Spring Security + OAuth2 - 黑马程序员(4. OAuth 的四种模式)学习笔记

最新推荐文章于 2023-06-27 18:03:15 发布
最新推荐文章于 2023-06-27 18:03:15 发布
阅读量818 收藏
点赞数
分类专栏: SpringCloud 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44449838/article/details/114795479
版权

上一篇:Spring Security + OAuth2(3. 服务器配置)

下一篇:Spring Security + OAuth2(5. 资源服务搭建与测试)

文章目录

  • OAuth 一共提供了四种模式,也就是在上一节如图的位置配置的信息
    在这里插入图片描述
  • 分别是:
  1. 授权码模式 —— authorization_code
  2. 简化模式 —— implicit
  3. 密码模式 —— password
  4. 客户端模式 —— client_credentials
  • 下面就对其进行一一的配置与测试

1. 授权码模式

  • 下图是授权码模式交互图:
    在这里插入图片描述

说明:

  1. 资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如:

    /uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com

    参数列表如下:

    1. client_id:客户端准入标识。
    2. response_type:授权码模式固定为code。
    3. scope:客户端权限。
    4. redirect_uri:跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)。

  2. 浏览器出现向授权服务器授权页面,之后将用户同意授权。

  3. 授权服务器将授权码(AuthorizationCode)转经浏览器发送给client(通过redirect_uri)。

  4. 客户端拿着授权码向授权服务器索要访问access_token,请求如下:

    /uaa/oauth/token? client_id=c1&client_secret=secret&grant_type=authorization_code&code=5PgfcD&redirect_uri=http://w ww.baidu.com

    参数列表如下

    1. client_id:客户端准入标识。
    2. client_secret:客户端秘钥。
    3. grant_type:授权类型,填写authorization_code,表示授权码模式
    4. code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
    5. redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。

  5. 授权服务器返回令牌(access_token)

  • 这种模式是四种模式中 最安全 的一种模式。一般用于client是Web服务器端应用或第三方的原生App调用资源服务 的时候。因为在这种模式中access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大 限度的减小了令牌泄漏的风险

2. 简化模式

  • 下图是简化模式交互图:

在这里插入图片描述
简单说明:

  1. 资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如:

    /uaa/oauth/authorize?client_id=c1&response_type=token&scope=all&redirect_uri=http://www.baidu.com

    参数描述同授权码模式 ,注意response_type=token,说明是简化模式。

  2. 浏览器出现向授权服务器授权页面,之后将用户同意授权。

  3. 授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览 器。

    注:fragment 主要是用来标识 URI 所标识资源里的某个资源,在 URI 的末尾通过 (#)作为 fragment 的开头, 其中 # 不属于 fragment 的值。如https://domain/index#L18这个 URI 中 L18 就是 fragment 的值。大家只需要 知道js通过响应浏览器地址栏变化的方式能获取到fragment 就行了。

    一般来说,简化模式用于没有服务器端的第三方单页面应用,因为没有服务器端就无法接收授权码。

3. 密码模式

  • 下图是密码模式交互图:
    在这里插入图片描述
    简单说明:

  1. 资源拥有者将用户名、密码发送给客户端

  2. 客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token),请求如下:

    /uaa/oauth/token? client_id=c1&client_secret=secret&grant_type=password&username=shangsan&password=123

    参数列表如下:

    1. client_id:客户端准入标识。
    2. client_secret:客户端秘钥。
    3. grant_type:授权类型,填写password表示密码模式 username:资源拥有者用户名。
    4. password:资源拥有者密码。

  3. 授权服务器将令牌(access_token)发送给client

这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了client,因此这就说明这种模式只能用于client是我 们自己开发的情况下。因此密码模式一般用于我们自己开发的,第一方原生App或第一方单页面应用。

4. 客户端模式

  • 客户端模式介绍
    在这里插入图片描述

  1. 客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)

  2. 确认客户端身份无误后,将令牌(access_token)发送给client,请求如下:

    /uaa/oauth/token?client_id=c1&client_secret=secret&grant_type=client_credentials

    参数列表如下:

    1. client_id:客户端准入标识。
    2. client_secret:客户端秘钥。
    3. grant_type:授权类型,填写client_credentials表示客户端模式 这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。因此这种模式一般用来提供给我们完全信任的服务器端服务。比如,合作方系统对接,拉取一组用户信息。
yuan_404
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
基于spring-security-oauth2实现oauth2(持续更新)
weixin_34080571的博客
05-31 10万+
为什么80%的农都做不了架构师?>>> ...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring Security结构总览,认证流程和授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? Spring cloud Security OAuth2包括哪些组件?职责? 分布式系统认证需要解决的问题? 掌握学习方法,掌握思考方式。
oauth2 客户端模式Spring Authorization Server + Resource + Client 资源服务间的相互访问
土味儿
05-20 4479
1、概述 上一节中介绍了项目的搭建,并实现了授权模式的访问。在上一节的基础上,再来实现客户端模式。【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 用户通过客户端访问资源是 授权模式 微服务(资源)间的访问是 客户端模式;客户端模式下,只需要提供注册客户端的ID和密钥,就可以向授权服务器申请令牌,授权服务器核实ID和密钥后,会直接发放令牌,无须再认证/授权,特别适合项目内部模块间的调用。 2、授权服务器中注册新客户端
黑马畅购商城---9.Spring Security Oauth2 JWT授权
IT大神帅杰的博客
02-23 2718
学习目标 用户认证分析 认证技术方案了解 ==SpringSecurity Oauth2.0入门== 畅购商城全套-升级修复版-.md课件等等..... 网盘链接 链接:https://pan.baidu.com/s/1uRYMRXxjRw6BOy7IMOYcQA 提取:o8df 若失效,-> 打开http://www.cx1314.cn/fo...
学成在线笔记十二:Spring Security Oauth2 JWT
Bbb的博客
07-17 758
用户认证需求分析 用户认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 单点登录需求 本项目包括多个子项目,如:学习系统,教学管理中心、系统管理中心等,为了提高用户体验性需要实现用户只认证一次便可以在多个拥有访问权限
Spring Security + OAuth2 - 黑马程序员(6. JWT 令牌)学习笔记
圆的博客
03-15 954
上一篇:Spring Security + OAuth2(5. 资源服务搭建与测试) 下一篇: 文章目录1. JWT 介绍1.1 什么是JWT1.2 JWT令牌结构2. 配置JWT令牌服务3. 生成jwt令牌4. 资源服务校验jwt令牌4.1 TokenConfig4.2 修改资源服务原来的令牌验证部分4.3 测试5. 完善环境配置5.1 创建表5.2 配置授权服务5.3 测试 1. JWT 介绍 通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用 RemoteTokenServices 远
Oauth2系列5:客户端凭据模式
weigeshikebi的博客
07-09 1943
Oauth2系列5:客户端凭据模式
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代spring-security-oauth2-autoconfigure-...
spring-security-oauth2-2.0.14.RELEASE.jar
07-03
框架使用SpringBoot 1.5 + Spring Security Oauth2 主要完成了客户端授权 可以通过mysql数据库 将客户端与token信息存储在数据库中。 每次授权会将新的token存储在mysql中,进行客户端验证时,先会从数据库中查询...
spring-security-oauth2源
06-30
spring security oauth2的源,方便研究,备份一下。
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代spring-security-oauth2-autoconfigure-...
认证授权OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3565
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring SecurityOAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
SpringBoot集成SpringSecurity5和OAuth2 — 4、OAuth2的资源服务器
Mr_XiMu的博客
06-07 1689
SpringBoot集成SpringSecurity5和OAuth2 — 4、OAuth2的资源服务器
spring全家桶05:spring securityoauth 2.0
weixin_44242433的博客
03-20 992
配置授权服务器(Authorization Server): Spring Security提供了类,可以通过继承此类并覆盖其方法来配置授权服务器。这包括配置客户端、令牌端点、令牌存储方式等。// 配置客户端、令牌等相关信息 @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
阿里巴巴2023最新版Spring Security OAuth2.0认证授权笔记开源
m0_50180963的博客
04-12 498
首先,SSM环境中我们通过xml配置的方式,从源渗入开始,完成Spring Security基本的“认证”和“授权”功能讲解,其中还会融合“记住我”,CSRF拦截等技术。OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不兼容OAuth 1.0(即完全废止了OAuth1.0)。方面的资料相对来说比较并且并不完善,
27、oauth2四种授权模式认证流程
热门推荐
lixiang987654321的专栏
10-25 3万+
重点: 授权服务器如果同时存在WebSecurityConfigurerAdapter和ResourceServer,那么如下授权模式部分是无法使用的,所以保留WebSecurityConfigurerAdapter 假设具体参数如下: (1)请求地址为:http://localhost:7010/uaa/oauth/XX (2)数据库表oauth_client_details...
RabbitMQ 安装并成功启动后,无法访问 http://localhost:15672/
圆的博客
12-16 4724
文章目录1. 问题描述2. 问题解决2.1 我的解决方案(我就是这么解决的)3.2 解决相关问题的博客 - 1:3.3 解决相关问题的博客 - 2 : 1. 问题描述 使用 RabbitMQ - start 启动 Rabbit 服务,并提示 正在启动,然后 CMD 界面就退出了。 但是访问 http://localhost:15672/ ,出现以下界面,访问失败 2. 问题解决 2.1 我的解决方案(我就是这么解决的) 使用管理员身份打开 CMD 进入 RabbitMQ 的 sbin 目录,我
spring-security-oauth2-2.2.3.release.jar
最新发布
11-04
spring-security-oauth2-2.2.3.release.jar是一个用于实现基于OAuth 2.0协议的安全认证和授权的Java库。OAuth 2.0协议是一种用于授权的开放标准,它允许用户通过授权代理向第三方应用程序授权访问受保护的资源,而无需将用户的凭证(例如用户名和密)透露给第三方。 spring-security-oauth2-2.2.3.release.jar提供了一套面向Spring应用程序的OAuth 2.0认证和授权解决方案。它可以轻松地将OAuth 2.0集成到现有的Spring应用程序中,并提供了一系列的API和类,使开发人员可以方便地实现OAuth 2.0认证和授权流程。 使用spring-security-oauth2-2.2.3.release.jar,开发人员可以通过配置和自定义一些核心组件(例如TokenStore、AuthorizationServer和ResourceServer)来实现OAuth 2.0的四种授权类型:授权模式、密模式、客户端模式和简化模式。通过这些授权类型,开发人员可以实现不同的应用场景和需求。 此外,spring-security-oauth2-2.2.3.release.jar支持使用不同的存储机制来存储和管理OAuth 2.0令牌,例如内存存储、数据库存储和Redis存储。开发人员可以根据自己的需求选择并配置合适的存储机制。 总的来说,spring-security-oauth2-2.2.3.release.jar提供了一种简单、可扩展且安全的方式来实现OAuth 2.0认证和授权。无论您是开发面向Web、移动还是其他类型应用程序,该库都能帮助您轻松地实现与第三方应用程序的安全集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_404

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值