springseurity实现oauth2自动授权

SpringSecurity OAuth2 自动授权机制解析
最新推荐文章于 2024-10-05 15:52:10 发布
原创 最新推荐文章于 2024-10-05 15:52:10 发布 · 2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了SpringSecurity中OAuth2自动授权机制的实现原理,详细分析了如何通过配置clientDetailsService来实现scope的自动批准,避免跳转到用户授权页面,简化授权流程。

springsecurity实现oauth2换取授权码的过程中,涉及到先登录,然后再授权,再换取授权码的过程。如果不进行设置,security会跳转到一个默认的授权页面,如下图:
在这里插入图片描述
其中红框标注的scope为请求/oauth/authorize时传入的scope。

源码分析

跳转到approve页面的源码如下:

if (authorizationRequest.isApproved()) {
		if (responseTypes.contains("token")) {
			return getImplicitGrantResponse(authorizationRequest);
		}
		if (responseTypes.contains("code")) {
			return new ModelAndView(getAuthorizationCodeResponse(authorizationRequest,
				(Authentication) principal));
				}
			}

	// Store authorizationRequest AND an immutable Map of authorizationRequest in session
	// which will be used to validate against in approveOrDeny()
model.put(AUTHORIZATION_REQUEST_ATTR_NAME, authorizationRequest);
model.put(ORIGINAL_AUTHORIZATION_REQUEST_ATTR_NAME, unmodifiableMap(authorizationRequest));
//跳转到授权页面
return getUserApprovalPageResponse(model, authorizationRequest, (Authentication) principal);

//生成授权页面
private ModelAndView getUserApprovalPageResponse(Map<String, Object> model,
			AuthorizationRequest authorizationRequest, Authentication principal) {
	logger.debug("Loading user approval page: " + userApprovalPage);
	model.putAll(userApprovalHandler.getUserApprovalRequest(authorizationRequest, principal));
	return new ModelAndView(userApprovalPage, model);
	}

那么,不想跳转到授权页面就需要看看authorizationRequest.isApproved()这个函数式怎么判断的,进去发现这是authorizationRequest的一个属性,那么属性又是怎么设置的呢?
同样是在这个endpoint里,发现了三行关键代码
在这里插入图片描述
进入第一行代码,进入它的实现类ApprovalStoreUserApprovalHandler,可以看到这里对authorizationRequest的approved属性进行了配置,源码如下:

//类名org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler
//方法名checkForPreApproval
if (clientDetailsService != null) {
	try {
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		for (String scope : requestedScopes) {
			if (client.isAutoApprove(scope)) {
				approvedScopes.add(scope);
			}
		}
		if (approvedScopes.containsAll(requestedScopes)) {
			// gh-877 - if all scopes are auto approved, approvals still need to be added to the approval store.
			Set<Approval> approvals = new HashSet<Approval>();
			Date expiry = computeExpiry();
			for (String approvedScope : approvedScopes) {
				approvals.add(new Approval(userAuthentication.getName(), authorizationRequest.getClientId(),
						approvedScope, expiry, ApprovalStatus.APPROVED));
			}
			approvalStore.addApprovals(approvals);

			authorizationRequest.setApproved(true);
			return authorizationRequest;
		}
	}
	catch (ClientRegistrationException e) {
		logger.warn("Client registration problem prevent autoapproval check for client=" + clientId);
	}
}

//类名org.springframework.security.oauth2.provider.client.BaseClientDetails
public boolean isAutoApprove(String scope) {
	if (autoApproveScopes == null) {
		return false;
	}
	for (String auto : autoApproveScopes) {
		if (auto.equals("true") || scope.matches(auto)) {
			return true;
		}
	}
	return false;
}

根据以上代码可以判断出,会首先使用clientDetailsService加载出client的信息,然后判断当前的scope是否支持自动approve。autoApprovesScopes定义如下:
在这里插入图片描述
故只需要在数据库的oauth_client_details的对应字段添加支持自动授权的字段。

Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1449
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
精选资源
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
1. 如何使用Spring Security作为OAuth2授权服务器,实现用户登录验证和令牌发放。 2. 客户端注册和认证:如何在Spring Security中配置客户端详细信息,以便客户端应用能够请求访问令牌。 3. 授权码流程的实现:...
spring security oauth2 跳过授权步骤属性autoApprove
cauchy6317的博客
12-13 8533
   
Springboot + Oauth2 单点登录-配置篇
qq_39749620的博客
05-25 2479
1. 授权中心配置 所需依赖 <!-- spring security oauth2 开放授权 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.5.RELEASE</version>
oauth2 登录自动授权
zyl2017的博客
04-28 1523
springcloud oauth2 登录自动授权 autoapprove问题 问题描述:oauth2 配置数据源mysql 自动生成的autoapprove 查看字段为true但是还是弹出授权框 @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { JdbcClientDetailsServiceBuilder builder = clients.jd
oauth2.0设置自动授权
pengfeifei26的专栏
12-24 1254
oauth_client_details 库表中autoapprove设置为true即可
精选资源
Spring cloud Oauth2使用授权码模式实现登录验证授权
12-10
- 如果你的系统是Spring Cloud架构,可以利用Spring Cloud Security提供的OAuth2整合,简化上述过程,例如自动配置授权服务器和资源服务器。 在整个过程中,安全措施必须到位,如使用HTTPS、加密存储敏感信息等。...
精选资源
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2认证授权示例详解
08-25
在这个示例中,我们将深入探讨如何使用Spring Security OAuth2实现OAuth2授权流程。 1. **OAuth2的角色**: - **资源所有者**:通常是应用程序的用户,他们拥有数据,决定是否允许第三方应用访问。 - **客户端**...
Spring Cloud 集成OAuth2实现身份认证和单点登录
10-20
在Spring Cloud中,我们可以使用Spring Security OAuth2模块来实现OAuth2授权流程。 集成OAuth2的过程通常包括以下几个步骤: 1. **配置授权服务器**:授权服务器是负责处理用户登录、授权和令牌发放的组件。在...
SpringSecurity的Oauth2授权码模式配置
weixin_45633353的博客
11-07 740
Oauth2流程 用户进入网站的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者 资源拥有者同意给客户端授权 资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证,验证通过后,微 信会询问用户是否给授权网站访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个 授权码,并重定向到网站。 . 客户端获取到授权码,请求认证服务器申请令牌 此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。 认证服务器向客户端响应
OAuth 2.0】授权模式
最新发布
小秀的博客
10-05 2529
OAuth是一个关于授权( authorization )的开放网焰标准协议,简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuh2.0是OAuth协议的一个版本,2.0版本不兼容1.0版本,相当于1.0版本已经废弃。OAuth就是一种授权机制.数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。
Spring Security Oauth2 授权码模式下 自定义登录、授权页面
热门推荐
HSJ0170的博客
06-18 1万+
一开始网上教程一堆,都是各抄各的,有的直接代码缺少,有的直接不可以用(MLGB的),于是乎去spring官网找找看,还真找到,最终自己配置搭建成功跑了一遍demo,美滋滋。一些HTML文件还是网上的,见谅~ 由于是springcloud项目(注册和配置中心是nacos),认证中心在auth模块,自己demo搭建测试直接在auth模块,没有走网关gateway sys_oauth_client_details表: CREATE TABLE `sys_oauth_client_details` ( `cli
Spring Security系列(四)——Spring Oauth2实现登录同时授权、自定义授权界面
玖涯博客
02-04 4745
本文环境: org.springframework.cloud:spring-cloud-starter-oauth2:2.2.4.RELEASE 本文场景: 希望实现类似 QQ 的登陆并授权功能,但是将 /oauth/authorize 路径加入 permitAll 没有生效,加入 web.ignoring() 后抛出了 User must be authenticated with Spring Security before authorizing an access token. 异常,在 Spri
OAuth2.0 四种授权方式讲解
让优秀成为一种习惯!
12-25 5574
OAuth2通过将用户密码信息与第三方应用程序隔离,提高了应用程序的安全性。同时,OAuth2是一个开放的标准,可以与不同的应用程序、平台和设备兼容,易于理解和使用,可以快速集成到应用程序中。
OAuth2四种授权方式
shilihuakai的博客
10-25 1065
总体来说就是客户端必须得到用户授权,才能获取令牌,OAuth2定义了四种授权方式: implicit 简化模式,安全性低,不推荐使用 authorization 授权码模式,最安全,官方推荐使用的 resource owner password credentials 密码模式(用户名密码) client credentials 客户端模式 简化模式应用场景: 没有自己...
Spring Security OAuth2授权原理、流程与源码解读
swg321321的博客
06-21 2770
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
spring security oauth2 默认User Approval页面,定制方法
路过君的博客
05-18 1250
授权入口 org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint private String userApprovalPage = "forward:/oauth/confirm_access"; // We need explicit approval from the user. private ModelAndView getUserApprovalPageResponse(Map<String,
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
Spring Security实现Oauth2授权详解
"基于Spring Security的Oauth2授权实现方法,通过示例代码详细解析,适合学习和工作中参考,包括授权码模式、认证服务和资源服务等核心概念" 在本文中,我们将深入探讨如何使用Spring Security实现Oauth2授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值