Spring Boot 实战指南(四):登录认证(OAuth、Cookie、Session、Token)、Spring Security上手

原创 已于 2025-01-17 17:04:26 修改
· 2.3k 阅读 · 15 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #java

于 2023-02-12 19:46:43 首次发布

文章目录

参考:
教程
登录认证简介
OAuth 2.0 的一个简单解释
OAuth 2.0 的四种方式
Cookie/Session
Session工作原理图
Token认证
JWT

一、登录认证方式

使用过或者开发过系统的朋友们都知道,任何一个系统都离不开 登录认证 这个东西,通常有以下几种 使用场景:

  • 首次使用,需要进行账户注册;
  • 注册完成后,需要提供用户名和密码完成登录;
  • 短时间内再使用,通常不用再次输入用户名和密码;
  • 连续长时间未使用,需要再次提供用户名和密码完成登录。

1.OAuth 认证

简单来说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用(比如微信登录、QQ登录、github登录等)进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

  • 令牌(token)与密码:
1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。
(2)令牌可以被数据所有者撤销,会立即失效
(3)令牌有权限范围(scope)。密码一般是完整权限。

上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。

颁发令牌的四种方式

OAuth 2.0 规定了四种获得令牌的流程:

授权码(authorization-code)
隐藏式(implicit)
密码式(password):
客户端凭证(client credentials)

不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

  • 第一种授权方式:授权码

所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。过程如下:

在这里插入图片描述

  • 第二种方式:隐藏式

有些 Web 应用是纯前端应用,没有后端。由于没有授权码这个中间步骤,所以称为(授权码)“隐藏式”。过程如下:

在这里插入图片描述

这种方式把令牌直接传给前端,是 很不安全 的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。

  • 第三种方式:密码式

如果用户高度信任某个应用,用户可以把用户名和密码直接告诉该第三方应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"。过程如下:

第一步,系统要求用户提供第三方应用的用户名和密码。拿到以后,系统就直接向该第三方应用请求令牌。
https://oauth.b.com/token?
grant_type=password&	password表示"密码式"
username=USERNAME&	用户名
password=PASSWORD&	密码
client_id=CLIENT_ID	表明请求方身份

第二步,第三方应用验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,系统因此拿到令牌。
  • 第四种方式:凭证式

这种方式适用于没有前端的命令行应用,即在命令行下请求令牌。这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。过程如下:

第一步,系统在命令行向第三方应用发出请求。
https://oauth.b.com/token?
grant_type=client_credentials&	client_credentials表示采用凭证式
client_id=CLIENT_ID&	表明请求方身份
client_secret=CLIENT_SECRE	表明请求方身份

使用令牌
curl -H "Authorization: Bearer ACCESS_TOKEN" "https://api.b.com"
ACCESS_TOKEN就是拿到的令牌
  • 更新令牌:

第三方应用颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。

请求更新

https://b.com/oauth/token?
grant_type=refresh_token&	grant_type参数为refresh_token表示要求更新令牌
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
refresh_token=REFRESH_TOKEN	用于更新令牌的令牌

第三方应用验证通过以后,就会颁发新的令牌。

2.Cookie/Session 认证

(1)Cookie

Cookie 功能 需要浏览器的支持 ,指的就是在客户端浏览器里面存储的一种数据,cookie 的保存时间,可以自己在程序中设置。

1)客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个 Cookie。
(2)客户端浏览器把Cookie保存起来。
(3)当浏览器再请求该网站时,浏览器把请求的网址连同该 Cookie 一同提交给服务器。
(4)服务器检查该 Cookie,以此来辨认用户状态。服务器还可以根据需要修改 Cookie 的内容。

在这里插入图片描述

此外,类似的还有 local storage ,以 key-value 的形式存储在浏览器中,只要不删除,数据就会永久存储。

  • 弊端:
需要浏览器的支持
不可跨域名性
一个站点在客户端存放的 COOKIE 不能超过3K

(2)Session

Cookie 保存在客户端浏览器中,而 Session 保存在服务器上。

在这里插入图片描述

  • 弊端:
如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候 session 会丢失。
过多的 Session 存储在服务器内存中,会对服务器造成压力。
Session依赖Cookie功能。
<
最低0.47元/天 解锁文章
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3820
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号密码即可登录微信,输入账号密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1331
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号密码即可登录微信,输入账号密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
【学习日记2023.5.8】之 springboot案例之登录功能(会话技术_JWT令牌_过滤器_拦截器)
qq_42575689的博客
05-09 548
会话技术、JWT令牌、过滤器、拦截器
Springboot集成JWT token实现权限验证
liuyang___的博客
03-30 717
我又发现一个bug,因为我们每次点击前端的退出登陆的时候,这个token还是会留在浏览器的缓存里面,所以我们需要做一个退出登陆的时候,清除浏览器缓存的一个操作!设置完这个,我们发现请求头中多了一个token数据,这个token就是登录接口返回的token,在每一次的请求的时候,都会在请求头带上这个token,作为验证信息!这种后端的访问地址,他是直接可以访问我们的所有的用户数据的,这样是绝对不可以的,所以我们现在要写一个拦截器,将。我们现在设置完了会发现一个bug,因为我们的登录接口也被拦截了!
springboot登录验证
qq_67124455的博客
05-06 5393
springboot登录校验
SpringBoot实战篇】登录认证
m0_68467925的博客
04-13 1880
登录;JWT token;就是在未登录之前,访问某些页面内容,会被拦截,显示未登录,请登录等字样定义了一种简洁欸的、自包含的格式,用于通信对方以json数据格式安全的传输信息使用JWT token令牌用户登录成功后后台生成一个令牌,并将令牌响应给浏览器;浏览器访问其他页面都必须携带上这个令牌,才能访问成功承载业务数据,减少后续请求查询数据库的次数防篡改,保证信息的合法性有效性。
登录验证 springboot
大白的博客
04-13 683
先讲一下登录验证的过程: 1.客户端请求登录,输入必要的信息 2.服务器验证信息,通过后返回一个token 保存在cookie 中,并且把cookie 保存在redis里面,用来保存用户 3.每次请求页面,带上cookie, 4.客户端验证cookie,并且查验redis token 的正确性,如果正确,就是用户已登录的状态,可以返回请求的页面 实现过程: 登录-》验证-》生成toke...
Spring Boot 3 实现 SSO 单点登录的多种解决方案
最新发布
nihao2q的博客
04-11 1383
登录成功后,认证中心签发 JWT(JSON Web Token);子系统间共享公钥进行验证,避免中心化管理,系统无状态化。
Spring Securityoauth2的关系
m0_67393039的博客
07-28 671
网上有很多SpringSecurityoauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系区别参见【SpringSecurity】基本功能介绍springsecurity的核心功能主要包括认证(你是谁)通过注解开启简单来说,就是需要登录,你需要输入用户名密码,才能访问某个url。授权(你能干什么)不需要通过指定的开关开启,而是通过配置来增加授权规则来生效,不增加授权规则就不生效一种是同步session不需要再次输入用户名密码。...
SpringBootWeb登录认证
weixin_69912448的博客
01-06 932
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求响应的。比如:打开了浏览器来访问web服务器上的资源(浏览器不能关闭、服务器不能断开)第1次:访问的是登录的接口,完成登录操作第2次:访问的是部门管理接口,查询所有部门数据第3次:访问的是员工管理接口,查询员工数据。
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证,权限控制demo
SpringBootWeb登录认证(案例—登录认证
2301_78461295的博客
08-05 569
实现的效果就是用户必须登录之后,才可以访问后台系统中的功能。在这个页面用户可以输入用户名及密码,然后点击“登录"按钮就要请求服务器,服务端判断用户输入的用户名或者密码是否正确,则返回成功结果,前端跳转只系统首页。登录服务端的核心逻辑就是:接受前端请求传递的用户名密码,然后在根据用户名密码查询用户信息,如果用户信息存在则说明用户输入的用户名密码是正确的,如果查询的用户不存在,则用户输入的密码是错误的。功能开发完毕后,就可以启动服务,打开postman进行测试了。
springboot+shrio登录认证
harcrance的博客
09-26 1513
借鉴开源项目ruoyi: http://doc.ruoyi.vip/#/ 登录接口 @PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernameP...
SpringBoot整合JWT实现登录认证
lianaozhe的博客
09-27 6897
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
springboot整合JWT实现登录认证
IT二叔的博客
04-30 1063
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT的结构 Header(头):包含令牌的类型与使用的签名算法,它会使用Base64
Springboot整合SpringSecurity实现登录认证鉴权
热门推荐
weixin_44068320的博客
08-12 1万+
springboot整合springsecurity实现用户登录认证鉴权
SpringBoot中使用Cookie实现记住登录
GSON的博客
04-24 2026
cookie是一种储存在用户本地终端上的数据,有时也用其复数Cookies。类型为“小型文本文件“,是某些网站为了辨别用户身份,进行 Session 跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。其实 Cookie 就是一个键一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把 Cookie 保存起来,当下一次再访问服务器时把 Cookie 再发送给服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TracyCoder123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值