OAuth2(一):理解OAuth2授权方式,入门项目搭建

最新推荐文章于 2025-03-11 10:57:14 发布
最新推荐文章于 2025-03-11 10:57:14 发布
阅读量979 收藏 1
点赞数 1
分类专栏: OAuth2 文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/x3499633/article/details/115404570
版权

[最近工作需要,了解了一些OAuth2,并进行了实际操作,网上资料比较乱,这里总结一下,本地一共记录了6篇,这里做适当删减,便于理解,更新会有点慢!]

[完整代码我会上传到我的github点击直达,有需要的可以自行参考!]

OAuth2

OAuth2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据,是一种协议规范。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。

[文字都有,参考了其他人的]

RFC6749
重要概念
  • resource owner: 拥有被访问资源的用户
  • user-agent: 一般来说就是浏览器
  • client: 第三方应用
  • Authorization server: 认证服务器,用来进行用户认证并颁发token
  • Resource server:资源服务器,拥有被访问资源的服务器,需要通过token来确定是否有权限访问
授权方式
  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)
注意,不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。
更多的请参考: 阮一峰
这里介绍一下我们要搭建的,即授权码方式,也是目前应用最广泛的,一些网站可以支持QQ、微信等三方登录,也是使用的此方式。
授权码流程图
总结一下 大致流程

  1. 携带 client_id,redirect_uri 去请求 OAuth 的 oauth/authorize 服务,登录后获取授权码

  2. 后台使用获得的授权码,配合 client_id,client_secret 去请求 OAuth 的获取 oauth/token 服务,获取到 access_token 凭证

  3. 使用获取到的 access_token 去请求资源服务器获取相关数据。

快速入门
一、搭建 Authorization Server 
1.创建 auth-server 工程,引入相关依赖 
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
    <version>${oauth2.version}</version>
</dependency>

配置 application.yaml

server:
  port: 7777

spring:
  messages:
    basename: i18n/messages
    encoding: UTF-8
  thymeleaf:
    cache: false # 开发时关闭缓存,不然没法看到实时页面
    mode: HTML # 用非严格的 HTML
    encoding: UTF-8
    servlet:
      content-type: text/html

2. 配置 SecurityConfiguration 继承 WebSecurityConfigurerAdapter

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder encoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 配置认证信息
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 在内存中创建2个用户,便于测试,后期可改为数据库中获取
        auth.inMemoryAuthentication()
                .passwordEncoder(encoder())
                .withUser("user").password(encoder().encode("user")).roles("USER")
                .and()
                .withUser("admin").password(encoder().encode("admin")).roles("ADMIN");
    }

    /**
     * 配置核心过滤器
     *
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        //解决静态资源被拦截的问题
        web.ignoring().antMatchers("/asserts/**");
    }

    /**
     * 配置Security的认证策略
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置登录页并允许访问
        http.formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            // 配置登出页面
            .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
                .and()
            .authorizeRequests()
                .antMatchers("/oauth/**", "/login/**", "/logout/**")
                .permitAll()
            // 其余所有请求全部需要鉴权认证
            .anyRequest()
                .authenticated()
                .and()
            // 关闭跨域保护,Basic登录
            .csrf().disable()
            .httpBasic().disable();
    }
}

3.配置 OAuth2Configuration 继承 AuthorizationServerConfigurerAdapter

/**
*
* describe OAuth2 配置 - TOKEN 保存在内存中
* @author 20018704
* @date 2020/9/2 10:39
*/
@Configuration
@EnableAuthorizationServer
public class OAuth2Configuration extends AuthorizationServerConfigurerAdapter {

    private static final String CLIENT_ID = "cms";
    private static final String SECRET_CHAR_SEQUENCE = "secret";
    private static final String SCOPE_READ = "read";
    private static final String SCOPE_WRITE = "write";
    private static final String TRUST = "trust";
    private static final String USER = "user";
    private static final String ALL = "all";
    private static final int ACCESS_TOKEN_VALIDITY_SECONDS = 2 * 60;
    private static final int REFRESH_TOKEN_VALIDITY_SECONDS = 2 * 60;
    // 密码模式授权模式
    private static final String GRANT_TYPE_PASSWORD = "password";
    // 授权码模式
    private static final String AUTHORIZATION_CODE = "authorization_code";
    // refresh token模式
    private static final String REFRESH_TOKEN = "refresh_token";
    // 简化授权模式
    private static final String IMPLICIT = "implicit";
    // 指定哪些资源是需要授权验证的
    private static final String RESOURCE_ID = "resource_id";

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    /**
     * 用来配置令牌端点(Token Endpoint)的安全约束
     *
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.tokenKeyAccess("isAuthenticated()")    // 开启/oauth/token_key验证端口认证权限访问
                .checkTokenAccess("permitAll()")  // 开启/oauth/check_token验证端口认证权限访问
                .allowFormAuthenticationForClients();   // 允许表单认证否则在授权码模式下会导致无法根据code获取token 
    }

    /**
     * 用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化
     * 你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        // 使用内存存储
        clients.inMemory()
                .withClient(CLIENT_ID) //标记客户端id
                .secret(passwordEncoder.encode(SECRET_CHAR_SEQUENCE)) //客户端安全码
                .autoApprove(true) //为true 直接自动授权成功返回code
                //重定向uri,uri中携带的必须为这里面填写的之一,比如可以在下面的接口中,处理返回的code
                .redirectUris("http://127.0.0.1:8084/cms/thirdLogin") 
                .scopes(ALL) //允许授权范围
                .authorizedGrantTypes(GRANT_TYPE_PASSWORD, AUTHORIZATION_CODE, REFRESH_TOKEN, IMPLICIT); //允许授权类型
    }

    /**
     * 用来配置授权(authorization)以及令牌(token)的访问端点和令牌服务(token services)
     *
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 使用内存保存生成的token
        endpoints.authenticationManager(authenticationManager).tokenStore(memoryTokenStore());
    }

    public TokenStore memoryTokenStore() {
        // 最基本的InMemoryTokenStore生成token
        return new InMemoryTokenStore();
    }
}

4.自定义登录页面

添加 Login 方法

@Controller
public class LoginController {

    @GetMapping(value = {"/login"})
    public ModelAndView toLogin(){
        ModelAndView modelAndView = new ModelAndView();
        modelAndView.setViewName("login");
        return modelAndView;
    }
}

使用 thymeleaf 模板引擎来构建 login 页面,相关国际化配置不在这里展示。

<!DOCTYPE html>
<html lang="zh" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no" />
    <meta name="description" content="" />
    <meta name="author" content="" />
    <title>Signin Template for Bootstrap</title>
    <!-- Bootstrap core CSS -->
    <link href="../static/asserts/css/bootstrap.min.css" th:href="@{asserts/css/bootstrap.min.css}" rel="stylesheet" />
    <!-- Custom styles for this template -->
    <link href="../static/asserts/css/signin.css" th:href="@{asserts/css/signin.css}" rel="stylesheet"/>
</head>

<body class="text-center">
<form class="form-signin" th:action="@{/login}" method="post">
    <img class="mb-4" th:src="@{asserts/img/bootstrap-solid.svg}" alt="" width="72" height="72" />
    <h1 class="h3 mb-3 font-weight-normal" th:text="#{login.tip}">Oauth2.0 Login</h1>
    <label class="sr-only" th:text="#{login.username}">Username</label>
    <input type="text" class="form-control" name="username" th:placeholder="#{login.username}" required="" autofocus="" value="nicky" />
    <label class="sr-only" th:text="#{login.password} ">Password</label>
    <input type="password" class="form-control" name="password" th:placeholder="#{login.password}" required="" value="123" />
    <div class="checkbox mb-3">
        <label>
            <input type="checkbox" value="remember me"  th:text="#{login.remember}" />
        </label>
    </div>
    <button class="btn btn-lg btn-primary btn-block" type="submit" th:text="#{login.btnName}">Sign in</button>
    <p class="mt-5 mb-3 text-muted">© 2019</p>
    <a class="btn btn-sm" th:href="@{/login(lang='zh_CN')} ">中文</a>
    <a class="btn btn-sm" th:href="@{/login(lang='en_US')} ">English</a>
</form>
</body>
</html>

整个认证服务器完整结构

5.启动认证服务器,进行测试

a.访问默认授权端点 /oauth/authorize ,获取授权码

注意,若后面携带了redirect_uri,则必须与配置的redirectUris完全一致,这里是  http://127.0.0.1:8084/cms/thirdLogin
localhost:7777/oauth/authorize?client_id=cms&response_type=code&redirect_uri=http%3A%2F%2F127.0.0.1%3A8084%2Fcms%3F%2FthirdLogin%3FauthType%3Dtest

如果携带的redirect_uri不一致,则会提示invalid_grant错误:

b.返回到登录页面,进行登录

c.登录成功,获取到 code

d.postman模拟后端访问令牌端点 /oauth/token,获取 access_token

e.访问令牌解析端点,模拟校验资源服务令牌解析

二、搭建 Resource Server(非Client端)
1.创建 spring boot 工程,引入依赖 
<properties>
    <java.version>1.8</java.version>
    <spring-cloud.version>Hoxton.SR6</spring-cloud.version>
    <oauth2.version>2.2.4.RELEASE</oauth2.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
        <version>${oauth2.version}</version>
    </dependency>
</dependencies>

配置 application.yaml 文件,声明 check_token

security:
  oauth2:
    resource:
      token-info-uri: http://localhost:7777/oauth/check_token
      user-info-uri: http://localhost:7777/user

server:
  port: 7000

2.配置 ResourceServerConfiguration 继承 ResourceServerConfigurerAdapter

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        super.configure(resources);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
            .authenticationEntryPoint(new CustomAuthenticationEntryPoint()) // 匿名用户访问无权限资源时的异常
            .accessDeniedHandler(new CustomAccessDeineHandler())    // 认证过的用户访问无权限资源时的异常
            .and()
            .authorizeRequests().anyRequest().authenticated()
            .and()
            .csrf().disable().httpBasic();
    }
}

编写两个异常处理类

/**
* 用来解决认证过的用户访问无权限资源时的异常
* AccessDeniedHandler 默认实现是 AccessDeniedHandlerImpl。该类对异常的处理是返回403错误码。
*/
public class CustomAccessDeineHandler implements AccessDeniedHandler {


    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print("没有访问权限!");
    }
}


/**
* AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常
* AuthenticationEntryPoint 默认实现是 LoginUrlAuthenticationEntryPoint, 该类的处理是转发或重定向到登录页面
*/
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print("您还未进行登录,没有访问权限!");
    }
}

3.编写用户 Controller 资源接口

@RestController
public class UserController {

    @GetMapping("/get_resource")
    public String getResource() {
        return "OK";
    }

    @GetMapping("/user")
    public User getUser() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        String name = authentication.getName();
        User user = new User();
        user.setName(name);
        return user;
    }

    @GetMapping("/me")
    public User getMe(Authentication authentication) {
        User user = new User();
        user.setName(authentication.getName());
        return user;
    }
}

4.启动 Resource Server

4.1直接访问资源路径,提示资源未认证

(未配置AuthenticationEntryPoint,出现上面的内容,否则是下面的内容!)

4.2携带上面postman获取的 access_token 访问,成功访问到受限资源

授权服务器入门
wenhaipan的博客
10-26 1390
授权服务器入门) 本文主要讲授权服务器基本入门,还有client_credentials和password授权方式。client_credentials是机器或应用之间交互,没有用户介入,不对外开放注册。password需要用户交互,在获取服务器资源之前需要用户名和密码认证。另外password的授权方式返回的token有refresh_token,而client_credentials没有。 1 工程代码 1.1Maven依赖 <dependency> <g.
Spring Security 教程:从入门到精通(含 OAuth2 接入)
最新发布
kalle2021的博客
03-17 986
本文全面深入地介绍了Spring Security相关知识。首先阐述其基础概念,包括认证与授权等关键要点。接着讲述从入门到进阶的实践过程,如创建Spring Boot项目并引入依赖,进行内存用户认证、基于数据库的用户认证配置,还涉及授权管理的多种方式。随后说明CSRF防护机制及其配置要点。重点讲解了OAuth2接入方法,涵盖客户端与资源服务器的配置及自定义流程。最后提及些高级特性与优化方向,助力开发者构建安全可靠的Web应用 。
Oauth2和单点登录(SSO)的区别及联系
General_zy的博客
06-03 1268
第三方登录是应用开发中的常用功能,通过第三方登录,可以更加容易的吸引用户来到我们的应用中。现在,很多网站都提供了第三方登录的功能,在他们的官网中,都提供了如何接入第三方登录的文档。大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不致的,甚至会基于OAuth协议进行扩展,但大体上其流程是定的。
SpringBoot安全深度防护:OAuth2+JWT实现分布式鉴权
梵心白莲的博客
03-11 986
在当今的分布式系统架构中,安全问题直是至关重要的。随着微服务架构的广泛应用,系统的鉴权和授权变得更加复杂。传统的基于会话的认证方式在分布式环境下存在诸多挑战,如会话共享、单点登录等问题。OAuth2 和 JWT(JSON Web Token)为我们提供了种高效、安全的分布式鉴权解决方案。本文将深入探讨如何在 Spring Boot 项目中结合 OAuth2 和 JWT 实现分布式鉴权。
Oauth2
wyqiang的专栏
12-23 243
-- used in tests that use HSQL create table oauth_client_details ( client_id VARCHAR(256) PRIMARY KEY, resource_ids VARCHAR(256), client_secret VARCHAR(256), scope VARCHAR(256), authorized...
OAuth2
程序员一博
09-03 171
OAuth2有以下四种授权模式,每种授权模式应用于不同的互联网场景授权码模式:常见的第三方登录(qq登录、github登录)基本都是用这种授权模式简化模式:不许第三方服务端服务参与,直接在浏览器中向授权服务器申请token,如果网站是静态网易,就可以采用这种授权模式密码模式客户端模式四种授权模式的流程基本都致的如下,只是个别步骤有所差异A:客户端需要给用户授权B:用户同意授权C:客户端使用上面的授权向认证服务器获取令牌D:认证服务器确认授权正确 下发令牌。...
基于 SpringBoot2.4-oauth2 最简单教程入门.pdf
12-29
这篇教程将带你走进SpringBoot2.4和Spring-cloud-oauth2的整合世界,帮助你快速搭建个基于token校验的前后端分离的后端系统。 **1. OAuth2简介** OAuth2的核心是授权,它定义了四种不同的授权类型,旨在适应不同...
快速搭建OAuth2服务器:两个小时教程
在本教程中,使用 "git clone" 命令克隆了个名为 "oauth2-server-in-an-hour" 的仓库,这是用来快速搭建OAuth 2.0服务器的示例项目。 4. 运行项目 教程中通过执行 npm install 安装项目所需的依赖,随后通过 npm ...
spring-boot-angular-template:用于使用Angular 8前端创建OAuth2安全的dockerized Spring Boot 2应用程序的入门模板
01-30
这是个基于Spring Boot 2和Angular 8的项目模板,它为开发者提供了个快速启动OAuth2安全的、容器化的(dockerized)应用。这个模板适用于那些希望构建前后端分离的Web应用,同时确保安全性并利用Docker进行部署...
掌握Grunt Express Bootstrap OAuth2服务器搭建:gebo-server入门指南
通过gebo-server,开发者可以快速搭建个遵循OAuth2协议的认证服务器,简化用户认证和授权的过程。使用gebo-server可以确保Web应用的安全性,提供种标准、可靠的方法来处理用户认证,同时降低了开发者在实现认证...
oauth2
柳明哲的博客
05-21 408
1.什么是OAuth2 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0致力于简化客户端开发人员的工作,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。 是开放授权个标准,允许用户授权B应用不提供帐号密码的方式去访问该用户在A应用服务器上的某些特定资源。 OAuth2是用于REST/APIs的代理授权框架(delegated authorization framework) 是基于令牌Token的授权,在无需暴露用户密码的情况下,是应用能获取对用户数据有限访问权限
OAuth2.0
Meiko记录
06-21 323
OAuth2.0 为何物 OAuth 简单理解就是授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是OAuth 协议的个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。 举个小栗子解释下什么是 OAuth 授权? 在家肝文章饿了定了个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值