spring-security-oauth2实现OAuth2.0服务

最新推荐文章于 2025-11-29 05:30:00 发布
原创 最新推荐文章于 2025-11-29 05:30:00 发布 · 822 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用spring-security-oauth2框架实现OAuth2.0授权服务,讨论了授权服务和资源服务的概念,以及它们在不同应用场景下的部署方式。重点阐述了spring-security的endpoints在授权服务中的角色,以及资源服务中的OAuth2AuthenticationProcessingFilter在Token校验中的作用。详细配置示例可参考github上的spring-security-oauth demo。

关于OAuth的介绍查看我的另一篇文章OAuth的4种授权方式,spring-security-oauth2是实现OAuth2.0的框架,配置稍微有些繁琐,因此本文记录下大概的思路,加深印象。

OAuth 2.0中主要有Authorization Service授权服务和Resource Service资源服务,他们可以在同一个应用程序中,也可以在两个应用程序中,甚至多个资源服务共享一个授权服务。

spring-security提供了相应的endpoints来管理token的请求,/oauth/authorize端点负责授权服务,/oauth/token端点负责token的请求服务;资源服务中的过滤器OAuth2AuthenticationProcessingFilter 负责校验Token。

下面从总体上介绍授权服务和资源服务的主要配置,详细的配置在githubspring-security-oauth demo上。

授权服务配置


@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
   
   
    private static final String DEMO_RESOURCE_ID = "openapi";

    @Autowired
    private OrderAuthProperties orderAuthProperties;

    /**
     * 注意这里AuthenticationManager和UserAccountService
     * 是在SecurityConfiguration配置的,把俩个配置类关联了起来
     */
    @Autowired
    AuthenticationManager authenticationManager;
    @Autowired
    private UserAccountService userAccountService;

    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;

    @Autowired
    RedisConnectionFactory redisConnectionFactory;

    @Autowired
    private OAuthClientDetailsService oAuthClientDetailsService;

    @Autowired
    private DataSource dataSource
最低0.47元/天 解锁文章
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 1万+
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
spring boot oauth2
10-24
springboot2 + security+ oauth2 进行认证,并将令牌存储到数据库中。
oauth2_spring_boot
02-25
OAuth2 钥匙斗篷 Keycloak是适用于现代应用程序和服务的开源身份和访问管理解决方案。 跑步 docker-compose -f keycloak-postgres.yml up 默认情况下,服务器将在 管理员用户 用户名: admin 密码: password 领域和客户示例 领域: app 用户帐户 用户[app]: user1 [user1 ,12345] 客户: client_id:应用程序代码流客户端 client_secret:56807fdb-be60-4787-87e6-0bb2cccf848b 访问类型:机密 标准流程:已启用 直接访问授予:已禁用 (可选)PKCE-代码的证明密钥:S256 重定向uri: 要求: curl --request GET ' http://localhost:8080/auth/realms/app/prot
Java 安全 07:Spring Security 认证授权(OAuth2.0
千淘万漉虽辛苦,吹尽狂沙始到金
11-29 1万+
本文介绍了Spring SecurityOAuth2.0在Java应用中的认证授权实现。首先讲解了Spring Security的核心概念(认证、授权、主体)和组件(UserDetailsService、AuthenticationManager等),然后通过代码示例展示了如何搭建基础安全框架,包括用户实体定义、自定义UserDetailsService实现等关键步骤。文章强调Spring Security通过过滤器链实现安全控制,使用BCryptPasswordEncoder加密密码,并展示了如何从数据
SpringBoot-OAuth2
azto的博客
04-26 698
OAuth2协议什么是OAuth2协议OAuth2的基本角色Spirng Security 结合 OAuth2 什么是OAuth2协议 OAuth2是一个开放的标准,允许第三方用户访问该用户在某一个网站上存储的私密资源。 最常见的使用场景,各种第三方登录,如登录网易云音乐使用QQ登录等等,一般这种都会设计OAuth协议。 无需将用户和密码提供给第三方应用 如上述的登录网易云音乐。第三方就是网易云音...
springboot OAuth2
无术不学的博客
02-20 351
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=monline_3_dg&wd=springboot%20OAuth2&oq=%25E5%25BE%25AE%25E6%259C%258D%25E5%258A%25A1OAuth2&rsv_pq=95d022f900074b4f&rsv_t=36c9EQREOiyL8A2aczntQ%2Fr81%2FYVTHEwOYWtIjXd3KG%2BMLsjDmN%
精选资源
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
精选资源
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
精选资源
spring-security-oauth2
03-17
Spring Security OAuth2将两者结合,为开发人员提供了一种安全、灵活的方式来实现OAuth2授权流程。 一、Spring Security OAuth2概述 Spring Security OAuth2Spring Security框架的一个扩展,旨在支持OAuth2协议...
spring-boot spring-security-oauth2 完整demo
11-22
在代码中,开发者可能通过注释详细说明了每个步骤的实现,例如如何配置OAuth2客户端信息,如何处理授权回调,以及如何在Spring Security中设置访问控制规则。 此外,标签中提到的“sso”(Single Sign-On)表示这个...
SpringBoot OAuth2
cn_yaojin
05-19 524
. IDEA 新建module(我是在原有的项目里面建的,因此创建module就行):oauth2,然后在pom文件中引入资源: <!-- springboot 的版本 --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId>
Spring Boot Oauth2
Glory丶笨小孩
05-22 1万+
Spring Boot Oauth2 pom.xml &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.springframework.boot&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;spring-boot-star
Spring Boot OAuth2
zzpf2007的专栏
07-27 1万+
Spring Boot OAuth2 简要实现
SpringBoot 之 Oauth2
const_
09-27 399
服务接入oauth2_微服务权限终极解决方案,Spring Cloud Gateway+Oauth2 实现统一认证和鉴权 https://blog.csdn.net/weixin_33716865/article/details/112339860 springboot-安全认证security+jwt+OAuth2.0关系梳理 https://blog.csdn.net/shishuai4206/article/details/111504155 Spring SecurityOAuth2(介绍)
Spring Boot 中的OAuth 2
探索er的博客
05-12 8375
Spring Boot 中的OAuth 2
通过 Spring Security + OAuth2.0 实现只允许客户端使用被授权的资源
cab5的博客
07-28 1016
背景 司内有统一的 OpenApi(annoroad-openapi) 平台对外提供接口服务, 采用的是 OAuth2.0 中的客户端模式,第三方通过我司为分配的 clientId/clientSecret 去获取 access token,然后每次请求都要携带 access token,整个认证鉴权是基于 Spring Security + OAuth2.0实现的。 之前 OpenApi 业务比较单一(主要针对 CRM ),对接的第三方也比较少(只有 CRM 服务商,以及司内的开发团队),所以,得到
springboot Oauth2配置OAuth2AuthenticationProcessingFilter
热门推荐
huhanguang89的博客
05-23 1万+
工作中遇到一个比较蛋疼的情况,Oauth2人家的jar包封装的好好的,当access_token超时的时候,返回的是OAuth2Exception,格式是{"error":"invalid_request","error_description":"code:'401','msg'='Invalid access token'"}。可是公司其他和我对接的同事非要我统一所有的返回为code,msg。
SpringBoot集成OAuth2.0
d20062056的博客
04-02 2492
OAuth 2.0 是一个开放标准的授权协议,它允许用户授权第三方应用访问其在另一个服务提供商处存储的受保护资源,而无需将自己的用户名和密码直接提供给第三方应用。这极大地增强了用户数据的安全性和隐私性,广泛应用于各种需要第三方授权访问的场景,如社交登录、第三方应用获取用户在云存储服务中的文件等。
spring-security-oauth2spring-security-oauth2-client的区别
最新发布
12-27
`spring-security-oauth2` 和 `spring-security-oauth2-client` 是 Spring 框架中用于处理 OAuth 2.0 相关功能的不同模块,二者存在多方面的区别: ### 功能定位 - **`spring-security-oauth2`**:这是早期 Spring 提供的 OAuth 2.0 支持模块,它涵盖了 OAuth 2.0 服务端和客户端的完整实现,既可以用来构建 OAuth 2.0 认证服务器和资源服务器,也能实现客户端功能。不过该模块从 Spring Boot 2.0 开始不再进行主动维护。 - **`spring-security-oauth2-client`**:是 Spring SecurityOAuth 2.0 客户端提供的专门支持,专注于实现 OAuth 2.0 客户端功能,用于让应用程序能够作为客户端与外部的 OAuth 2.0 授权服务器进行交互,获取访问令牌等操作。 ### 依赖范围 - **`spring-security-oauth2`**:依赖范围较广,包含了构建整个 OAuth 2.0 生态系统的组件,如认证服务器所需的授权端点、令牌端点等的实现,以及资源服务器对令牌的验证等功能。 - **`spring-security-oauth2-client`**:依赖相对单一,主要关注客户端与授权服务器之间的交互流程,例如授权码模式、隐式模式、客户端凭证模式和密码模式(在 OAuth 2.1 中部分模式有调整)下的授权请求、令牌获取等操作。 ### 使用场景 - **`spring-security-oauth2`**:适用于需要自行搭建 OAuth 2.0 认证服务器和资源服务器的场景,例如企业内部需要构建一套完整的 OAuth 2.0 认证体系,对用户进行身份验证和授权管理。 - **`spring-security-oauth2-client`**:适用于应用程序需要作为客户端去访问其他第三方 OAuth 2.0 授权服务器的场景,比如一个 Web 应用需要集成 Google、GitHub 等第三方登录功能。 ### 配置方式 - **`spring-security-oauth2`**:配置相对复杂,需要手动配置大量的 Bean 和属性,例如配置授权服务器的令牌存储方式、客户端信息等。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client") .secret("{noop}secret") .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .redirectUris("http://example.com"); } } ``` - **`spring-security-oauth2-client`**:配置较为简单,借助 Spring Boot 的自动配置特性,只需在配置文件中提供必要的客户端信息,如客户端 ID、客户端密钥、授权服务器的端点地址等,就能快速完成客户端的配置。 ```yaml spring: security: oauth2: client: registration: google: client-id: your-client-id client-secret: your-client-secret scope: openid, profile, email provider: google: authorization-uri: https://accounts.google.com/o/oauth2/v2/auth token-uri: https://www.googleapis.com/oauth2/v4/token ``` ### 版本维护 - **`spring-security-oauth2`**:已停止主动维护,官方推荐使用 Spring Security 5.x 及以上版本中提供的 OAuth 2.0 支持来替代。 - **`spring-security-oauth2-client`**:是 Spring Security 持续维护和更新的模块,与 Spring 的最新版本保持同步,能够及时支持 OAuth 2.0 的新特性和规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值