欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解使用Spring Security OAuth 實現OAuth 2.0 授權

 更新時間:2018年01月12日 11:00:58   作者:liuyatao  
本篇文章主要介紹了詳解使用Spring Security OAuth 實現OAuth 2.0 授權,小編覺得挺不錯的,現在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧

OAuth 2.0 是一種工業(yè)級的授權協議。OAuth 2.0是從創(chuàng)建于2006年的OAuth 1.0繼承而來的。OAuth 2.0致力于幫助開發(fā)者簡化授權并為web應用、桌面應用、移動應用、嵌入式應用提供具體的授權流程。

OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 supersedes the work done on the original OAuth protocol created in 2006. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, mobile phones, and living room devices.

OAuth 2.0的四個角色

為了方便理解,以常用的 使用微信登錄 為例

Resource Owner

資源擁有者,對應微信的每個用戶微信上設置的個人信息是屬于每個用戶的,不屬于騰訊。

Resource Server

資源服務器,一般就是用戶數據的一些操作(增刪改查)的REST API,比如微信的獲取用戶基本信息的接口。

Client Application

第三方客戶端,對比微信中就是各種微信公眾號開發(fā)的應用,第三方應用經過 認證服務器 授權后即可訪問 資源服務器 的REST API來獲取用戶的頭像、性別、地區(qū)等基本信息。

Authorization Server

認證服務器,驗證第三方客戶端是否合法。如果合法就給客戶端頒布token,第三方通過token來調用資源服務器的API。

四種授權方式(Grant Type)

anthorization_code

授權碼類型,適用于Web Server Application。模式為:客戶端先調用 /oauth/authorize/ 進到用戶授權界面,用戶授權后返回 code ,客戶端然后根據code和 appSecret 獲取 access token 。

implicit簡化類型,相對于授權碼類型少了授權碼獲取的步驟。客戶端應用授權后認證服務器會直接將access token放在客戶端的url。客戶端解析url獲取token。這種方式其實是不太安全的,可以通過 https安全通道 和 縮短access token的有效時間 來較少風險。

password

密碼類型,客戶端應用通過用戶的username和password獲access token。適用于資源服務器、認證服務器與客戶端具有完全的信任關系,因為要將用戶要將用戶的用戶名密碼直接發(fā)送給客戶端應用,客戶端應用通過用戶發(fā)送過來的用戶名密碼獲取token,然后訪問資源服務器資源。比如支付寶就可以直接用淘寶用戶名和密碼登錄,因為它們屬于同一家公司,彼此 充分信任 。

client_credentials

客戶端類型,是不需要用戶參與的一種方式,用于不同服務之間的對接。比如自己開發(fā)的應用程序要調用短信驗證碼服務商的服務,調用地圖服務商的服務、調用手機消息推送服務商的服務。當需要調用服務是可以直接使用服務商給的 appID 和 appSecret 來獲取token,得到token之后就可以直接調用服務。

其他概念

  1. scope :訪問資源服務器的哪些作用域。
  2. refresh token :當access token 過期后,可以通過refresh token重新獲取access token。

實現

有的時候資源服務器和認證服務器是兩個不同的應用,有的時候資源服務器和認證服務器在通一個應用中,不同之處在于資源服務器是否需要檢查token的有效性,前者需要檢查,后者不需要。這里實現后者。

Application的安全配置

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        .and().csrf().disable()
        .authorizeRequests().anyRequest().authenticated();
  }

  @Override
  public void configure(WebSecurity web) throws Exception {
    super.configure(web);
  }

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().withUser("lyt").password("lyt").authorities("ROLE_USER")
        .and().withUser("admin").password("admin").authorities("ROLE_ADMIN");
  }

  @Bean
  @Override
  public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
  }
}

認證服務器配置

@EnableAuthorizationServer
@Configuration
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {

  @Override
  public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.inMemory().withClient("client")
        .scopes("read","write")
        .secret("secret")
        .authorizedGrantTypes("authorization_code","password","implicit","client_credentials");}

  @Override
  public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    super.configure(security);
  }

  @Override
  public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints.authenticationManager(authenticationManager);
  }

  @Autowired
  @Qualifier("authenticationManagerBean")
  private AuthenticationManager authenticationManager;
}

資源服務器配置

@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableResourceServer
@Configuration
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
 @Override
 public void configure(HttpSecurity http) throws Exception {
 http.antMatcher("/oauth2/api/**").authorizeRequests()
  .antMatchers(HttpMethod.GET, "/read/**").access("#oauth2.hasScope('read')")
  .antMatchers(HttpMethod.POST, "/write/**").access("#oauth2.hasScope('write')")
  .antMatchers(HttpMethod.PUT, "/write/**").access("#oauth2.hasScope('write')")
  .antMatchers(HttpMethod.DELETE, "/write/**").access("#oauth2.hasScope('write')");
 }

}

資源服務器 filter-order 設置

需要在 application.yml 中將filter-order設置成3,具體原因參考鏈接

防止cookie沖突

為了避免認證服務器的cookie和客戶端的cookie沖突,出現錯誤,最好修改 cookie name 或者設置 contextPath 。

測試

postman 中提供OAuth 2.0的認證方式,可以獲取到token之后再把認證加入http請求中,即可請求資源服務器的REST API

客戶端信息

授權


獲取的token


訪問資源服務器API


以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。

相關文章

  • 詳解基于IDEA2020.1的JAVA代碼提示插件開發(fā)例子

    詳解基于IDEA2020.1的JAVA代碼提示插件開發(fā)例子

    這篇文章主要介紹了詳解基于IDEA2020.1的JAVA代碼提示插件開發(fā)例子,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-06-06
  • Java concurrency之公平鎖(一)_動力節(jié)點Java學院整理

    Java concurrency之公平鎖(一)_動力節(jié)點Java學院整理

    這篇文章主要為大家詳細介紹了Java concurrency之公平鎖的相關資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-06-06
  • Java中GC與四種引用的關系詳解

    Java中GC與四種引用的關系詳解

    這篇文章主要介紹了Java中GC與四種引用的關系詳解,Java 中一共有 4 種類型的引用 : StrongReference、 SoftReference、 WeakReference 以及 PhantomReference這 4 種類型的引用與 GC 有著密切的關系, 讓我們逐一來看它們的定義和使用場景,需要的朋友可以參考下
    2023-09-09
  • Springboot教程之如何設置springboot熱重啟

    Springboot教程之如何設置springboot熱重啟

    這篇文章主要介紹了Springboot教程之如何設置springboot熱重啟,本文通過實例圖文相結合給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2020-07-07
  • Spring 定時任務@Scheduled 注解中的 Cron 表達式詳解

    Spring 定時任務@Scheduled 注解中的 Cron 表達式詳解

    Cron 表達式是一種用于定義定時任務觸發(fā)時間的字符串表示形式,它由七個字段組成,分別表示秒、分鐘、小時、日期、月份、星期和年份,這篇文章主要介紹了Spring 定時任務@Scheduled 注解中的 Cron 表達式,需要的朋友可以參考下
    2023-07-07
  • 詳解springboot+atomikos+druid?數據庫連接失效分析

    詳解springboot+atomikos+druid?數據庫連接失效分析

    本文主要介紹了springboot+atomikos+druid?數據庫連接失效分析,文中通過示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-02-02
  • Java如何不解壓讀取.zip的文件內容

    Java如何不解壓讀取.zip的文件內容

    這篇文章主要給大家介紹了關于Java如何不解壓讀取.zip的文件內容的相關資料,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2021-03-03
  • 理解maven命令package、install、deploy的聯系與區(qū)別

    理解maven命令package、install、deploy的聯系與區(qū)別

    這篇文章主要介紹了理解maven命令package、install、deploy的聯系與區(qū)別,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2020-07-07
  • PowerJob的IdGenerateService工作流程源碼解讀

    PowerJob的IdGenerateService工作流程源碼解讀

    這篇文章主要為大家介紹了PowerJob的IdGenerateService工作流程源碼解讀,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2024-01-01
  • java實現本地日期時間處理

    java實現本地日期時間處理

    這篇文章主要介紹了本地日期時間處理的程序,實現了下面的功能,大家參考使用吧
    2014-01-01

最新評論