Spring Security+Oauth2+JWT权限认证

最新推荐文章于 2024-08-30 09:02:07 发布
最新推荐文章于 2024-08-30 09:02:07 发布
阅读量1.6k 收藏 4
点赞数 1
文章标签: spring java 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51288860/article/details/125516807
版权

文章目录

spring security

​ 是由 spring 提供的对于认证和授权的框架,可以对接口进行权限的控制,让一些不想公开的数据可以被保护

Oauth2.0

单点登录

​ 随着我们一个微服务的出现,我们用 spring security 不再能满足我们对于登录的需求。因为微服务中,我们做登录往往需要每一个微服务都去做认证,这样子会导致每当我换个模块访问,就需要登录一次,非常影响用户的体验。于是**单点登录( SSO )**的概念出现了,单点登录就是我登录过一次之后就会将我的用户信息保存下来,去访问其他资源服务的时候会去自动做认证,查看有没有权限

第三方认证登录

​ 随着我们的发展,很多网站都需要我们注册登录,往往注册会需要填写很多的信息,十分的麻烦,于是就出现了通过第三方登录。第三方登录是将你之前注册在第三方中的信息去授权给你要登录的网站或者 app,这样就省去了我们需要注册的操作。Oauth2.0就可以使用我们的第三方认证登录。

Oauth2.0的认证流程

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

Oauth2 授权方式

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password)
  • 客户端凭证(client credentials)

JWT

JWT (JSON WEB TOKEN)

jwt是一种特殊格式的token,包含了3个部分

  1. 头部 Header
  2. 载荷 Payload
  3. 签名Signature

头部和载荷都是可以通过base64解码的,可以拿到权限和各种信息

签名是通过私钥生成的,只有有对应的公钥才能解码

传统的不包含JWT的认证会需要由我们认证服务去认证,因为令牌是由认证服务颁发的

在这里插入图片描述

使用JWT令牌就可以让我们资源服务通过公钥去解码JWT令牌,从而去验证令牌的合法性

在这里插入图片描述

生成私钥

keytool -genkeypair -alias 别名 -keyalg RSA -keypass 密码 -keystore 文件名称以.keystore结尾 -storepass keystore密码

导出公钥

下载openssl http://slproweb.com/products/Win32OpenSSL.html 配置好环境变量(系统变量的Path 添加下载的bin的路径)

keytool -list -rfc --keystore 私钥名称 | openssl x509 -inform pem -pubkey

然后输入你的密码,就可以拿到公钥和认证信息了

生成JWT令牌

@SpringBootTest
@RunWith(SpringRunner.class)
public class UcenterAuthApplicationTest {
    //生成一个jwt令牌
    @Test
    public void testCreateJwt(){
        //证书文件
        String key_location = "sy.keystore";
        //密钥库密码
        String keystore_password = "sykeystore";
        //访问证书路径
        ClassPathResource resource = new ClassPathResource(key_location);
        //密钥工厂
        KeyStoreKeyFactory keyStoreKeyFactory = new
        KeyStoreKeyFactory(resource, keystore_password.toCharArray());
        //密钥的密码,此密码和别名要匹配
        String keypassword = "sy";
        //密钥别名
        String alias = "sykey";
        //密钥对(密钥和公钥)
        KeyPair keyPair = keyStoreKeyFactory.getKeyPair(alias,
        keypassword.toCharArray());
        //私钥
        RSAPrivateKey aPrivate = (RSAPrivateKey) keyPair.getPrivate();
        //定义payload信息
        Map<String, Object> tokenMap = new HashMap<>();
        tokenMap.put("id", "1");
        tokenMap.put("name", "mmmmores");
        tokenMap.put("roles", "admin");
        tokenMap.put("ext", "1");
        //生成jwt令牌
        Jwt jwt = JwtHelper.encode(JSON.toJSONString(tokenMap), new
        RsaSigner(aPrivate));
        //取出jwt令牌
        String token = jwt.getEncoded();
        System.out.println("token="+token);
    }
}

令牌校验

@SpringBootTest
@RunWith(SpringRunner.class)
public class UcenterAuthApplicationTest {
    //资源服务使用公钥验证jwt的合法性,并对jwt解码
    @Test
    public void testVerify(){
        //jwt令牌
        String token =
        "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHQiOiIxIiwicm9sZXMiOiJyMDEscjAyIiw
        ibmFtZSI6ImxpbHkiLCJpZCI6IjEyMyJ9.es-XS2lPBHls_LDPuKFQuUjOf1xuX9-
6CCw45TiVXXZHBO06CKtxSaSo7rypPTI4sqlEQYfCBqdHM9t5k77DQkTZeMsmAX93gTBKDPmkIDh9HymLL1MZsy89ez38FXCrX71Gu874bNkS7lt_mKfNGnhhkPMX75Tj4cMgTWcPOE3mtX7LiCNECXOPorF5gyVJpiPTT6KyLcDz9WjyAcwx-5kwR5hFe5x0_g4H5XoSzyYu9EpRY0FcBiUJUB5WQLIi9BbhsJcbumotAXkMtnQdoLVWY4-k0kl45-3NbJuKoaoeupQb1mSGsAzZxQo__XbD_6jgyYu4pWRPRXkaMxw";
        //公钥
        String publickey = "-----BEGIN PUBLIC KEY-----
        MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAg4Ik50ILQn7l0AxyWnohpsGSM0CvQsf/i
        hQ1414nFBjDQ6/3Sz8nFVt9JMl1mZfcIyYBp9SMOuauqrOKkMbM/Whm94MCBJbTrL/8Y4ZKoxfbGJ
        gGJuhRcwouWZxw4a8lXGcVl8OCs4pq62Gkff6ilmYAz9BOt4+QFM2dGAjL8WWgGeFBuinPMzZ3BDB
        clg10tF5S8ZN/G4CjT8bvw4KX6840VThiqehjp7od2jPOZTNkFIF7OZGMbZp2+F2BhQDAe2HTs9CV
        iQCpvywjZOktDe1IL07qdkq5F+Vu0YZmKp4sXTk6Y3Oi0LLKbGR5e/q0nGFo53VL7iqc74HpekAbh
        QIDAQAB-----END PUBLIC KEY-----";
        //校验jwt
        Jwt jwt = JwtHelper.decodeAndVerify(token, new
        RsaVerifier(publickey));
        //获取jwt令牌中自定义的内容
        String claims = jwt.getClaims();
        System.out.println("jwt中自定义的内容:"+claims);
        //jwt令牌
        String encoded = jwt.getEncoded();
        System.out.println("jwt令牌"+encoded);
    }
}
mmmmores
关注
Springboot整合Spring security+Oauth2+JWT搭建认证服务器网关微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器网关微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5208
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证鉴权登录(框架介绍)
最新发布
weixin_49999835的博客
08-30 1364
该模式针对客户端而言,对用户是透明的,不需要用户参与,非用户层面授权。客户端向授权服务器发送自己的的 client_id 和client_secrect 请求 access_token ,用户中心仅校验客户端应用身份。客户端通过授权后可以获得授权范围内所有用户的信息,对客户端应用需要极高的信任。
微服务中使用Spring Security + OAuth 2.0 + JWT 搭建认证授权服务
u012373161的博客
01-14 2800
微服务中使用Spring Security + OAuth 2.0 + JWT 搭建认证授权服务 OAuth 是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式。关于 OAuth 更多介绍可访问 理解OAuth 2.0 查看。本文主要以 密码模式 来实现用户认证和授权。 搭建项目 项目代码已上传至 Github 。 本例项目以微服务为基础,仅实现认证服务和资源服务,其他如网关、服务管理、配置中心等省略,本文重点是使用 Spring Securi
Spring Security + OAuth2.0 + JWT
qq_42155347的博客
05-06 3343
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Spring Security是什么?1.认证1.1基于Session认证1.2基于Token认证2.授权3.基于角色访问控制二、OAuth2.0是什么?三、JWT是什么?四、代码实现1.创建Spring Boot项目2.Spring Security实现2.1基本使用2.2 前言 基于Spring Boot项目使用Spring Security+OAuth2.0+JWT搭建用户认证中心。 一、Spring Securi
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 8746
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 7381
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方登录系统的解决方案。 Spring Security是一个强大的安全框架,它为JavaJava EE应用程序提供了全面的...
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 2126
Spring Security OAuth2.0(四)-----OAuth2+JWT
Spring Security + OAuth2 + JWT 基本使用
weixin_45032957的博客
05-20 493
1.3、授权模式 oauth2根据使用场景不同,分成了4种模式 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) 授权码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。 2、配置 使用oauth2保护你的应用,可以分为简易的分为三个步骤 配置资源服务器 配置授权服务器 配置s
微服务商城系统(十) Spring Security Oauth2 + JWT 用户认证
weixin_41750142的博客
04-01 2153
文章目录一、用户认证分析1、认证 与 授权2、单点登录3、第三方账号登录4、第三方认证 一、用户认证分析      上面流程图 描述了用户要操作的各个微服务,用户查看个人信息 需要访问 用户微服务,下单 需要访问 订单微服务,秒杀抢购商品 需要访问 秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色,然后授权访问对应的功能,比如管理员 和 普通用户的权限对应的功能 是不一样的。      1、认证
SpringSecurity+OAuth2.0+JWT实现用户认证中心
qq_33302985的博客
06-15 2919
随着公司资源,市场,以及深圳部分业务拓展,公司希望将公司所有的用户信息进行整合搭建一个统一平台,用来支持各业务线的用户授权认证,方便其他子公司授权后获取资源系统的资源,最后经过讨论,决定采用Springsecurity+Oauth2.0+JWT来实现用户认证中心。 Oauth2.0 oauth2.0是一种授权机制,由第三方向资源所有者请求授权,资源所有者同意授权后,第三方去授权服务器获取令牌,资源服务器发放令牌,第三方使用令牌去访问资源服务器的资源。资源服务器校验token无误后开放资源。流程如下图所
Spring Security OAuth2整合JWT
qq_1149513559的博客
05-28 2817
文章目录         
SpringSecurity+Oauth2+JWT
m0_54765221的博客
07-03 792
SpringSecurity+Oauth2+JWTSpringSecurity+Oauth2+JWT快速入门自定义登入自定义登入成功失败处理器权限判断自定义异常返回自定义方法实现权限控制注解实现权限控制记住我实现退出登入CSRFOauth2认证Oauth2入门授权码模式Oauth2密码模式Jwt入门Oauth2整合JwtJwt扩展存储内容Jwt解析SpringSecurityOauth2整合SSOSecurity+Jwt SpringSecurity+Oauth2+JWT 快速入门 1. 创建基础项目 fi
springscrity 单点_学成在线(第16天)Spring Security Oauth2
weixin_39939530的博客
12-19 549
用户认证需求分析用户认证需求分析用户认证与授权什么是用户身份认证?用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。什么是用户授权?用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。单点登录需求单点登录(Sin...
Springboot+SpringSecurity+oauth2+Jwt
05-16
Spring Boot是一个开源的Java框架,它可以帮助开发人员快速构建基于Spring的应用程序。Spring Security是一个基于Spring安全框架,它提供了一组API,用于实现各种安全功能,如身份认证、授权、攻击防护等。 OAuth2是一个授权框架,用于在不暴露用户凭证的情况下授权第三方应用程序访问受保护的资源。JWT(JSON Web Token)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在不同应用程序之间安全地传输信息。 在Spring Boot应用程序中,可以使用Spring SecurityOAuth2来实现基于JWT的身份认证和授权。具体步骤如下: 1. 集成Spring SecurityOAuth2依赖。 2. 配置Spring SecurityOAuth2。 3. 实现自定义的UserDetailsService,用于从数据库或其他存储中获取用户信息。 4. 实现自定义的TokenStore,用于将OAuth2授权令牌存储在数据库或其他存储中。 5. 实现自定义的JwtAccessTokenConverter,用于将OAuth2授权令牌转换为JWT令牌。 6. 实现自定义的JwtTokenEnhancer,用于对JWT令牌进行增强,例如添加自定义的声明。 7. 在Spring Boot应用程序中使用JWT令牌进行身份认证和授权。 以上是基于Spring Boot、Spring SecurityOAuth2和JWT实现身份认证和授权的基本步骤。具体实现过程需要根据具体的需求和场景进行调整和完善。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mmmmores

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值