spring-security-oauth使用笔记

最新推荐文章于 2024-11-08 17:49:35 发布
原创 最新推荐文章于 2024-11-08 17:49:35 发布 · 314 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oauth2.0 #spring-security-oauth #service #整理笔记

本文探讨了OAuth2.0协议的应用,并详细介绍了使用Spring Security OAuth实现的具体流程。包括请求用户授权、获取code及token的过程,对比了两个不同版本的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最新公司的项目也搞对外开放,也就是加入开放的潮流。目前有很多大公司都已开放api,为何我们公司还搞的,我们搞的主要目的不是为了对外开放api,只是方便第三方应用获取用户授权的信息,整合所有的有效资源,因此来说我们采用的oauth协议是最简单最实用的。由于公司自己没有实力,只能依靠开源的实现,经过对多方考察,感觉spring-security-oauth实现的最好,大家可参考http://netment.iteye.com/blog/945402博客,他们也认为spring-security-oauth不错的。不过,我自己去实际考察又发现,不只是有oauth1.0和oauth2.0,而且虽然都是基于security的实现,竟然有两种不同的实现版本,主要讨论的是oauth2.0

第一个版本
网址是http://svn.codehaus.org/spring-security-oauth/branches/SS3/,已提交到maven仓库了groupId=org.codehaus.spring-security-oauth,这个版本实现的相对比较简单,只支持内存保存token,而且结合security比较紧密,非常适合学习。
oauth2.0的基本流程,1.请求用户授权,2.获取code,3.获取token,4.请求资源验证token。 因此,只需要关注WebServerOAuth2Filter,BasicUserApprovalFilter,OAuth2AuthorizationFilter,OAuth2ProtectedResourceFilter,其中WebServerOAuth2Filter是/oauth/user/authorize入口,验证code无效, unapprovedAuthenticationHandler跳转到/oauth/confirm_access,用户提交之后 BasicUserApprovalFilter拦截之后,获取授权参数,就交给 WebServerOAuth2Filter获取code,获取code返回到client,然后client再次请求 /oauth/authorize,OAuth2AuthorizationFilter获取token,之后只要请求的时候带上token由 OAuth2ProtectedResourceFilter负责验证,是否可获取用户资源。
第二个版本
网址https://github.com/SpringSource/spring-security-oauth/wiki/oauth2,这个版本oauth2.0的基本所有功能都已实现,不过还是处于内部测试当中,spring-security-oauth2-1.0.0.BUILD-SNAPSHOT,需要自己手动下载后利用maven编译成jar,其中第一次编译的时候,去掉 <module>samples</module>,否则就会出现编译错误。我们公司目前的程序开发也处于内部测试当中,因此,大胆采用该版本。现在详细论述一下,具体的实现流程。
按照oauth2.0的协议规定,oauth2.0大体的流程如下:
具体的协议可参考http://oauth.net/2/,我们这里主要说明一下Authorization Grant,主要有四类Authorization Code,Implicit,Resource Owner Password Credentials,Client Credentials,这里主要介绍服务端Authorization Code授权流程,基本流程:1.请求用户授权,2.获取code,3.获取token,4.请求资源验证token。
  • 请求用户授权和获取code

首先要请求用户授权,其次才会生成一个临时的code.可参考一下,我简单画得一个流程图如下:

 

code关联类如下:

 

  • 获取token
token相关的类图

  • 请求资源验证token


大体的流程基本如上,具体的xml配置请参考sparklr2的src/main/webapp/WEB-INF/spring-servlet.xml。































Security-OAuth2.0 密码模式客户端实现(IDEA+springboot+maven)
Carr的博客
09-19 3904
OAuth2.0 客户端实现(IDEA+springboot+maven)我的OAuth2.0 客户端项目目录pom 的配置<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSch
Spring Security OAuth2- 项目结构
smart_an的专栏
10-09 984
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
SpringBoot+OAuth2+Google关联登录
你要悄悄的拔尖,然后惊艳所有人
01-08 5502
前言 最近公司需要将Google关联登录整合到项目的资源服务器中,但是其中遇到了很多坑,在这里记录一下。 环境: 操作系统:win7 jdk版本:1.8 IDEA:2019.2 SpringBoot版本:2.1.6.RELEASE Spring-cloud-starter-oauth2版本:2.1.0.RELEASE 注意,要做Google关联登录,当然得先翻墙才行。 正文 一、关于oAuth2...
Spring Security——OAuth 2.0登录——Google,GitHub,Facebook和Okta
无限迭代中......
04-20 1388
基本概念 OAuth 2.0登录:OAuth 2.0登录功能为应用程序提供了使用户能够通过使用其在OAuth 2.0提供程序(例如GitHub)或OpenID Connect 1.0提供程序(例如Google)上的现有帐户登录该应用程序的功能。 OAuth 2.0登录是通过使用OAuth 2.0授权框架和OpenID Connect Core 1.0中指定的授权代码授予来实现的。 官方文...
spring-security-oauth2-authorization-server(四)Redis存储token实现
2301_78976656的博客
07-10 1455
org.apache.commons commons-pool2
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 1153
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
读书笔记-spring-security-oauth2源码
dream_snow2012的专栏
12-10 165
读源码可以了解作者的思路,以后也会影响自己写代码,高质量的代码是我们一致的追求 1.接口多实现 private static JsonMapper createJsonMapper() { if (ClassUtils.isPresent("org.codehaus.jackson.map.ObjectMapper", null)) { return new Jackson...
SpringSecurity-Github的OAuth2登录
weixin_44719499的博客
11-08 1281
通过配置自定义的安全规则和 OAuth2 登录参数。@Beanhttp.requestMatchers("/", "/login").permitAll() // 配置访问权限.anyRequest().authenticated() // 其他请求需要认证.loginPage("/login") // 自定义登录页面.defaultSuccessUrl("/home") // 登录成功后的页面error=true") // 登录失败跳转页面。
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1909
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
Spring-Security-Oauth2学习笔记3):自定义异常处理
qq_26121913的博客
02-13 5120
1 前言 上一章我们已经按照与前端的约定自定义了token的返回格式。同样的,程序在运行过程中会产生各种异常,这些默认的异常对前端非常的不友好,比如默认的Oauth2异常response的status=4XX,返回的格式如下: { "error": "invalid_grant", "error_description": "Bad credentials" } 现在我们同样要把...
Spring-Security-Oauth2学习笔记2):自定义token返回格式
qq_26121913的博客
02-13 5779
1 前言 上一章我们搭建好了授权认证服务器,也能成功返回token了,oauth2默认的格式如下: { "access_token": "86d17c41-4de9-470a-a637-0acb7237099d", "token_type": "bearer", "refresh_token": "fb255411-9535-47ad-9f7e-40b21fac42cf",...
Spring Security团队正式宣布Spring Security OAuth终止维护
资料免费分享,点击名片
06-05 999
Spring Security团队正式宣布Spring Security OAuth终止维护。spring 官宣终止维护spring security oauth目前官网的主页已经高亮提醒大家彻底停止维护。官网已经通知EOL旧的Spring Security OAuth项目终止到2.5.2.RELEASE版本,该项目将不会再进行任何的迭代,包括Bug修复,之前胖哥已经提醒该项目即将停止维护,有心的同学已经进行了迁移。2020年就已经宣布了EOL时间表项目文档和代码仓库被移除目前该项目的官方文档已经正式从sp
基于SVM算法的人民币面值识别系统:从图像处理到机器学习模型的实现与应用 · 数字图像处理
08-11
基于支持向量机(SVM)的人民币面值识别系统的设计与实现。该系统利用MATLAB GUI工具,结合数字图像处理技术和机器学习模型,能够高效识别多种面值的人民币。主要步骤包括数据集准备、图像灰度化、边缘检测、旋转矫正、形态学操作、ROI截取、加载SVM模型、面值识别及结果验证。系统目前可识别1元至100元面值,正确率达到90%以上,并可通过扩展训练数据集来提升识别精度和覆盖更多面值。 适合人群:从事图像处理、机器学习研究的技术人员,以及对人民币面值识别感兴趣的开发者。 使用场景及目标:适用于银行、自助设备、零售终端等需要快速准确识别人民币面值的场合。目标是提供一种高效、准确、易用的人民币面值识别解决方案。 其他说明:该系统不仅展示了SVM在图像分类任务中的强大能力,还通过MATLAB GUI实现了操作流程的可视化,便于用户理解和使用。未来可以通过优化算法和增加训练样本进一步提升系统性能。
ctkqiang-WangZhongZhi-62936-1753627160067.zip
08-11
点sun小白ctkqiang_WangZhongZhi_62936_1753627160067.zip
LabVIEW调用基恩士XGX8500相机实现高效画面嵌入的开源方案 权威版
08-11
如何使用LabVIEW调用基恩士XGX8500相机实现画面嵌入的技术方案。首先,文中强调了准备工作的重要性,包括安装LabVIEW及其相关驱动和SDK,获取基恩士XGX8500相机的接口文档。接着,阐述了通过调用基恩士提供的API控制相机的具体步骤,如初始化相机、设置参数、开启预览流、获取画面数据等。然后,讲解了如何将获取的画面数据嵌入到LabVIEW的程序中,通过图形界面设计使相机画面合理显示。最后,指出该方案不仅能够节省昂贵的HX软件授权费用,还因其源程序和方法的开放性,为用户提供更多定制化的可能。 适合人群:从事工业自动化、机器视觉领域的工程师和技术人员。 使用场景及目标:适用于需要集成高质量图像采集设备的工业生产和检测系统,旨在提升自动化水平和视觉信息丰富度,降低软件授权成本。 其他说明:文中附有简单代码片段,帮助读者更好地理解和实践该方案。
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
最新发布
08-11
PANDA 真空泵 WV 1200 A、WV 1800 A 和 WV 2400 A 使用说明书.pdf
基于Jenkins Pipeline实现Java项目自动化构建与发布
08-11
资源下载链接为: https://pan.quark.cn/s/22ca96b7bd39 在当今的软件开发领域,自动化构建与发布是提升开发效率和项目质量的关键环节。Jenkins Pipeline作为一种强大的自动化工具,能够有效助力Java项目的快速构建、测试及部署。本文将详细介绍如何利用Jenkins Pipeline实现Java项目的自动化构建与发布。 Jenkins Pipeline简介 Jenkins Pipeline是运行在Jenkins上的一套工作流框架,它将原本分散在单个或多个节点上独立运行的任务串联起来,实现复杂流程的编排与可视化。它是Jenkins 2.X的核心特性之一,推动了Jenkins从持续集成(CI)向持续交付(CD)及DevOps的转变。 创建Pipeline项目 要使用Jenkins Pipeline自动化构建发布Java项目,首先需要创建Pipeline项目。具体步骤如下: 登录Jenkins,点击“新建项”,选择“Pipeline”。 输入项目名称和描述,点击“确定”。 在Pipeline脚本中定义项目字典、发版脚本和预发布脚本。 编写Pipeline脚本 Pipeline脚本是Jenkins Pipeline的核心,用于定义自动化构建和发布的流程。以下是一个简单的Pipeline脚本示例: 在上述脚本中,定义了四个阶段:Checkout、Build、Push package和Deploy/Rollback。每个阶段都可以根据实际需求进行配置和调整。 通过Jenkins Pipeline自动化构建发布Java项目,可以显著提升开发效率和项目质量。借助Pipeline,我们能够轻松实现自动化构建、测试和部署,从而提高项目的整体质量和可靠性。
信捷PLC与HMI驱动的印刷机设备程序:四步进电机控制与汽缸印刷系统的开发与学习
08-11
信捷PLC与HMI驱动的印刷机设备程序,涵盖四个步进电机控制(X、Y、Z三向抓取定位放置系统)和分度转盘定位系统。程序包含详细的注释,便于理解和维护。信捷PLC采用标准工业编程语言,确保高稳定性和可靠性;HMI界面设计直观易用,增强了操作便捷性。该程序适用于表盘和电路板等印刷设备的开发,支持自动化生产和提高生产效率。 适合人群:工控爱好者、印刷设备开发者和技术人员。 使用场景及目标:①用于表盘和电路板等印刷设备的开发;②作为工控爱好者的学习参考资料;③提升自动化生产能力,优化生产流程,降低成本。 其他说明:该程序不仅为实际生产提供了技术支持,同时也帮助工控爱好者提高技术水平和实践能力。
小信号精密全波整流电路.doc
08-11
小信号精密全波整流电路.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值