如何通过PKCE模式访问受Oauth2保护的资源

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量5.2k 收藏 11
点赞数 2
文章标签: java vue.js spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058446/article/details/108478693
版权

如何通过PKCE模式访问受Oauth2保护的资源

本文用来说明vue如何使用PKCE模式访问受oauth2保护的资源。Demo示例代码在github里

概念介绍

什么是PKCE? 这里有详细的介绍。PKCE是Proof Key for Code Exchange的缩写。简单来说就是获取Token过程中,利用两个数值比较来验证请求者是否是最终用户,防止攻击者盗用Token。 它提高了公有云环境下的单页面运用或APP获取Token的安全性,也能应用在私有云环境里。我们可利用它来实现SSO。

具体步骤简单描述如下:

第一步:先随机生成一个32位长的code_verifier,然后运用hash算法s256加密得到一个code_challenge。js算法实现可参考这里

第二步:客户端向oauth2认证服务器申请认证码code, 并带着code_challenge;

第三步:客户端利用返回的code和code_verifier来向oauth2服务器申请token;

第四步:客户端通过在header里加bearer token就能访问受限资源了;

Demo使用说明

代码分两部分:authentication和html。authentication是oauth2认证和资源服务,利用spring security实现; html利用spring boot+thymleaf+vue来模拟一个客户端。

  • 准备
    需1.8(含)以上的JDK和Maven。 将Maven的命令mvn配到机器环境的path里,同时在环境里配置JAVA_HOME指向JDK所在目录。

  • 启动

  • 运行认证和资源服务

cd authentication
mvn -DskipTests clean package
java -jar target/authentication-0.0.1-SNAPSHOT.jar
  • 运行客户端
  cd html
  mvn -DskipTests clean package 
  java -jar target/ui-0.0.1-SNAPSHOT.jar
  • 执行
    authentication服务端口是30000, 客户端端口是30010. 在chrome浏览器输入http://127.0.0.1:30010, 即进入客户端。如下图所示:
    客户端示例
    “非认证点击” 按钮演示未获token访问接口的效果,上面会有出错提示。
    “认证点击” 按钮演示PKCE获取token后访问接口的效果,如成功,上面会有一段json信息。
    备注】获取code需表单认证,用户名和密码为tom和sonia 这在authentication里配置

这两个按钮调用的是authentication服务里的接口,该接口受oauth2保护。接口定义如下:

    //这是在authentication的com.ghy.vo.authentication.controller.DemoController里
    @RequestMapping(value = "/res/showData")
    public Object showData2(){
        Map<String,String> map = new HashMap<String,String>();
        map.put("t1","this is test1");
        map.put("t2","this is test2");
        return map;
    }

    //这是在authentication的资源配置,在com.ghy.vo.authentication.config.OAuth2Server里将/res/*定义为受oauth2保护
    @Configuration
    @EnableResourceServer
    protected class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
        ......

        @Override
        public void configure(HttpSecurity http) throws Exception {
            final String[] urlPattern = {"/res/**"};
            http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .requestMatchers().antMatchers(urlPattern)
                .and()
                .authorizeRequests()
                .antMatchers(urlPattern)
                .access("#oauth2.hasScope('read') and hasRole('ROLE_USER')")
            ;
        }

下图是成功的显示:
认证点击效果截图
如图所示,标红的地方表明了获取code, token和调用接口的network过程。

实现过程

authentication工程

认证服务

见OAuth2Server类,通过@EnableAuthorizationServer定义认证服务器,将oauth2认证模式"authorization_code"加载到内存里。如下:

      @Override
      public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
          clients.inMemory()
                  .withClient("vo_client_id")
                  .secret("{noop}")
                  .redirectUris("http://127.0.0.1:30010")
                  .authorizedGrantTypes("authorization_code")
                  .scopes("read")
                  .autoApprove(true)
                  ;
      }
引入PKCE认证模式

在OAuth2Server类里进行配置,引入相关服务和tokenGranter,如下:

      @Override
      public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
          endpoints
                  .tokenStore(tokenStore)
                  .authorizationCodeServices(new PkceAuthorizationCodeServices(endpoints.getClientDetailsService(), passwordEncoder))
                  .tokenGranter(tokenGranter(endpoints));
PKCE实现

见pkce包里

  • CodeChallengeMethod类用来codeVerifier和codeChallenge比较
  • PkceAuthorizationCodeServices类用于调度
  • PkceAuthorizationCodeTokenGranter类用于从request请求中获取token所需信息
  • PkceProtectedAuthentication类定义PKCE认证对象信息
全局跨域访问和Token调用设置

见CrosFilter类

      @Configuration
      @Order(5)
      public class CrosFilter implements Filter {
      
          @Override
          public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
              HttpServletRequest request = (HttpServletRequest) req;
              HttpServletResponse response = (HttpServletResponse) res;
      
              response.setHeader("Access-Control-Allow-Origin", "*");
              response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, OPTIONS");
              response.setHeader("Access-Control-Allow-Headers", "Accept, Origin, Content-Type, Authorization");
              response.setHeader("Access-Control-Max-Age", "3600");
              response.setHeader("Access-Control-Allow-Credentials", "true");
      
              String method = request.getMethod();
              if ("OPTIONS".equals(method)) {
                  response.setStatus(HttpStatus.OK.value());
              } else {
                  chain.doFilter(req, res);
              }
          }
      }

跨域设置遇到的一些坑:曾配过CorsConfig类和SecurityConfiguration类的corsConfigurationSource()方法,都没效果,特别是从client调用token时都不行。将代码放在Demo里,是为了记录过程。已将注解注释掉,代码没有使用。

最后经过摸索,最终发现用filter方式是可行的。另外一种方式是用spring拦截器模式。Demo里没有描述。我在下面参考列出来,供学习。

filter实现参见CrosFilter类。分两部分,第一部分是跨域设置和对Header等控制,第二部分是当请求是options时,则返回200。这是配合axios获取token时用的

html工程

主要实现见test.html, 其中

  • hash加密算法通过crypto-js.min.js来引入实现
  • pkce.js用来生成code_vefivier和code_challenge
  • 获取token,通过Qs实现options的简单调用
  • "认证点击"按钮的调用流程如下图,主要用到了js的异步回调技术;
    点击认证

可改进的地方

  • 认证信息从缓存挪到DB或redis里
  • client端还要加logout等清理token等方法

参考

跨域设置过滤器方案
服务器端PKCE代码参考实现

Zhou JinGuang
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
5-OAuth2.1的已知变动
码农小胖哥
03-16 2892
OAuth2.0现在越来越流行了,特别在微服务大行其道的情况下。不过OAuth2.0太老了, 最初的OAuth2.0规范于 2012 年 10 月以RFC 6749文档为蓝本发布,取代了 2010 年 4 月发布的 OAuth1.0,在发布OAuth2.0的时候,Vue、React还没有兴起,甚至连跨域资源共享CORS还不是正式的W3C标准。OAuth2.0面对如今飞速发展的移动互联网已经老态龙钟,跟不上时代了。好在OAuth2.0非常开放,开发者可以做很多自定义操作,它把很多“设计权限”下放给了开发者,经
js_code_challenges:JavaScript 代码挑战
06-22
JS_练习 WDI JavaScript 练习
Spring Authorization Server (如何使用具有 PKCE 的单页应用程序进行身份验证-2)
semicolon_hello的专栏
02-21 1302
SPA 由静态资源组成,可以通过多种方式进行部署。它可以与后端分开部署,例如使用 CDN 或单独的 Web 服务器,也可以使用 Spring Boot 与后端一起部署。当 SPA 托管在不同的域下时,可以使用跨域资源共享 (CORS) 来允许应用程序与后端通信。
OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 2951
OAuth2扩展协议 PKCE
9 客户端认证方式 之 PKCE
Markix的博客
09-30 2441
PKCE 是授权码流程的扩展,用于防止 CSRF 和授权码(code)注入攻击。 所以 PKCE 一般都伴随着授权码模式使用,可称之为 增强版授权码流程,又称 Authorization Code with PKCE Flow。用于公共客户端的认证...
08. 锦上添花:PKCE和授权码模式
weixin_45946850的博客
05-07 465
如上文所述,由于本地应用程序被视为是公共客户端,它的客户端ID是公开且容易获得的,因此上述这种拦截授权码并且使用截获的授权码交换访问令牌的风险是可能发生的。为了对抗这种攻击,OAuth 工作组制定了一项 Proof Key for Code Exchange (简称为PKCE, 读作“pixy”)的扩展技术,该技术被定义在 RFC 7636 文档(https://datatracker.ietf.org/doc/html/rfc7636)。
Spring Authorization Server入门 (十八) Vue项目使用PKCE模式对接认证服务
云逸的博客
09-17 708
一直都有提到PKCE流程是授权码流程的扩展,通过这两篇文章也可以看出两种流程的授权申请流程基本是一样的,只不过PKCE将客户端密钥换成了和,虽然稍微麻烦了些,但是安全性也提高了很多;至于移动app或者pc端应用对接的流程也是一样的,只不过是将回调地址换成了URLSchema,其它都是一样的;测试的流程与授权码模式基本一致,这里就不带大家测试了,读者可自行测试,然后观察请求跳转情况。
OAuth 2.0 的 PKCE 实现: 如何在客户端应用中使用
禅与计算机程序设计艺术
12-31 835
1.背景介绍 OAuth 2.0 是一种授权机制,允许第三方应用程序在不暴露用户密码的情况下获得用户的权限,以便在其他服务中访问用户数据。PKCE(Proof Key for Code Exchange)是 OAuth 2.0 的一个扩展,它提供了一种安全地在客户端应用程序中交换代码的方法,从而避免了代码泄露的风险。 在这篇文章中,我们将讨论 PKCE 的实现细节,以及如何在客户端应用程序中使...
react-pkce:使用PKCE流程对React进行OAuth2身份验证
05-22
一个应该通过OAuth2保护的React应用程序(或者,需要一个access_token来进行身份验证,例如对API的调用)。 如何 安装 npm i react-pkce 用 首先,创建一个身份验证上下文(及相关内容): const clientId = "8...
Sample-OAuth-Code:通过PayPing中的OAuth 2标准创建示例令牌
05-25
准备接收令牌的示例代码 在管道中,我们使用带有PKCE的授权代码作为主要的oAuth身份验证流程。 有关工作流程的信息,请参考以下地址: : 该存储库用于查看使用不同语言准备的示例代码,以通过oAuth2接收令牌。
spotify-api-pkce:前端使用Spotify API
05-27
SSH URL通过SSH(一种安全协议)提供对Git存储库的访问。 如果您使用在您的Github帐户中注册的SSH密钥,请使用以下命令克隆项目: git clone [email protected]:kellina/spotify-api-pkce.git 安装依赖项 yarn ...
js-code-challenges:JavaScript代码挑战
04-30
编码挑战 入门 分叉并克隆此仓库 在您的终端中, cd进入分配的质询目录。 可以在每个挑战目录的README.md中找到每个挑战的说明。
code_challenge:用 javascript 创建一个可搜索的电影应用程序
06-23
展示我的 GA 技能。 Yippie Ki-yay!
react-native-pkce-challenge:React Native的代码交换证明密钥(PKCE)挑战生成器
04-29
应对本地PKCE挑战 React Native的代码交换证明密钥(PKCE)质询生成器。API相容性方法的iOS 安卓网页视窗苹果系统世博会asyncPkceChallenge :check_mark_button: :check_mark_button: :check_mark_button: :cross_...
具有PKCE的轻量级OAuth 2.0客户端-Swift开发
05-27
具有PKCE的轻量级OAuth 2.0客户端OAuth2Client具有PKCE的轻量级OAuth 2.0客户端(代码交换的证明密钥:请参阅RFC 7636)用法登录OAuth2Client()。signIn(request:request).receive(on:yourQueue).sink...
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 210
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1319
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 458
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1239
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
oauth2 pkce jwt
03-28
OAuth 2.0是一种授权框架,用于在应用程序之间安全地共享用户的资源PKCE(Proof Key for Code Exchange)是OAuth 2.0的一个扩展,用于增强授权码授权流程的安全性。JWT(JSON Web Token)是一种用于在网络应用间传递声明的开放标准。 OAuth 2.0的工作流程如下: 1. 客户端向认证服务器发送授权请求。 2. 认证服务器验证客户端身份,并要求用户进行身份验证。 3. 用户提供凭据进行身份验证。 4. 认证服务器向客户端颁发访问令牌。 5. 客户端使用访问令牌向资源服务器请求保护资源PKCE是为了增强授权码授权流程的安全性而引入的。它通过在授权请求中添加一个随机生成的密钥,使得攻击者无法通过截获授权码来获取访问令牌。 JWT是一种用于在网络应用间传递声明的开放标准。它由三部分组成:头部、载荷和签名。头部包含了关于令牌的元数据,载荷包含了声明信息,签名用于验证令牌的真实性和完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值