springSecurity+oauth2认证记录(仅记录)

最新推荐文章于 2025-10-08 20:18:25 发布
原创 最新推荐文章于 2025-10-08 20:18:25 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#授权 #security

本文详述了单点登录(SSO)流程,重点解析了JWT在端口8888(认证服务器)与8081(客户端)间的应用。通过授权码模式获取token,实现跨域资源访问。探讨了前后端分离环境下,如何解决前端获取token的问题。

1 整体大致流程。

  ★★★★★端口8888为资源(认证服务器),端口8081为客户端。需要授权8081可以获取8888端口信息,通过授权码模式获取token进行获取。简而言之也是通过JWT(由头部,载荷,签名生成的取代session的跨域工具)实现单点登录。8081进入8888进行具体授权流程,8888返回code值到8081,在8081进行处理,通过code换取8888的JWT(即token信息)。8081拿到8888的token信息后可以携带token和scope(授权域)去获取认证服务器(8888)内资源。★★★★★

 

2 源码解读

 认证过程

首先由客户端向服务端(授权服务器)获取code(直接由前端发送href请求即可),链接模版如下

host:8888/oauth/authorize?client_id=此客户端的唯一标识(存取在授权服务器数据库中)&scope=授权域(授权域和授权服务器内授权域匹配上才会返回code并在接下流程中返回的token内将相应scopo加密)&response_type=(返回授权类型,code等)&redirect_uri=http://localhost:8081/sss/sss/redirect(授权服务器生成code后重定向的url)。

其中部分源码解读如下图

★★★★★登录成功后,进入自定义的登录成功处理器★★★★★源码如下

此时重定向到获取code链接即:

host:8888/oauth/authorize?client_id=此客户端的唯一标识(存取在授权服务器数据库中)&scope=授权域(授权域和授权服务器内授权域匹配上才会返回code并在接下流程中返回的token内将相应scopo加密)&response_type=(返回授权类型,code等)&redirect_uri=http://localhost:8081/sss/sss/redirect(授权服务器生成code后重定向的url)。

源码如下:

默认从内存中加载!!!!!到这一路往下走就行。知道返回code到之前我们给的URL。此时我们可以自定义授权页面。接口是配合thymeleaf,自定义页面。我们写的接口和框架接口有重复会自动覆盖。!!!!

其次,客户端携带code去换取token。

 

问题!!!!

前后端分离情况下,由于前端并未发起请求,整体授权流程后台操作。生成的token前端获取不到!!!

解决!!!

将授权的回调url不写入security的放行路径。此时生成code认证服务器返回到客户端被拦截到前端。前端拿到code进行ajax请求,返回授权token。将此token存储到localstorage,请求后端时加入header即可。

 

 

俗语suyu
关注
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
csweldn520的专栏
03-24 8752
一、 单点登录 1、单点登录技术方案 二、 第三方认证 1、 Oauth2认证 2Oauth2的应用场景 三、 Spring security Oauth2认证 1、 JWT (一) 、令牌结构 (二) 、生成私钥和公钥 (1)、生成密钥证书 (2)、查询证书信息 (3)、删除别名 (4)、导出公钥 2、 搭建Spring security认证服务器 (一)、导入Spring Security...
构建一个安全可靠的身份认证中心和资源服务中心:SpringSecurity+OAuth2.0的完美结合(一)
凛鼕将至的博客
01-24 1561
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
Spring Cloud实战 | 第六篇:Spring Cloud Gateway+ Spring Security OAuth2 + JWT实现微服务统一认证鉴权
有来技术
09-23 9340
一. 前言 本篇实战案例基于 youlai-mall 项目。项目使用的是当前主流和最新版本的技术和解决方案,自己不会太多华丽的言辞去描述,只希望能勾起大家对编程的一点喜欢。所以有兴趣的朋友可以进入 github | 码云了解下项目明细 ,有兴趣也可以一起研发。 微服务通过整合 Spirng Cloud Gateway、Spring Security OAuth2、JWT 实现微服务的统一认证授权。其中Spring Cloud Gateway作为OAuth2客户端,其他微服务提供资源服务给网关,交由网关来做
各个认证记录及说明SRRC与CTA认证
1
03-27 1669
1.SRRC与CTA认证 带蓝牙,WIFI,无线,2.4G等功能的都强制要做SRRC 带入网才需要CTA CTA认证 SRRC认证 2.CCC...
详解Spring Security+OAuth2.0 和 sa-token
最新发布
xintaitehao的博客
10-08 761
是 “安全领域的瑞士军刀”,功能全面但复杂,适合高安全需求、标准化场景。sa-token:是 “安全领域的美工刀”,简单实用且灵活,适合快速开发、需求明确的场景。选择时需结合项目规模、团队技术栈、安全需求综合判断,两者没有绝对优劣,只有是否适合。
shiro认证流程记录
weixin_43408641的博客
04-28 168
Subject.login()->委托给securityManager.login(this, token)-> authenticate(token)-> authenticate()->this.authenticator.authenticate(token)-> AbstractAuthenticator.authenticate(token)-> do...
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
登录日志/操作日志AOP记录实现(续SpringSecurity
Stu_Shaw的博客
01-18 2497
Mr.Shaw
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring Security、JWT 和 OAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
springboot整合springsecurity+oauth2.0授权认证+jwt增强
qq_40741120的博客
01-06 4331
springboot整合springsecurity+oauth2.0授权认证+jwt增强 本文将采用springboot去整合springsecurity,采用oauth2.0授权认证,使用jwt对token增强。本文为学习记录,如有不足多谢提出。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring SecurityOAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
SpringCloud 使用Security+Oauth2 时候再去使用fegin,发现出现401未授权
05-31
我们在使用spring cloud时如果设置了oauth2授权模式,那么应用服务A再调用服务B时使用Feign请求会出现401授权认证的问题,那么解决办法就是在feign调用请求时获取到assessToken并设置到请求header中就可以解决这个问题了,资源包中有2个文件:FeignRequestInterceptor.java(拦截器)、OAuth2RestTemplateConfiguration.java(设置header),2个JAVA类,在spring boot框架下,客户端只需要正常引入了授权的JAR包,并把这2两个类放到可以被加载到的目录就可以了,其他都不需要做,可以保证feign正常访问。
Oauth2认证中心怎么在认证后加入登陆日志
硅脂味咖啡的博客
04-16 1453
解决思路:加入监听器,监听认证成功和认证失败的事件,然后做相应处理。 实现参考代码 新建一个组建类AuthenticationLoginEventListener,专门用来监听认证登陆事件,如下: @Component public class AuthenticationLoginEventListener { /** * 登陆鉴权成功事件处理 * * @param event */ @EventListener public vo.
Spring Security(5) 整合OAuth2
郑清
04-02 5107
文章目录一、前言二、什么是OAuth2?三、应用场景四、三部分五、四种授权模式1. 授权码模式(authorization code)2. 简化模式(implicit)3. 密码模式(resource owner password credentials)4. 客户端模式(client credentials)六、编程1、授权服务a、引入依赖b、`application.yml`配置c、Security 核心配置类d、配置生成token存储e、自定义JWT返回信息f、配置添加JWT额外信息j、授权服务器配置
SpringSecurity权限管理系统实战—二、日志、接口文档等实现
CoderMy的博客
07-11 7965
上次我们已经搭建好了my-springsecurity-plus的基本环境,本次我们我们要实现功能有系统日志配置、配置swagger接口文档、配置druid连接池等
SpringSecurity多种认证方式记录之自定义
m0_50959444的博客
11-30 1048
1、引入pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.2.13.RELEASE</version> </dependency> 2、配置
Authorization Server oauth2-server 学习笔记 001
菜鸟阿达
12-07 1万+
oauth2-client 学习笔记 002 参考博客以及文章和代码 SpringSecurity+JWT项目实战之Java权限管理 Spring新的授权服务器Spring Authorization Server入门 https://gitee.com/felord/security-learning/tree/spring-authorization-server/ Getting Started with Spring Authorization Server spring-authorizati
SpringSecurity权限管理系统实战—八、AOP 记录用户、异常日志
CoderMy的博客
08-12 3493
日志功能在二的时候其实简单实现了一下,但是有时我们需要对一些重要功能操作记录日志,或是在操作时发生异常,需要记录异常日志。但是之前每次发生异常要定位原因我们都要到服务器去查询日志才能找到,或许是搭建一个日志收集系统(但是本项目中暂不考虑)。。。。
OpenFeign接口调用日志
宋冠巡的博客
09-18 1465
在开发或测试环境中,需要更多的调试信息;在通过 Spring Cloud OpenFeign 调用远程服务的接口时,可能需要记录接口调用的日志详情,比如:请求头、请求参数、响应等。 Spring Cloud OpenFeign 打印 FeignClient 的接口调用日志,可以通过 配置OpenFeign日志级别 来实现。OpenFeign 提供了不同的日志级别来控制日志输出的详细程度。 请注意:需要同时配置 应用日志级别 为 DEBUG ,OpenFeign的接口调用日志才能正常打印。
Spring Security + OAuth2.1认证中心
03-08
### 使用 Spring SecurityOAuth2.1 构建认证中心 #### 配置依赖项 为了创建一个基于 Spring SecurityOAuth2.1 的认证中心,项目应引入必要的 Maven 或 Gradle 依赖。这通常涉及添加 `spring-boot-starter-security`、`spring-boot-starter-oauth2-client` 及其他相关库。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>${spring.security.oauth.version}</version> </dependency> ``` #### 设置应用属性 配置文件中需定义客户端详情服务以及令牌端点的位置等参数: ```properties server.port=8080 security.oauth2.client.registration.myapp.client-id=myclientid security.oauth2.client.registration.myapp.client-secret=mypassword security.oauth2.client.provider.myapp.token-uri=http://localhost:9000/oauth/token ``` #### 创建授权服务器 通过自定义类来启动授权服务器并注册各种类型的授予方式(如密码模式、刷新令牌等)。下面是一个简单的例子展示如何完成此操作[^1]。 ```java @Configuration(proxyBeanMethods = false) public class AuthorizationServerConfig { @Value("${jwt.key-store}") private String keyStore; @Value("${jwt.key-password}") private String keyPassword; @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString()) .clientId("myclient") .clientSecret("{noop}mypassword") .authorizationGrantType(AuthorizationGrantType.PASSWORD) .tokenSettings(TokenSettings.builder() .accessTokenTimeToLive(Duration.ofHours(1)) .build()) .build(); return new InMemoryRegisteredClientRepository(registeredClient); } } ``` #### 增强 JWT 令牌 为了让生成的访问令牌携带更多信息,在这里实现了 `TokenEnhancer` 接口的方法,以便向每个发出的令牌附加额外的数据字段,比如用户的唯一标识符或其他业务逻辑所需的信息[^3]。 ```java @Component public class JwtTokenEnhancer implements TokenEnhancer { @Override public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) { UserModel securityUser = (UserModel)authentication.getPrincipal(); Map<String,Object> info=new HashMap<>(); // 把用户 ID 设置到 JWT 中 info.put("id",securityUser.getId()); ((DefaultOAuth2AccessToken)accessToken).setAdditionalInformation(info); return accessToken; } } ``` #### 安全配置 最后一步是对整个应用程序的安全策略进行调整,确保只有经过验证后的请求才能到达受保护的服务接口。可以通过继承 `WebSecurityConfigurerAdapter` 类或者使用新的安全 DSL 来简化这一过程。 ```java @EnableWebSecurity(debug=true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http)throws Exception{ http.authorizeRequests(authorize->authorize.anyRequest().authenticated()) .formLogin(withDefaults()); } } ``` 上述代码片段展示了如何利用 Spring Security 结合 OAuth2 协议建立一个基本的身份验证服务中心。实际部署时还需要考虑更多因素,例如错误处理机制的设计、日志记录等功能模块的完善等问题。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值