Spring Security + OAuth2 - 黑马程序员(1. 概述)学习笔记

最新推荐文章于 2023-07-15 11:44:22 发布
最新推荐文章于 2023-07-15 11:44:22 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: SpringCloud 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44449838/article/details/114792215
版权

下一篇:Spring Security + OAuth2(2. 环境搭建)

文章目录

1. 大致架构

在这里插入图片描述
流程描述:

  1. 用户通过接入方(应用)登录,接入方采取OAuth2.0方式在统一认证服务(UAA)中认证。
  2. 认证服务(UAA)调用验证该用户的身份是否合法,并获取用户权限信息。
  3. 认证服务(UAA)获取接入方权限信息,并验证接入方是否合法。
  4. 若登录用户以及接入方都合法,认证服务生成jwt令牌返回给接入方,其中jwt中包含了用户权限及接入方权 限。
  5. 后续,接入方携带jwt令牌对API网关内的微服务资源进行访问。
  6. API网关对令牌解析、并验证接入方的权限是否能够访问本次请求的微服务。
  7. 如果接入方的权限没问题,API网关将原请求header中附加解析后的明文Token,并将请求转发至微服务。
  8. 微服务收到请求,明文token中包含登录用户的身份和权限信息。因此后续微服务自己可以干两件事:
    • 用 户授权拦截(看当前用户是否有权访问该资源)
    • 将用户信息存储进当前线程上下文(有利于后续业务逻辑随时 获取当前用户信息)

2. OAuth2.0 介绍

2.1 简介

  • OAuth(开放授权)是一个开放标准
  • 允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。
  • OAuth2.0是OAuth协议的延续版本,但不向 后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服 务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。

举例说明:

  • 很多网站都支持 微信、QQ 登录,不需要单独在当前网站创建账号。
  • 这就是网站利用了微信、QQ 的认证信息进行认证,这里微信、QQ中的认证信息就是用户存储在第三方服务中的数据。
  • 只要用户在本网站登录上 微信、QQ账号,即表示用户同意本网站去获取存储在微信中的用户数据
  • 只要用户一同意,那么微信、QQ 就会生成一个当前用户在当前网站专门使用的一个令牌,有了令牌,当前网站就可以操作存储在 微信、QQ 中的用户数据

2.2 执行流程

程序执行流程图:
在这里插入图片描述

  1. 客户端请求第三方授权
  2. 资源拥有者同意给客户端授权
  3. 客户端获取到授权码,请求认证服务器申请令牌
  4. 认证服务器向客户端响应令牌
  5. 客户端请求资源服务器的资源
  6. 资源服务器返回受保护资源

2.3 相关角色

在这里插入图片描述
OAauth2.0包括以下角色:

  1. 客户端 本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏 览器端)、微信客户端等。

  2. 资源拥有者 通常为用户,也可以是应用程序,即该资源的拥有者。

  3. 授权服务器(也称认证服务器)

    用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。

  4. 资源服务器 存储资源的服务器,本例子为微信存储的用户信息。

  • 现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?

    答案是否定的,
    服务提供商会 给准入的接入方一个身份,用于接入时的凭据:

    • client_id:客户端标识
    • client_secret:客户端秘钥

    因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端

3. Spring Cloud Security OAuth2 环境介绍

OAuth2.0的服务提供方涵盖两个服务,即授权服务 (Authorization Server,也叫认证服务)和资源服务 (Resource Server),使用 Spring Security OAuth2 的时候你可以选择把它们在同一个应用程序中实现,也可以选择建立使用 同一个授权服务的多个资源服务。

  • 授权服务 (Authorization Server)应包含对接入端以及登入用户的合法性进行验证并颁发token等功能,对令牌 的请求端点由 Spring MVC 控制器进行实现,下面是配置一个认证服务必须要实现的endpoints:
  1. AuthorizationEndpoint 服务于认证请求。默认 URL: /oauth/authorize 。
  2. TokenEndpoint 服务于访问令牌的请求。默认 URL: /oauth/token 。
  • 资源服务 (Resource Server),应包含对资源的保护功能,对非法请求进行拦截,对请求中token进行解析鉴 权等,下面的过滤器用于实现 OAuth 2.0 资源服务:
  1. OAuth2AuthenticationProcessingFilter用来对请求给出的身份令牌解析鉴权

在实际应用时,需要将 授权服务(UAA)和 资源服务分开部署,所以后面的案例就会按照如下的流程执行:

在这里插入图片描述
认证流程如下:

  1. 客户端请求UAA授权服务进行认证。
  2. 认证通过后由UAA颁发令牌。
  3. 客户端携带令牌Token请求资源服务。
  4. 资源服务校验令牌的合法性,合法即返回资源信息。
yuan_404
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
Spring Security + OAuth2 - 黑马程序员(2. 环境搭建)学习笔记
圆的博客
03-14 1020
文章目录1. 大致流程2. 代码演示2.1 数据库模型说明说明建表 SQL 脚本,比较长,需要跳过直接点目录到下一节。 1. 大致流程 第一步:进行登录操作,去到数据库查询用户信息以及对应的权限列表。 第二布:将第一步查询得到的用户信息存入 Redis。 第三步:还是根据第一步得到的用户信息,生成对应的 Token 令牌。 第四步:将生成的 Token 存入 Cookie 中,在后面每次进行访问时,就在头文件中带上 Token。 第五步:从头文件中获取 Token 并将 第二步存入 Redis 中的信息
Spring Security + OAuth2 - 黑马程序员(5. 资源服务搭建与测试)学习笔记
圆的博客
03-15 868
上一篇:Spring Security + OAuth2(4. OAuth 的四种模式) 文章目录
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2181
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
开发笔记 | 认证授权+Spring Security+OAuth2快速学习笔记
qq_37630282的博客
07-18 2191
认证授权+Spring Security+OAuth2学习笔记
黑马畅购商城---9.Spring Security Oauth2 JWT授权
IT大神帅杰的博客
02-23 2737
学习目标 用户认证分析 认证技术方案了解 ==SpringSecurity Oauth2.0入门== 畅购商城全套-升级修复版-.md课件等等..... 网盘链接 链接:https://pan.baidu.com/s/1uRYMRXxjRw6BOy7IMOYcQA 提取码:o8df 若失效,-> 打开http://www.cx1314.cn/fo...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.0.14.RELEASE.jar
07-03
框架使用SpringBoot 1.5 + Spring Security Oauth2 主要完成了客户端授权 可以通过mysql数据库 将客户端与token信息存储在数据库中。 每次授权会将新的token存储在mysql中,进行客户端验证时,先会从数据库中查询...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
黑马程序员-SpringCloud-学习笔记-03-Eureka注册中心
06-18
黑马程序员-SpringCloud-学习笔记-03-Eureka注册中心
Spring Security学习总结二
05-21
Spring Security学习总结二
SpringSecurity以及Oauth2(笔记
weixin_46949627的博客
09-06 766
SpringSecurity以及Oauth2的基本使用
SpringCloud系列——13Spring Cloud 开放认证Oauth2.0应用
Eclipse_2019的博客
07-18 1068
统一认证与授权——Oauth2.0开放授权平台
黑马程序员 spring cloud 学习笔记
qq_40813329的博客
02-16 1837
资源 视频,讲义,资源 https://pan.baidu.com/s/169SFtYEvel44hRJhmFTRTQ 提取码:1234 视频地址 https://www.bilibili.com/video/BV1LQ4y127n4?from=search&seid=13710719474285356603&spm_id_from=333.337.0.0 笔记 https://www.xn2001.com/archives/663.html ...
Spring Security + OAuth2 - 黑马程序员(7. Spring Security实现分布式系统授权【从头重写】- UAA)学习笔记
圆的博客
04-23 851
上一篇:Spring Security + OAuth2(6. JWT 令牌) 文章目录1. 需求分析2. 注册中心我自己是用的 ==Nacos== ,如果是想和视频对照着看的注意一下,这边和视频不一样3. 网关3.1 创建工程我自己是用的 ==Gateway== ,和视频不一样3.2 token配置3.3 配置资源服务3.4 安全配置4. 转发明文 token 给微服务 1. 需求分析 技术方案如下: 说明: UAA认证服务负责认证授权。 所有请求经过 网关到达微服务 网关负责鉴权客户端以及请求转发
一个基于springSecurity的Json Web Token的实现
黑马程序员广州中心的专栏
04-02 244
SecurityJwt一个基于springSecurity的Json Web Token的实现 GitHub地址 提要一、SpringSecurity Spring Security,一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。。 来自Spring全家桶系列,与SpringBo...
spring security入门案例
qq_39581763的博客
04-19 447
spring security简介Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供...
黑马程序员 springsecurity Demo 常见异常解决方案
qq_40656662的博客
11-28 433
user is disable bad credents Access is denied 解决 enable=true 即userInfo.getStatus返回值需要为true public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { UserI...
spring-security-oauth2-2.2.3.release.jar
最新发布
11-04
spring-security-oauth2-2.2.3.release.jar是一个用于实现基于OAuth 2.0协议的安全认证和授权的Java库。OAuth 2.0协议是一种用于授权的开放标准,它允许用户通过授权代理向第三方应用程序授权访问受保护的资源,而无需将用户的凭证(例如用户名和密码)透露给第三方。 spring-security-oauth2-2.2.3.release.jar提供了一套面向Spring应用程序的OAuth 2.0认证和授权解决方案。它可以轻松地将OAuth 2.0集成到现有的Spring应用程序中,并提供了一系列的API和类,使开发人员可以方便地实现OAuth 2.0认证和授权流程。 使用spring-security-oauth2-2.2.3.release.jar,开发人员可以通过配置和自定义一些核心组件(例如TokenStore、AuthorizationServer和ResourceServer)来实现OAuth 2.0的四种授权类型:授权码模式、密码模式、客户端模式和简化模式。通过这些授权类型,开发人员可以实现不同的应用场景和需求。 此外,spring-security-oauth2-2.2.3.release.jar支持使用不同的存储机制来存储和管理OAuth 2.0令牌,例如内存存储、数据库存储和Redis存储。开发人员可以根据自己的需求选择并配置合适的存储机制。 总的来说,spring-security-oauth2-2.2.3.release.jar提供了一种简单、可扩展且安全的方式来实现OAuth 2.0认证和授权。无论您是开发面向Web、移动还是其他类型应用程序,该库都能帮助您轻松地实现与第三方应用程序的安全集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_404

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值