Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client

最新推荐文章于 2024-07-26 06:45:00 发布
最新推荐文章于 2024-07-26 06:45:00 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: Spring Boot2.x实战全集 SpringBoot2.x实战-SpringSecurity 文章标签: spring boot spring security oauth2.0 client
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wiselyman/article/details/107033647
版权
本文详细介绍了如何在Spring Boot 2.x中配置和使用OAuth 2.0 Client,包括授权类型、Client配置、Authorization Server的修改、受保护控制器的实现以及验证过程。通过示例展示了使用Authorization Code Grant Type的流程,指导读者理解OAuth 2.0中的关键概念和组件。
摘要由CSDN通过智能技术生成

OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语:

  • 交互参与方:

    • Client:需要访问Resource Sever受保护资源的应用;
    • Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type);
    • Authorization Server:提供访问授权的应用,Client使用某种Grant TypeAuthorization Server获取Access Token
    • Resource Sever:包含受保护资源的应用,Client使用Access Token访问Resource Server的受保护资源;

  • 授权类型 - Grant Type

    • Authorization Code:让用户访问Client页面时,页面打向Authorization Server的登录页面,登录后显示授权访问页面,授权成功后Client即可获得Access Token访问Resource Server
    • Password:通过提供提供用户名和密码获得Access Token,一般是给应用服务的客户端使用(IOS、Android、Web App)。
    • Client Credentials:Client通过Client Id和Client Secret直接向Authorization Server请求Access Token;它主要用于非用户参与的应用,如后台服务。

  • Token

    • Access Token:用来访问受保护资源的唯一令牌;
    • Refresh Token:当Access Token失效时,我们可以使用Refresh Token来获取一个新的Access Token,它的时效性要远远大于Access Token
    • JWT:JSON Web Token,它代表双方之间安全传输的信息;它使用数字签名,传输的信息可以被验证和信任。
3.3 OAuth 2.0 Client

前面我们使用Resource Server和Authorization Server演示Grant Type为password的场景;这节我们结合Client演示Grant Type为Authorization Code

新建应用,信息如下:

Group:top.wisely

Artifact:client

Dependencies:Spring SecurityOAuth2 ClientSpring Web StarterLombok

build.gradle文件中的依赖如下:

dependencies {
	implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'
	implementation 'org.springframework.boot:spring-boot-starter-security'
	implementation 'org.springframework.boot:spring-boot-starter-web'
	compileOnly 'org.projectlombok:lombok'
	annotationProcessor 'org.projectlombok:lombok'
  //...
}
3.3.1 Spring Boot的自动配置

Spring Boot通过OAuth2ClientAutoConfiguration,通过OAuth2ClientProperties使用spring.security.oauth2.client.*来配置Client;它导入了两个配置:

  • OAuth2ClientRegistrationRepositoryConfiguration:读取外部配置ClientRegistration(Client 注册)集合,并添加到InMemoryClientRegistrationRepository(在内存中存储ClientClientRegistration的库),且将InMemoryClientRegistrationRepository注册成了Bean。注册Client,需要指定Client的Registration以及它对应Client的Provider(Authorization Server)信息

    • Registration:通过配置spring.security.oauth2.client.registration.[registrationId].*来实现;

    • Provider:通过配置spring.security.oauth2.client.provider.[providerId].*来实现;Provider和Client是对应关系,providerIdregistrationId相同。

  • OAuth2WebSecurityConfiguration:为我们注册了两个Bean并做了相关的Spring Security配置。

    • OAuth2AuthorizedClientService:使用其实现类InMemoryOAuth2AuthorizedClientService注册Bean,用来管理被授权的Client(OAuth2AuthorizedClient,可获得用户的Access Token);

    • OAuth2AuthorizedClientRepository:使用其实现类AuthenticatedPrincipalOAuth2AuthorizedClientRepository注册Bean,用来在请求间持久化被授权的Client。

    • 使用HttpSecurity配置弃用OAuth 2.0的登录(oauth2Login())和Client(oauth2Client())设置:

      @Configuration(proxyBeanMethods = false)
@ConditionalOnMissingBean(WebSecurityConfigurerAdapter.class)
static class OAuth2WebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
       

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
      http.authorizeRequests().anyRequest().authenticated().and().oauth2Login()
            .
最低0.47元/天 解锁文章
汪云飞记录本
关注
专栏目录
spring security OAuth2.0之客户端Client的实现
05-17 2500
项目代码:https://github.com/hankuikuide/microservice-spring-security-oauth2 网上多数的项目客户端都是采用纯js写,或用postman发请求,和实际项目的应用还是有差距的,这里也是采用spring boot的实现。 主要功能在于: 使用授权码模式进行认证。 使用OAuth2RestTemplate发送请求给认证服...
学习笔记:微服务13 spring boot2.x oauth2-client
Pannahouse的博客
11-25 1704
前面oauth2 server设置好了,登录oauth2 server正常,但另外建一个oauth2 client 总是不能登录认证,网上说是spring boot 2 中去除了@EnableOAuth2Sso注解,今天终于找到适合我的spring boot 2.11的oauth2 client,实现了客户端...
Spring Boot中实现OAuth2.0认证
微赚开发者技术分享博客
07-26 738
配置 OAuth2.0 客户端、设置 Spring SecurityOAuth2.0 配置、创建控制器和视图都是实现这一认证流程的关键步骤。OAuth2.0 是一种用于授权的协议,它使得用户可以授权第三方应用程序访问他们在某服务提供商上的资源,而无需共享他们的凭据。在这个视图中,我们创建了一个登录链接,当用户点击时会重定向到 Google 的登录页面。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!现在,可以运行 Spring Boot 应用程序,并在浏览器中访问。
Spring Security Oauth2系列(二)
索南杰夕的专栏
06-01 1178
一、源码代码介绍Spring cloud oauth2.0的代码结构图如下:可以看到Spring oauth2.0的代码结构分为了五层,client层负责应用客户端的管理。common层为公共类的所在地。config层为配置层。http.converter层为转换层。provider层是最重要的一层,它负责管理认证服务器和资源服务器。下面大致介绍每一层,欢迎一起讨论:1.client层:如图这里只...
Spring Authorization Server入门 (八) Spring Boot引入Security OAuth2 Client对接认证服务
云逸的博客
06-12 4972
本篇文章以较少的代码集成了Security OAuth2 Client,体验到了springboot最开始说的约定大于配置的好处,框架添加了大量的默认配置,只需更改必须修改的自定义部分即可。
7. Spring Security 5.1之OAuth 2.0 Client
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
热门推荐
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2542
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Boot 2.x实战90 - 响应式编程5 - Reactive 关系型数据库(R2DBC)
汪云飞记录本
07-07 1695
4. Reactive关系型数据库-R2DBC 与关系型数据库进行交互的JDBC不具备与数据库异步交互的能力,R2DBC(Reactive Relational Database Connectivity)将响应式编程API带给关系型SQL数据库。 Spring Data R2DBC为此提供支持,同样Spring Boot也提供了starter:spring-boot-starter-data-r2dbc和自动配置:spring-boot-actuator-autoconfigure-r2dbc。 在本书编
spring boot oauth2
10-24
springboot2 + security+ oauth2 进行认证,并将令牌存储到数据库中。
oauth2_spring_boot
02-25
OAuth2 钥匙斗篷 Keycloak是适用于现代应用程序和服务的开源身份和访问管理解决方案。 跑步 docker-compose -f keycloak-postgres.yml up 默认情况下,服务器将在 管理员用户 用户名: admin 密码: password 领域和客户示例 领域: app 用户帐户 用户[app]: user1 [user1 ,12345] 客户: client_id:应用程序代码流客户端 client_secret:56807fdb-be60-4787-87e6-0bb2cccf848b 访问类型:机密 标准流程:已启用 直接访问授予:已禁用 (可选)PKCE-代码的证明密钥:S256 重定向uri: 要求: curl --request GET ' http://localhost:8080/auth/realms/app/prot
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
SpringBoot搭建OAuth2
m0_60681411的博客
05-28 2212
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
spring security oauth2.0 client集成第三方登录
weixin_40693633的博客
01-21 1万+
   大家上网的时候可能会遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。    这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。    其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。 什么是 OAuth 2.0?    ...
Spring Security OAuth2 Client】基本介绍以及定制开发
太空眼睛的专栏
04-29 6744
开头的配置项可以参考这个类OAuth2协议响应的标准参数字段可以参考这个类重定向到,并且会携带client_idscopestatenonce参数和会对回调地址(携带了code和state)进行处理,调用进行认证背后会进行连续token-uri请求,最后返回完全填充的缓存跳转登录前的请求由于类是final,不能继承,所以我们创建一个,然后把源码copy过来,主要修改accessTokenType为空的情况@Override。
SpringSecurity实现OAuth2.0 - 进阶版授权服务
xuguofeng2016的博客
01-20 510
SpringSecurity实现OAuth2.0_01_基础版授权服务》介绍了如何使用Spring Security实现OAuth2.0授权和资源保护,但是使用的都是Spring Security默认的登录页、授权页,client和token信息也是保存在内存中的。 本文将介绍如何在Spring Security OAuth项目中自定义登录页面、自定义授权页面、数据库配置client信息、数据库保存授权码和token令牌。 引入依赖 需要在基础版之上引入thymeleaf、JDBC、mybatis、mys
SpringBoot集成oauth2(客户端模式)
qq1016499728博客
12-04 6044
客户端模式: 咱们的服务直接请求验证服务器拿到token,拿token访问资源服务器。跟用户没屁关系 依赖 Springboot 版本为2.3.3.RELEASE <!--Security + oauth2 + jwt --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security<
For artifact {org.springframework.boot:spring-boot-starter-security-oauth2-client:null:jar}: The version cannot be empty.
最新发布
09-13
这个错误信息通常出现在使用Maven进行项目构建时,具体是指在项目的`pom.xml`文件中配置的某个依赖(artifact)缺少了版本号(version)。`org.springframework.boot:spring-boot-starter-security-oauth2-client`是指定了组织(group id)、项目(artifact id)以及包类型(比如jar)的依赖,但是没有指定具体的版本号。 在Maven中,版本号是必须指定的,因为Maven需要知道使用哪个版本的依赖包。没有版本号,Maven无法下载到确切的依赖包,因此在构建时会出现这个错误。 要解决这个问题,你需要在`pom.xml`文件中为该依赖添加一个版本号。例如: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security-oauth2-client</artifactId> <version>你的版本号</version> </dependency> ``` 在上面的代码中,你需要将`你的版本号`替换为实际想要使用的版本号,例如`2.1.6.RELEASE`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值