oauth2.0+security+jwt网关登录认证

最新推荐文章于 2024-05-10 08:20:00 发布
最新推荐文章于 2024-05-10 08:20:00 发布
阅读量4.7k 收藏 11
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wtdemeil/article/details/98486449
版权

最近在研究springcloud中的网关认证,花费了一周时间,总算搭建出一个可以使用的简易框架,在此,将研究的步骤以及所踩的坑列出来。
本次搭建的结构大致如下:

如上图,步骤描述:
1、前端页面请求网关路由,网关路由判断是否包含access_token以及access_token是否已经过期。
2、不包含access_token或者已经失效,则返回403状态,前端根据这个状态码进行判断,自动调用网关登录接口。
3、用户登录以后,前端代码自动调用获取token的连接(http://localhost:8080/oauth/oauth/authorize?client_id=XXX&response_type=token&scope=1234&redirect_uri=/api/user/me)获取到access_token,然后将acceess_token设置进入cookie(此步骤由前端代码进行完成,网上的资料都只介绍了怎么获取access_token,却没有介绍怎么使用)。
4、前端代码将带有cookie为access_token的请求再次通过网关路由(apigateway)请求后端服务。
5、gateway通过access_token调用oauth2.0的check_token接口,进行校验,校验通过,oauth将所需要的用户信息返回,由gateway进行jwt加密并且放到请求头中,再由gateway带有此请求头调用主服务。
6、在主服务设置一过滤器,对所有的请求都进行jwt认证
首先判断有没有此请求头,没有直接返回401.
若有请求头,则对此请求头进行解密,解密成功则通过认证,解密失败,则返回401鉴权失败。
下面上干货:
oauth服务代码:
作为对用户鉴权的服务,网上已经有许多对它的介绍,大部分都附上了源码,大家可以参考下,我总结起来:最主要的就是对AuthorizationServerConfigurerAdapter类和WebSecurityConfigurerAdapter进行继承重写。
AuthorizationServerConfigurerAdapter是授权服务配置,它里面有三个方法,分别为
• ClientDetailsServiceConfigurer:这个configurer定义了客户端细节服务。客户详细信息可以被初始化,或者你可以参考现有的商店。
• AuthorizationServerSecurityConfigurer:在令牌端点上定义了安全约束。
• AuthorizationServerEndpointsConfigurer:定义了授权和令牌端点和令牌服务
在我的服务中,ClientDetailsServiceConfigurer我采用的是数据库存储客户端用户名和密码,然后进行配置方式。

@Bean
public TokenStore tokenStore() {
    return new JdbcTokenStore(dataSource);
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.jdbc(dataSource);
}
AuthorizationServerSecurityConfigurer我配置成如下配置:
public void configure(AuthorizationServerSecurityConfigurer security) {
    security.tokenKeyAccess("permitAll()")
            .checkTokenAccess("permitAll()")
            .allowFormAuthenticationForClients()
            .passwordEncoder(passwordEncoder());
}

其中passwordEncoder()表示密码需要加密,而这个加密我担心oauth本身的加密不太安全,所以又重写了一遍,在之前先给它进行一遍AES加密。代码如下:

@Bean
public PasswordEncoder passwordEncoder() {
    return new PasswordEncoder() {
//对密码进行加密
        @Override
        public String encode(CharSequence charSequence) {
            String param = AdvCryptUtil.encryStringBySHA256(String.valueOf(charSequence));
            return new BCryptPasswordEncoder().encode(param);
        }
//登录时校验密码(加密时已经对密码做过处理,则不能再使用oauth自带的比较)
        @Override
        public boolean matches(CharSequence rawPassword, String encodedPassword) {
            String param = AdvCryptUtil.encryStringBySHA256(String.valueOf(rawPassword));
            if (encodedPassword == null || encodedPassword.length() == 0) {
                return false;
            }
            if (!BCRYPT_PATTERN.matcher(encodedP
最低0.47元/天 解锁文章
wtdemeil
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
java登陆302请求,【Java】spring security 前端登录后,请求后台api报302
weixin_31755771的博客
03-11 1510
问题描述我在spring boot项目中引入有了spring security来做登录验证这样的事情.因为是前后端分离的项目,所以,我的前端有个这样的登录请求function login(){$.ajax({useDefaultXhrHeader: false,type:"post",url:"http://127.0.0.1:8080/user/login",data:{"userName": ...
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5109
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解
最新发布
秃了也弱了
05-10 1481
OAuth(Open Authorization)是一个于授权(authorization)的开放络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
Spring Gateway + Oauth2 + Jwt统一鉴权
oPeiJie1的博客
04-19 2544
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7255
springsecurity整合oauth2+JWT,数据库配置客户端
oauth2 jwt authentication.getPrincipal 获取的是用户名的问题
Firstmetcs的博客
05-06 4829
第一种方案重写转换类(DefaultUserAuthenticationConverter) public Map<String, ?> convertUserAuthentication(Authentication authentication) { Map<String, Object> map = new HashMap<>(1); //继承UserDetails的对象 Object o = authentication.
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
gateway+oauth2+jwt实现统一鉴权
12-27
利用Spring SecurityOAuth2库,可以解析和验证JWT。如果验证成功,继续处理请求;失败则阻止请求并返回相应的错误响应。 `evg-service-gateway`文件可能包含了以下内容: 1. Spring Cloud Gateway的配置文件,...
springboot集成oauth2.0
07-27
SpringBoot集成OAuth2.0是将流行的OAuth2.0安全框架与SpringBoot应用程序相结合的过程,以便为API和Web应用提供安全的访问控制。OAuth2.0是一个授权框架,允许第三方应用在用户授权的情况下访问其受保护的资源,而...
springboot整合Oauth2,GateWay实现登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现登录授权验证是一个复杂而键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
oauth2 出现 cannot be cast to .security.oauth2.provider.authentication.OAuth2AuthenticationDetails
My52Hz
02-09 2581
一、问题背景 在使用oauth2获取用户登录信息的时候,如果用户未登录,就会出现 org.springframework.security.web.authentication.WebAuthenticationDetails cannot be cast to org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails; 问题如下: 二、原因 问题出现在以下两句代码: Authent
SpringSecurity+JWT+OAuth2
m0_46219348的博客
12-28 3408
一个简洁的博客站:http://lss-coding.top,欢迎大家来访 学习娱乐导航页:http://miss123.top/ 1. Spring Security 简介 1.1 概述 什么是安全框架?解决系统安全问题的框架,如果没有安全框架。我们需要手动处理每个资源的访问控制,非常麻烦,使用安全框架,我们可以通过配置的方式实现对资源的访问控制。 1.2 常用安全框架 Spring Security,Spring 家族的成员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解.
OAuth2.0集成SpringSecurityJWT实现单点登录
Nicky's blog
06-03 8229
单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相受信任的系统。也就是说只要登录一次单体系统就可以
SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权
qq_34125999的博客
07-25 1万+
1 概述 SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。 项目概述: common:公用代码,实体、工具类等等… gateway: uaa:用户登录认证服务 school:微服务 环境概述: SpringBoot 版本:2.3.1.RELEASE SpringCloud版本:Hoxton.SR6 SpringCloudAlibaba:2.2.1.RELEASE MybatisPlus:3.3.2 技能要求: 需要掌握SpringCloud 、
SSO单点登陆经验总结(oauth2+springsecurity+jwt)
weixin_64742764的博客
05-17 782
单点登录,英文是 Single Sign On(缩写为SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。 单点登陆系统解决方案设计 父工程 创建聚合工程父工程添加依赖如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns..
oauth2+security + jwt + mybatis_plus + gateway + resource-client
weixin_39355187的博客
08-03 105
oauth2+security + jwt + mybatis_plus + gateway + resource-client
Spring Cloud Gateway +Oauth2 +JWT+Vue 实现前后端分离RBAC权限管理
热门推荐
zhuwei_clark的博客
02-27 2万+
这是一篇很长的文章,所以需要有点耐心,当然也可以直接查看源码:源码 对于有不太明白的地方可以给我留言,如果是zuul或者不是基于spring cloud的实现的,那其实更简单了1.1、如果是zuul正常实现资源服务起就行,只是核心的manager实现变了一个接口,这个可以参考下面我给的连接地址。 1.2、如果是单纯的spring boot,就只需要吧auth模块和com模块引入即可。无太大的变...
springboot整合spring security+oauth2+jwt搭建认证服务器,,微服务之间权限认
11-21
总之,通过Spring Boot整合Spring SecurityOAuth2和JWT,我们可以构建一个完善的认证服务器、和微服务之间的权限认证系统,从而实现系统的安全可靠和权限灵活控制。这将有助于我们构建高效、安全的微服务架构...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值