OAuth鉴权——douban示例

最新推荐文章于 2025-04-17 09:30:00 发布
原创 最新推荐文章于 2025-04-17 09:30:00 发布 · 3.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#authorization #token #应用服务器 #url #c #user

本文详细介绍了使用豆瓣API时OAuth鉴权的具体步骤,包括获取RequestToken、用户授权、换取AccessToken等过程。

本文以访问的doubanoauth鉴权为例,说明与上篇“OAuth鉴权——原理”步骤相对应的具体内容。

操作前准备

douban网进行注册,申请访问doubanAPI权限并获得该客户oauth_consumer_keyoauth_consumer_secret,分别对应字符串:08317f4ef55c69f818947dece0153de8d5123fbe2351a66a

douban网提供的RequestToken URLUserAuthorization URLAccessTokenURL分别为

http://www.douban.com/service/auth/request_token

http://www.douban.com/service/auth/authorize

http://www.douban.com/service/auth/access_token

具体操作

A. 客户端(第三方软件)向doubanOAUTH服务器请求未授权的RequestToken。向http://www.douban.com/service/auth/request_token发起请求,在请求头中包含Authorization参数,参数值如下:

     Authorization ="OAuth realm=\"\",

     oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",

     oauth_signature_method=\"HMAC-SHA1\",

     oauth_signature=\"sakzOEJkvdLuQQ147tkH96UfRUk%3D\",

     oauth_timestamp=\"1296185895\",

     oauth_nonce=\"F05FDFAE-251C-4F5C-96B8-8891E9FFA798\",

     oauth_version=\"1.0\"";

注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/request_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=F05FDFAE-251C-4F5C-96B8-8891E9FFA798&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185895&oauth_version=1.0,用于鉴名的密匙为oauth_consumer_secretd5123fbe2351a66a

B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者;

     oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_token_secret=6630aaac2859a95f

C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。即向UserAuthorization URL发起请求并在请求中携带上一步服务提供商颁发的未授权的token与其密钥。

    本次请求URL格式:http://www.douban.com/service/auth/authorize?oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_token_secret=6630aaac2859a95f

D. OAUTH服务提供商通过网页要求用户登录并引导用户完成授权

    引导页面如下:

点击登录,进入登录页面,输入用户Email及密码;登录成功后,要求用户选择是否允许第三方应用访问

点击同意,允许第三方应用操作douban数据


E. Request Token授权后,使用者将向http://www.douban.com/service/auth/access_token发起请求,将B)步骤中获得的RequestToken换取成AccessToken,同样在请求头中包含Authorization参数:

     Authorization ="OAuth realm=\"\",

     oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",

     oauth_token=\"bd91a88ccc59247038b4f9a6650b6d50\",

     oauth_signature_method=\"HMAC-SHA1\",

     oauth_signature=\"D1FG9iv536wT75flCsd4Myf60CA%3D\",

     oauth_timestamp=\"1296185954\",

     oauth_nonce=\"C607984D-7249-4C69-B50E-3051F0FF6711\",

     oauth_version=\"1.0\"";

注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/access_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=C607984D-7249-4C69-B50E-3051F0FF6711&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185954&oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_version=1.0,用于鉴名的密匙为oauth_consumer_secret6630aaac2859a95f

F. OAUTH服务提供商同意使用者的请求,并向其颁发AccessToken与对应的密钥,并返回给使用者。对于douban应用服务器还返回了douban_user_id。返回结果:oauth_token=a8368ebd03415dfdf8a3ac3709c419f7&oauth_token_secret=2b211ceab9b567f6&douban_user_id=48880757

G. 使用者以后就可以使用上步返回的AccessToken密钥访问用户授权的资源。







OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 3965
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SaaS开放平台安全方式: Oauth机制及接入说明
行者无疆
10-09 3022
SaaS开放平台,通常使用Oauth方式,微信开放平台、淘宝开放平台等都采用了这种方式。下面介绍一下Oauth的原理以及如何接入。 1. Oauth是什么 Oauth(开放授,Open Authorization)是一个开放标准。 允许第三方应用在用户授的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授无需将用户提供用户名和密码提供给该第三方网站。 OAu...
oauth2.0
02-18
oauth2.0认证!支付宝、微信相关sdk是采用它进行
记一次OAuth2.0用户
Karka_的博客
12-25 1484
我们平时登录不同的平台,总会有使用到Token的场景,比如用github账户登录掘金,这个时候我们肯定不会把自己的github账号密码给掘金, OAuth 就是这一套机制,用于各种免密授登录场景,在便利的同时保证安全性,其实就是向平台申请token。笔者最近在用spotify API二次开发自己的应用,所以也碰到用户登录的场景,踩坑蛮多,也学到很多,所以整理下来,希望能帮助到大家🤗。
OAuth——原理
lingedeng的专栏
09-16 8367
<!-- p {margin-bottom:0.21cm} --> OAUTH协议为用户资源的授提供了一个安全的、开放而又简易的标准。与以往的授方式不同之处是OAUTH的授不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名
oauth configuration——new.docx
08-25
在更改管理设置部分,需要在TMSMW的Web控制台中更改安全访问设置,并启用OAuth协议。在此过程中,需要输入之前生成的客户端ID和密钥,上传客户端证书,并在必要时输入密码。如果需要配置客户端证书验证,还需重命名...
请提供一张oauth2示例
07-28
但我可以为您提供一个OAuth 2.0的示意图的描述: 1. 用户向客户端应用发起请求。 2. 客户端应用将用户重定向到授服务器,并携带自己的客户端ID和重定向URI。 3. 用户在授服务器上进行身份验证,并授...
authlete-php-sample-server:使用 Authlete 在 PHP 中实现 OAuth 2.0 服务器的示例
07-11
server.sh是启动服务器的脚本,它实现了 OAuth 2.0 端点(授端点和令牌端点)和两个受保护的资源端点( /fortune和/saying )作为示例。 有关详细信息,请参阅。 请注意,此源代码树( )中包含的client.json中...
OAuth 2.0: 高度灵活与安全的身份认证框架
人生苦短,睡觉要紧,睡醒再说
11-05 1954
OAuth 2.0不仅允许第三方应用在不访问用户密码的前提下安全地访问用户在其他平台上的资源(如社交媒体账户或云存储),还通过灵活的授模式满足了不同应用场景的需求。无论是Web应用、移动端应用还是桌面客户端,OAuth 2.0都为开发者提供了一个高效、可靠的解决方案。在本篇文章中,我们将深入分析OAuth 2.0的核心概念、授流程、常见授模式以及其在实际开发中的应用,帮助开发者全面理解这一授机制的优势与实现方法。
《开放平台方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 6533
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问限,是开放平台方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要方式。
Oauth2.0登录验证
02-24
Oauth2.0,第三方登录验证教程。
豆瓣OAuth认证示例项目
06-02
豆瓣OAuth认证示例项目
SpringSecurityOauth实现-动态
weixin_62421895的博客
08-11 533
在BaseController,每个Controller都会继承这个的,在里面写给getUser()的方法,只要用户带了token来访问,我们可以直接获取当前登录用户的信息了。为什么需要这个呢,如果不配置这个,对于前端,后端来说都很难去理解失败返回的内容,还不能统一解读,废话不多说,先看看不配置和配置了的返回情况。(2)我们规定一下,失败的接口返回接口之后,变成下面这种了,是不是更利于我们处理和提示用户。(1)未自定义前,没有携带token去访问受保护的API接口时,返回的结果是这的。...
前端OAuth2.0
2301_76603086的博客
04-17 1328
前端方式之一的OAuth如何理解以及实现方式和应用场景
Spring Gateway + Oauth2 + Jwt网关统一
oPeiJie1的博客
04-19 3038
*** @Description 自定义过滤器工厂:设置访问白名单;重新封装认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
springcloud整合oauth2-----服务篇
weixin_45592424的博客
09-10 1503
服务
理解OAuth 2.0
05-13 2033
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
OAuth的几种模式详解
wzh8108的专栏
04-21 5439
OAuth 模式
接口auth、oauth、session、cookie、sign
weixin_47049882的博客
03-18 2162
# 大多数互联网公司用token与sign # auth # oauth涉及很多系统,需要第三方系统授予操作限,一般第三方比较多,:支付宝、QQ、微信、微博等等 # cookies描述:cookies是服务器根据每个用户生成的它类似于我们的临时身份证,cookis只是编码身份的一种,还有token和签名 # session参数:很多接口需要一些公共的参数, # 比如cookies, fw值系统中(都用公共的参数cookies值)通过登录生成,添加地址,文件上传接口 # 建立三个接口,登录接.
spring AI MCP 集成 oauth
最新发布
08-27
<think>我们正在处理用户的问题:如何在Spring AI MCP项目中集成OAuth。 根据提供的引用,我们知道之前有一篇文章讨论了使用OAuth2保护Spring AI MCP服务器,并且提到了使用独立授服务器。 引用[2]中给出了一些依赖和配置的提示。 步骤: 1. 添加必要的依赖:包括OAuth2资源服务器、授服务器以及Spring AI MCP服务器WebMVC的starter。 2. 配置授服务器(如果使用独立的授服务器)或者配置资源服务器以使用已有的授服务器。 3. 配置资源服务器,设置JWT的 issuer-uri 等属性。 由于用户想要集成OAuth,我们假设用户希望保护MCP的端点,因此我们将配置资源服务器。 具体步骤: 第一步:添加依赖 在pom.xml中添加以下依赖(如果使用Maven): - spring-boot-starter-oauth2-resource-server:用于资源服务器支持 - spring-boot-starter-oauth2-authorization-server:如果需要自己搭建授服务器(可选,如果已有独立授服务器则不需要) - spring-ai-starter-mcp-server-webmvc:Spring AI MCP服务器 第二步:配置授服务器(可选) 如果用户需要自己搭建授服务器,可以配置一个。但根据引用[1],他们更倾向于使用独立的授服务器,所以这里我们主要关注资源服务器的配置。 第三步:配置资源服务器 在application.properties或application.yml中配置资源服务器,指定jwt issuer的uri(即授服务器的地址)以及其他安全配置。 示例配置(application.yml): ```yaml spring: security: oauth2: resourceserver: jwt: issuer-uri: http://localhost:9000 # 授服务器的地址 ``` 第四步:配置安全规则 通过配置Spring Security来保护MCP的端点。可以创建一个Security配置类。 示例代码: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/mcp/**").authenticated() // 保护MCP端点 .anyRequest().permitAll() ) .oauth2ResourceServer(oauth2 -> oauth2 .jwt(jwt -> {}) ); return http.build(); } } ``` 注意:上述配置中,我们假设MCP的端点都在/mcp路径下。根据实际情况调整。 第五步:测试 启动应用,访问MCP端点应该需要提供有效的JWT令牌。 引用[1]提到他们之前使用OAuth2保护MCP服务器,并计划使用独立授服务器。因此,如果用户有独立的授服务器,确保issuer-uri指向该服务器。 生成相关问题: 1. 如何生成JWT令牌来测试Spring AI MCP的端点? 2. 如何自定义Spring Security的限规则以保护特定的MCP端点? 3. 如果使用独立的授服务器,如何配置Spring AI MCP作为资源服务器? 注意:在回答中,我们引用了提供的引用[1]和[2],在末尾添加引用标识。</think>### 在 Spring AI MCP 项目中集成 OAuth 的步骤 #### 1. **添加依赖** 在 `pom.xml` 中添加 OAuth2 资源服务器和授服务器的依赖: ```xml <dependencies> <!-- OAuth2 资源服务器 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-resource-server</artifactId> </dependency> <!-- OAuth2 授服务器(可选,若使用独立服务器则无需) --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId> </dependency> <!-- Spring AI MCP 核心 --> <dependency> <groupId>org.springframework.ai</groupId> <artifactId>spring-ai-starter-mcp-server-webmvc</artifactId> </dependency> </dependencies> ``` #### 2. **配置资源服务器** 在 `application.yml` 中配置 JWT 验证: ```yaml spring: security: oauth2: resourceserver: jwt: issuer-uri: https://your-auth-server.com # OAuth2 授服务器地址 jwk-set-uri: https://your-auth-server.com/oauth2/jwks # JWK 端点 ``` #### 3. **配置安全规则** 创建安全配置类,定义端点访问限: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authz -> authz .requestMatchers("/mcp/api/**").authenticated() // MCP 端点需 .anyRequest().permitAll() ) .oauth2ResourceServer(oauth2 -> oauth2.jwt(jwt -> {})); // 启用 JWT 验证 return http.build(); } } ``` #### 4. **配置授服务器(可选)** 若需内置授服务器,添加配置: ```java import org.springframework.context.annotation.Bean; import org.springframework.security.oauth2.core.AuthorizationGrantType; import org.springframework.security.oauth2.server.authorization.client.RegisteredClient; import org.springframework.security.oauth2.server.authorization.settings.TokenSettings; import java.time.Duration; @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient client = RegisteredClient.withId("mcp-client") .clientId("client-id") .clientSecret("{noop}client-secret") .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS) .scope("mcp:access") .tokenSettings(TokenSettings.builder() .accessTokenTimeToLive(Duration.ofHours(1)) .build()) .build(); return new InMemoryRegisteredClientRepository(client); } ``` #### 5. **验证集成** - 访问受保护的 MCP 端点(如 `/mcp/api/models`)时需在请求头中添加: ``` Authorization: Bearer <JWT_TOKEN> ``` - 通过 OAuth2 客户端(如 Postman)获取令牌后测试访问。 ### 关键注意事项 1. **独立授服务器**:推荐使用 Keycloak 或 Okta 等专业服务,避免自建复杂性[^1]。 2. **限粒度**:通过 `@PreAuthorize` 注解实现方法级控制,如: ```java @PreAuthorize("hasAuthority('SCOPE_mcp:admin')") public void deleteModel(String id) { ... } ``` 3. **令牌类型**:Spring Security 默认支持 JWT,若使用 Opaque Token 需额外配置 `introspection-uri`。 ### 性能优化建议 - 启用 JWT 本地签名验证(而非远程调用 JWK 端点) - 使用 Redis 缓存令牌验证结果 - 限制高频端点(如令牌校验)的访问速率 > **示例访问流程**: > 客户端 → 获取 OAuth2 令牌 → 访问 `/mcp/api` → 资源服务器验证 JWT → 授访问或返回 401 --- ### 相关问题 1. 如何为不同的 MCP API 端点设置差异化的 OAuth2 限? 2. 使用 Keycloak 作为外部授服务器时,Spring AI MCP 应如何配置? 3. OAuth2 对 Spring AI MCP 的性能影响如何评估? 4. 如何在 Spring AI MCP 中实现 JWT 令牌的自定义字段校验? [^1]: Spring AI MCP 客户端与 OAuth2 实践(1.0.0) [^2]: 实现,带有限校验的 MCP 服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值