SpringSecurtiy OAuth2 (4) Resource Owner Password Grant - 密码模式

最新推荐文章于 2024-09-01 16:49:07 发布
最新推荐文章于 2024-09-01 16:49:07 发布
阅读量929 收藏 1
点赞数
分类专栏: # Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/caplike/article/details/107036739
版权
本文深入探讨Spring Security OAuth2的密码模式,适用于高度信任的第三方应用。介绍了使用场景,包括内部应用认证,以及整体流程,从用户信息提交到access_token的获取。详细解析了代码结构,包括授权服务器和资源服务器的配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

关于 SpringSecurity OAuth2 的 4 种模式的简要介绍性文章:
SpringSecurtiy OAuth2 (2) Authorization Code Grant - 授权码模式
SpringSecurtiy OAuth2 (3) Implicit Grant - 隐式授权模式
SpringSecurtiy OAuth2 (4) Resource Owner Password Grant - 密码模式
SpringSecurtiy OAuth2 (5) Client Credentials Grant - 客户端模式

更多细节和底层原理, 稍后会有专门的文章介绍.

关于

密码模式有一个前提就是你高度信任第三方应用. 举个不恰当的例子: 如果要在第三方应用上接入微信登录, 使用了密码模式, 那你就要在第三方应用输入微信的用户名和密码, 这肯定是不安全的, 所以密码模式需要你非常信任第三方应用.

使用场景

☼ 自己本身有一套用户体系, 在认证时需要带上自己的用户名和密码, 以及客户端的 client_id, client_secret. 此时, access-token 包含的权限是用户本身的权限, 而不是客户端的权限
可以没有前端介入 (有别于 Authorization Code GrantImplicit Grant)

整体流程

http://localhost:18907/password-authorization-server/oauth/token?grant_type=password&client_id=client-a&client_secret=client-a-p&username=caplike&password=caplike-p&scope=read_scope

授权服务器返回数据:

{
    "access_token": "aa5a459e-4da6-41a6-bf67-6b8e50c7663b",
    "token_type": "bearer",
    "expires_in": 119,
    "scope": "read_scope"
}

在这里插入图片描述

整体流程

  1. 让用户填写表单提交到授权服务器, 表单中包含用户的用户名, 密码 ,客户端的id和密钥的加密串;
  2. 授权服务器先解析并校验客户端信息, 然后校验用户信息, 完全通过返回access_token, 否则默认都是401 http状态码, 提示未授权无法访问;

实现

代码结构

├─password-authorization-server
│  │  password-authorization-server.iml
│  │  pom.xml
│  │  README.md
│  │  
│  └─src
│     └─main
│        ├─java
│        │  └─c
│        │      └─c
│        │          └─d
│        │              └─s
│        │                  └─s
│        │                      └─o
│        │                          └─p
│        │                              └─authorization
│        │                                  └─server
│        │                                      │  PasswordAuthorizationServer.java
│        │                                      │  
│        │                                      └─configuration
│        │                                              AuthorizationServerConfiguration.java
│        │                                              SecurityConfiguration.java
│        │                                              
│        └─resources
│                application.yml
│
└─password-resource-server
    │  pom.xml
    │  
    └─src
       └─main
           ├─java
           │  └─c
           │      └─c
           │          └─d
           │              └─s
           │                  └─s
           │                      └─o
           │                          └─p
           │                              └─resource
           │                                  └─server
           │                                      │  PasswordResourceServer.java
           │                                      │  
           │                                      ├─configuration
           │                                      │      ResourceServerConfiguration.java
           │                                      │      
           │                                      └─controller
           │                                              ResourceController.java
           │                                              
           └─resources
                   application.yml

授权服务器 (Authorization Server)

AuthorizationServerConfiguration

密码模式需要提供 AuthenticationManager 用户用户信息的同步验证.

@Configuration
@EnableAuthorizationServer
@Slf4j
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

    private PasswordEncoder passwordEncoder;

    private AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // @formatter:off
        clients.inMemory()

                // 客户端配置.
                // 可以是前端, 密码模式适合微服务的 Auth?
                .withClient("client-a")
                    .secret(passwordEncoder.encode("client-a-p"))
                    .resourceIds("resource-server")
                    .accessTokenValiditySeconds(60 * 12)
                    .authorizedGrantTypes("password")
                    .scopes("read_scope")

                .and()

                // 资源服务器身份配置, 用于请求授权服务器的 /oauth/check_token, 校验 access_token
                .withClient("resource-server")
                    .secret(passwordEncoder.encode("resource-server-p"))
        ;
        // @formatter:on
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        Assert.notNull(authenticationManager, "The AuthenticationManager can not be null!");
        log.info("AuthenticationManager's type: {}", authenticationManager.getClass().getCanonicalName());
        // ~ 密码模式需要 AuthenticationManager
        endpoints.authenticationManager(authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.allowFormAuthenticationForClients()
                .checkTokenAccess("isAuthenticated()");
    }

    // ~ autowired
    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }

    @Autowired
    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    // ~ bean
    // -----------------------------------------------------------------------------------------------------------------

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

SecurityConfiguration

密码模式不需要前端介入, 这里可以禁用表单登陆. 同时, 提供一个 AuthenticationMnagerAuthorizationServerConfigurer

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off

        // 禁用 表单登陆
        http.formLogin().disable();

        // 禁用 Basic Auth
        http.httpBasic().disable();

        // 所有请求都需要认证
        http.authorizeRequests().anyRequest().authenticated();

        // @formatter:on
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser(User.builder().username("caplike").password(passwordEncoder.encode("caplike-p")).authorities("USER").build());
    }

    // ~ autowired
    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }

    // ~ bean
    // -----------------------------------------------------------------------------------------------------------------

    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

}

资源服务器 (Resource Server)

ResourceServerConfiguration

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId("resource-server").tokenServices(remoteTokenServices()).stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }

    /**
     * @return {@link RemoteTokenServices}
     */
    private RemoteTokenServices remoteTokenServices() {
        final RemoteTokenServices remoteTokenServices = new RemoteTokenServices();
        remoteTokenServices.setClientId("resource-server");
        remoteTokenServices.setClientSecret("resource-server-p");
        remoteTokenServices.setCheckTokenEndpointUrl("http://localhost:18907/password-authorization-server/oauth/check_token");
        return remoteTokenServices;
    }
}

测试

在这里插入图片描述

总结

本篇简单过了一下密码模式的实现, 这种方式和前两种最大的区别就是它不需要前端介入, 用户信息和客户端信息都一次性 POST 给授权服务器. 也因为没有授权服务器接管用户登陆这一环节, 所以这种模式显得格外不安全. 适用于内部应用.

spring security oauth2授权码模式
xj_524256192的博客
05-07 495
spring security oauth2授权码模式 这里我使用的spring security版本为5.x,spring boot版本为2.x。 授权码模式Oauth2协议最严格、流程最完整的授权模式,流程如下: A.客户端将用户导向认证服务器 B.用户决定是否给客户端授权 C.用户同意给客户端授权,认证服务器将用户导向客户端提供的url地址,并返回授权码 D客户端通过重定向url和授权...
Spring Cloud系列 Spring Cloud OAuth2密码模式(resource owner password credentials)
ssaiwey的博客
06-25 1666
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) ———————————————— 上篇讲解的是授权码模式,本篇主要讲解密码模式。平常主要使用的就是这
Spring Security Oauth2密码模式
Java知音
07-01 769
点击关注公众号,实用技术文章及时了解 作者:歪桃 blog.youkuaiyun.com/m0_37892044/article/details/113058924前言,因为最近的项目是用Spri...
spring-security-oauth2密码模式
u013008898的博客
06-12 1434
AuthorizationServerConfig: SecurityConfig:
Spring Security】Spring Security Oauth2密码模式授权
batman
12-23 632
密码模式Resource Owner Password Credentials)与授权码模式的区别是申请令牌不再使用授权码,而是直接通过用户名和密码即可申请令牌。 github:https://github.com/fafeidou/fast-cloud-nacos/blob/master/fast-cloud-nacos-examples/spring-security-examples/p...
spring-security-oauth2-client-generic-grant-type:spring-security-oauth2-client-generic-grant-type
03-27
OAuth2标准中,定义了如授权码(Authorization Code)、密码Resource Owner Password Credentials)等常见授权类型,但实际业务场景可能有更复杂的需求,例如,企业内部的API可能会使用自定义的授权方式。...
2021-01-26-SpringSecurity-OAUTH2-密码模式获取token-源码包hrm-itsource.rar
01-26
首先,我们需要明确OAuth2密码模式Resource Owner Password Credentials Grant)是如何工作的。在这种模式下,客户端直接从用户那里获取用户名和密码,然后向授权服务器提交这些凭据以换取访问令牌。这种方式...
Spring cloud Oauth2密码模式数据库方式实现登录授权验证
12-09
密码模式Resource Owner Password Credentials Grant)是OAuth2中的一种授权类型,它允许用户直接将用户名和密码传递给授权服务器以获取访问令牌。 在Spring Cloud OAuth2中,我们需要配置以下几个关键组件: 1....
Spring cloud Oauth2密码模式内存方式实现登录授权验证
12-09
密码模式Resource Owner Password Credentials Grant)是Oauth2中的四种授权类型之一,允许客户端直接使用用户凭证向认证服务器请求访问令牌。 在Spring Boot环境下,我们可以利用Spring Security OAuth2模块来...
oauth2-demo-password:Spring安全性oauth2密码授权模式获取资源简单demo项目)
03-23
oauth2-demo-password(参考博客 ) Spring安全性oauth2密码授权模式获取资源简单demo项目)
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
SpringSecurity(15)——OAuth2密码模式
peng_gx的博客
01-26 1228
SpringSecurity Oauth2密码模式
Spring Security OAuth2--密码模式 实战
weixin_45452416的博客
04-25 4061
1.OAuth2协议简介: OAuth是一种用来规范令牌(Token)发放的授权机制,目前最新版本为2.0,不兼容1.0,主要有四种授权模式:授权码模式、简化模式密码模式和客户端模式。我这边的前端系统是通过用户名和密码来登录系统的,所以这里只介绍密码模式 2.密码模式简介: 在密码模式中,用户向客户端提供用户名和密码,客户端通过用户名和密码到认证服务器获取令牌。流程如下: 如上图所示,密码模式包含了三个步骤: (A)用户访问客户端,提供URI连接包含用户名和密码信息给授权服务器 (B)授权服务器对客户
SpringSecurity Oauth2 - 密码模式完成身份认证获取令牌 [自定义UserDetailsService]
最新发布
你今天真好看呀
09-01 1426
TokenStore是 Spring Security OAuth2 中用于管理 OAuth2 令牌(Access Token 和 Refresh Token)的接口。它的主要作用是定义如何生成、存储、读取和删除令牌。TokenStore的具体实现类决定了令牌的存储方式,例如存储在内存中、数据库中、Redis 中,或以 JWT 的形式进行编码。TokenStore的主要作用:① 生成和存储令牌:当客户端请求令牌时,TokenStore。
Spring Security Oauth2 () 密码模式
Claroja
03-08 194
Spring Security Oauth2 () 密码模式 整合jwt
Claroja
03-08 276
spring security oauth2.0-密码password
点点滴滴
05-26 1440
密码(password)授权模式#简介如果你高度信任对方应用,密码式授权模式也是被允许的.密码模式,顾名思义,就是使用账号+密码的形式在授权服务器上获取授权令牌, 但是这种令牌是不支持刷新令牌的.这种方式一般是不建议使用的,因为它的高风险性, 但是如果只是两家应用之间的授信,我觉得是能被接受的,这里是指应用于应用之间的授信,使用固定账号或者定期更改的账号.非针对不同用户使用不同账号的情况.
spring security实战 5-使用密码模式(password grant type)保护资源
weixin_34198797的博客
07-11 1701
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring security和oauth2.0来保护你的资源。 课程从第二...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值