探索 OAuth 2.0 中的 oauth_client_details 表

原创 已于 2024-08-08 10:08:25 修改 · 2.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #java #spring boot #ide #sql

于 2024-08-08 09:56:59 首次发布

目录

引言

一、oauth_client_details 表的由来

二、oauth_client_details 表的结构与作用

1. 表结构

2. 表的作用

三、应用场景

四、代码示例

1. 数据库表结构

2. Spring Boot 配置

3. 使用示例

结论

引言

OAuth 2.0 是一种广泛使用的授权框架,它允许第三方应用程序安全地访问用户的资源,而不需要直接分享用户的凭据。在这个过程中,oauth_client_details 表是一个关键的组成部分。本文将深入探讨该表的由来、作用及其应用场景,并通过代码示例来说明其在实际开发中的重要性。

一、oauth_client_details 表的由来

oauth_client_details 表的设计源于 OAuth 2.0 规范,它用于存储所有注册的客户端信息。这些客户端通常是代表用户请求访问某个资源服务器的应用程序。为了确保安全性,OAuth 2.0 的设计要求每个客户端在请求访问令牌时必须提供自己的身份信息,这就需要一个地方来存储这些信息,即 oauth_client_details 表。

二、oauth_client_details 表的结构与作用

1. 表结构

oauth_client_details 表通常包含以下字段:

  • client_id: 客户端的唯一标识符。
  • client_secret: 客户端的密钥,用于身份验证。
  • scope: 客户端可以请求的权限范围。
  • authorized_grant_types: 支持的授权模式(如密码模式、授权码模式等)。
  • web_server_redirect_uri: 回调 URL,当用户授权后,服务将重定向到此地址。
  • access_token_validity: 访问令牌的有效期(秒)。
  • refresh_token_validity: 刷新令牌的有效期(秒)。
  • additional_information: 其他附加信息,以 JSON 格式存储。
  • autoapprove:字段用于指定是否自动批准(即跳过用户授权步骤)某些范围(scope)的请求

需要注意的是,自动批准请求可能会带来安全风险,因为它绕过了用户授权的步骤。因此,在使用autoapprove特性时,应该非常小心,确保只有在你的应用场景真正安全时才启用它。

此外,随着Spring Security OAuth2的官方支持在Spring Security 5.x版本中被逐渐弃用,并推荐使用Spring Authorization Server和Spring Security的OAuth 2.0/OIDC客户端支持作为替代

2. 表的作用

oauth_client_details 表主要有以下几个作用:

  • 客户端管理: 存储所有注册的客户端的信息,便于对客户端进行管理。
  • 权限控制: 通过 scope 字段限制客户端可访问的资源范围,增强系统的安全性。
  • 授权模式支持: 通过 authorized_grant_types 字段定义客户端支持的授权模式,使不同类型的客户端能够灵活地进行身份验证和授权。

三、应用场景

  1. 第三方应用接入: 在大型系统中,常常需要接入第三方应用,例如移动应用、Web 应用等。通过 oauth_client_details 表的配置,可以轻松管理这些第三方应用的访问权限。

  2. 多种授权方式: 不同的客户端可能需要支持不同的授权方式,如通过用户名和密码授权、使用社交媒体账户登录等。oauth_client_details 表可以根据需要灵活配置这些授权方式。

  3. 安全性管理: 在高安全性要求的场景中,可以通过设置访问令牌和刷新令牌的有效期,确保系统的安全性和稳定性。

四、代码示例

以下是一个简单的 Java 示例,展示如何使用 Spring Security OAuth2 来配置 oauth_client_details 表。

1. 数据库表结构

CREATE TABLE oauth_client_details (
    client_id VARCHAR(256) NOT NULL PRIMARY KEY,
    client_secret VARCHAR(256) NOT NULL,
    scope VARCHAR(256),
    authorized_grant_types VARCHAR(256),
    web_server_redirect_uri VARCHAR(512),
    access_token_validity INT,
    refresh_token_validity INT,
    additional_information TEXT
);

2. Spring Boot 配置

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource())
            .withClient("my-client-id") // 客户端ID
            .secret("{noop}my-client-secret") // 客户端密钥 (noop表示不加密)
            .authorizedGrantTypes("authorization_code", "refresh_token", "password") // 支持的授权模式
            .scopes("read", "write") // 权限范围
            .accessTokenValiditySeconds(3600) // 访问令牌有效期
            .refreshTokenValiditySeconds(7200) // 刷新令牌有效期
            .redirectUris("http://localhost:8080/callback"); // 回调URL
    }

    @Bean
    public DataSource dataSource() {
        // 数据源配置 (省略详细实现)
        return new DriverManagerDataSource();
    }
}

3. 使用示例

当客户端应用程序需要获取访问令牌时,它会发送一个请求到授权服务器,包含其 client_id 和 client_secret。授权服务器会查找 oauth_client_details 表,以验证该客户端是否有效,并根据配置返回相应的访问令牌。

POST /oauth/token HTTP/1.1
Host: localhost:8080
Authorization: Basic bXktY2xpZW50LWlkOm15LWNsaWVudC1zZWNyZXQ=
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=user&password=pass

结论

oauth_client_details 表在 OAuth 2.0 中扮演着重要角色,它不仅负责存储客户端信息,还确保系统的安全性。在实际开发中,合理配置和管理该表对于构建安全、高效的 OAuth 2.0 授权机制至关重要。希望本文能够帮助开发者更好地理解和应用 OAuth 2.0 中的 oauth_client_details 表。

3、oauth2授权之自定义ClientDetailsService
u012153127的博客
07-03 5881
oauth的客户端凭证校验是通过ClientDetailsService来实现的。oauth默认为我们提供了InMemoryClientDetailsService和JdbcClientDetailsService,当然我们也可以自己实现ClientDetailsService。 1、新建CustomClientDetailService实现ClientDetailsService接口。 ps:这里我们需要加上@Primary把该类当成是主类,因为在@EnableAuthorizat...
微服务商城系统(十一)权限控制、OAuth 动态加载数据
weixin_41750142的博客
04-12 1370
文章目录一、资源服务器授权配置 一、资源服务器授权配置     基本上所有微服务都是资源服务。     首先,认证服务使用私钥,采用非对称加密算法 生成令牌,资源服务使用公钥 来校验令牌的合法性。 需要配置公钥,并将公钥拷贝到 public.key 文件中,将此文件拷贝到每一个需要的资源服务工程的 classpath 下 ,比如 用户微服务: 解析令牌需要添加依赖: <dependency> <gr
oauth_client_details.sql
02-11
oauth_client_details.sql
Spring--spring-oauth-server 数据库说明
blues的博客
10-16 931
以下对spring-oauth-server项目中的oauth.ddl文件(位于/others/database目录)中的字及段进行说明, 内容包括字段说明与使用场合 名 字段名 字段说明 oauth_client_details client_id 主键,必须唯一,不能为空. 用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用中的另一个名称叫appKey,与cl
OAuth2 oauth_client_details字段的详细说明
c123m的专栏
08-21 903
OAuth2 oauth_client_details字段的详细说明_clientdetails_妖四灵.Shuen的博客-优快云博客
java oauth2.0单点登录_Oauth2.0 实现SSO单点登陆
weixin_35085438的博客
03-04 1345
简介首先声明本文章是在不要乱摸基础上进行部分修改,思路和核心代码未做调整,写本片文章主要是为了加深自己的单点登陆的印象,巩固自己小小的知识面,所以将实现的过程记录下来。话不多说,一个字:干服务架构image.pngauthentication-center 授权服务oauth2-sso-client-member 用户管理服务oauth2-sso-client-order 订单服务数据库/*SET...
Spring cloud系列20 OAuth2.0的实现客户端模式(client_credentials)支持refesh code
不积跬步无以至千里; 不积小流无以成江海
07-17 8027
默认情况下OAuth2.0 客户端模式(client_credentials)不支持refresh code。现在由于业务的关系,需要支持refresh code。 在Spring OAuth2.0client_credentials模式对应的类是ClientCredentialsTokenGranter 在此类中有个变量可以控制是否返回refreshcode,此成员变量是allowRefresh,默认值为false。在此类的在grant()方法中,如果allowRefresh=false,则会将
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口...
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 4153
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
OAuth2 oauth_client_detailsoauth_access_token,oauth_refresh_token结构
xinglinglove的博客
12-03 3649
OAuth2 oauth_client_detailsoauth_access_token,oauth_refresh_token结构 最近在整理oauth2项目,今天记录分享一下在网上查找的一些结构资料,以后大家查阅,OAuth2有四种认证方式,其中client_credentials模式在使用时它的AUTHORITIES是使用oauth_client_details 中AUTHORITIES的权限范围。正在上传…重新上传取消正在上传…重新上传取消正在上传…重新上传取消...
Spring-Security-Oauth2数据说明
Sunny
05-20 2274
名 字段名 字段说明 oauth_client_details client_id 主键,必须唯一,不能为空. 用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用中的另一个名称叫appKey,与client_id是同一个概念. resource_ids 客户端所能访问的资源id集合,多个资源时用逗号(,)分隔,如: "unity-resource,mob..
OAuth2.0结构以及字段说明
xiangjunyes的博客
11-27 3629
官方sql地址 https://github.com/spring-projects/spring-security-oauth/blob/master/spring-securityoauth2/src/test/resources/schema.sql github 访问的比较缓慢。sql贴在下面了 /* SQLyog Ultimate v12.08 (64 bit) MySQL - 8.0.16 : Database - security_authority *********************
OAuth2.0 - 使用数据库存储客户端信息 及 授权码
小毕超博客
01-18 7294
一、OAuth2.0 上篇文章我们介绍了使用JWT替换Token使得认证服务的压力减小,但是向客户端信息,和授权码都是存储在了内存中,一旦认证服务宕机,那客户端的认证信息也随之消失,而且客户端信息是在程序中写死的,维护起来及不方便,每次修改都需要重启服务,如果向上述信息都存于数据库中便可以解决上面的问题,其中数据我们可以自定义存到noSql或其他数据库中,SpringOauth2也为我们提供了数据库的解决方案。 下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/a
[java][OAuth2.0]OAuth2.0语句
一名不太专业的程序员
03-07 5895
OAuth2.0语句用于在数据库中创建实现OAuth2.0协议所需的结构,主要包括客户端(存储客户端信息)、用户(存储用户信息)、授权码(存储授权码)、访问令牌(存储访问令牌)和刷新令牌(存储刷新令牌)等。这些用于支持OAuth2.0的认证授权流程,确保客户端能够安全地获取用户的授权并访问受保护资源。
函数周期丨筛选丨值&丨RELATED系列
Fabric丨白茶
10-17 967
RELATED函数 RELATEDTABLE函数 这两个函数属于“筛选”类函数,通常情况下适用于跨计算。 用途:根据模型关系,匹配对应数值。 RELATED会根据模型关系将维度的数据匹配到事实,也就是多端找一端对应值; RELATEDTABLE是RELATED的函数模式,通常是将事实的数据匹配到维度,即一端寻找多端的对应值。 语法 语法1: DAX= RELATED(<列) 语法2: DAX= RELATEDTABLE(<>) 参数 列:现有列,不能是达式。 .
Spring(26) spring-security-oauth2 官方结构解析
ACGkaka的博客
02-08 1380
Spring(26) spring-security-oauth2 官方结构解析
Oauth2.0 数据库
weixin_45637293的博客
09-16 2102
1.oauth_client_details CREATE TABLE `oauth_client_details` ( `client_id` varchar(48) NOT NULL COMMENT '客户端ID,主要用于标识对应的应用', `resource_ids` varchar(256) DEFAULT NULL, `client_secret` varchar(256) DEFAULT NULL COMMENT '客户端秘钥,BCryptPasswordEncoder加密算法加密'
oauth_client_details的值怎么添加_快速度量值,帮你更快的进行数据分析
weixin_39689428的博客
12-14 555
刚开始学习PowerBI,最头疼的可能就是度量值了,毕竟用了Excel这么多年,只相信自己眼睛看到的,对于这个"虚拟"的字段,总感觉有点难以理解。即使稍微理解了,却又碰到了不会写DAX的苦恼,知道自己想要什么结果,但不知道该怎么实现它。如果你还在苦思冥想怎么编写度量值,可能只是因为你还没有发现这个功能:快速度量值。利用快速度量功能,可以通过鼠标点击拖拽的方式,快速、轻松的执行常见的运算,根据你选择...
oauth_client_details的值怎么添加_麦吉减肥第二阶段该怎么正确选择主食
weixin_39924198的博客
12-19 936
麦吉二阶段就可以循序渐进添加低GI主食,为后期逐步恢复细粮饮食打基础那么低GI主食该怎么选择呢?全麦:GI值:50全麦面粉是整粒小麦直接研磨,不经过除去麸皮程序,包含了全部麸皮与胚芽磨成的面粉。全麦粉具备以下几个特点: 1、发酵比较困难;2、在批量生产中,纯的全麦粉是无法做成面包的。由于去了麸皮的面粉更容易发酵,所以有的厂家为了口感,将精制面粉掺上麸皮冒充全麦食品。所以市面上售卖的全麦面包都是不纯...
oauth_client_details中数据 该如何去初始化
最新发布
04-30
<think>好的,用户的问题是关于如何初始化Spring Security OAuth2中的oauth_client_details数据。我需要先回想一下相关的知识,然后结合之前的引用内容来解答。 首先,oauth_client_detailsOAuth2中用于存储客户端信息,比如client_id、client_secret、权限等。用户想初始化这些数据,可能是在搭建授权服务器时需要预先配置客户端信息。 根据引用[1]中的代码,AuthorizationServerSecurityConfigurer的配置涉及客户端认证,可能和client_details有关。但具体的初始化方法可能需要通过数据库插入或者使用Spring的JDBC配置。 引用[2]提到了oauth_client_details的结构,用户需要知道如何填充这个的数据。通常初始化数据可以通过SQL脚本在启动时插入,或者在应用启动时通过Java代码插入。 我应该分步骤说明两种方法:使用SQL脚本和编程方式初始化。同时要提醒用户注意字段的填写,比如resource_ids、authorities、scopes等,这些可能容易出错。另外,加密client_secret是必要的,需要提到使用合适的加密方式,比如BCrypt。 可能用户还需要知道如何验证数据是否插入成功,可以建议检查数据库或日志。此外,要确保用户正确配置了数据源,否则插入会失败。 需要确保回答结构清晰,先介绍两种方法,再给出注意事项。同时,根据用户之前的引用,可能他们遇到client_id或secret错误,所以强调加密的重要性。</think>在Spring Security OAuth2中初始化`oauth_client_details`数据可通过以下两种方式实现: ### 一、SQL脚本直接插入 通过执行SQL语句直接向`oauth_client_details`插入客户端配置数据: ```sql INSERT INTO oauth_client_details (client_id, client_secret, resource_ids, scope, authorized_grant_types, web_server_redirect_uri, authorities, access_token_validity, refresh_token_validity, additional_information, autoapprove) VALUES ('test_client', '{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG', 'resource1,resource2', 'read,write', 'authorization_code,password,refresh_token', 'http://localhost:8080/callback', 'ROLE_CLIENT', 3600, 2592000, '{"info":"test"}', 'true'); ``` 注意字段说明: - `client_secret`必须使用密码加密器处理(如BCrypt) - `authorized_grant_types`需包含空格分隔的授权类型 - `autoapprove`用于跳过授权确认步骤 ### 二、编程方式初始化 在Java配置类中通过`ClientDetailsServiceConfigurer`配置: ```java @Configuration @EnableAuthorizationServer public class AuthServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("test_client") .secret(passwordEncoder.encode("test_secret")) .authorizedGrantTypes("authorization_code", "password", "refresh_token") .scopes("read", "write") .resourceIds("resource1", "resource2") .redirectUris("http://localhost:8080/callback") .accessTokenValiditySeconds(3600) .refreshTokenValiditySeconds(2592000); } // 其他配置参考引用[1]中的安全配置 } ``` ### 验证数据初始化 可通过以下方式验证: 1. 查询数据库确认记录存在 2. 使用客户端凭证请求令牌: ```bash curl -X POST \ http://auth-server/oauth/token \ -H 'Authorization: Basic dGVzdF9jbGllbnQ6dGVzdF9zZWNyZXQ=' \ -d 'grant_type=password&username=user&password=pass' ``` ### 注意事项 1. 生产环境建议使用JDBC存储方式而非内存存储 2. 加密算法必须与`PasswordEncoder`实现一致[^1] 3. 权限范围(scope)需与资源服务器配置匹配 4. 重定向URI需严格校验格式(参考RFC 6749规范)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值