springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(四)

SpringSecurity OAuth2 认证流程
最新推荐文章于 2024-07-15 18:11:20 发布
原创 最新推荐文章于 2024-07-15 18:11:20 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #springcloud #oauth2 #spring security

本文深入解析了SpringSecurity OAuth2的认证流程,特别是客户端模式下的Token生成过程。从AuthorizationServerConfigurerAdapter配置类开始,逐步介绍了ClientCredentialsTokenEndpointFilter、AuthenticationManager等组件的工作原理。

回顾之前文章:
1. 微服务鉴权管理之OAuth2原理解析(一)
2. 微服务鉴权管理Spring Security原理解析(二)
3. 微服务鉴权管理Spring Security OAuth2原理解析(三)
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。

1、AuthorizationServerConfigurerAdapter

上一篇博客中我们尝试使用了password模式和client模式,有一个比较关键的endpoint:/oauth/token。从这个入口开始分析,spring security oauth2内部是如何生成token的。获取token,与第一篇文章中的两个重要概念之一有关,也就是AuthorizationServer与ResourceServer中的AuthorizationServer。

在之前的配置中:

@Configuration
@EnableAuthorizationServer
protected static class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
   
   }

出现了AuthorizationServerConfigurerAdapter 关键类,他关联了三个重要的配置类,分别是:

public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer {
   
   
	//配置AuthorizationServer安全认证的相关信息,
	//创建ClientCredentialsTokenEndpointFilter核心过滤器
	@Override
	public void configure(AuthorizationServerSecurityConfigurer security) throws Exception{
   
   
	}
	//配置OAuth2的客户端相关信息
	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
   
   
	}
	// 配置AuthorizationServerEndpointsConfigurer众多相关类,
	// 包括配置身份认证器,配置认证方式,TokenStore,TokenGranter,OAuth2RequestFactory
	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints <3>) throws Exception {
   
   
	}

}
2、客户端身份认证核心过滤器ClientCredentialsTokenEndpointFilter

截取关键的代码,可以分析出大概的流程 在请求到达/oauth/token之前经过了ClientCredentialsTokenEndpointFilter这个过滤器,关键方法如下:

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
		throws AuthenticationException, IOException, ServletException {
   
   
	...
	String clientId = request.getParameter("client_id");
	String clientSecret = request.getParameter("client_secret");

	...
	clientId = clientId.trim();
	UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(clientId,
			clientSecret);

	return this.getAuthenticationManager().authenticate(authRequest);

}
3、顶级身份管理者AuthenticationManager

用来从请求中获取client_id,client_secret,组装成一个UsernamePasswordAuthenticationToken作为身份标识,使用容器中的顶级身份管理器AuthenticationManager去进行身份认证(AuthenticationManager的实现类一般是ProviderManager。而ProviderManager内部维护了一个List,真正的身份认证是由一系列AuthenticationProvider去完成。而AuthenticationProvider的常用实现类则是DaoAuthenticationProvider,DaoAuthenticationProvider内部又聚合了一个UserDetailsService接口,UserDetailsService才是获取用户详细信息的最终接口,而我们上一篇文章中在内存中配置用户,就是使用了UserDetailsService的一个实现类InMemoryUserDetailsManager)。UML类图可以大概理解下这些类的关系,省略了授权部分。
在这里插入图片描述
前面一篇文章已经提到了client模式是不存在“用户”的概念的,那么这里的身份认证是在认证什么呢?debug可以发现UserDetailsService的实现被适配成了ClientDetailsUserDetailsService,这个设计是将client客户端的信息(client_id,client_secret)适配成用户的信息(username,password),这样我们的认证流程就不需要修改了。

经过ClientCredentialsTokenEndpointFilter之后,身份信息已经得到了AuthenticationManager的验证。接着便到达了TokenEndpoint。

最低0.47元/天 解锁文章
由浅入深理解SpringSecurityOauth2框架原理
2017年
03-14 2917
图解Oauth2框架那些事
springcloud微服务管理Spring Security OAuth2原理解析()
qq_38658567的博客
01-26 1601
回顾之前文章: 1. 微服务管理OAuth2原理解析()2. 微服务管理Spring Security原理解析() 前面的部分,我们关注了Spring Security是如何完成认证工作的,接下来将继续讲解接口对接中常使用的密码模式(以下简称password模式)和客户端模式(以下简称client模式)。授码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。 1、概述 使用oauth2保护你的应用,可以分为简易的分为三个步
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8937
OAuth2(Open Authorization 2.0)是一种用于授的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授流程和提高安全性,通过委托授的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授标准。
Spring Security OAuth2笔记系列】- spring security - 基本原理
代码有毒的博客
08-20 1972
基本原理 打开security的依赖 compile('org.springframework.cloud:spring-cloud-starter-security') 打开之后默认就保护了所有的请求路径;访问任意一个都会跳转到一个默认的用户密码登录认证页面, 用户名固定的:user 密码,项目启动日志打印出来的(每次启动都不一样):Using generated securit...
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 2060
Spring SecuritySpringBoot、 token、认证码
springcloud微服务管理Spring Security OAuth2原理解析()
qq_38658567的博客
01-28 920
回顾之前文章: 1. 微服务管理OAuth2原理解析() 2. 微服务管理Spring Security原理解析() 3. 微服务管理Spring Security OAuth2原理解析() 4. 微服务管理Spring Security OAuth2原理解析() 上一篇文章中我们介绍了获取token的流程,这一篇重点分析一下,携带token访问受限资源时,内部的工作流程。 1、ResourceServerConfigurerAdapter 上一篇文章重点介绍的其实是与身份认证相关
springcloud微服务管理Spring Security原理解析()
qq_38658567的博客
01-24 977
回顾之前介绍的OAuth2简单分析与介绍,微服务管理OAuth2原理解析(),本文将进一步对OAuth2原理和使用做进一步的分析;
springcloud微服务管理OAuth2原理解析()
qq_38658567的博客
08-05 1890
Spring Security OAuth2建立在Spring Security的基础之上,实现了OAuth2的规范,Spring Cloud Security模块用于构建安全的应用程序和服务。在Spring Boot和Spring Security OAuth2的基础上,我们可以快速创建实现常见模式(如单点登录,令牌中继和令牌交换)的系统Spring OAuth2.0 提供者实现原理 Spring OAuth2.0提供者实际上分为: 授服务 Authorization Service 资源服务 R
Spring Security oAuth2.0
qq_41135883的博客
10-22 310
oAuth2.0是授协议,他的主要作用是为了提供认证和授的标准 实现方式: Spring Security shiro 自己去实现 角色: 第三方应用程序(客户端) 资源所有者(用户) HTTP 服务提供者 认证服务器 资源服务器 模式: 客户端授模式 简单模式 授码模式 密码模式 客户端模式 - 访问令牌: Refresh Token Access Token https://www.f...
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springcloud-security-oauth2:安全整合oauth2
02-21
springcloud-security-oauth2 安全整合oauth2
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授
热门推荐
青藤光年的博客
12-17 6万+
因为目前做了一个基于Spring Cloud的微服务项目,所以了解到了OAuth2,打算整合一下OAuth2来实现统一授。关于OAuth是一个关于授的开放网络标准,目前的版本是2.0,这里我就不多做介绍了。下面贴一下我学习过程中参考的资料。 理解OAuth 2.0——阮一峰 Spring Security OAuth2 开发指南 Spring Security Oauth2 自定义 OA...
Spring SecurityOAuth 2.0架构及核心原理分析
最新发布
huxian1234的专栏
07-15 1319
胡弦,视频号2023年度优秀创作者,互联网大厂P8技术专家,Spring Cloud Alibaba微服务架构实战派(上下册)和RocketMQ消息中间件实战派(上下册)的作者,资深架构师,技术负责人,极客时间训练营讲师,维口袋KVP最具价值技术专家,技术领域专家团成员,2021电子工业出版社年度优秀作者,获得2023电子工业出版技术成长领路人称号,荣获2024年电子工业出版社博文视点20周年荣誉专家称号。 ———————————————— 版
Spring Security OAuth2详解
qq_33814479的博客
10-12 7628
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
Spring-Security-OAuth2架构及源码浅析
zzy7075的专栏
03-25 611
Spring Security OAuth2架构Spring Security OAuth2是一个基于OAuth2封装的一个类库,它提供了构建和Client三种Spring应用程序角色所需要的功能。需要与和提供的功能协同工作,在使用构建和Client的情况下,的整体架构图如下:1.资源拥有者通过UserAgent访问client,在授允许访问授端点的情况下,会创建OAuth2认证的REST请求,指示UserAgent重定向到的授端点。2.UserAgent访问的授端点的authorize。
微服务限解决方案,Cloud Gateway+Oauth2实现统一认证和
一入Java深似海
07-09 2万+
最近发现了一个很好的微服务限解决方案,可以通过认证服务进行统一认证,然后通过网关来统一校验认证和。此方案为目前最新方案,仅支持Spring Boot 2.2.0、Spring Cloud Hoxton 以上版本,本文将详细介绍该方案的实现,希望对大家有所帮助! 前置知识 我们将采用Nacos作为注册中心,Gateway作为网关,使用nimbus-jose-jwtJWT库操作JWT令牌 应用架构 我们理想的解决方案应该是这样的,认证服务负责认证,网关负责校验认证和,其他API服务负.
springcloudoauth2统一认证原理解析尝试
edrfg1356gfh的博客
12-18 1309
springcloud这样的分布式架构体系下,目前大部分采用的方案都是认证服务器和资源服务器分离的模式以达到统一认证的目的. 首先搭建一个包含注册中心,网关,认证服务器和一个资源服务器,如何搭建不多做赘述了,网上有很多详细的教程.搭建完毕后,从网关访问数据保证搭建的是否正常执行. 这时候我们绕过网关,直接访问对应启动的资源服务节点,发现依然有相关的限验证.为了验证限是在资源服务器验证还是认...
Spring Security OAuth2原理、流程与源码解读
swg321321的博客
06-21 2764
Spring Security OAuth2,5中授模式,授流程图、授源码解读
Spring Security Oauth2单点登录原理与技术
夏笙的博客
09-21 4917
本文来自 千峰教育李卫民老师的博客 此文章只是在学习中记录的笔记,如果想学习 请到李卫民老师的博客学习 (免费) Spring Security Oauth2单点登录原理与技术 一、什么是 oAuth --协议 oAuth 协议为用户资源的授提供了一个安全的、开放而又简易的标准。与以往的授方式不同之处是 oAuth 的授不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RachelHwang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值