spring security for oauth 2 Developers Guide

最新推荐文章于 2022-11-18 15:24:22 发布
原创 最新推荐文章于 2022-11-18 15:24:22 发布 · 169 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security for oauth 2 Developers Guide

本文总结了 Spring Security OAuth2 开发者指南的内容,详细介绍了 OAuth2 的三个核心部分:授权与认证中心、资源中心和客户端,以及如何配置它们。包括授权流程、令牌获取、客户端配置等关键细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

spring security for oauth 2 Developers Guide

这段时间在看spring security for oauth 2资料真少。只好看官方的Developers Guide 和他们提供的demo。

在这里做一下Developers Guide的总结

oauth2 共分三个部分

1.是oauth的授权与认证中心(文档叫提供端)。

2.是oauth的资源中心

3.是oauth的客户端

 

1.是oauth的授权与认证中心(文档叫提供端)

授权与认证端有两个重要的功能和一些配置功能:

1.1客户端访问被保护的资源是需要得到一个授权,“授权与认证端”提供一个这样的授权功能,也就是第一张通行证授权码。

默认的路径是\oauth\authorize,这个路径对应的代码是AuthorizationEndpoint的authorize(...)方法。

主要作用是,用户通过客户端访问受保护的资源时,客户端会先问问“授权与认证端”当前用户有这个权限访问受保护资源吗,“授权与认证端”就会转到一个输入用户名密码的页面让当前用户输入用户名密码,“授权与认证端”验证用户名和密码,验证无误后就要告诉客户端这个人有权限访问受保护的资源,并给客户端一个第一道门的通行证,客户端可以拿这个第一道门的通行证换第二道们的通行证,(oauth2的授权码模式(authorization code)需要这个流程)

 

1.2是提供第二道门的通行证 token。

默认路径是\oauth\token,对应的代码是TokenEndpoint的ResponseEntity(...)函数。有了第二道门的通行证后客户端就可以拿着它去访问受保护的资源了。当然资源服务器还得确认你这个通行证真假。

 

1.3除了以上两个重要的功能外,“授权与认证端”还得做一些配置。

1.3.1 对于客户端的配置ClientDetailsServiceConfigurer

例如配置授权类型是什么样(有四种授权类型授权码模式(authorization code)简化模式(implicit)密码模式(resource owner password credentials)客户端模式(client credentials))。配置好授权类型后,有客户端需要“授权与认证端”授权时就按照配置好的授权流程走。当然了如果某个客户端说我不要你配置的授权类型,我需一个我自己独有的授权类型,这也能配置。

怎么配置呢?实例代码如下:这是官方的demo。

 

@Configuration
	@EnableAuthorizationServer
	protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

		@Autowired
		private TokenStore tokenStore;

		@Autowired
		private UserApprovalHandler userApprovalHandler;

		@Autowired
		@Qualifier("authenticationManagerBean")
		private AuthenticationManager authenticationManager;

		@Value("${tonr.redirect:http://localhost:80/tonr2/sparklr/redirect}")
		private String tonrRedirectUri;

		@Override
		public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

			// @formatter:off
			clients.inMemory().withClient("tonr")
			 			.resourceIds(SPARKLR_RESOURCE_ID)
			 			.authorizedGrantTypes("authorization_code", "implicit")
			 			.authorities("ROLE_CLIENT")
			 			.scopes("read", "write")
			 			.secret("secret")
			 		.and()
			 		.withClient("tonr-with-redirect")
			 			.resourceIds(SPARKLR_RESOURCE_ID)
			 			.authorizedGrantTypes("authorization_code", "implicit")
			 			.authorities("ROLE_CLIENT")
			 			.scopes("read", "write")
			 			.secret("secret")
			 			.redirectUris(tonrRedirectUri)
			 		.and()
		 		    .withClient("my-client-with-registered-redirect")
	 			        .resourceIds(SPARKLR_RESOURCE_ID)
	 			        .authorizedGrantTypes("authorization_code", "client_credentials")
	 			        .authorities("ROLE_CLIENT")
	 			        .scopes("read", "trust")
	 			        .redirectUris("http://anywhere?key=value")
		 		    .and()
	 		        .withClient("my-trusted-client")
 			            .authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
 			            .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
 			            .scopes("read", "write", "trust")
 			            .accessTokenValiditySeconds(60)
		 		    .and()
	 		        .withClient("my-trusted-client-with-secret")
 			            .authorizedGrantTypes("password", "authorization_code", "refresh_token", "implicit")
 			            .authorities("ROLE_CLIENT", "ROLE_TRUSTED_CLIENT")
 			            .scopes("read", "write", "trust")
 			            .secret("somesecret")
	 		        .and()
 		            .withClient("my-less-trusted-client")
			            .authorizedGrantTypes("authorization_code", "implicit")
			            .authorities("ROLE_CLIENT")
			            .scopes("read", "write", "trust")
     		        .and()
		            .withClient("my-less-trusted-autoapprove-client")
		                .authorizedGrantTypes("implicit")
		                .authorities("ROLE_CLIENT")
		                .scopes("read", "write", "trust")
		                .autoApprove(true);
			// @formatter:on
		}

 

1.3.2 AuthorizationServerSecurityConfigurer 配置

这个干什么的没搞懂,先放着。

1.3.3AuthorizationServerEndpointsConfigurer 配置

1.3.3.1配置第二张通行证token的存储方式,用户填写用户名密码以后的处理,以及用户信息的存储方式authenticationManager。重要的是这还能设置AuthorizationServerTokenServices, 下面的代码里没有设置这个参数,既然没有那就用默认的参数呗,默认的是DefaultTokenServices

 

@Override
		public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
			endpoints.tokenStore(tokenStore).userApprovalHandler(userApprovalHandler)
					.authenticationManager(authenticationManager);
		}
@Bean
		public TokenStore tokenStore() {
			return new InMemoryTokenStore();
		}

 

 我们来说说 DefaultTokenService,这里面做了什么事呢,当有一个请求说给我第二张通行证token的时候,这个token就是从createAccessToken(...)方法中产生的。这个方法先查查自己的数据库或内存(默认是使用内存的存储方式,上面代码里也是设置的内存存储return new InMemoryTokenStore();也可以设置JdbcTokenStore存储,也就是数据库存储)中有没有这个请求的token,有没有过期,如果有并且没有过期就给返回给他,如果没有就自己创建一个返回给他。 
DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
 上面这句话是用来创建token的。
1.3.3.2  可以配置支持 Grant 类型。默认情况下支持所有的 grant 类型。代码如下: 
	private TokenGranter tokenGranter() {
		if (tokenGranter == null) {
			ClientDetailsService clientDetails = clientDetailsService();
			AuthorizationServerTokenServices tokenServices = tokenServices();
			AuthorizationCodeServices authorizationCodeServices = authorizationCodeServices();
			OAuth2RequestFactory requestFactory = requestFactory();

			List<TokenGranter> tokenGranters = new ArrayList<TokenGranter>();
			tokenGranters.add(new AuthorizationCodeTokenGranter(tokenServices, authorizationCodeServices,
					clientDetails, requestFactory));
			tokenGranters.add(new RefreshTokenGranter(tokenServices, clientDetails, requestFactory));
			ImplicitTokenGranter implicit = new ImplicitTokenGranter(tokenServices, clientDetails, requestFactory);
			tokenGranters.add(implicit);
			tokenGranters.add(new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory));
			if (authenticationManager != null) {
				tokenGranters.add(new ResourceOwnerPasswordTokenGranter(authenticationManager, tokenServices,
						clientDetails, requestFactory));
			}
			tokenGranter = new CompositeTokenGranter(tokenGranters);
		}
		return tokenGranter;
	}
 
1.3.3.3另外还有一个配置。框架自己提供的URL路径是/oauth/authorize(授权端),/oauth/token (令牌端),/oauth/confirm_access (用户发送确认授权到这里),还有/oauth/error (用户呈现授权服务器授权出错的请求)。这些配置也可以更改。通过pathMapping(...)放来来更改。另外/oauth/authorize这个路径是受spring security保护的,需要授权用户才能访问的,这里是spring security的东西不懂的可以看看这哥们写的spring security翻译 http://lengyun3566.iteye.com/blog/1068998 。很是不错。
 1.3.3.4 配置资源服务器
2.oauth的资源中心
oauth的资源中心主要是放置被oauth所保护的资源。资源中心也是需要配置的,通过这个注解@EnableResourceServer标识这个服务器是资源服务器,并且开启资源服务器的配置。这个注解配置了以后,会自动添加一个过滤器  OAuth2AuthenticationProcessingFilter 
 
3.是oauth的客户端
 

受保护的资源(或称为远程资源)可以使用OAuth2ProtectedResourceDetails类型的实体bean定义。 一个受保护的资源有以下属性:

  • id:资源id。它仅在客户端搜索资源的时候使用;在OAuth协议中它从未被用到。它也被用作bean的id。

  • clientId:OAuth客户端id。OAuth提供端依赖这个id来识别客户端。

    clientId和1.3.1代码中配置的要一致,同时根据clientId也区分不同客户端的授权方式。下面是客户端的配置部分代码。

  • clientSecret:与资源有关的秘密。默认情况下,该值不为空。

  • accessTokenUri:提供访问口令的OAuth提供者终端的统一资源标识符(URI)。

  • scope:以逗号分隔的字符串列表,标识可访问资源的范围。默认情况下,该值为空。

  • clientAuthenticationScheme: 客户端对访问的令牌终端授权时使用的机制。 建议值: "http_basic" 和 "form"。 默认值: "http_basic"。 

 

不同的授权类型有不同的实现OAuth2ProtectedResourceDetails (对于client_credentials授权类型,使用ClientCredentialsResource )的方式。如下面第二段代码。

对于需要进行用户身份验证的授权类型,还有一个属性:

 

  • userAuthorizationUri: 用户访问资源需要身份验证时跳转页面的URI。 注意这个字段不是必填的,它依赖于被支持的OAuth 2的配置文件类型。

		@Bean
		public OAuth2ProtectedResourceDetails sparklr() {
			AuthorizationCodeResourceDetails details = new AuthorizationCodeResourceDetails();
			details.setId("sparklr/tonr");
			details.setClientId("tonr");
			details.setClientSecret("secret");
			details.setAccessTokenUri(accessTokenUri);
			details.setUserAuthorizationUri(userAuthorizationUri);
			details.setScope(Arrays.asList("read", "write"));
			return details;
		}
                @Bean
		public OAuth2ProtectedResourceDetails trusted() {
			ClientCredentialsResourceDetails details = new ClientCredentialsResourceDetails();
			details.setId("sparklr/trusted");
			details.setClientId("my-client-with-registered-redirect");
			details.setAccessTokenUri(accessTokenUri);
			details.setScope(Arrays.asList("trust"));
			return details;
		}
 
 
使用@EnableOAuth2Client对OAuth2.0的客户端的配置比较简单。主要要做两件事情:
创建一个过滤bean(用oauth2ClientContextFilter)来存储当前的请求和上下文。在这种情况下需要在请求期间授权,来管理从重定向的位置和OAuth已认证的url。
在请求作用域中创建一个AccessTokenRequest类型的bean。这个类型的bean可以在个人用户的冲突中被识别码识别(或隐式的),授权客户端保持授权状态。
这个过滤器需要能够连接到应用(例如,使用Servlet初始化程序或者web.xml配置文件配置 一个和DelegatingFilterProxy相同名称的代理)。
下面是oauth2ClientContextFilter的部分代码。
  
public void doFilter(ServletRequest servletRequest,
			ServletResponse servletResponse, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		request.setAttribute(CURRENT_URI, calculateCurrentUri(request));

		try {
			chain.doFilter(servletRequest, servletResponse);
		} catch (IOException ex) {
			throw ex;
		} catch (Exception ex) {
			// Try to extract a SpringSecurityException from the stacktrace
			Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);
			UserRedirectRequiredException redirect = (UserRedirectRequiredException) throwableAnalyzer
					.getFirstThrowableOfType(
							UserRedirectRequiredException.class, causeChain);
			if (redirect != null) {
				redirectUser(redirect, request, response);
			} else {
				if (ex instanceof ServletException) {
					throw (ServletException) ex;
				}
				if (ex instanceof RuntimeException) {
					throw (RuntimeException) ex;
				}
				throw new NestedServletException("Unhandled exception", ex);
			}
		}
	}
 
 
 
 
peng4602
关注
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide
zcc7up的专栏
06-22 3939
粗略翻译:Spring Oauth2 官方文档(OAuth 2 Developers Guide),个人根据官方文档进行的简单粗浅的翻译。
Spring Security OAuth 2.0 是 Spring Security 的扩展模块,用于帮助开发者轻松实现 OAuth 2.0 的认证与授权
BLOG域名:programb.blog.youkuaiyun.com
05-11 436
Spring Security OAuth 2.0 是 Spring Security 的扩展模块,用于帮助开发者轻松实现 OAuth 2.0 的认证与授权。它提供了 OAuth 2.0 客户端、资源服务器和授权服务器等功能,能够让开发者更加方便地实现 OAuth 2.0 协议。
spring OAuth 2 Developers Guide 英译汉
shunzi1046的博客
05-02 1192
Introduction This is the user guide for the support for OAuth 2.0. For OAuth 1.0, everything is different, so see its user guide. This user guide is divided into two parts, the first for the OAu
Spring Security 分布式架构中的使用
liming0025的专栏
12-19 2249
1、分布式系统认证需求 分布式每个服务都会有认证授权的需求。如果每个服务都些认证授权的逻辑就会很冗余。所以需要把认证授权进行抽取,进行统一认证授权。 认证授权服务,需要支持多种认证授权的方式,如用户名密码、短信验证码、二维码等等。同时要给其他服务提供其他应用接入的的认证。 2、分布式系统认证方案 1、选型 基于session的认证方式:存在session共享的问题。方案很多,常用的直接使用redis进行存储,spring boot 也提供了相关的插件。缺点是不同的客户端cookie机制可能不一样。
spring security-源码流程分析(五)-oauth默认请求地址(/oauth/token)是如何生效的?
luoxiaomei999的博客
04-06 4979
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、@FrameworkEndpoint注解的作用 1、在之前的文章中我们看到AuthorizationServerEndpointsConfiguration配置中配置了AuthorizationEndpoint和TokenEndpoint等,他们都是继承自AbstractEndpoint 2、Author.
Spring Cloud(十一):Spring Cloud Security Oauth2
Men-DD
11-18 3385
OAuth2 登录流程分析 令牌token与密码password差异 授权码模式 简化隐式模式 密码模式 客户端模式 令牌的使用 更新令牌 Spring Security OAuth2 配置spring security 配置认证服务器 配置授权服务器 基于redis存储Token 基于db存储Token 单点登录 基于Oauth2跨域单点登录 Oauth2整合网关实现微服务单点登录 JWT (JSON Web Token) JWT组成 Spring Security Oauth2整合JWT
Spring Security OAuth 2.0学习总结
Ybt_c_index的博客
08-01 7337
继上一篇Spring Security的文章,这次聊聊Spring Security OAuth 2.0,当然还是只能简单聊聊,比较基础和片面。 首先说一下主要参考的文章: 阮一峰的《理解OAuth 2.0》 徐靖峰的《Re:从零开始的Spring Security Oauth2系列》 Spring的《OAuth 2 Developers Guide》 也就是说,还是拾人牙慧。 OAu...
微服务中使用Spring Security + OAuth 2.0 + JWT 搭建认证授权服务
u012373161的博客
01-14 2977
微服务中使用Spring Security + OAuth 2.0 + JWT 搭建认证授权服务 OAuth 是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式。关于 OAuth 更多介绍可访问 理解OAuth 2.0 查看。本文主要以 密码模式 来实现用户认证和授权。 搭建项目 项目代码已上传至 Github 。 本例项目以微服务为基础,仅实现认证服务和资源服务,其他如网关、服务管理、配置中心等省略,本文重点是使用 Spring Securi
一文带你了解 OAuth2 协议与 Spring Security OAuth2 集成!
架构文摘
01-01 1029
OAuth 2.0 允许第三方应用程序访问受限的HTTP资源的授权协议,像平常大家使用Github、Google账号来登陆其他系统时使用的就是 OAuth 2.0 授权框架,下图就是使用Github账号登陆Coding系统的授权页面图: 类似使用 OAuth 2.0 授权的还有很多,本文将介绍 OAuth 2.0 相关的概念如:角色、授权类型等知识,以下是我整理一张 OAuth 2.0 授权的脑...
Spring Security OAuth2 Boot快速入门与官方文档翻译
文档建议读者查阅Spring Security OAuth2 Developers Guide以获取更多详细信息,这个指南可以帮助开发者深入理解OAuth 2.0的工作原理和最佳实践。同时,文档还提醒开发者注意,`spring-security-oauth2`和`spring-...
Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置
不务正业的野猴子
08-25 8768
基于Spring Boot 2.1.7.RELEASE 参考资源: OAuth 2 Developers Guide 授权服务配置 添加一个实现了AuthorizationServerConfigurer接口的实现类且使用@EnableAuthorizationServer注解进行标注 AuthorizationServerConfigurer接口的实现类是AuthorizationSer...
哈工大威海集合论与图论课件.zip
08-23
哈工大威海集合论与图论课件
基于扰动观察法的光伏MPPTBoost变换器最大功率点跟踪技术研究
08-23
光伏最大功率点跟踪(MPPT)技术及其在光伏发电系统中的重要性。重点讨论了基于扰动观察法(P&O)的MPPT技术和MPPT Boost变换器的应用。扰动观察法通过周期性改变光伏阵列的工作电压或电流并观察输出功率变化,进而调整工作点,确保光伏阵列始终处于最大功率点附近。而MPPT Boost变换器则通过高效的电压或电流控制,进一步提高了系统的输出效率。两者结合使用,在光强和温度等环境条件变化时,能够显著提升光伏系统的发电效率和寿命。 适用人群:从事光伏系统设计、安装和维护的专业技术人员,以及对清洁能源技术感兴趣的科研人员。 使用场景及目标:适用于需要优化光伏系统性能的场合,如太阳能电站、分布式光伏发电系统等。目标是提高光伏系统的发电效率,降低能耗,延长设备使用寿命。 其他说明:本文不仅提供了理论依据和技术细节,还强调了清洁能源发展的重要性和未来的研究方向。
哈工大威海近世代数课件.zip
08-23
哈工大威海近世代数课件
Micro API Framework 是一款基于go-micro打造的starter-kit微服务框架.zip
08-23
Micro API Framework 是一款基于go-micro打造的starter-kit微服务框架.zip
学生测验分数数据集(16列,1053条记录)CSV
08-23
该数据集包含注册创新与创业课程的学生的匿名测验分数。数据是从整个学期进行的多个测验中收集的。对于最终评估,考虑了最好的 9 个分数,然后缩减到最高 30 个。 特征: Roll Number:唯一的学生标识符 Quiz 1至 : 个人测验分数(满分 5 分)Quiz N Total:所有测验分数的总和
基于 go 模板引擎的 web开发 代码生成器 code generator.zip
最新发布
08-23
基于 go 模板引擎的 web开发 代码生成器 code generator.zip
CSR 团队 GLM大模型
08-23
资源下载链接为: https://pan.quark.cn/s/830bdb609518 (最新版、最全版本)CSR 团队 GLM大模型
基于ASP IC开发流程的VCU整车管理控制器策略文档与快速原型开发:量产车型应用层软件 ASP IC 宝典
08-23
内容概要:本文介绍了VCU(整车管理控制器)在量产车型中的应用,重点阐述了VCU策略文档的编制方法和快速原型开发的应用。VCU策略文档涵盖了设计理念、功能要求、控制策略及接口规范,确保与在售车型最新版本软件兼容。开发过程严格遵循ASP IC开发流程和AUTOSAR架构,满足功能安全ASIL C标准。快速原型开发用于验证控制策略的有效性,加速产品研发。底层系统采用加密狗技术保护数据安全,防止非法访问和技术泄露。 适合人群:汽车电子工程师、嵌入式系统开发者、汽车制造商的技术人员。 使用场景及目标:适用于需要理解和开发VCU整车管理控制器的工程技术人员,旨在提高量产车型的效率和稳定性,确保符合功能安全标准。 其他说明:本文强调了VCU在实际量产车型中的应用,而非仿真环境,突出了其重要性和实用性。
Spring Security实现Oauth2授权详解
"基于Spring SecurityOauth2授权实现方法,通过示例代码详细解析,适合学习和工作中参考,包括授权码模式、认证服务和资源服务等核心概念" 在本文中,我们将深入探讨如何使用Spring Security实现Oauth2授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值