在单个spring boot应用程序中使用SAML和Oauth2
在单个Spring Boot应用程序中使用SAML和OAuth2是一种集成身份验证和授权的方法,可以实现单点登录和安全访问控制。SAML(Security Assertion Markup Language)是一种基于XML的开放标准,用于在不同的安全域之间传递身份验证和授权信息。OAuth2是一种授权框架,用于授权第三方应用程序访问受保护的资源。
使用SAML和OAuth2可以实现以下功能:
- 单点登录(Single Sign-On,SSO):用户只需登录一次,即可访问多个应用程序,提高用户体验和工作效率。
- 身份提供者(Identity Provider,IdP):SAML作为身份提供者,负责验证用户身份并生成SAML断言(Assertion),用于向服务提供者(Service Provider,SP)证明用户的身份。
- 服务提供者(Service Provider,SP):SP是需要受保护的应用程序,通过验证SAML断言来授权用户访问受保护资源。
在Spring Boot应用程序中集成SAML和OAuth2可以按照以下步骤进行:
- 配置身份提供者(IdP):根据具体的SAML身份提供者,配置SP的元数据(Metadata),包括IdP的URL、证书等信息。
- 配置服务提供者(SP):在Spring Boot应用程序中配置SP的元数据,包括SP的URL、断言消费URL等信息。
- 集成Spring Security:使用Spring Security框架来处理SAML和OAuth2的身份验证和授权流程。
- 配置安全规则:定义哪些URL需要进行身份验证和授权,可以使用Spring Security的注解或配置文件来实现。
- 实现用户信息提取:根据SAML断言或OAuth2令牌,从身份提供者获取用户信息,并将其与应用程序的用户系统进行关联。
- 集成其他功能:根据具体需求,可以集成其他功能,如多因素身份验证、访问控制列表等。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):提供身份认证和访问管理服务,可用于管理用户、角色和权限。详情请参考:https://cloud.tencent.com/product/cam
- 腾讯云API网关(API Gateway):提供API访问控制和管理服务,可用于保护和管理后端API资源。详情请参考:https://cloud.tencent.com/product/apigateway
- 腾讯云密钥管理系统(KMS):提供密钥管理和加密服务,可用于保护敏感数据和身份验证信息。详情请参考:https://cloud.tencent.com/product/kms
请注意,以上仅为腾讯云相关产品的示例,其他云计算品牌商也提供类似的产品和服务。
相关·内容
1回答
用SAML扩展和Shibboleth实现春季单点登录
spring-security、single-sign-on、saml-2.0、shibboleth、spring-saml
我想在基于Spring的应用程序中实现一个单点登录(SSO)身份验证层,以支持来自不同安全域的身份验证和授权。我选择了Shibboleth作为IdP,但我还没有确定我将为SP使用什么。
这些选择是:
扩展:组件允许新的和现有的应用程序在基于SAML2.0协议的联邦中充当服务提供者,并启用单点登录。Security扩展允许在单个应用程序中无缝地结合SAML2.0和其他身份验证和联合机制。所有在身份提供者模式下支持SAML2.0的产品(例如ADFS2.0、Shibboleth、OpenAM/OpenSSO、RM5 IdM或Ping Federate)都可以用于与扩展连接。
Shibbol
浏览 17提问于2014-04-07得票数 23
回答已采纳
2回答
将SAML与我的mvc web应用集成在一起
asp.net-mvc、asp.net-mvc-4、single-sign-on、saml-2.0、tableau-api
我是SAML的新手,我需要一些澄清。
我有一个asp.net mvc应用程序。现在我想使用tableau并显示一些图表。我希望通过SAML SSO通过对tableau的身份验证。我的需求就像,
我的应用程序/ Tableau服务器通过HTTP充当SAML
SP将用户重定向到Idp以进行身份验证。
SAML IdP使用身份验证结果将用户重定向回SAML,原始请求继续进行。
SAML SP告诉Tableau可信身份验证用户已经成功地进行了身份验证。
可信身份验证向用户颁发信任票证。
用户能够访问(授权) Tableau视图/内容。
为此,我需要创建国内流离失所者。
浏览 1提问于2013-12-16得票数 0
2回答
Spring :除了使用/saml/元数据端点之外生成SP元数据的替代方法
spring、spring-security、saml、saml-2.0、spring-saml
背景:我的网络应用程序正在PROD中运行,真正的用户正在使用它。最初的身份验证是使用Security实现的。
最近,客户端决定使用SSO进行身份验证,所以我的应用程序应该在客户端IdP中充当SP。我使用Spring将我的应用程序配置为SP。
在QA环境上与客户端IdP集成涉及接下来的步骤:
获取并存储从客户收到的IdP元数据文件。
在环境上部署带有SP配置的代码。
使用/saml/metadata端点生成SP元数据文件并与客户共享。
从客户IdP端获得许可,将SP元数据文件放在正确的位置。
验证SSO是否成功工作。
现在,是时候将SSO配置部署到PROD环境中,并将
浏览 3提问于2019-05-01得票数 1
回答已采纳
1回答
SAML 2.0安全令牌
authorization、saml
我有一个web应用程序,它根据SAML 2.0协议使用身份提供者进行身份验证。
此web应用程序(服务提供商)是否必须验证每个web服务器请求的安全令牌(由IdP在用户登录web应用程序时提供)。
在我看来,没有必要为每个服务器请求验证安全令牌。SAML协议仅在必要的情况下(身份验证、授权)才需要令牌验证。
我是对的,还是我必须为每个web服务器请求实现令牌验证?
浏览 3提问于2014-06-23得票数 1
2回答
SAML和后端REST服务身份验证
rest、saml
我有一个像这样的应用程序工作流
(A)用户代理(浏览器)<
假设app服务器(B)是SAML服务提供者,并且用户@域使用Web浏览器SSO配置文件从浏览器(A)到应用服务器(B)进行身份验证。
运行在(B)上的应用程序如何将REST服务(C)认证为user@domain.com?(假设B和C都是同一IdP上的SAML )。
如果浏览器只是对B和C进行AJAX调用,那就很简单了。但是,如果REST服务是直接从应用程序调用的,您要做什么?
我要解决的问题是:如果应用程序本身不是SAML,而是与一个应用程序集成(例如,使用Shibboleth和REMOTE_USER头),那么应用程序可能永远看
浏览 2提问于2013-11-09得票数 6
2回答
将Okta配置为在我们的SP应用程序和IdP之间进行中介
authentication、saml-2.0、federated-identity、okta
我们是一个服务提供商,SAML使我们的应用程序允许国内流离失所者为我们认证用户。确保每个人都站在同一条战线上
身份提供者(IdP)是一个应用程序,它的任务是对用户进行身份验证。
服务提供者( Service,SP)是一个终端应用程序,它将身份和身份验证联合到IdP。
SAML是一种协议,允许国内流离失所者对SPs进行可信的身份断言。我们正在使用SAML2.0 ()
有关联邦身份的更多信息,请参见:
我们目前只使用Okta作为IdP,但遇到了需要与单独的IdP集成的情况。我们希望我们的应用程序只与Okta通信,让Okta与这个单独的IdP进行对话,并验证他们的断言。由于我们的
浏览 4提问于2016-02-05得票数 6
1回答
如何识别以前SP在随后的IdP重定向到SP时启动的身份验证
authentication、saml、saml-2.0、idp
当使用SAML2执行服务提供者( SP )发起的身份验证时,SP和添加到身份验证请求中的用户将生成一个秘密ID。身份提供者(IdP)响应此AuthnRequest并回显SP的秘密ID (“响应”),以确保身份验证请求/响应的一致性。然后,SP处的身份验证可以继续进行(在验证了所有其他事情之后)。
当IdP上的当前身份验证会话仍然有效并且"IdP门户“具有通过某种书签/链接(如Office356中的应用程序图标)重定向到SP的能力时,会发生什么情况。SAML2标准中是否有任何在服务提供者(某种类型的IdP会话id )上继续以前启动的会话的配置?如果在这种情况下需要重新身份验证是很奇怪的,
浏览 2提问于2022-08-01得票数 1
回答已采纳
2回答
Spring SAML安全与Spring Web应用程序的集成
spring、spring-security、single-sign-on、saml-2.0、spring-saml
我已经使用spring security和spring-security-saml 2.0集成了我们的web应用程序。集成工作正常,但是当我被重定向到我的web应用程序页面时,我可以从IDP获得成功的身份验证消息。应用程序创建自己的SecurityContextHolder,我得到的用户是匿名身份验证对象,而不是由SAMLAuthenticationProvider创建的SAMLAuthentication。
需要知道在获得身份验证成功或错误之后,我们如何集成现有web应用程序的spring安全性?
浏览 0提问于2017-12-03得票数 0
2回答
推荐的身份联邦模式
saml、claims-based-identity、federated-identity、claims
我将就SAML进行讨论,但我并不担心这些协议。
将有一个联邦提供者(FP)信任多个外部身份提供者和1个内部标识提供者(IdP)。应用程序(SP)反过来也会信任FP。SPs是Java和.Net的混合体。外部内部流离失所者不知道添加到他们的安全令牌以供SPs使用的权限和声明,但是本地IdP会知道。我需要将适当的角色、权限和组与标识关联起来,以便SP能够适当地授予或拒绝访问。
我可以看到两种选择:
FP将外部标识映射到本地标识,并通过查询本地IdP和在传递到SP之前使用适当的声明增强安全令牌来增强声明。
SP查询本地IdP并以这种方式提取权限。
这一领域的共同模式是什么?
建议支持这
浏览 6提问于2015-05-22得票数 0
1回答
有没有Spring boot SAML客户端来集成SAML和spring boot应用程序?
spring-boot、spring-security、adfs、msal、spring-saml
我正在开发一个spring boot应用程序,它集成了多个IDP。我在互联网上查看了许多关于集成Spring应用程序和SAML的示例,所有这些示例都显示了如何通过应用程序属性与IDP集成。 在MSAL2.0的情况下,我们有由OAuth库提供的客户端,我们集成如下。 ConfidentialClientApplication
.builder(decryptCredential(adClientId), clientSecret)
.authority(authorityURL).build();
clientAp
浏览 74提问于2021-01-30得票数 0
回答已采纳
3回答
基于OAuth2的单点登录
oauth-2.0、single-sign-on、openid-connect
我们的项目包括几个子应用程序,我们正在寻找实现SSO的解决方案,以避免对每个子应用程序进行身份验证。
假设这是我们项目的结构:
authentication server(call it AS or IdP or something else)
order-system
product-system
data-analysis-system
.......
我们发现有很多关于“基于OAuth2实现的SSO”的文章,比如。
在那篇文章中,我们更喜欢SAML策略,因为它简单明了,但是对于本机应用程序有一些限制,然后我们重点讨论了OAuth2。
这就是工作流程:
OAuth2中的1条规则
浏览 8提问于2020-07-25得票数 10
1回答
作为web SSO服务提供者,我应该支持哪些SAML绑定?经过认证的用户的信息是如何传递给我的?
saml、saml-2.0
我有一个类似于的问题,但它遗漏了一些我想澄清的部分。
SAML配置文件规范描述了几种可能的绑定,并声明使用取决于SP和IdP设置。
SAML一致性和概要文件规范标识了可以合法地与这两条消息一起使用的SAML绑定。具体来说,可以使用、HTTP绑定或HTTP绑定从SP向IdP发送身份验证请求消息。响应消息可以使用HTTP绑定或HTTP绑定从IdP发送到SP。对于这对消息,SAML允许在选择使用的绑定时不对称。也就是说,可以使用一个绑定发送请求,并且可以使用不同的绑定返回响应。决定使用哪些绑定通常由IdP和SP系统中的配置设置驱动。在选择绑定时必须考虑诸如潜在消息大小、是否允许标识信息通过浏览器传
浏览 1提问于2016-07-29得票数 0
回答已采纳
1回答
Spring支持自定义SAML断言
spring、spring-security、spring-saml
我们有一个只有一个客户的产品,当我们作为服务提供者并且idp在客户端时,我们使用为这个客户实现了SAML流。
现在,我们有了另一个客户,它也希望身份验证使用SAML,我们希望同一个SP为这个客户实现SAML流,第二个客户将拥有两个SAML流--一个用于移动设备,另一个用于使用相同IDP的其他设备。这两个客户的国内流离失所者是不同的。
问题
两个客户之间存在一些差异,例如断言属性不同,成功身份验证的操作也不同,目前我们提供了自己的实现。
而且可能会有更多的变化,比如不同的绑定等等.
我的问题是,支持这样的场景并能够扩展我的SP以支持更多的SAML流以及断言属性和更多配置上的差异的最佳选择/最佳实
浏览 3提问于2016-07-05得票数 4
回答已采纳
1回答
使用基于SAML的基本身份验证?
spring-security、saml、spring-saml
我有一个用例,其中web应用程序需要允许用户以两种不同的方式进行身份验证,但通过SAML使用相同的用户数据存储(也称为IDP)。
用户的浏览器被重定向到IDP,然后用SAML断言(也就是WebSSO概要文件)重定向回来。
用户通过基本身份验证向SP请求提供他们的凭据。然后,SP需要将用户的凭据发送到IDP,IDP将通过后台通道(服务器到服务器)提供断言。
我正在使用扩展。Spring中的示例应用程序包含具有用户名和密码的基本身份验证和基于SAML的身份验证,但是基本的Auth部分使用在securityContext.xml文件中定义的本地帐户。我需要使用IDP上的用户帐户。这个
浏览 1提问于2015-05-29得票数 2
回答已采纳
2回答
Spring Security with OpenAM
spring-security、saml-2.0、openam
目前我们有web应用程序,它使用spring Security进行基于角色的身份验证和授权。因为我们想使用单点登录,所以我看了这个示例来集成Spring和Openam ,所以它类似于
我的网络应用程序(使用spring与<===>对话)openam代理<====> IDP
但是当我使用SAML tracer ( Firefox的插件来跟踪SAML请求/响应)时,我在我的web应用程序和IDP代理之间看不到任何SAML有效负载。是不是Spring正在使用SOAP请求通过从AMConfig.properties中挑选urls来与IDP代理进行通信?
我想过使用Fedlet,
浏览 6提问于2013-01-25得票数 0
回答已采纳
1回答
OpenAM SAML2瞬态联邦和持久联邦
saml、persistent、openam、transient
是否可以将OpenAM服务提供者配置为同时支持来自不同IDP的SAML2瞬态联合和持久联合,我们如何配置这一点?
(注:我们现在没有在SP中存储用户身份)
另外,如果我们实现了OpenAM瞬态联合和持久,那么是否适用于将来自不同IDP的SAML响应中的不同SAML断言属性映射到SAML2服务提供商中的相同属性。
示例:如果IDP1发送“UserEmail”之类的“用户电子邮件”,IDP2发送“用户电子邮件”(如“email”)
我们如何在我们的服务提供商中映射这一点。
注: openAM版本13.0.0
浏览 5提问于2019-11-13得票数 0
回答已采纳
1回答
IDP处的Spring SAML预身份验证
java、spring、spring-security、saml、spring-saml
我正在编写几个基于spring security和spring security saml extension (RC2)的web应用程序。
我以一种基本的方式与多个服务提供商和一个身份提供商进行单点登录(基于spring saml文档中定义的示例)。
当用户访问SP上的受保护资源时,他将被转发到IDP上的受保护资源。因此,因为用户还没有登录,所以他们会被重定向到登录页面(标准的spring安全工具)。登录后,将回放原始请求,完成authNRequest/Response,并将用户重定向到原始安全资源。
我现在有一个要求,即确保所有服务提供商必须在每次请求之前询问身份提供商用户是否已登录(而不
浏览 1提问于2014-06-25得票数 4
2回答
集成在微服务中开发的API的SAML身份验证
spring-boot、spring-security、oauth-2.0、microservices、saml-2.0
我需要开发一组用于web和移动客户端的微服务(rest ),这些微服务位于API网关的后面,我必须与SSO (使用SAML)集成以进行用户身份验证,我知道必须完成SAML令牌到oAuth2令牌的转换,以便在API网关上验证SAML令牌并在那里处理授权,但我不清楚的一点是,谁将注意SAML令牌到oAuth2的转换,是IDP提供了这个功能,还是我需要自己构建一些东西?
我正在考虑的一个可能的解决办法是
用户(来自web/移动)通过SSO登录
从IDP获取SAML响应。
将SAML响应发送到服务器以生成Auth令牌
服务器获取生成auth令牌的请求,查找SAML响应并根据IDP验证它
浏览 2提问于2020-12-06得票数 0
1回答
成功身份验证后,SSO idp启动重定向到先前的URL
spring-security、single-sign-on、saml-2.0
我是spring安全性和SAML2的新手,我和我被要求用SAML2实现spring安全SP中的SSO。在用户试图从SP接收未经授权的资源之后,我尝试执行由IDP(在我的例子中是SSOcircle)发起的SSO。在此之后,idp将用户从身份验证中重定向,当身份验证阶段成功完成时,用户将被重定向到,而不是用户试图访问的资源,如果用户想要访问的资源是:,如何使用户重定向到同一个URL?
浏览 3提问于2017-08-31得票数 0
回答已采纳
2回答
将认证信息从WSO2传递到SP应用程序
server、wso2、identity
我们正在为SSO启动一个项目,并使用wso2完成所有SAML、OAuth,并将我们的We应用程序保留为服务提供者。我已经浏览了在线文件,但需要一些帮助。
当用户试图访问When应用程序中的任何资源时,我会将用户发送到wso2,以便在OAuth /openid连接的情况下进行身份验证,我将如何形成这个url?
我已经在WSO2控制台中配置了IDP和SP,在身份验证之后,WSO2如何将经过身份验证的用户的凭据提供给服务提供者,我认为根据文档或示例应用程序,这应该是SAML或任何其他sso协议,如oauth等,文档不清楚,或者我可以找到任何示例。
我想用我自己创建的Authn重定向OAu
浏览 7提问于2016-01-21得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
