基于Spring Security 6的OAuth2 系列之十六 - 高级特性--PKCE

最新推荐文章于 2025-04-25 06:00:00 发布
最新推荐文章于 2025-04-25 06:00:00 发布
阅读量1.3k 收藏 30
点赞数 27
分类专栏: OAuth2 文章标签: springsecurity6 oauth2 授权服务器 PKCE 客户端认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linwu_2006_2006/article/details/144745185
版权

之所以想写这一系列,是因为之前工作过程中使用Spring Security OAuth2搭建了网关和授权服务器,但当时基于spring-boot 2.3.x,其默认的Spring Security是5.3.x。之后新项目升级到了spring-boot 3.3.0,结果一看Spring Security也升级为6.3.0。无论是Spring Security的风格和以及OAuth2都做了较大改动,里面甚至将授权服务器模块都移除了,导致在配置同样功能时,花费了些时间研究新版本的底层原理,这里将一些学习经验分享给大家。

注意由于框架不同版本改造会有些使用的不同,因此本次系列中使用基本框架是 spring-boo-3.3.0(默认引入的Spring Security是6.3.0),JDK版本使用的是19,本系列OAuth2的代码采用Spring Security6.3.0框架,所有代码都在oauth2-study项目上:https://github.com/forever1986/oauth2-study.git

目录

上一章,我们将来客户端前四种的认证方式,这一章来讲到none的认证方式,这种认证方式其实和OAuth2.1协议有关,因此放到本章。本章会先讲关于OAuth2.1有什么新的特性,之后再说none认证与PKCE。
Spring Authrization Server其实是极具前瞻性,他们不仅实现了OAuth2.1(该协议还只是个草稿,目前出了13个版本了),同时还新增OIDC1.0协议。下面我们就这些新的特性一样讲解,这样让我们能更好使用Spring Authrization Server

1 OAuth2.1新的特性

虽然OAuth2.1只是一个草案阶段,但是Spring Authrization Server还是对其做了实现。我们主要来看看相对于OAuth2.0,OAuth2.1做了一下关键的改变:

  • 1)废除OAuth2.0中的密码模式简化模式。我们从《系列之一 - 开篇入门》中知道,这两种模式很不安全,因此废除。(因此在本次系列中只采用授权码模式和客户端模型进行演示)
  • 2)对授权码模式增加了PKCE扩展,PKCE的官方文档RFC 7636,这是本章重点,后面会讲
  • 3)增加了设备授权码模式,参考RFC 8628,主要为了支持智能电视、游戏机、IoT 设备等无法输入凭证的一种模式(这个下一章讲)
  • 4)增加了刷新token模式,之前虽然2.0有说到刷新token,但是2.1给出完整流程规范。这部分我们在《系列之十 - 授权服务器–刷新token》中已经讲过token的刷新

2 PKCE扩展

2.1 为什么需要PKCE扩展

我们先回顾一下《系列之一 - 开篇入门》中讲到的授权码模式:

在这里插入图片描述

  • A:你(User-Agent)打开第三方分析应用(Client客户端),会跳转到淘宝(Authorization Server授权服务器)的授权界面
  • B:你(User-Agent)点击确认授权
  • C:淘宝(Authorization Server授权服务器)会返回一个授权码Code(注意:该Code并非令牌,而是一个临时授权码Code,为了后面能获得令牌),第三方分析应用(Client客户端)得到这个授权码Code。
  • D:第三方分析应用(Client客户端)使用授权码Code,再次访问淘宝(Authorization Server授权服务器)去获得令牌token
  • E:淘宝(Authorization Server授权服务器)验证授权码code无误后,返回令牌token。

我们看到在步骤C是先返回一个授权码Code,这个授权码可以去请求token,这时候如果有黑客拦击到这个授权码Code,也是可以获得token,这就比较危险。为了减轻这种攻击,就引入PKCE。

PKCE:全称Proof Key for Code Exchange by OAuth Public Clients。下面我们从官方文档摘取流程,说明一下PKCE如何加强这方面的安全:

在这里插入图片描述

  • 1)A:客户端发送获取授权码Code时,会新增两个参数,一个是加密算法t_m一个是将一个值coder_verfier进行加密后t(coder_verfier)
  • 2)B:授权服务器返回授权Code,同时会记录下加密算法t_m和加密后的coder_verfier值
  • 3)C:客户端去获取token时,带上未加密的coder_verfier,也就是原始值。授权服务器会验证coder_verfier是否正确(通过步骤B保存的加密算法t_m和加密后的coder_verfier值)

可以看出,PKCE是对授权码模式的改进,因此就是一个增强版的授权码模式

2.2 PKCE的底层原理

参数转换:PublicClientAuthenticationConverter
认证处理:PublicClientAuthenticationProvider

1)none认证方式首先在我们请求授权码code时,对于其参数解析的OAuth2AuthorizationCodeRequestAuthenticationConverter会去判断code_challenge和code_challenge_method参数

在这里插入图片描述

2)在授权码code的Provider中OAuth2AuthorizationCodeRequestAuthenticationProvider,会对是否存在code_challenge和code_challenge_method参数进行判断,其中配置了requireProofKey=true,则是必需使用PKCE方式

在这里插入图片描述

3)因为请求授权码时,会将信息先存储在oauth2_authorization,其实code_challenge和code_challenge_method参数都保存在attributes字段中

4)再次请求token时,会使用PublicClientAuthenticationConverter中判断是否存在code_verifier参数

在这里插入图片描述

5)如果参数没问题,那么在PublicClientAuthenticationProvider中进行认证

在这里插入图片描述

6)从上图我们知道使用一个CodeVerifierAuthenticator进行验证,如下图会获取之前保存的信息,在使用code_verifier参数进行验证

在这里插入图片描述

7)我们再看看codeVerifierValid方法,其使用的是SHA-256进行验证,而且codeChallengeMethod参数是S256

在这里插入图片描述

至此,我们就了解了其工作原理。下面我们通过一个示例,进行演示一遍

2.3 代码实现

代码参考lesson10子模块

1)新建lesson10子模块,其pom引入如下:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-oauth2-authorization-server</artifactId>
    </dependency>
</dependencies>

2)在resources下配置yaml文件,配置端口和Spring Security的用户密码

server:
  port: 9000

logging:
  level:
    org.springframework.security: trace


spring:
  security:
    # 使用security配置授权服务器的登录用户和密码
    user:
      name: user
      password: 1234

3)在config包下,创建配置类SecurityConfig,对客户端信息、授权服务器以及Spring Security进行配置

@Configuration
public class SecurityConfig {

    // 自定义授权服务器的Filter链
    @Bean
    @Order(Ordered.HIGHEST_PRECEDENCE)
    SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
                // oidc配置
                .oidc(withDefaults());
        // 异常处理
        http.exceptionHandling((exceptions) -> exceptions.authenticationEntryPoint(
                new LoginUrlAuthenticationEntryPoint("/login")));
        return http.build();
    }

    // 自定义Spring Security的链路。如果自定义授权服务器的Filter链,则原先自动化配置将会失效,因此也要配置Spring Security
    @Bean
    @Order(SecurityProperties.BASIC_AUTH_ORDER)
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests((authorize) -> authorize
                .requestMatchers("/jwt").permitAll()
                .anyRequest().authenticated()).formLogin(withDefaults());
        return http.build();
    }

    @Bean
    public RegisteredClientRepository registeredClientRepository() {
        RegisteredClient registeredClient3 = RegisteredClient.withId(UUID.randomUUID().toString())
                // 客户端id
                .clientId("oidc-client")
                // 客户端密码
                .clientSecret("{noop}secret")
                // 客户端认证方式
                .clientAuthenticationMethods(methods ->{
                    methods.add(ClientAuthenticationMethod.NONE);
                })
                // 客户端配置requireProofKey=true
                .clientSettings(ClientSettings.builder()
                        .requireProofKey(true)
                        .requireAuthorizationConsent(true)
                        .build())
                // 授权码模式
                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
                // 回调地址
                .redirectUri("http://localhost:8080/login/oauth2/code/oidc-client")
                .postLogoutRedirectUri("http://localhost:8080/")
                // 授权范围
                .scopes(scopes->{
                    scopes.add(OidcScopes.OPENID);
                    scopes.add(OidcScopes.PROFILE);
                })
                .build();

        return new InMemoryRegisteredClientRepository(registeredClient3 );
    }

}

4)在utils包下,新建PkceTest类,用于生成加密的参数code_challenge

public class PkceTest {

    public static void main(String[] args) throws Exception{
        // 明文
        String code_verifier = "linmoo";
        // 摘要算法
        String code_challenge_method = "SHA-256";
        // 密文
        byte[] bytes = code_verifier.getBytes(StandardCharsets.US_ASCII);
        MessageDigest md = MessageDigest.getInstance(code_challenge_method);
        byte[] digest = md.digest(bytes);
        String code_challenge = Base64.getUrlEncoder().withoutPadding().encodeToString(digest);
        System.out.println(code_challenge);
    }

}

5)创建启动类Oauth2Lesson10ServerApplication,并启动项目

@SpringBootApplication
public class Oauth2Lesson10ServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(Oauth2Lesson10ServerApplication.class, args);
    }

}

6)测试效果

运行PkceTest类的main函数,生成一个加密的数据

在这里插入图片描述

请求授权码code

在这里插入图片描述

登录

在这里插入图片描述

获取授权码code(记得设置postman不自动跳转)

在这里插入图片描述

获取token

在这里插入图片描述

结语:本章我们了解了none情况下的认证模式,可以通过PKCE进行增强。其实PKCE不止是none认证方式,所有认证方式下都可以加入PKCE,但是PKCE只能用于授权码模式,不能用于客户端模式。下一章,我们将继续OAuth2.1未讲解的一个关键更新:设备授权码模式

Spring Security 6.x 系列【58】授权服务器篇之Oauth 2.0 PKCE规范
记录知识、锤炼自我
06-18 1463
PKCE全称是Proof Key for Code Exchange,翻译过来是交换授权码时的证明秘钥,官方读音为pixy。PKCE规范于2015年发布,收录在RFC 7636文件中。 OAuth 2.0公共客户端在使用授权码模式时,很容发生授权码拦截攻击,PKCE规范描述了该攻击以及如何防范。
Spring Security 6.x 系列24】OAuth2认证篇之OAuth 2.0 协议
记录知识、锤炼自我
04-20 1783
Open Authorization(开放授权)简称OAuth,它是一种开放标准的授权协议,允许用户授权第三方应用访问其在网站上受保护的资源。 2007年, OAuth 1.0 版本发布, 但是过于复杂,漏洞较多,2012年,OAuth 2.0正式发布,因为其简单易用,迅速成为使用最广泛的版本,目前大多数的互联网产品,比如微信、支付宝、百度等都提供了OAuth认证服务。
SpringCloud搭建微服务之OAuth2.1认证授权
liu320yj的博客
10-10 7226
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
Spring Authorization Server:OAuth 2.1与OpenID Connect实现
最新发布
程序媛学姐的博客
04-25 1176
Spring Authorization Server为Java开发者提供了一个功能完备的OAuth 2.1和OpenID Connect实现,满足了现代企业对认证授权的严格要求。通过灵活的架构设计和丰富的扩展点,它支持从简单场景到复杂企业环境的各种需求。OAuth 2.1的安全增强特性,如PKCE、刷新令牌轮换和重定向URI验证,提高了授权流程的安全性。OpenID Connect的支持简化了身份验证与授权的集成,使系统能够安全地识别用户并授予适当的访问权限。
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
new_ord的博客
07-17 2043
保护OAuth2公共客户端中的授权代码流,使用了一个名为代码交换证明密钥 (PKCE) 的扩展。
SpringSecurity系列文章 (六)Spring Security Oauth2
kay三石
01-19 802
Spring Security Oauth2 授权服务器 Authorize Endpoint : 授权端点,进行授权 Token endpoint :令牌端点,进行授权拿到对应的token Introspection Endpoint :校验端点,校验token Revocation Endpoint : 撤销端点,撤销授权 Spring Security Oauth2 流程: 1.用户访问,此时,没有token , Oauth2RestTemplate会出错,这个报错信息将会被Oauth2Cli
【转】OAuth 2.0 扩展协议之 PKCE
sunshingheavy的专栏
04-23 898
zOAuth 2.0 扩展协议之 PKCE 转自:OAuth 2.0 扩展协议之 PKCE - SpringLeee - 博客园 (cnblogs.com) 前言 阅读本文前需要了解 OAuth 2.0 授权协议的相关内容, 可以参考我的上一篇文章OAuth 2.0 的探险之旅。 PKCE 全称是 Proof Key for Code Exchange, 在2015年发布, 它是 OAuth 2.0 核心的一个扩展协议, 所以可以和现有的授权模式结合使用,比如 Authorization Code.
Spring Security6 & OAuth2 实现流程
2302_80490510的博客
11-28 1943
实现 Filter 接口,设置登陆的用户信息,然后继续执行请求。@Override// 在请求处理之前执行的操作// 设置登陆的用户信息// 继续传递请求和响应// 在响应处理之后执行的操作/** 禁用不必要的默认filter,处理异常响应内容 */// 禁用SpringSecurity默认filter。
Spring Authorization Server:实现OAuth2认证服务
m0_64132144的博客
11-13 1539
Spring Authorization Server是一个安全框架,它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关的实现。Spring Authorization Server是在Spring Security的基础上构建的,它为构建OAuth2授权服务和OpenID Connect 1.0身份提供者提供了一个安全、轻量级、可定制的基础。OAuth2协议定义了一系列关于认证授权的标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。
微服务-微服务Spring Security OAuth 2实战
weixin_43874650的博客
02-25 1945
OAuth 2.0 (Open Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。
具有PKCE的轻量级OAuth 2.0客户端-Swift开发
05-27
具有PKCE的轻量级OAuth 2.0客户端OAuth2Client具有PKCE的轻量级OAuth 2.0客户端(代码交换的证明密钥:请参阅RFC 7636)用法登录OAuth2Client()。signIn(request:request).receive(on:yourQueue).sink(receiveCompletion:{ }中的(完成),receiveValue:{credential.save()中的{(凭据)})加载访问令牌Credential.load()刷新OAuth2Client()。refresh(request:request).receive(on:yourQueue).sink(receiveCompletion :{{在}中的完成数,receiveValue:{(凭证)在cre中
SpringSecurity6+OAuth2.0 从入门到熟练使用
北执南念的博客
11-03 1730
SpringSecurity6+OAuth2.0 从入门到熟练使用
SpringSecurity6实现动态权限,rememberMe、OAuth2.0授权登录,退出登录等功能
路漫漫其修远兮,吾将上下而求索
05-13 2660
SpringSecurity第三讲,介绍动态权限,OAuth2.0的第三方授权登录,退出登录等功能
6.Spring Security(一) -- Oauth2使用入门
折剑听雨落
06-04 380
1.OAuth2 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可以是浏览器、移动设备或者服务器; Authorization server(认证服务器):用于认证用户的服务器,如果客户端认证通过,发放访问资源服务器的令牌。 2.四种授权模式 Auth
spingsecurity6+oauth2 实现数据库配置客户端
weixin_42930944的博客
03-25 997
/从数据库读取,如果数据库变动校验时也会用库里面的。数据库脚本 (样例为sqlserver,其它脚本需自行调整)此文只是记录oauth2客户端基于数据库配置。详细配置详见另一篇文章。
Spring OAuth2 PKCE介绍
onePlus5T的博客
08-22 1164
PKCE 是“Proof Key for Code Exchange”的缩写,它是一种安全增强机制,主要用于公共客户端,如移动应用和单页应用。PKCE 的工作原理是通过增加一个动态密钥来防止授权码被劫持
OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 4351
OAuth2扩展协议 PKCE
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
竹林幽深
08-11 1796
您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。编写授权服务// }创建两个实体类其一:User// 导入 Lombok 库中的注解import lombok.Builder;
springsecurity6 oauth2
09-20
Spring Security OAuth2是一个基于OAuth 2.0标准的安全框架扩展,它为Spring应用程序提供了一种简单的方式来集成OAuth 2.0协议,实现用户身份验证、授权以及资源访问控制。OAuth2允许第三方应用通过用户的同意获取其有限的资源访问权限,而无需分享完整的用户名和密码。 Spring Security OAuth2的主要功能包括: 1. 客户端注册管理:存储并管理客户端的配置信息,如回调URL、应用ID等。 2. 授权服务器:处理授权请求,颁发access_token和refresh_token。 3. 认证流程支持:如授权码模式(Authorization Code Grant)、隐式模式(Implicit Grant)、客户端凭据模式(Client Credentials Grant)等。 4. 安全访问决策:保护受保护的资源,根据access_token的有效性和权限检查是否允许访问。 使用Spring Security OAuth2,开发者可以快速地在Spring MVC、WebFlux或其他Spring框架的应用中实现安全的API访问控制。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

linmoo1986

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值