基于Spring Security 6的OAuth2 系列之一 - 开篇入门

已于 2025-01-23 13:31:53 修改
阅读量1.2k 收藏 22
点赞数 10
分类专栏: OAuth2 文章标签: oauth2 springsecurity6 授权码模式 密码模式 简化模式 客户端模式
于 2025-01-21 10:35:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linwu_2006_2006/article/details/144627521
版权

之所以想写这一系列,是因为之前工作过程中使用Spring Security OAuth2搭建了网关和授权服务器,但当时基于spring-boot 2.3.x,其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0,结果一看Spring Security也升级为6.3.0。无论是Spring Security的风格和以及OAuth2都做了较大改动,里面甚至将授权服务器模块都移除了,导致在配置同样功能时,花费了些时间研究新版本的底层原理,这里将一些学习经验分享给大家。

注意由于框架不同版本改造会有些使用的不同,因此本次系列中使用基本框架是 spring-boo-3.3.0(默认引入的Spring Security是6.3.0),JDK版本使用的是19,本系列OAuth2的代码采用Spring Security6.3.0框架,所有代码都在oauth2-study项目上:https://github.com/forever1986/oauth2-study.git

目录

强烈建议:阅读该系列之前,最好先了解《Spring Security 6系列》,不然看起来很费劲。

1 OAuth2.0是什么

有2.0就有1.0,目前还出了2.1,这个我们先不细讲。我们先从官方文档RFC 6749中,看看怎么描述OAuth2.0的,了解一下OAuth2.0是做什么的。下面是从官方文档摘出来的一段话:

The OAuth 2.0 Authorization Framework
Abstract
The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf. This specification replaces and obsoletes the OAuth 1.0 protocol described in RFC 5849.

直接使用翻译软件:

OAuth 2.0授权框架允许第三方应用程序获取对HTTP服务的有限访问权限,通过编排审批交互来代表资源所有者在资源所有者和HTTP服务之间,或者通过允许第三方应用程序以自己的名义获得访问权限。这规范取代并废弃了所描述的OAuth 1.0协议在RFC 5849。

我们关注几个关键词:第三方应用程序有限访问资源所有者
从上面的关键词,我们大概能猜出OAuth 2.0是一个授权的东西,其中还包括了第三方应用程序资源所有者等角色。简单来说OAuth 2.0是一个授权协议框架(也就是一个空壳子),规范了资源所有者(也就是你)允许授权给第三方应用程序,授权后,第三方应用程序可以从资源所有者中有限访问资源的流程。这么说还是有点模糊,我们举一个实际应用例子来说明一下,这样你可能更有感觉:

假如你是一个淘宝商家,然后你想通过你的订单数据分析你的客户,这时候你请了一个第三方分析应用。你每个月就从淘宝导出数据,再导入到第三方分析应用中。这样过程你觉得很麻烦。
有一个办法就是把你的淘宝账号密码交给第三方分析应用系统,然后它用你的账号密码开发接口拉取数据。这样虽然方便了,但是有一个安全隐患,就是第三方分析应用知道你的淘宝账号密码。
那么,有没有一种办法在第三方分析应用不知道我的淘宝账号密码的情况下能拉取订单数据?这时候OAuth协议就诞生了,它就规范了在不获取你淘宝账号密码的情况下,又能够获取到你的订单数据,而其它数据它无法获取。而且它获取数据还需要你先同意,你还可以控制给它的权限的有效期。

1.1 关键角色

通过前面的例子,是不是比较能够理解一些,其中分了好几个角色。那么接下来我们结合例子来说明一下OAuth 2.0的一些关键角色:

  • 客户端(Client):请求访问资源的第三方应用;上面的例子就是第三方分析应用
  • 授权服务器(Authorization Server):授权服务器是用于处理和发放访问令牌的服务器。当用户请求访问资源时,需要先向授权服务器请求访问令牌。上面的例子就是淘宝
  • 资源服务器(Resource Server):资源服务器是用于存储和管理资源的服务器;当用户拥有访问令牌后,就可以向资源服务器请求访问资源。上面的例子就是淘宝的订单数据,第三方分析应用从淘宝上面获得订单数据。(注意:我们看到的例子授权服务器和资源服务器都是淘宝,实际情况授权服务器和资源服务器可以分开的)
  • 资源所有者(Resource Owner):资源所有者通常就是指用户。上面的例子就是你
  • 访问令牌(Access Token):访问令牌是授权服务器发放给客户端的一个凭证,表示客户端有权访问资源所有者的资源。访问令牌有一定的有效期,过期后需要使用刷新令牌来获取新的访问令牌。上面的例子虽然没有提到,但是结果可能是给了一个临时凭证,让第三方分析应用可以获取到订单数据,而这个凭证就是访问令牌。
  • 刷新令牌(Refresh Token):刷新令牌是授权服务器在发放访问令牌时一同发放的一个凭证,用于在访问令牌过期后获取新的访问令牌。刷新令牌通常有较长的有效期,甚至可以设置为永不过期。上面例子说你可以控制它的权限有效期,就是通过令牌有效期控制。

1.2 基本流程

基本了解完关键角色之后,我们将官方的图结合上面的例子,给你展现一下OAuth 2.0的基本流程
在这里插入图片描述

  • A:Client(第三方分析应用)去请求获得Resource Owner(你)的淘宝订单数据的授权
  • B:Resource Owner(你)授权给Client(第三方分析应用)
  • C:Client(第三方分析应用)去Authorization Server(淘宝)获得授权令牌
  • D:Authorization Server(淘宝)给Client(第三方分析应用)发放授权令牌
  • E:Client(第三方分析应用)拿着授权令牌,去Resource Server(淘宝订单)获取数据
  • F:Resource Server(淘宝订单)验证令牌有效后,提供订单数据给Client(第三方分析应用)

2 OAuth2的模式

我们从上面了解到OAuth2的基本流程(如上图所示),但是其获得授权的方式却有不同的模式也就意味着在A到D这四步会有不同的方式,了解OAuth2的模式的是必需的,因为无论你是搭建客户端或者授权服务器,都必须知道你要采用的是哪种模式。下面讲解一下OAuth2的模式。(我会结合上面举得淘宝例子放到官方图中做解释)

2.1 授权码模式(Authorization Code Grant)

授权码模式:是 OAuth2.0 中最常用的一种模式,这种模式适合那些可以安全存储客户端凭证的应用程序(如 Web 服务器应用),并且它将客户端与资源所有者分离,增加了安全性。授权码是里面流程最复杂,但却是最安全的,大部分开放的OAuth2授权模式都是这种方式。下图为官方授权码模式下的流程。
在这里插入图片描述

  • A:你(User-Agent)打开第三方分析应用(Client客户端),会跳转到**淘宝(Authorization Server授权服务器)**的授权界面
  • B:**你(User-Agent)**点击确认授权
  • C:**淘宝(Authorization Server授权服务器)**会返回一个授权码Code(注意:该Code并非令牌,而是一个临时授权码Code,为了后面能获得令牌),**第三方分析应用(Client客户端)**得到这个授权码Code。
  • D:第三方分析应用(Client客户端)使用授权码Code,再次访问淘宝(Authorization Server授权服务器)去获得令牌token
  • E:淘宝(Authorization Server授权服务器)验证授权码code无误后,返回令牌token

2.2 客户端模式(Client Credentials Grant)

客户端模式:是指客户端(第三方分析应用)以自身身份而不是用户身份向授权服务器请求访问令牌,即没有用户直接参与的授权流程。这种认证对于用户来说是不安全的,因为获得授权并不需要得到用户的确认,因此一般只用于内部系统之间(因为内部系统属于完全可信任的客户端)。如下图,其流程很简单:

在这里插入图片描述

  • A:**第三方分析应用(Client客户端)直接请求淘宝(Authorization Server授权服务器)**的授权(当然会发客户端凭证给授权服务器)
  • B:淘宝(Authorization Server授权服务器)验证通过,直接发放令牌token第三方分析应用(Client客户端)

2.3 密码模式(Resource Owner Password Credentials Grant)(将弃用

注意:该模型在OAuth2.1已经弃用,后续也不会有代码实现,但是你可以了解一下流程

密码模式:指定是客户端使用用户的凭证(也就是账号密码)向授权服务器申请令牌。这个会暴露用户的用户名和密码,并没有解决我们说的淘宝例子的问题,这种模式在 OAuth2 中安全性较低,因为用户的凭证直接暴露给客户端,因此将在OAuth2.1弃用。

在这里插入图片描述

  • A:你(Resource Owner)将自己的凭证(账号密码)提供给第三方分析应用(Client客户端)
  • B:第三方分析应用(Client客户端)通过凭证去淘宝(Authorization Server授权服务器)获取令牌token
  • C:淘宝(Authorization Server授权服务器)验证通过后,发放令牌token

2.4 简化模式(Implicit Grant)(将弃用

注意:该模型在OAuth2.1已经弃用,后续也不会有代码实现,但是你可以了解一下流程

简化模式:其实就是简化了授权码模式,授权码模式中需要先获得授权码code,再获得令牌token,而简化模式直接获得令牌token。由于访问令牌token暴露在 URL 中,容易被中间人攻击(例如通过 URL 拦截),不安全,因此OAuth2.1已经弃用。

在这里插入图片描述

  • A:你(User-Agent)打开第三方分析应用(Client客户端),会跳转到**淘宝(Authorization Server授权服务器)**的授权界面
  • B:**你(User-Agent)**点击确认授权
  • C:淘宝(Authorization Server授权服务器)确认授权后,返回Hash值,其中就会包含令牌token
  • D:使用浏览器自动取访问淘宝订单(Resource Server资源服务器)
  • E:**淘宝订单(Resource Server资源服务器)**会返回一个script脚本(该脚本是用来解析Hash值)。
  • F:浏览器使用E中获取到的Script去解析C中获取到的Hash值,从中获得令牌token
  • E:浏览器将解析到的令牌token发给第三方分析应用(Client客户端)

结语:这一章我们基本上对OAuth2做什么的做了基本了解,同时还了解了其关键角色以及模式,这两部分都是非常重要的,因为后面编程都需要理清楚你是什么角色,以及采用哪种模式。我们接下来会通过客户端、授权服务器以及资源服务器三个方面讲述整个Spring Security实现OAuth的过程。下面3章主要是从一个Client客户端角色,使用授权码模式,让github给我们授权并访问github获得用户信息,并讲解Spring Security的oauth2-client组件底层原理。

Spring Boot安全:OAuth2和JWT集成的魔法护盾
java专栏
07-23 1363
在数字化的今天,数据安全是每个应用的基石。Spring Boot安全可以帮助我们验证用户身份、授权访问,并保护敏感数据不被未授权访问。OAuth2是一个行业标准的协议,用于授权。它允许用户让第三方应用访问他们存储在另外服务上的数据,而无需将用户名和密码提供给第三方。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在网络应用环境间传递声明(claim)。它使用JSON对象进行编码,并通过数字签名确保数据不被篡改。
spring-security-oauth2(十一) QQ登陆下
codeing-tiger
01-06 1970
 QQ登陆下 登陆本地调试 在上篇文章结尾中我们登陆报回调地址错误 这是怎么回事呢?原来第三方应用引导用户到认证服务器和认证服务器带着授权码的返回到第三方应用的地址是一样的都为/auth/qq。但是由于回调域名只支持80端口,所以将我们的项目端口修改成80端口或者做端口映射,同时修改hosts文件来进行本地调试。 比如在qq互联中心申请的回调地址为 http://www.ictgu.cn/l...
SpringSecurity6+OAuth2.0 从入门到熟练使用
北执南念的博客
11-03 1730
SpringSecurity6+OAuth2.0 从入门到熟练使用
SpringSecurity6登录及其权限验证(二)OAuth2登录(Gitee)
最新发布
m0_74220375的博客
04-19 604
结合SpringSe基于Spring Security 6.4.3实现Gitee OAuth2登录,通过策略模式统一用户信息处理,采用JWT令牌认证。配置简洁,扩展性强,支持动态权限管理,提供标准化错误处理,确保安全可靠。完整实现包含应用注册、核心配置、用户信息标准化三大模块,生产级解决方案。curity 完成:第三登录(Gitee为例),进行登录认证。
SpringSecurityoAuth2.0 从入门到源码精通 之 (六)spring security 配置多条过滤器链
llk15884975173的博客
12-01 1077
在前一篇文章中,我们介绍了 Spring Security 的启动流程和配置流程,在介绍 WebSecurity 时,我们提到可以创建多个 WebSecurityConfigurerAdapter 的子类实例,也就会创建多条过滤器链,今天我们就来简单了解一下如何配置多个过滤器链。 1 简单配置 配置方法很简单,我们直接上代码: 创建一个配置类,再在该类中创建几个 WebSecurityConfigurerAdapter 的子类,并给这些类加上 @Order 和 @Configuration 注解: Mult
Spring Security6 & OAuth2 实现流程
2302_80490510的博客
11-28 1943
实现 Filter 接口,设置登陆的用户信息,然后继续执行请求。@Override// 在请求处理之前执行的操作// 设置登陆的用户信息// 继续传递请求和响应// 在响应处理之后执行的操作/** 禁用不必要的默认filter,处理异常响应内容 */// 禁用SpringSecurity默认filter。
SpringSecurity整合OAuth2.0
玩转Java
12-10 1万+
springsecurity整合aoth2.0
基于Spring Security 6OAuth2 系列之三 - 客户端--基于Spring Security演示授权码模式
代码还是得自己扣
01-22 1238
到这里,我们已经通过Spring Security 6oauth2-client完成了我们在系列2中手动实现的授权码模式获得用户信息的流程。下面我们将会从源代码的方式解析oauth2-client是如何完成这一过程。
关于 SpringCloud oauth2 JWT 认证与授权解决用户信息变更token失效问题的解决(伪)
Tkzc_Yuan的博客
12-24 4786
解决jwt在密码发生改变后使原token失效的问题(伪)
SpringBoot+SpringSecurity+SpringSession配置快速入门与应用场景分析
satanradnana的专栏
02-23 2449
简介 公司有一个复杂项目,需要建设多个应用系统。例如:用户管理系统、门户系统、客户管理系统、采购系统、销售管理系统、库存系统等。所有系统的用户均需要通过用户管理系统进行统一授权,每个角色通过门户系统登录一次就可以跳转到所有授权的子系统。这种场景我们就需要建设一套单点登录的模式。常见的有CAS、OAuth2、LDAP等。初步调研后发现每种类型都有很多坑,而且最主要的是开发工作量大。有没有一...
Spring Security 实战内容:需要掌握的一些内置 Filter
vx539413949的博客
04-09 621
1. 前言 上一文我们使用 Spring Security 实现了各种登录聚合的场面。其中我们是通过在 UsernamePasswordAuthenticationFilter 之前一个自定义的过滤器实现的。我怎么知道自定义过滤器要加在 UsernamePasswordAuthenticationFilter 之前。我在这个系列开篇说了 Spring Security 权限控制的一个核心关键就是 过滤器链 ,这些过滤器如下图进行过滤传递,甚至比这个更复杂!这只是一个最小单元。 Spring Securi.
精通Spring Security 5实现Reactive应用安全
这里,我们需要详细探讨几个核心知识点,包括反应式编程、Spring框架基础、Spring Security基础、认证机制、授权机制、OAuth2、微服务和无服务器应用的安全性集成以及Spring Security模块的附加集成。 首先,反应式...
Spring Security Oauth2源码分析
小小本科生
07-16 1447
1、用户发起了一个未经身份验证的请求。2Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
基于Spring Security 6OAuth2 系列之十五 - 高级特性--客户端认证方式
代码还是得自己扣
02-12 1293
本章讲了授权服务器对客户端认证的几种不同方式及其原理,并使用代码演示一遍。下一章我们继续讲述这一部分内容,也就是none方式的客户端认证,但是会有一个新的扩展-PKCE扩展,这是OAuth2.1版本才有的,说明Spring Security 6 还是走在比较前面。
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 3108
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 三 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
Spring Security 6.x 系列26】源码篇之OAuth2登录流程
记录知识、锤炼自我
04-21 1524
在上篇文档中,我们使用Spring Security集成了GitHub、码云登录,接下来跟随源码分析下整个流程,首先看下码云官网提供的OAuth2 认证文档。
Spring Cloud Security + oauth2 +JWT的简单应用
shuangge10087的博客
04-20 329
访问http://localhost:8890/hello,因为没登录,自动跳转到该页面。然后调用测试接口,用刚刚获取到的请求头accessToken,展示得到的User对象。在实验2的代码基础上,进行jwt整合,使用JWT存储令牌(Token)使用该授权码获取accessToken,在postman下输入。(3).调用测试接口,获取到user对象。配置,允许认证相关路径的访问及表单登录。2.修改认证服务器的配置,添加以下代码。1.在第1题的基础上,再添加依赖。(2).通过postman,访问。
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 2万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
qjyn1314的博客
11-08 1万+
前后端分离的Oauth2.0实践-授权码模式
adb: error: failed to get feature set: more than one device/emulator
03-16
这个错误提示是因为连接到计算机上的设备或模拟器数量超过了一个,导致adb无法确定要与哪个设备通信。解决方法是在adb命令后面加上"-s"参数,指定要操作的设备或模拟器的序列号或名称。可以使用"adb devices"命令查看当前连接的设备或模拟器的序列号或名称。例如,如果要操作序列号为"123456"的设备,可以使用命令"adb -s 123456 <command>"。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

linmoo1986

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值