Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client

最新推荐文章于 2024-07-26 06:45:00 发布
最新推荐文章于 2024-07-26 06:45:00 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: Spring Boot2.x实战全集 SpringBoot2.x实战-SpringSecurity 文章标签: spring boot spring security oauth2.0 client
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wiselyman/article/details/107033647
版权
本文详细介绍了如何在Spring Boot 2.x中配置和使用OAuth 2.0 Client,包括授权类型、Client配置、Authorization Server的修改、受保护控制器的实现以及验证过程。通过示例展示了使用Authorization Code Grant Type的流程,指导读者理解OAuth 2.0中的关键概念和组件。
摘要由CSDN通过智能技术生成

OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:

  • 交互参与方:

    • Client:需要访问Resource Sever受保护资源的应用;
    • Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);
    • Authorization Server:提供访问授权的应用,Client使用某种Grant TypeAuthorization Server获取Access Token
    • Resource Sever:包含受保护资源的应用,Client使用Access Token访问Resource Server的受保护资源;

  • 授权类型 - Grant Type

    • Authorization Code:让用户访问Client页面时,页面打向Authorization Server的登录页面,登录后显示授权访问页面,授权成功后Client即可获得Access Token访问Resource Server
    • Password:通过提供提供用户名和密码获得Access Token,一般是给应用服务的客户端使用(IOS、Android、Web App)。
    • Client Credentials:Client通过Client Id和Client Secret直接向Authorization Server请求Access Token;它主要用于非用户参与的应用,如后台服务。

  • Token

    • Access Token:用来访问受保护资源的唯一令牌;
    • Refresh Token:当Access Token失效时,我们可以使用Refresh Token来获取一个新的Access Token,它的时效性要远远大于Access Token
    • JWT:JSON Web Token,它代表双方之间安全传输的信息;它使用数字签名,传输的信息可以被验证和信任。
3.3 OAuth 2.0 Client

前面我们使用Resource Server和Authorization Server演示Grant Type为password的场景;这节我们结合Client演示Grant Type为Authorization Code

新建应用,信息如下:

Group:top.wisely

Artifact:client

Dependencies:Spring SecurityOAuth2 ClientSpring Web StarterLombok

build.gradle文件中的依赖如下:

dependencies {
	implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'
	implementation 'org.springframework.boot:spring-boot-starter-security'
	implementation 'org.springframework.boot:spring-boot-starter-web'
	compileOnly 'org.projectlombok:lombok'
	annotationProcessor 'org.projectlombok:lombok'
  //...
}
3.3.1 Spring Boot的自动配置

Spring Boot通过OAuth2ClientAutoConfiguration,通过OAuth2ClientProperties使用spring.security.oauth2.client.*来配置Client;它导入了两个配置:

  • OAuth2ClientRegistrationRepositoryConfiguration:读取外部配置ClientRegistration(Client 注册)集合,并添加到InMemoryClientRegistrationRepository(在内存中存储ClientClientRegistration的库),且将InMemoryClientRegistrationRepository注册成了Bean。注册Client,需要指定Client的Registration以及它对应Client的Provider(Authorization Server)信息

    • Registration:通过配置spring.security.oauth2.client.registration.[registrationId].*来实现;

    • Provider:通过配置spring.security.oauth2.client.provider.[providerId].*来实现;Provider和Client是对应关系,providerIdregistrationId相同。

  • OAuth2WebSecurityConfiguration:为我们注册了两个Bean并做了相关的Spring Security配置。

    • OAuth2AuthorizedClientService:使用其实现类InMemoryOAuth2AuthorizedClientService注册Bean,用来管理被授权的Client(OAuth2AuthorizedClient,可获得用户的Access Token);

    • OAuth2AuthorizedClientRepository:使用其实现类AuthenticatedPrincipalOAuth2AuthorizedClientRepository注册Bean,用来在请求间持久化被授权的Client。

    • 使用HttpSecurity配置弃用OAuth 2.0的登录(oauth2Login())和Client(oauth2Client())设置:

      @Configuration(proxyBeanMethods = false)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
static class OAuth2WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
       

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
      http.authorizeRequests().anyRequest().authenticated().and().oauth2Login()
            .
最低0.47元/天 解锁文章
汪云飞记录本
关注
专栏目录
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
学习笔记:微服务13 spring boot2.x oauth2-client
Pannahouse的博客
11-25 1706
前面oauth2 server设置好了,登录oauth2 server正常,但另外建一个oauth2 client 总是不能登录认证,网上说是spring boot 2 中去除了@EnableOAuth2Sso注解,今天终于找到适合我的spring boot 2.11的oauth2 client,实现了客户端...
如何在 Spring Boot 中使用 OAuth2
Java徐师兄的博客
06-26 6080
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
Spring Boot中实现OAuth2.0认证
微赚开发者技术分享博客
07-26 768
配置 OAuth2.0 客户端、设置 Spring SecurityOAuth2.0 配置、创建控制器和视图都是实现这一认证流程的关键步骤。OAuth2.0 是一种用于授权的协议,它使得用户可以授权第三方应用程序访问他们在某服务提供商上的资源,而无需共享他们的凭据。在这个视图中,我们创建了一个登录链接,当用户点击时会重定向到 Google 的登录页面。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!现在,可以运行 Spring Boot 应用程序,并在浏览器中访问。
Spring BootSpring Boot OAuth2 单点登录示例 | 第三方账号登录
猫巳的博客
10-13 2452
文章目录 本页将介绍Spring Boot 2.x OAuth2登录示例。 SpringBoot2.x为OAuth2登录提供了完整的自动配置。 我们只需要在应用程序属性文件中为GitHub、Facebook和Google等OAuth2提供程序配置客户端ID和客户端密钥,就完成了。 我们可以通过重写WebSecurityConfigureAdapter的方法并使用Spring5.0中引入的HttpSecurity.oauth2Login()方法来定制配置。我们需要为ClientRegistrationRepo
Spring Authorization Server入门 (八) Spring Boot引入Security OAuth2 Client对接认证服务
云逸的博客
06-12 5004
本篇文章以较少的代码集成了Security OAuth2 Client,体验到了springboot最开始说的约定大于配置的好处,框架添加了大量的默认配置,只需更改必须修改的自定义部分即可。
Spring Security OAuth2 Client】基本介绍以及定制开发
太空眼睛的专栏
04-29 6780
开头的配置项可以参考这个类OAuth2协议响应的标准参数字段可以参考这个类重定向到,并且会携带client_idscopestatenonce参数和会对回调地址(携带了code和state)进行处理,调用进行认证背后会进行连续token-uri请求,最后返回完全填充的缓存跳转登录前的请求由于类是final,不能继承,所以我们创建一个,然后把源码copy过来,主要修改accessTokenType为空的情况@Override。
spring-boot-oauth2-登录
02-03
spring.security.oauth2.client.registration.github.client-id= spring.security.oauth2.client.registration.github.client-secret= 自定义oauth2登录 spring.security.oauth2.client.registration.kakao.client-...
Spring-Security-OAuth2.0
11-11
Spring-Security-OAuth2.0,采用SpringBoot + SpringSecurityOAuth2,有完整的示例文档及调用示例,包括授权码模式(authorization code)、简化模式(implicit)、密码模式(password)、客户端模式(client_...
oauth2-client-springsecurity5.zip
08-24
总之,“oauth2-client-springsecurity5.zip”项目提供了一个实战案例,演示了如何在Spring Boot应用中集成OAuth2客户端和Spring Security 5,使开发者能够安全、高效地处理用户授权。通过阅读和运行这个示例,你将...
6spring boot+security+oauth2 第三方登录1
08-08
本篇文章将探讨如何利用Spring BootSpring Security以及OAuth2来实现第三方登录功能,特别是在集成GitHub登录时的实现细节。 OAuth 2.0是一种授权框架,它允许第三方应用在用户授权的情况下访问其存储在另一服务...
Spring Security——OAuth 2.0 Client自动配置源代码分析
无限迭代中......
04-21 1886
基本概念 OAuth2.0OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。 官方文档 https:/...
Spring Boot 中的OAuth 2
探索er的博客
05-12 8061
Spring Boot 中的OAuth 2
springboot2整合oauth2
热门推荐
qq_37170583的博客
06-15 6万+
1.背景 项目由springboot1.5.X升级到springboot2.0.0后,导致各组件API以及依赖包发生了变化。 完整项目demo:https://gitee.com/zkane/springboot2-oauth2.git 2.spring security Spring Security 从入门到进阶系列教程网址:http://www.spring4all.com/ar...
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9482
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 5283
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
7. Spring Security 5.1之OAuth 2.0 Client
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
springbootspringsecurity整合OAuth2
足迹人生的博客
01-13 2902
springbootspringsecurity整合OAuth2
For artifact {org.springframework.boot:spring-boot-starter-security-oauth2-client:null:jar}: The version cannot be empty.
最新发布
09-13
这个错误信息通常出现在使用Maven进行项目构建时,具体是指在项目的`pom.xml`文件中配置的某个依赖(artifact)缺少了版本号(version)。`org.springframework.boot:spring-boot-starter-security-oauth2-client`是指定了组织(group id)、项目(artifact id)以及包类型(比如jar)的依赖,但是没有指定具体的版本号。 在Maven中,版本号是必须指定的,因为Maven需要知道使用哪个版本的依赖包。没有版本号,Maven无法下载到确切的依赖包,因此在构建时会出现这个错误。 要解决这个问题,你需要在`pom.xml`文件中为该依赖添加一个版本号。例如: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security-oauth2-client</artifactId> <version>你的版本号</version> </dependency> ``` 在上面的代码中,你需要将`你的版本号`替换为实际想要使用的版本号,例如`2.1.6.RELEASE`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值