Auth2 授权登陆

原创 已于 2022-06-07 15:01:57 修改 · 3.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
若非群玉山头见 会向瑶台月下逢
文章标签:

#security

于 2022-05-09 20:28:55 首次发布

原来的格局

原来斗罗大陆有各种租赁狗子的公司,每个公司有很多门店,门店都只放自己家的狗子,每个会员在对应公司的门店注入他们注册会员时账户密码就可以领取狗子耍。

后来

后来这片大陆,出现了越来越多的公司,用户在多家公司开了会员,租赁狗子需要不同的门店输入对应的密码。
这片大陆出现了一个Boss,他下令一个地方,只允许开一个租赁市场,所有不同公司的狗子都放在这里一个市场里面。市场给每个公司一个clientId和clientSecret。他们在这个市场摆摊位。

一天,该市场的一个会员,来到这片市场闲逛,停在一个叫陌陌租赁的摊贩面前,他告诉这个摊主要租赁他们的狗子。摊主就和市场的老板电话,说我是你市场的摊主,在你市场租了一个摊位,这是你给我的clientId和clientSecret。老板对了下clientId和clientSecret 发现没问题。然后call 这个租赁狗子的人,你要租赁的摊主是我市场的没问题呀,现在人家要你账户信息给他,你同意吗。
用户说我同意呀(类似于确认授权),给老板。市场老板收到用户的确认,给了摊主一个授权码,你拿着这个授权码找我的助手去获取用户信息呀。摊主拿着这个授权码和助手的联系方式去获得用户的信息。
助手检查这个授权码没问题。给了摊主一把市场的会员信息的钥匙钥匙会过期,又给了一个的凭证。
accessToken和refreshToken;。摊主拿到这个就可以想市场管理者一样访问用户的信息啦。
摊主拿着这个去获得用户信息。对比该用户用户是否已经注册过

auth2 授权登陆

https://www.jianshu.com/p/2afc34815b90

授权码流程

在这里插入图片描述
在这里插入图片描述

参考文档

https://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

auth2解读
u012558511的博客
03-19 3486
auth2四种模式 第一种授权模式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 通过https://b.com/oauth/authorize?response_type=code& client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read 然后跳转到 CALLBACK_URL?code=AUTHORIZATION_CODE 然后请求 /oauth/token?client_id=CLIENT_ID& cl
SpringBoot OAuth2自定义登陆/授权
m0_60681411的博客
09-09 2304
SpringBoot+Oauth2自定义登陆页和授权页的两种实现方式。
大白话唠唠 Oauth2授权认证的那些事儿!
石杉的架构笔记
11-26 1573
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
OAuth2 详解
最新发布
csdn_tom_168的博客
06-11 1546
OAuth2 是一个强大的授权框架,支持多种授权模式核心角色:资源所有者、客户端、授权服务器、资源服务器关键组件:访问令牌、刷新令牌、授权码、令牌端点安全特性:令牌隔离、作用域限制、令牌撤销典型应用:第三方登录、API访问、微服务授权最佳实践:使用授权码模式、设置合理有效期、使用HTTPSOAuth2 是现代分布式系统和多应用环境的重要授权解决方案,合理使用可以显著提升系统的安全性和灵活性。
Spring Cloud OAuth2 实现用户认证及单点登录
杜海的博客
03-08 1108
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。本文我们将使用授权码模式和密码模式两种方式来实现用户认证和授权管理。OAuth2 其实是一个关于授权的网络标准,它制定了设计思路和运行流程,利用这个标准我们其实是可以自己实现 OAuth2 的认证过程的。
OAuth2.0授权码登录详解
zhang09090606的博客
07-04 4625
一、概述 我们平时登录各种网站时都会用到第三方账号登录,比如qq账号授权登录、GitHub账号授权登录等等,那么究竟是怎么实现的第三方账号登录的呢,其实就是通过OAuth2.0的机制 接下来的叙述都以微信登录同程旅行为例,先看下授权登录用户操作流程 1.用户先点击微信登录 2.弹出授权框点击同意后登录成功 二、OAuth2.0 重要的参数 (1)code码: 用户点击微信登录时,同程的客户端会调用微信提供的授权组件弹出授权框,当用户点击授权,那么微信组件将会申请一个code码给
auth登录
07-13 1063
use Illuminate\Foundation\Auth\User as hh;//User是函数 use Userclass admin extends hh{ // public $table = "admin"; public $timestamps = false; public $guarded = [];} ...
springboot2.x实现oauth2授权登陆的方法
08-25
Spring Boot 2.x 实现 OAuth2 授权码登录的方法 Spring Boot 2.x 实现 OAuth2 授权码登录的方法是指在 Spring Boot 2.x 框架下,使用 OAuth2 授权码流程实现用户登录的方法。该方法主要涉及到授权码流程、资源...
php版微信授权登陆,微信OAuth2网页授权登陆接口.zip
03-28
总之,`php版微信授权登陆`结合微信OAuth2网页授权登录接口,为开发者提供了一种简单有效的用户认证方式,让网站或应用能够利用微信庞大的用户群体,提升用户体验和活跃度。在实际开发中,你需要根据自己的需求调整...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
PHP微信OAuth2网页授权登陆接口
04-20
微信OAuth2网页授权登陆接口,微信OAuth2网页授权登陆接口,在你的网站上放上可以扫码登陆,会不会吸引更多用户去注册,现在你只需要简单的配制一下就可以轻松实现,还不快点拿走,微信扫码登陆接口开发你只要需要把...
OAuth2 授权流程
07-23
Oauth2 授权流程,包括流程图,JWT授权流程,等等。发起授权请求
简单介绍oauth2的一种登录模式-授权码模式登录
qq_42528170的博客
05-29 923
我发现那些oauth2的简介都是互相抄的,不说人话。作为一个小白来说,有很多盲点。 先贴一个不说人话,但是像人话的Oauth2简介,是在我看的博客里面学人话比较像的-->类人话博客 接下来是说人话系列。 我就不介绍oauth是干什么的了? 授权码模式情景: 你登录CSDN的时候除了直接注册外是不是还有qq和微信登录等方式(其实我不知道有没有)。 当你想登录CSDN的时候,点微信或者qq登录,然后输入账号和密码(现在可能是二维码,没事,一球样),再然后你就成功的登录进来了(当然你账...
oauth2登录,单点登录
lin_fightin的博客
11-05 1309
在多系统中登录一个系统,在其他系统内无需再次登陆,即可访问。包括单点登录,单点注销。单点登录原理:所有系统不再提供登录入口,创建一个新的系统(认证中心),专门用来进行登录授权管理,只有认证中心才能接受用户名和密码等信息,然后其他系统通过认证中心的间接授权来判断是否登录。间接授权一般通过令牌实现,sso认证中心确认用户密码没问题后,保持登录状态。
【OAuth2授权机制
lorogy的博客
07-01 829
OAuth2.0是一种主流的授权机制,主要用来颁发令牌(token)。 OAuth 的核心就是向第三方应用颁发令牌 令牌(token)与密码(password) 同:作用是一样,都可以进入系统。 异: 令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。 令牌可以被数据所有者撤销,会立即失效。密码一般不允许被他人撤销。 令牌有权限范围(scope)。密码一般是完整权限。 运行流程 运行流程(标准 RFC 6749) 释义: Client:客户端,第三方应用,
OAuth2 登录流程
yuguang的博客
04-14 2472
这个案例写出来,还怕跟面试官扯不明白 OAuth2 登录流程? 原创 江南一点雨 江南一点雨 今天 今日干货 刚刚发表 查看:66666回复:666 公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。 昨天和小伙伴们介绍了 OAuth2 的基本概念,在讲解 Spring Cloud Security OAuth2 之前,我还是先来通过实际代码来和小伙伴们把 OAu...
登录模块 用户认证 SpringSecurity +Oauth2+Jwt
m0_46690280的博客
10-14 7915
SpringSecurity Oauth2 jwtSpringSecurity Oauth2 jwt1 用户认证分析1.1 单点登录1.2 第三方账号登录2 认证解决方案2.1 单点登录技术方案2.2 第三方登录技术方案2.2.1 Oauth2认证流程2.2.2 Oauth2在项目的应用2.3 Spring security Oauth2认证解决方案3 Jwt令牌回顾3.1 令牌结构3.2 生成私钥公钥3.3 基于私钥生成jwt令牌3.3.1导入认证服务3.3.2 认证服务中创建测试类3.4 基于公
Oauth2认证、登录模式
随心
10-25 492
​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)这种模式是最方便但最不安全的模式。
Auth2
tina_tian1的博客
05-28 365
1 INTRODUCTION OAuth 2 is an authorization framework that enables applications to obtain limited access to user accounts on an HTTP service, such as Facebook, GitHub, and DigitalOcean. It...
oauth2登陆
04-17
### OAuth2 登录实现教程 OAuth2 是一种授权框架,主要用于允许第三方应用程序安全地获取用户资源而不暴露其凭据。以下是基于 Spring Boot 和 OAuth2 的登录功能实现教程。 #### 1. 配置 `application.yml` 文件 在项目中配置 OAuth2 客户端和服务端的相关参数: ```yaml server: port: 8082 servlet: context-path: /memberSystem security: oauth2: client: client-id: UserManagement client-secret: user123 access-token-uri: http://localhost:8080/oauth/token user-authorization-uri: http://localhost:8080/oauth/authorize resource: jwt: key-uri: http://localhost:8080/oauth/token_key ``` 此部分定义了客户端 ID、密钥以及访问令牌 URI 等必要信息[^1]。 #### 2. 添加依赖项 确保项目的 `pom.xml` 中包含必要的 Maven 依赖项: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2-jose</artifactId> </dependency> ``` 这些依赖项用于支持 OAuth2 客户端集成和 JWT 处理[^3]。 #### 3. 创建 Security 配置类 通过自定义的安全配置启用 OAuth2 支持: ```java import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository; import org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter; import org.springframework.security.oauth2.core.DelegatingOAuth2TokenValidator; import org.springframework.security.oauth2.jwt.JwtDecoder; import org.springframework.security.oauth2.jwt.NimbusJwtEncoder; import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { private final ClientRegistrationRepository clientRegistrationRepository; public SecurityConfig(ClientRegistrationRepository clientRegistrationRepository) { this.clientRegistrationRepository = clientRegistrationRepository; } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login", "/oauth2/**").permitAll() // 允许未认证用户访问登录页面和 OAuth2 接口 .anyRequest().authenticated(); // 所有其他请求都需要身份验证 http.oauth2Login(oauth2 -> oauth2 .clientRegistrationRepository(clientRegistrationRepository)); JwtDecoder decoder = new NimbusJwtDecoder(JwksSupport.load(jwkSetUri)); // 加载 JWK 密钥集 DelegatingOAuth2TokenValidator validator = ...; // 自定义 Token Validator JwtAuthenticationConverter converter = customJwtAuthenticationConverter(); } private Converter<Jwt, ? extends AbstractAuthenticationToken> customJwtAuthenticationConverter() { JwtAuthenticationConverter converter = new JwtAuthenticationConverter(); converter.setJwtGrantedAuthoritiesConverter(...); // 转换 Authorities return converter; } } ``` 这段代码实现了 OAuth2 登录流程,并设置了 JWT 解码器和权限转换逻辑。 #### 4. 测试 OAuth2 登录 启动服务后,在浏览器中导航到 `/memberSystem/login` 页面,系统会重定向至 OAuth2 提供商的授权界面。完成授权后,返回的应用程序将携带有效的 Access Token[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值