY0N3o234N,Authorization为key,Bearer !xBYUEBY...
详解OAuth 2.0授权协议(Bearer token
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
【Spring Security + OAuth2】OAuth2
最新发布
weixin_43676950的博客
05-22 921
Auth”表示“授权”Authorization"O"是Open的简称,表示“开放”连在一起就表示“开发授权”,OAuth2是一种开放授权协议在实际流程中,颁发Token前先要征询用户同意。
Spring Security 自定义资源服务器实践
Java_ttcd的博客
08-23 1827
在整个流程中,我们使用的是最严密的授权码模式,它将用户引导到授权服务器进行身份验证,授权服务器将发放的访问令牌传递给客户端,目前主流都是使用该模式,该配置用于指定授权服务器地址,资源服务器将从该地址获取JWT令牌,并根据JWT中的属性进一步自我配置,发现授权服务器的公钥、验证JWT令牌。其中与授权服务器依赖不同的是,资源服务器有spring boot版本,版本号会有spring boot进行管理,不需要显示声明。到此,我们通过自己搭建的授权服务器资源服务器,完整体验了OAuth2流程。
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
小水牛的博客
05-07 4737
Spring Security OAuth2 Resource Server 的一些核心组件和内置 Filter
OAuth20:一个简单的OAuth 2.0授权服务器和客户端实现
05-31
这个项目的想法是编写一个简单的 OAuth 2.0 授权服务器。 不要期望太多。 它正在逐步发展。 代码看起来不太好。 很多东西都是硬编码的。 它更像是一个简单的概念证明应用程序。规格本项目使用以下 RFC 文档作为其...
适用于Gin-Gonic的OAuth 2.0授权服务器和授权中间件-Golang开发
05-26
oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供基于Gin-Gonic的OAuth 2.0授权服务器和可在资源服务器中使用的授权中间件dev oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供了基于...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
oauth2.0.zip_oauth2.0
09-20
OAuth 2.0的核心在于授权,它定义了四个主要的角色:资源所有者(Resource Owner)、资源服务器(Resource Server)、客户端(Client)和授权服务器(Authorization Server)。资源所有者是拥有要访问资源的用户,...
Spring Authorization Server入门 (九) Spring Boot引入Resource Server对接认证服务
云逸的博客
06-13 2546
书接上文,本次来对接一下资源服务,在本篇文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。
oauth2-resource-server授权配置介绍
言午玉口才
08-17 2779
也就是授权(token中存放用户名、授权信息),接着资源服务器token处理过程,可以直接请求授权服务器,由授权服务器验证;也可以在授权服务器确定固定的公钥私钥,资源服务器自己根据公钥解析token,获取jwt,最后获取用户信息。至此,资源服务器可以正常使用。若是你的系统比较庞大,每次请求都会请求授权服务器,这会给授权服务器带来压力,具体的实现方案可以根据实际情况而定。后,对授权服务器有一定的认识,那么授权服务器生成token后,该怎么用呢,这就涉及到资源服务器,现在给大家简单介绍实现过程。
oauth2 spring-authorization-server 分析
tof
01-19 1万+
spring boot,spring security,oauth2,spring-authorization-server
Bearer Token 一种安全的接口认证方式
专注基础架构领域
05-25 7176
因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。 目前主流的访问权限控制/认证模式有以下几种: 1、Bearer TokenToken 令牌) 定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播
将JWT与Spring Security OAuth2结合使用
new_ord的博客
06-26 4361
OAuth 2.0 是行业标准的授权协议。OAuth 2.0 专注于客户端开发人员的简单性,同时为 Web 应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。OAuth 授权服务器负责对用户进行身份验证并发布包含用户数据和适当访问策略的访问令牌。下面我们将使用Spring Authorization Server构建一个简单的授权服务器。让我们从OAuth2授权服务器配置实现开始。...
Spring Security 与 OAuth2(资源服务器
chucan4529的博客
01-26 823
Spring Security 与 OAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Pig4Cloud之检验token
少年闰土的博客
12-07 844
Pig4Cloud之检验token
Spring Security 实战干货:使用 JWT 认证访问接口
码农小胖哥
11-08 3191
1. 前言 欢迎阅读Spring Security 实战干货系列。之前我讲解了如何编写一个自己的 Jwt 生成器以及如何在用户认证通过后返回 Json Web Token 。今天我们来看看如何在请求中使用 Jwt 访问鉴权。DEMO 获取方法在文末。 2. 常用的 Http 认证方式 我们要在 Http 请求中使用 Jwt 我们就必须了解 常见的 Http 认证方式。 2.1 HTTP Basi...
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值