• 日期: 2027-06-17
  • 标签: 常规

OAuth2.0 是一种授权协议,它允许第三方应用程序通过向用户提供安全令牌来访问他们的资源。OAuth2.0 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。以下是 OAuth2.0 认证的流程:

  1. 客户端向授权服务器请求访问权限,包括身份认证和授权类型。
  2. 授权服务器要求用户提供身份验证。
  3. 用户提供身份验证后,授权服务器向客户端发出访问令牌。
  4. 客户端使用访问令牌向资源服务器请求访问资源。
  5. 资源服务器验证访问令牌,并返回请求的资源。

OAuth2.0 的授权类型有四种:授权码模式、隐式授权模式、密码模式和客户端凭证模式。

授权码模式是最常用的模式,它的流程如下:

  1. 客户端重定向到授权服务器的授权页面,并提供客户端标识符和重定向 URL。
  2. 用户登录并授权客户端访问资源。
  3. 授权服务器将用户重定向回客户端,并提供授权码。
  4. 客户端使用授权码向授权服务器请求访问令牌。
  5. 授权服务器验证授权码,并发放访问令牌。

隐式授权模式是为了简化授权流程而设计的,它的流程如下:

  1. 客户端重定向到授权服务器的授权页面,并提供客户端标识符和重定向 URL。
  2. 用户登录并授权客户端访问资源。
  3. 授权服务器将访问令牌直接发送到客户端,而不是授权码。
  4. 客户端使用访问令牌向资源服务器请求访问资源。

密码模式是指用户直接向客户端提供用户名和密码,并将其发送到授权服务器,获取访问令牌。这种模式需要用户信任客户端,因为客户端可以直接访问用户的凭据。

客户端凭证模式是指客户端使用自己的凭证向授权服务器请求访问令牌,而不需要用户的参与。这种模式适合于客户端需要访问自己的资源的情况。

基于 Shiro 开发一个 Oauth2.0 认证的服务端程序:

Shiro 是一个 Java 安全框架,它提供了身份认证、授权、加密和会话管理等功能。要基于 Shiro 开发一个 Oauth2.0 认证的服务端程序,需要使用 Shiro OAuth 插件。

以下是基于 Shiro OAuth 插件开发 Oauth2.0 认证服务端程序的步骤:

  1. 添加 Shiro OAuth 插件的依赖:
<dependency>
    <groupId>com.github.bujiio</groupId>
    <artifactId>buji-pac4j</artifactId>
    <version>2.1.0</version>
</dependency>
  1. 配置 Shiro OAuth 插件:
@Bean
public Config oauthConfig() {
    Config config = new Config();
    OidcConfiguration oidcConfig = new OidcConfiguration();
    oidcConfig.setClientId('client-id');
    oidcConfig.setSecret('client-secret');
    oidcConfig.setDiscoveryURI('https://openid.example.com/.well-known/openid-configuration');
    oidcConfig.setUseNonce(true);
    oidcConfig.addCustomParam('prompt', 'consent');
    oidcConfig.addCustomParam('max_age', '3600');
    oidcConfig.setScope('openid email profile');
    oidcConfig.setResponseType('code');
    oidcConfig.setProvider('oidc-provider');
    oidcConfig.setBaseURL('http://localhost:8080/');
    Clients clients = new Clients();
    clients.addClient(new OidcClient(oidcConfig));
    config.setClients(clients);
    return config;
}
  1. 添加 Shiro OAuth 过滤器:
@Bean
public FilterRegistrationBean oauthFilter() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    registration.setFilter(new ShiroFilter(oauthConfig()));
    registration.setOrder(1);
    registration.addUrlPatterns('/oauth2/*');
    return registration;
}
  1. 添加 Oauth2.0 认证接口:
@RequestMapping('/oauth2/authorize')
public void authorize(HttpServletRequest request, HttpServletResponse response) {
    try {
        WebContext context = new J2EContext(request, response);
        IndirectClient client = (IndirectClient) oauthConfig().getClients().findClient('oidc-provider');
        RedirectAction action = client.getRedirectAction(context, true, false);
        action.perform(context);
    } catch (Exception e) {
        // handle exception
    }
}

完整示例代码:

pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>com.github.bujiio</groupId>
        <artifactId>buji-pac4j</artifactId>
        <version>2.1.0</version>
    </dependency>
</dependencies>

Application.java

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @Bean
    public Config oauthConfig() {
        Config config = new Config();
        OidcConfiguration oidcConfig = new OidcConfiguration();
        oidcConfig.setClientId('client-id');
        oidcConfig.setSecret('client-secret');
        oidcConfig.setDiscoveryURI('https://openid.example.com/.well-known/openid-configuration');
        oidcConfig.setUseNonce(true);
        oidcConfig.addCustomParam('prompt', 'consent');
        oidcConfig.addCustomParam('max_age', '3600');
        oidcConfig.setScope('openid email profile');
        oidcConfig.setResponseType('code');
        oidcConfig.setProvider('oidc-provider');
        oidcConfig.setBaseURL('http://localhost:8080/');
        Clients clients = new Clients();
        clients.addClient(new OidcClient(oidcConfig));
        config.setClients(clients);
        return config;
    }

    @Bean
    public FilterRegistrationBean oauthFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new ShiroFilter(oauthConfig()));
        registration.setOrder(1);
        registration.addUrlPatterns('/oauth2/*');
        return registration;
    }

    @RequestMapping('/oauth2/authorize')
    public void authorize(HttpServletRequest request, HttpServletResponse response) {
        try {
            WebContext context = new J2EContext(request, response);
            IndirectClient client = (IndirectClient) oauthConfig().getClients().findClient('oidc-provider');
            RedirectAction action = client.getRedirectAction(context, true, false);
            action.perform(context);
        } catch (Exception e) {
            // handle exception
        }
    }
}

依赖坐标

<dependency>
    <groupId>com.github.bujiio</groupId>
    <artifactId>buji-pac4j</artifactId>
    <version>2.1.0</version>
</dependency>

请注意:

  • 上述代码示例中,client-idclient-secrethttps://openid.example.com/.well-known/openid-configuration 需要根据你的实际情况进行修改。
  • 为了演示目的,示例代码只包含最基本的配置和逻辑。实际开发中,还需要根据你的具体需求进行扩展和完善。
OAuth2.0 认证全过程以及原理:基于 Shiro 开发服务端程序完整示例

原文地址: https://www.cveoy.top/t/topic/oXX1 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录