Spring Security OAuth2#resource_ids

原创 已于 2022-09-27 16:17:33 修改 · 1.4w 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

于 2017-09-07 20:59:39 首次发布
本文介绍了Spring Security OAuth2架构中的Resource ID配置方法及其验证流程。Resource ID用于限制客户端访问特定资源服务器的能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

发博词

Spring Security OAuth2 架构上分为Authorization Server和Resource Server。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。再给client授权的时候,可以设置这个client可以访问哪一些微服务实例,如果没设置,就是对所有的resource都有访问权限。

ResourceID在哪设置

在每个ResourceServer实例上设置。

配置文件

经测试,这个不管用,原因待查。

security: 
  enable-csrf: false
  oauth2: 
    resource: 
      id: resource1
      jwt: 
        key-uri: http://authorization-server:8080/oauth/token_key
      filter-order: 3

ResourceServerConfigurerAdapter

@Configuration
@EnableResourceServer
@EnableOAuth2Client
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter{

    private static final String DEMO_RESOURCE_ID = "resource1";

	@Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(DEMO_RESOURCE_ID).stateless(true);
    }
 }

ResourceID在哪验证

@EnableResourceServer会给Spring Security的FilterChan添加一个OAuth2AuthenticationProcessingFilter,OAuth2AuthenticationProcessingFilter会使用OAuth2AuthenticationManager来验证token。
OAuth2AuthenticationManager#authenticate(Authentication authentication)

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

		if (authentication == null) {
			throw new InvalidTokenException("Invalid token (token not found)");
		}
		String token = (String) authentication.getPrincipal();
		OAuth2Authentication auth = tokenServices.loadAuthentication(token);
		if (auth == null) {
			throw new InvalidTokenException("Invalid token: " + token);
		}

		Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
		if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
			throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
		}

		checkClientDetails(auth);

		if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
			OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
			// Guard against a cached copy of the same details
			if (!details.equals(auth.getDetails())) {
				// Preserve the authentication details from the one loaded by token services
				details.setDecodedDetails(auth.getDetails());
			}
		}
		auth.setDetails(authentication.getDetails());
		auth.setAuthenticated(true);
		return auth;

	}

下面这段便是验证resourceid的地方;

Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
		if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
			throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
		}

注意

在Spring Security的FilterChain中,OAuth2AuthenticationProcessingFilter在FilterSecurityInterceptor的前面,所以会先验证client有没有此resource的权限,只有在有此resource的权限的情况下,才会再去做进一步的判断;

十六 Oauth2.0实战--搭建资源服务器
专搞技术的小兔子
03-06 2055
OAuth2.0 资源服务器
Spring Security OAuth2入门Demo
诺浅的专栏
11-17 1812
写在前面 项目基于Spring Cloud,需要你对Spring Cloud有所了解,篇幅所限,本文只会列出关键代码,文末会给出完整的项目GIT地址,建议下载下来导入到idea中再进行查看。 项目的目录结构 其中auth-server为认证模块,client-user为资源模块。 auth-server模块配置 首先需要导入oauth2的包 <dependency> <groupId>org.springframework.cloud</groupId>
OAuth2resource_id配置与验证(含源码分析)
a602389093的博客
08-04 3087
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 Spring Security OAuth2resource_id配置与验证 一、resource_id的作用 资源服务器端: 每一个服务请求到资源服务器,都可以在资源服务器为当前的ResourceServer资源服务(即一个微服务实例)设置一个resource_id。 认证服务器端: OAuth2的认证服务器,在给client第三方客户端授权的时候,可以设置这个client可以访问哪
Spring Security OAuth2resource_id配置与验证
字母哥博客
07-28 8325
一、resource_id的作用 Spring Security OAuth2 架构上分为Authorization Server认证服务器和Resource Server资源服务器。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。
as_prominent_resource_ids:一个ArchivesSpace插件,可以使资源ID在人员界面中更加突出
02-11
as_prominent_resource_ids 一个ArchivesSpace插件,可以使资源ID在人员界面中更加突出。 当查看或编辑资源或其组件之一时,浏览器窗口底部的固定条(如状态栏)显示资源的四部分ID和标题。 该插件是针对ArchivesSpace v2.8.0开发的。 由Hudson Molonglo为“新学校档案和特别收藏”开发。 安装 下载到您的archivesspace/plugins目录。 将插件添加到您的config.rb 。 组态 该插件无需配置。 范本 该插件将覆盖人员界面模板。 升级ArchivesSpace时检查它的更改。 覆盖的模板: shared/_breadcrumb.html.erb
oauth2使用jwt标准出现的一些问题
qq_37700575的博客
12-12 672
记录spring oauth2使用jwt标准实现认证服务的一些自己碰到的问题1:项目文件结构2.设置JwtTokenStore后,却还是InMemoryTokenStore3:遇到的问题会持续更新...... 2.设置JwtTokenStore后,却还是InMemoryTokenStore 拿获取到的access_token,通过网关访问aydemo-user服务时一直报错 “invalid access token:token内容…”.是因为没有给访问的服务配置JwtTokenStore,只给aydem
Spring Security OAuth2resource_id配置和验证.docx
07-04
Spring Security OAuth2 是一个强大的安全框架,用于保护 RESTful API 和 Web 应用。它将安全功能分解为两个主要部分:Authorization Server 和 Resource Server。Authorization Server 负责身份验证和授权,而 ...
Spring Security Oauth2 认证流程
山巅
09-16 5530
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
SecurityOAuth2 Resource Server
BLOG域名:programb.blog.csdn.net
05-27 753
Getting Started Reference Documentation For further reference, please consider the following sections: Official Apache Maven documentation Spring Boot Maven Plugin Reference Guide Create an OCI image Spring Security OAuth2 Client OAuth2 Resource Server G
SpringCloud微服务——基于security+oauth2的安全保护(三):资源服务
fyk的博客
08-13 5807
在实现方式一文中,已经说明了资源服务的代码结构。现在开始具体的实现。 加入jar包 在公用的pom文件中,引入jar包: <!-- security oauth2 start --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring...
springsecurity03-springsecurity oauth2实现单点登录之-资源服务器(Resource Service)
liaomin416100569的专栏
03-14 1733
文章目录资源文件简介资源文件实战 资源文件简介 文章参考自 https://projects.spring.io/spring-security-oauth/docs/oauth2.html 一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentica...
Validates using resource IDs in a switch statement in Android library module
袁较瘦的技术博客
04-06 5458
昨天在项目里导入项目作为library module时报错,提示Validates using resource IDs in a switch statement in Android library module,很奇怪,主module里也有这种写法啊,怎么就没报错,立马查了一下,看到答案的那一刻才想起来以前遇到过这个问题,看来好记性确实不如烂笔头啊,还是记录一下吧。        首先,这
构建一个安全可靠的身份认证中心和资源服务中心:SpringSecurity+OAuth2.0的完美结合(二)
凛鼕将至的博客
03-30 978
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
Spring Security OAuth2# Scope
热门推荐
来啊 快活啊
09-08 1万+
怎么传递scopehttp://localhost:8080/oauth/token?grant_type=password&scope=ROLE_CLIENT_ADMIN+Hidelo&client_id=business&client_secret=business&username=user&password=password 解析的逻辑如下: DefaultOAuth2Request
SpringSecurity中文文档(Servlet OAuth2
znjy111的博客
07-10 1059
Spring Security 提供了全面的 OAuth 2.0支持。
Spring Security 分布式架构中的使用
liming0025的专栏
12-19 2249
1、分布式系统认证需求 分布式每个服务都会有认证授权的需求。如果每个服务都些认证授权的逻辑就会很冗余。所以需要把认证授权进行抽取,进行统一认证授权。 认证授权服务,需要支持多种认证授权的方式,如用户名密码、短信验证码、二维码等等。同时要给其他服务提供其他应用接入的的认证。 2、分布式系统认证方案 1、选型 基于session的认证方式:存在session共享的问题。方案很多,常用的直接使用redis进行存储,spring boot 也提供了相关的插件。缺点是不同的客户端cookie机制可能不一样。
(七)SpringCloud+Security+Oauth2--oauth2客户端公用配置抽离
Instanceztt的博客
12-06 532
在前面的文章我们是了解到传统的分布式架构在鉴权时,是通过Gateway网关来对接口请求进行统一的客户端鉴权,这种好处就是在代码编写时,只要不经过网关我们在测试接口的不需要token就能快速反问接口,这种在平时开发时是比较遍历,但是一旦资源服务器的端口暴露,就相当于全部的接口裸露在外面,是比较危险的 但是每个资源服务的oauth2客户端配置是比较类似的,我们可以抽离出一个公用的组件,对外提供一个资源服务器注解即可,让对应的资源服务器变成oauth2的客户端,这样极大的提高了资源服务器的安全性 代码目录
Spring Security OAuth2 入门
最新发布
2501_90433058的博客
02-10 907
因为,我们使用的是 SpringBoot 的版本为 1.5.16.RELEASE ,所以使用的 Spring Security 的版本为 4.2.8.RELEASE ,Spring Security OAuth2 的版本为 2.2.0.15.RELEASE。所以,笔者猜测,之所以图中画的是 Implicit Grant 的原因是,受 Google 的 《OAuth 2.0 for Client-side Web Applications》 一文中,推荐使用了 Implicit Grant。
Security——OAuth2 Resource Server
十年梦归尘的专栏
12-08 1800
OAuth2 Resource Server
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈振阳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值