Spring Boot整合Spring Authorization Server(二)——客户端、设备码、PKCE模式

原创 已于 2024-08-20 16:57:49 修改 · 1.3k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #spring cloud #大数据 #spring #微服务

于 2024-08-20 15:36:57 首次发布

上篇文章是授权码模式。

客户端模式

这里记录客户端模式。客户端内部调用时可能会用到该模式客户端模式的参数有四个,grant_type、scope、client_id和client_secret,客户端认证方式不是client_secret_post的客户端发起请求时只用携带grant_type参数即可,其它方式按照各自特点携带客户端的认证信息。

1. 拿token

2. 用token访问接口

grant_type 在客户端模式下固定为client_credentials
client_id:客户端的id
client_secret: 客户端的秘钥
scope:本次请求授权的范围 这个不带的话生成的token也访问不了接口

授权码扩展流程PKCE(Proof Key for Code Exchange)

首先需要添加一个公共客户端并且设置proof key支持,为求方便直接修改AuthorizationConfig.java,之后重启服务,会添加一条适用pkce流程的客户端

    /**
     * 配置客户端Repository
     *
     * @param jdbcTemplate    db 数据源信息
     * @param passwordEncoder 密码解析器
     * @return 基于数据库的repository
     */
    @Bean
    public RegisteredClientRepository registeredClientRepository(JdbcTemplate jdbcTemplate
            , PasswordEncoder passwordEncoder) {
        System.out.println("password encode : " + passwordEncoder.encode("123456"));
        RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())
                // 客户端id
                .clientId("messaging-client")
                // 客户端秘钥,使用密码解析器加密
                .clientSecret(passwordEncoder.encode("123456"))
                // 客户端认证方式,基于请求头的认证
                .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
                // 配置资源服务器使用该客户端获取授权时支持的方式
                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
                .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
                .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS)
                // 授权码模式回调地址,oauth2.1已改为精准匹配,不能只设置域名,并且屏蔽了localhost,本机使用127.0.0.1访问
                // 这里每次启动是不会该数据库的,所以改了这个链接要相应的改一下数据库
                .redirectUri("http://127.0.0.1:8080/login/oauth2/code/messaging-client-oidc")
                .redirectUri("https://www.baidu.com/")
                .redirectUri("http://127.0.0.1:8080/notify/oauth2/code")
                // 该客户端的授权范围,OPENID与PROFILE是IdToken的scope,获取授权时请求OPENID的scope时认证服务会返回IdToken
                .scope(OidcScopes.OPENID)
                .scope(OidcScopes.PROFILE)
                // 自定scope
                .scope("message.read")
                .scope("message.write")
                // 客户端设置,设置用户需要确认授权
                .clientSettings(ClientSettings.builder().requireAuthorizationConsent(true).build())
                .build();

        // 基于db存储客户端,还有一个基于内存的实现 InMemoryRegisteredClientRepository
        JdbcRegisteredClientRepository registeredClientRepository = new JdbcRegisteredClientRepository(jdbcTemplate);

        // 初始化客户端
        RegisteredClient repositoryByClientId =
                registeredClientRepository.findByClientId(registeredClient.getClientId());
        if (repositoryByClientId == null) {
            registeredClientRepository.save(registeredClient);
        }
        // 设备码授权客户端
        RegisteredClient deviceClient = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("device-message-client")
                // 公共客户端
                .clientAuthenticationMethod(ClientAuthenticationMethod.NONE)
                // 设备码授权
                .authorizationGrantType(AuthorizationGrantType.DEVICE_CODE)
                .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN)
                // 自定scope
                .scope("message.read")
                .scope("message.write")
                .build();
        RegisteredClient byClientId = registeredClientRepository.findByClientId(deviceClient.getClientId());
        if (byClientId == null) {
            registeredClientRepository.save(deviceClient);
        }

        // PKCE客户端
        RegisteredClient pkceClient = RegisteredClient.withId(UUID.randomUUID().toString())
                .clientId("pkce-message-client")
                // 公共客户端
                .clientAuthentic
最低0.47元/天 解锁文章
SpringBoot3构建授权服务器的3大致命坑与完整避坑指南
m0_72340523的博客
09-18 1101
是不是照着GitHub示例配完Spring Authorization Server,一调就401?别怪自己菜——你用的还是五年前的注解套路!Spring Boot 3 + SAO 1.1 已经把“魔法注解”全砍了,现在连客户端都要你手动注册,密钥不配直接NPE。本文直击三大致命坑:误用@EnableAuthorizationServer、以为yml能自动生效、忘了JWK密钥还懵圈。用Mermaid流程图拆解token签发全过程,给出可复制的完整配置模板,附生产级checklist和血泪调试经验。别再抄De
spring-authorization-server 公共客户端方式获取授权码和Token的流程
m13012606980的专栏
02-02 2204
spring-authorization-server 公共客户端 (public clients)方式获取授权码和Token的流程
Spring Boot整合Spring Authorization Server
code_fly
08-19 1055
Spring Boot整合Spring Authorization Server,本篇文章将带大家一步步构建一个简单的认证服务器
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
Oauth2授权服务器(身份验证服务器)的构造 0.概述 关于如何构建SpringBoot提供的Oauth2身份验证服务器的实践 在daddyprogrammer.org上序列化和获取Github注册 1.实习环境 Java 8-11 SpringBoot 2.x SpringOauth2 JPA,H2 Intellij社区 2.练习内容 Spring Boot Oauth2-AuthorizationServer 文档 吉特 Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码实践 代币发行 curl -X POST'http :// localhost:8080 / oauth / token'-H'Authorization:Basic dGVzdENsaWVudElkO
Spring Authorization Server (如何使用具有 PKCE 的单页应用程序进行身份验证-1)
semicolon_hello的专栏
02-21 1222
我们再使用 Spring Authorization Server 实现 PKCE ,先介绍一下 PKCE的拓展协议;
springboot3 集成spring-authorization-server (一 基础篇)
一个写了10年bug的程序员日常笔记。
05-07 5810
java:17。
Spring Boot整合Spring Authorization Server(四)——整合网关和资源服务,添加Redis,前后端分离
code_fly
08-21 790
之前已经搭建了统一认证中心,实际环境中往往需要客户端和资源服务器,同时之前的只是用了session,这个在高并发下是顶不住的,所以加上了redis,那就开整吧。
【序列晋升】47 Spring Authorization Server授权码模式深度解构:OAuth2.1协议与PKCE扩展的实现细节
最新发布
愚者Turbo的博客
10-04 1040
Spring Authorization ServerSpring生态中为构建安全、现代认证授权服务提供的权威框架,它由Spring Security团队主导开发,基于OAuth 2.1和OpenID Connect 1.0规范,旨在为Java开发者提供一个轻量级、可扩展且生产就绪的授权服务器解决方案。作为Spring Security OAuth的进化版本,它解决了旧版框架在安全性和协议支持方面的局限,成为构建企业级身份认证系统和微服务安全架构的理想选择。
Spring Authorization Server:实现OAuth2认证服务
m0_64132144的博客
11-13 2005
Spring Authorization Server是一个安全框架,它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关的实现。Spring Authorization Server是在Spring Security的基础上构建的,它为构建OAuth2授权服务和OpenID Connect 1.0身份提供者提供了一个安全、轻量级、可定制的基础。OAuth2协议定义了一系列关于认证授权的标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。
【oauth2 客户端模式Spring Authorization Server + Resource + Client 资源服务间的相互访问
土味儿
05-20 5555
1、概述 上一节中介绍了项目的搭建,并实现了授权码模式的访问。在上一节的基础上,再来实现客户端模式。【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 用户通过客户端访问资源是 授权码模式 微服务(资源)间的访问是 客户端模式客户端模式下,只需要提供注册客户端的ID和密钥,就可以向授权服务器申请令牌,授权服务器核实ID和密钥后,会直接发放令牌,无须再认证/授权,特别适合项目内部模块间的调用。 2、授权服务器中注册新客户端
Spring 发起Spring Authorization Server 项目
Mr_chen的博客
04-29 563
Spring官方在近日发布了一则消息:将发起一个新的名为Spring Authorization Server的项目。该项目是由Spring Security主导的一个社区驱动项目,旨在向Spring社区提供授权服务器支持。
spring authorization server系列教程】()入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 2万+
spring authorization server系列教程】()入门系列,快速构建一个授权服务器spring authorization serverspring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
new_ord的博客
07-17 2108
保护OAuth2公共客户端中的授权代码流,使用了一个名为代码交换证明密钥 (PKCE) 的扩展。
Spring Authorization Server入门 () Spring Boot整合Spring Authorization Server
云逸的博客
06-02 1万+
本篇文章从0到1搭建了一个简单认证服务,解释了认证服务的各项配置用意,如何设置自己的登录页和授权确认页,如何让认证服务解析请求时携带的token,文章过长难免有遗漏的地方,如果文章中有遗漏或错误的地方请各位读者在评论区指出。
【安全篇】Spring Boot 整合 Spring Authorization Server
csp732171109的博客
08-01 4992
**Spring Authorization Server** (以下简称 **SAS**)是 Spring 团队最新开发适配 OAuth 协议的授权服务器项目,旨在**替代**原有的 Spring Security OAuth Server。目前已经发布了 0.3.1 版本,已支持授权码、客户端、刷新、注销等 OAuth 协议。SAS 项目已经迁移至官方正式仓库维护,成为官方的正式子项目。......
Spring Authorization Server 整合 Spring Boot
qq_33240556的博客
07-18 540
你可能需要定义客户端的详细信息,包括客户端ID、密钥、授权范围等。这可以通过配置类来完成,或者直接在配置文件中指定(如上所示简单示例)。更复杂的配置可能涉及创建或的bean。根据需要,你可以通过创建配置类来自定义授权服务器的行为,覆盖默认设置,添加自定义端点、认证器、令牌存储等。Spring Authorization Server 提供了许多扩展点来满足特定需求。
Spring Authorization Server入门 () Spring Boot引入Resource Server对接认证服务
云逸的博客
06-13 3579
书接上文,本次来对接一下资源服务,在本篇文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。
Spring Authorization-Vue项目使用PKCE模式对接认证服务
qq_33240556的博客
07-18 486
在Vue项目中使用PKCE(Proof Key for Code Exchange)模式对接Spring Authorization Server或任何遵循OAuth2协议的认证服务,是为了提高安全性,特别是在原生应用或没有服务器代理的场景下。PKCE模式通过挑战(code verifier)和证明(code challenge)机制,防止令牌被中间人攻击。
SpringBoot3集成Spring Authorization ServerSpring Cloud Gateway实现网关统一认证
liu320yj的博客
09-01 3125
微服务开发过程中,通常都会使用Spring Cloud Gateway构建统一的API网关,在访问微服务之前都会先校验访问者是否有权限访问资源,实现方式有很多,这里主要介绍Spring Cloud Gateway集成OAuth2.1如何实现网关统一认证。
Spring Authorization Server1.5
09-05
给定引用中未提及Spring Authorization Server 1.5版本的相关信息。不过,综合已有引用可对Spring Authorization Server的通用信息进行了解。 Spring Authorization Server是提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范实现的框架,构建在Spring Security之上,为构建OpenID Connect 1.0身份提供商和OAuth2授权服务器产品提供安全、轻量级和可定制的基础。它搭配Spring Boot 3.4.0 + Spring Security 6.4.1使用,提供了五种授权模式,分别为Authorization Code(授权码模式)、Client Credentials(客户端模式)、Refresh Token(令牌刷新)、Device Code(设备码模式)、Token Exchange(token交换) [^2]。 在使用方面,可进行基本的环境搭建和技术测试,例如配置支持PKCE的公共客户端。代码如下: ```yaml spring: security: oauth2: authorization-server: registered-clients: - id: spa-client client-authentication-methods: none authorization-grant-types: authorization_code redirect-uris: http://localhost:4200 scopes: openid,profile require-proof-key: true ``` 同时,Spring Authorization Server默认不开启动态客户端注册功能,需要通过配置显式启用,代码如下: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.oauth2.server.authorization.config.annotation.web.configuration.OAuth2AuthorizationServerConfiguration; import org.springframework.security.oauth2.server.authorization.config.annotation.web.configurers.OAuth2AuthorizationServerConfigurer; import org.springframework.security.oauth2.server.authorization.oidc.web.OidcClientRegistrationEndpointFilter; import org.springframework.security.web.util.matcher.AntPathRequestMatcher; import org.springframework.security.config.Customizer; @Configuration public class AuthorizationServerConfig { @Bean public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception { OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http); http.getConfigurer(OAuth2AuthorizationServerConfigurer.class) .oidc(oidc -> oidc .clientRegistrationEndpoint(Customizer.withDefaults()) ); return http.build(); } } ``` 若要获取Spring Authorization Server 1.5版本的具体使用指南、功能特性、下载资源等信息,建议通过以下途径: 1. **官方文档**:访问Spring官方网站,查找Spring Authorization Server 1.5版本的文档,其中会包含使用指南、功能特性等详细信息。 2. **开源代码仓库**:在GitHub等开源代码托管平台上搜索Spring Authorization Server,查看对应版本的代码和发布说明。 3. **社区论坛**:参与Spring社区论坛的讨论,咨询其他开发者关于1.5版本的使用经验和相关资源。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值