(三)spring security:OAuth2 SSO “授权码“获得 JWT令牌,访问受保护的资源,源码分析流程

最新推荐文章于 2023-05-20 13:29:33 发布
最新推荐文章于 2023-05-20 13:29:33 发布
阅读量745 收藏 3
点赞数 1
分类专栏: spring security 文章标签: spring security OAuth2 SSO 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanfei_1986/article/details/109391315
版权

一、应用场景

    承接上文(二)spring security:使用 OAuth2 SSO 实现单点登录。
 

二、步骤分解

0.客户端注册授权服务器

后续的 debug步骤,我就不再贴图了。太多了。可以在源码分析图中,梳理 oAuth2整个授权与认证流程。

1.访问受保护的资源 URI

http://localhost:8083/orderSystem/order/list

2.授权端点(自动跳转,显示登录页)
http://localhost:8080/oauth/authorize?client_id=OrderManagement&redirect_uri=http://localhost:8083/orderSystem/login&response_type=code&state=2uBjsM

3.授权码(登录成功后,自动跳转)
http://localhost:8083/orderSystem/login?code=IdP6LA&state=2uBjsM

4.jwt令牌(自动跳转,静默请求,访问成功)
post:  http://localhost:8080/oauth/token
header:  Authorization: Basic xxxxxxxxxxxxxxxxxxx
#参数
grant_type=authorization_code
code=IdP6LA
redirect_uri=http://localhost:8083/orderSystem/login
client_id=order123
注意:这个请求中唯一需要注意的一个 header参数就是Authorization= Basic xxxXXX,这是用于认证客户端的。

三、源码分析

  • oauth2源码分析-client端启动注册接入SSO

  • oauth2源码分析-授权码访问与JWT令牌

图片太大太长,只能截断了,(*/ω\*)

四、遗留问题

   所搭建的框架可以应用于生产业务系统吗?并不能,因为还未实现以下功能:

  1. 前后端分离模式下,如何保证 ajax请求能正常访问资源URI?
  2. 后台管理系统的"权限菜单",在 oAuth2协议下,还能不能实现"RBAC权限控制"?
  3. 如何实现在 A业务系统下 logout后,也不能访问其他业务系统?
  4. 用户登录后,在缓存中存放用户的基本信息(在"业务系统中",已利用 ehcache实现);退出后,删除信息。
yanfei_1986
关注
专栏目录
Chapter15:权限管理之Oauth2资源授权
天然玩家的博客
08-30 335
说明: 项目地址在文章最后 本章代所在分支为chapter15 代规则:每章一个分支 后一章代继承前一章代 1 简介 2 授权服务器配置 package com.monkey.tutorial.modules.oauth2.server; import com.monkey.tutorial.modules.authentication.mycustom.MyAuthenticationManager; import com.monkey.tutorial.modules.authentica
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
SSO场景下,OAuth2用于处理授权流程,确保只有经过验证的用户才能访问保护资源。 - 授权服务器:在OAuth2中,授权服务器负责认证用户并颁发访问令牌。在本项目中,这个角色可能由一个中心化的服务扮演,它...
OAuth 2.0授权框架中文版 [7] - 访问保护资源
李浩好好学习
11-02 221
OAuth 2.0授权框架中文版 [6] - 访问保护资源7. 访问保护资源 - Accessing Protected Resources7.1 访问令牌类型 - Access Token Types7.2 错误响应 - Error Response 7. 访问保护资源 - Accessing Protected Resources 客户端通过向资源服务器出示访问令牌访问保护资源资源服务器必须检验该访问令牌,确保其未过期,且授权的scope可以访问当前请求的资源资源服务器如何校验访问令牌超出
spring cloud以客户端授权模式访问oauth2保护资源
路过君的博客
06-04 668
1. 依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> 2. 配置 application.yml security: oauth2: client: client-id: client-id
OAuth2.0 SSO授权
bao_bei_li_yue的博客
07-30 481
一、OAuth2.0授权协议   一种安全的登陆协议,用户提交的账户密不提交到本APP,而是提交到授权服务器,待服务器确认后,返回本APP一个访问令牌,本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密并不与本APP直接交互,而是与官方服务器交互,因而它是安全的。 图示: 流程:   1、获取授权的Request Token。     url
SSO授权模式访问过程
07-10 340
SSO授权模式访问过程,特此记录 转载于:https://www.cnblogs.com/lishiqi-blog/p/11165524.html
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
在这个模型中,资源所有者是拥有数据的用户,客户端是需要访问这些数据的应用,资源服务器存储并保护这些资源,而授权服务器则处理授权流程,确保客户端只有在得到用户授权后才能访问资源Spring Security OAuth...
Oauth2-SSO:使用Oauth2实现的SSO单点登录登出,模拟微信QQ授权模式授权资源访问
03-23
JWT方式的令牌改成Oauth2系统自己实现的令牌方式,同时将令牌存入Redis,同时将oauth_client_details数据库存储加入Redis缓存。 demo使用时,添加DNS域名解析(Windows):C:\ Windows \ System32 \ drivers \ ...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
通过`@EnableResourceServer`注解,我们可以将Spring Security OAuth2集成到资源服务器中,确保只有持有有效令牌的请求才能访问资源。 3. **定义客户端详情**:每个需要访问保护资源的第方应用都需要在授权...
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权`code`返回`client1` 5. `client1`拿着授权请求令牌 6. 返回`JWT`令牌 7. ...
为接入oauth2.0,保护资源服务需要做哪些工作
u013905744的专栏
12-16 254
保护资源最终指的还是Web API,比如说,访问头像的API、访问昵称的API。对应到我们的打单软件中,保护资源就是订单查询API、批量查询API等。 首先要做的是检查令牌的合法性,之后确定权限范围。提供一个统一的网关层来处理校验。 文章目录1. 检查令牌的合法性2. 确定权限范围权限维度1:不同的权限对应不同的操作权限维度2:不同的权限对应不同的数据权限维度3:不同的用户对应不同的数据3. 提供一个统一的网关层来集中处理校验 1. 检查令牌的合法性 保护资源来调用授权服务提供的检验令牌的服务 方案有
基于oAuth2.0开发属于自己的SSO授权服务 - 授权(Authourization Code)模式 (持续更新中。。。)
蜂窝码农的博客
03-19 940
系列文章目录 ···mermaid graph LR 1(重写oAuth2.0的密模式) -->|Get money| 2(Go shopping) 1 --> 3{Let me think} 3 -->|One| 3.1(Laptop) 1 -->|Two| 4{iPhone} 1 -->|Three| 4.1[fa:fa-car Car] ···
SpringCloud-OAuth2.0-JWT 认证授权(密模式,FeignClient远程调用获取jwt,实现单点登陆)
qq_42962779的博客
02-02 1716
OAuth2.0 中包括认证服务器,和资源服务器,上一篇中介绍了认证服务器的配置,以及授权模式,如何获取授权,通过授权获取jwt令牌, 那么今天来看,密模式,在密模式中不再需要获取授权这一步,通过调用认证服务器提供的/oauth/token接口,传参数:客户端信息(经过Base64编,格式为 clientId:密钥 进行编), grant_type 授权类型,以及用户名,密...
JWTSSO方案)+身份认证的种方式
努力的小C
01-07 2802
JWTSSO方案)+身份认证的种方式一、身份认证的种方式1.1 单一服务器模式1.2 SSO单点登录)1.3 Token1.3.1 token 验证过程1.3.2 使用token的案例演示(时序图)1.3.3 token 优缺点二、JWT2.1 JWT令牌2.2 JWT 的组成2.2.1 HEADER2.2.2 PAYLOAD2.2.3 VERIFY SIGNATURE2.2.4 拓展:Base64URL算法2.3 JWT 的使用2.4 JWT 的生成和解析(demo)2.4.1 jwt生成2.4.
spring security oauth2 接口授权方式获取jwt
fuck487的博客
12-15 668
一、请求授权服务获取access_token的请求方式 方式一: url:http://客户端ID:客户端密@localhost:8900/oauth/token 请求参数 value grant_type password username 你的用户名 password 你的密 scope(作用域) 你设置的scope 如下 方式二: url:http://...
单点登录SSO-OAuth2授权模式
村口王大爷的博客
01-01 892
单点登录SSO详解
SSO单点登录实例详解(前端传Code授权登录)
ELSA001的博客
01-08 3059
SSO单点登录以及单点登录流程详解
Spring boot框架 JWT实现用户账户密登录验证
最新发布
Lushengshi的博客
05-20 3160
JWT(JSON Web Token)是一种用于在网络应用间传递信息的安全传输方式。它是一种紧凑且自包含的方式,通过使用数字签名来验证数据的完整性和真实性。JWT部分组成,使用Header(头部):包含JWT的类型(typ)和使用的签名算法(alg)等信息。Payload(负载):包含要传输的数据,例如用户身份信息、权限等。它是JWT的主要内容,可以自定义添加其他需要的字段。Signature(签名):使用指定的算法对Header和Payload进行签名,以确保数据在传输过程中没有被篡改。
OAuth2 API-GATEWAY Using @EnableOAuth2Sso
weixin_33682790的博客
03-30 809
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务架构用户认证实战:SpringSecurity Oauth2 & JWT 源码解析
它包括讲义、源码和视频,旨在帮助开发者深入理解用户认证的需求分析和技术实现,特别强调了Spring Security Oauth2和JWT(JSON Web Tokens)的应用。 在用户认证需求分析部分,首先需要理解用户认证与授权的基本...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值