spring security oauth2.0的四种模式

于 2025-04-12 21:51:57 发布
阅读量320 收藏 14
点赞数 18
分类专栏: spring后端 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LCY133/article/details/147175060
版权

OAuth 2.0 定义了 4 种授权模式(Grant Type),用于不同场景下的令牌获取。以下是每种模式的详细说明、适用场景和对比:

一、授权码模式(Authorization Code Grant)

适用场景

Web 应用(有后端服务器)
移动端应用(需安全存储 client_secret
• 最安全的模式,推荐公开客户端使用

流程
用户 客户端 授权服务器 资源服务器 访问客户端 重定向到授权服务器 登录并授权 重定向回客户端(携带授权码 code) 传递 code 用 code 换取令牌(client_id + client_secret) 返回访问令牌(access_token)和刷新令牌(refresh_token) 用 access_token 访问资源 用户 客户端 授权服务器 资源服务器
特点

• 令牌不暴露给浏览器(通过后端交换)
• 支持 refresh_token
• 需预注册 redirect_uri 防止钓鱼攻击

二、隐式模式(Implicit Grant)

适用场景

单页应用(SPA) 或纯前端应用
无后端服务器的场景
已被 OAuth 2.1 废弃(建议用授权码模式 + PKCE 替代)

流程
用户 客户端 授权服务器 资源服务器 访问客户端 重定向到授权服务器 登录并授权 重定向回客户端(URL 片段携带 access_token) 前端提取 access_token 用 access_token 访问资源 用户 客户端 授权服务器 资源服务器
特点

• 直接返回 access_token(无中间授权码)
• 令牌通过 URL 片段传递(前端可见,存在泄露风险)
• 不支持 refresh_token

三、密码模式(Resource Owner Password Credentials Grant)

适用场景

受信任的客户端(如公司内部系统)
• 用户需直接在客户端输入用户名/密码
高风险,仅限无法使用其他模式的场景

流程
用户 客户端 授权服务器 资源服务器 输入用户名和密码 发送用户名、密码、client_id、client_secret 返回 access_token 和 refresh_token 用 access_token 访问资源 用户 客户端 授权服务器 资源服务器
特点

• 用户需向客户端暴露密码(违反最小权限原则)
• 仅适用于高信任度环境(如内部系统)
• 支持 refresh_token

四、客户端凭证模式(Client Credentials Grant)

适用场景

服务器到服务器的通信(无用户参与)
• 机器对机器(M2M)认证
• 访问与用户无关的公共资源

流程
客户端 授权服务器 资源服务器 发送 client_id 和 client_secret 返回 access_token 用 access_token 访问资源 客户端 授权服务器 资源服务器
特点

• 无用户参与
• 令牌权限范围由客户端注册时决定
• 不支持 refresh_token

五、模式对比与选型指南

模式安全性适用客户端类型是否需要用户参与令牌存储位置
授权码模式⭐⭐⭐⭐⭐Web 应用、移动端(有后端)后端安全存储
隐式模式⭐⭐SPA(已过时)前端存储(高风险)
密码模式受信任的内部系统后端存储
客户端凭证模式⭐⭐⭐⭐服务器到服务器后端安全存储

六、最佳实践

  1. 优先使用授权码模式(尤其是公开客户端)
  2. 避免隐式模式(OAuth 2.1 已废弃,改用 PKCE 增强的授权码模式)
  3. 密码模式仅限高信任环境(如公司内部工具)
  4. 客户端凭证模式用于 M2M 场景(如定时任务、API 网关)
  5. 强制 HTTPS 防止令牌泄露

七、Spring Security 中实现示例

授权码模式配置(Google 登录):
# application.yml
spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: your-client-id
            client-secret: your-client-secret
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
客户端凭证模式配置:
@Bean
public OAuth2AuthorizedClientManager authorizedClientManager(
        ClientRegistrationRepository clientRegistrationRepository,
        OAuth2AuthorizedClientRepository authorizedClientRepository) {

    OAuth2ClientCredentialsGrantRequestEntityConverter converter = 
        new OAuth2ClientCredentialsGrantRequestEntityConverter();
    
    DefaultClientCredentialsTokenResponseClient client = 
        new DefaultClientCredentialsTokenResponseClient();
    client.setRequestEntityConverter(converter);

    AuthorizedClientServiceOAuth2AuthorizedClientManager manager = 
        new AuthorizedClientServiceOAuth2AuthorizedClientManager(
            clientRegistrationRepository, authorizedClientRepository);
    manager.setAuthorizedClientProvider(
        new ClientCredentialsOAuth2AuthorizedClientProvider());
    
    return manager;
}

通过理解这四种授权模式,您可以根据具体场景选择最合适的认证流程,平衡安全性与用户体验。

spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 ...OAuth2.0认证的四种模式?它们的大体流程是什么? Spring cloud Security OAuth2包括哪些组件?职责? 分布式系统认证需要解决的问题? 掌握学习方法,掌握思考方式。
springsecurity oauth2.0
warrah 南极狼
02-08 3828
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
Spring Security OAuth2.0认证授权
qq_56536793的博客
08-06 364
Spring Security快速上手
SpringSecurity OAuth2.0用户认证
xinyi_java的博客
08-21 1980
1 用户认证分析 概述 用户查看个人信息需要访问客户微服务,下单需要访问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色然后授权访问对应的功能。 1.1 认证与授权 身份认证 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。说通俗点,就相当于校验用户账号密码是否正确。 用户授权 用户认证通过后去访问
Spring Security OAuth 2.0 实战指南
gitblog_01141的博客
08-08 1126
Spring Security OAuth 2.0 实战指南 spring-security-oauth项目地址:https://gitcode.com/gh_mirrors/spr/spring-security-oauth 项目介绍 Spring Security OAuthSpring Security 家族的重要成员,专注于提供OAuth 2.0协议支持,允许开发者在Java应用...
Spring Security OAuth2.0系列之密码模式
Vermont_的博客
09-06 3787
ps:OAuth2.0的授权模式可以分为: 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) 密码模式(resource owner password credentials):密码模式中,用户向客户端提供自己的用户名和密码,这通常用在用户对客户端高度信任的情况; 1.2 授权流程图 官网图片: (A)用户访..
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 1103
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security OAuth2.0 资源文件下载
gitblog_09709的博客
10-12 465
Spring Security OAuth2.0 资源文件下载 SpringSecurityOAuth2.0资源文件下载 本仓库提供了一个关于 Spring Security OAuth2.0 的资源文件下载。该资源文件详细介绍了如何使用 Spring Security 实现 OAuth2.0 认证与授权,适合开发者在项...
Spring Security oauth2.0 服务端
weixin_42555971的博客
10-27 1777
oauth2.0
Spring Security oauth2.0 客户端
weixin_42555971的博客
10-29 1407
client
Spring Security OAuth2.0 授权码模式和使用JWT例子
qq_39376487的博客
09-25 1600
OAuth2.0概念: https://www.ruanyifeng.com/blog/2019/04/oauth_design.html 关于Spring Security不多说明了,百度很多,这里只是实操一下。 OAuth 2.0 规定了四种获得令牌的模式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 这里演示就用授权码模式 案例 创建maven工程oauth2-demo pom.xml添
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
Spring Security OAuth2.0 是一个广泛使用的Java安全框架,它为构建安全的Web应用程序提供了强大的支持。OAuth2.0是授权框架的一个标准,允许第三方应用在用户授权的情况下访问其私有资源,而无需共享用户的登录凭证...
Spring其它知识点
最新发布
m0_45253972的博客
04-10 409
Spring默认的Bean作用域是单例,多个线程同时操作同一个Bean实例。若Bean包含可变成员变量,可能引发线程安全问题。
SpringBoot 项目标准目录结构规范&分层架构和对象分类
m0_63949203的博客
04-09 600
SpringBoot 项目标准目录结构规范&分层架构和对象分类
spring mvc中不同服务调用类型(声明式(Feign)、基于模板(RestTemplate)、基于 SDK、消息队列、gRPC)对比详解
爱的叹息的专栏
04-09 792
spring mvc中不同服务调用类型(声明式(Feign)、基于模板(RestTemplate)、基于 SDK、消息队列、gRPC)对比详解
Spring 核心注解深度解析:@Autowired、@Repository 与它们的协作关系
qq_45870087的博客
04-08 868
​​@Autowired​ 是 ​动态装配的核心工具,通过灵活的类型匹配机制实现 Bean 自动注入。 ​​@Repository​ 是 ​数据访问层的标识符,提供异常转换和框架集成支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值