Spring boot安全oauth2从cookie获取access_token
Spring Boot是一个用于创建独立的、基于Spring的应用程序的框架。它简化了Spring应用程序的开发过程,并提供了许多开箱即用的功能和库。
安全是任何应用程序都必须考虑的重要方面之一。OAuth2是一种开放标准的授权协议,用于在不直接提供用户名和密码的情况下,授权第三方应用程序访问用户资源。Spring Boot提供了一种简单而强大的方式来实现OAuth2安全。
在Spring Boot中,从cookie获取access_token的过程可以通过以下步骤完成:
- 配置Spring Security依赖:在项目的pom.xml文件中添加Spring Security和OAuth2的依赖项。
- 配置OAuth2客户端信息:在应用程序的配置文件中,配置OAuth2客户端的信息,包括client-id、client-secret和授权范围等。
- 配置Spring Security过滤器链:创建一个配置类,继承自WebSecurityConfigurerAdapter,并重写configure方法。在该方法中,配置Spring Security的过滤器链,包括启用OAuth2登录、配置登录页面、配置登录成功和失败的处理器等。
- 创建自定义的OAuth2登录成功处理器:实现AuthenticationSuccessHandler接口,并重写onAuthenticationSuccess方法。在该方法中,从cookie中获取access_token,并进行相关处理。
- 配置自定义的OAuth2登录成功处理器:在上一步的配置类中,将自定义的OAuth2登录成功处理器配置为登录成功的处理器。
- 配置Spring Security的HttpSecurity:在上一步的配置类中,重写configure方法,并配置HttpSecurity。在该方法中,可以配置访问路径的权限要求,例如需要认证才能访问的路径。
- 启动应用程序:运行Spring Boot应用程序,并访问受保护的路径。当访问受保护的路径时,系统将自动跳转到登录页面,并在登录成功后从cookie中获取access_token。
总结起来,Spring Boot安全OAuth2从cookie获取access_token的过程包括配置Spring Security依赖、配置OAuth2客户端信息、配置Spring Security过滤器链、创建自定义的OAuth2登录成功处理器、配置自定义的OAuth2登录成功处理器、配置Spring Security的HttpSecurity,并启动应用程序。
关于Spring Boot安全OAuth2的更多详细信息和示例代码,可以参考腾讯云的相关产品和文档:
- 腾讯云产品推荐:云服务器(https://cloud.tencent.com/product/cvm)和云数据库MySQL(https://cloud.tencent.com/product/cdb)。
- Spring Boot官方文档:https://spring.io/projects/spring-boot
请注意,以上答案仅供参考,具体实现可能因实际情况而异。
相关·内容
1回答
如何通过令牌而不是cookie中的jsession来访问spring客户端后端oauth2?
angular、spring、spring-security、oauth-2.0
我知道你可能会被标题搞糊涂。请看图片。
我有一个由spring security和spring security oauth2客户端保护的后端服务器。
@EnableWebSecurity
public class OAuth2ClientSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
浏览 10提问于2019-12-04得票数 0
回答已采纳
2回答
无状态弹簧安全oauth2提供程序
spring-mvc、cookies、spring-security、oauth、stateless
我想建立一个基于spring、security和spring-oauth2的简单OAuth2提供程序。
我在一个实例机器上完成了所有工作:对于OAuth2授权,用户被发送到/oauth/authorize。大多数用户没有登录,因此通过spring安全性将它们重定向到/login,然后返回t /oauth/authorize以完成授权。
在默认配置中,spring安全使用会话id在用户浏览器中设置cookie,并将会话数据存储在内存中。
public static class SecurityConfiguration extends WebSecurityConfigurerAdapter {
浏览 12提问于2016-07-07得票数 12
1回答
spring安全hasAuthority("SCOPE_xxx")方法不使用spring授权服务器版本0.2.0
java、spring、spring-security、spring-security-oauth2、spring-oauth2
我使用新的spring授权服务器模块创建了一个授权服务器。我能够成功地获得令牌,但是当我尝试使用hasAuthority()对受保护的端点使用令牌时,就会得到禁止的403错误。在我的pom.xml文件下面
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi
浏览 10提问于2021-12-17得票数 1
回答已采纳
1回答
OAuth2丢失会话的Spring安全性
spring、spring-boot、spring-security、spring-security-oauth2
我们有一个基于Spring的网关,使用Security、OAuth2登录和Zuul路由.它还使用Spring会话在Redis中存储会话。此网关在会话中存储一个OAuth2令牌,并将OAuth2标记转发给后端服务。
我们有一个问题,用户经常被签出去。这似乎大约每小时发生一次。我们甚至不太清楚是什么原因造成了这一切与所有不同的工具到位。
浏览器中的会话cookie将在较长时间内过期。因此,我怀疑这要么是Spring使会话无效,要么是OAuth2令牌过期。
从代码的快速检查来看,OAuth2TokenRelayFilter似乎支持刷新令牌。这是正确的吗?
如何找出其原因并加以修正?
作为参考,我们正
浏览 3提问于2020-05-14得票数 5
3回答
SpringBoot 1.5.x + Security + OAuth2
java、spring-boot、spring-security、oauth、oauth-2.0
我有一个带有OAuth2安全性的。
今天,我将我的spring-boot-starter-parent版本从1.4.2升级到了1.5.2。
我完全糊涂了。
以前,我可以用Postman测试我的REST API。当我的访问令牌不正确或我没有特定资源的权限时,服务器响应如下:
{
"error": "access_denied",
"error_description": "Access is denied"
}
现在它一直把我转到/login页面..。当我登录时-它显示我的资源没有任何OAuth2认证.
我试着禁用它,我发现
浏览 14提问于2017-03-15得票数 12
回答已采纳
1回答
春季预先授权的作品但是HTTPSecurity可能会被忽略吗?
spring-boot、spring-security
我使用OpenId和Security在Spring应用程序中设置了安全设置。
偶然地,我忘记向我的@PreAuthorize("hasAnyRole('...)")标记中添加一个角色类型,并试图作为一个USER进行调用,但被拒绝了(403),但是在我的securityConfig文件中确实显示了hasAnyRole。一旦我将角色添加到preAuth标记中,它就起作用了,但我想知道这是否是预期的行为?还是我在安全配置文件中做错了什么?
我使用以下Spring安全设置
<dependency>
<groupId>org.spr
浏览 3提问于2021-05-17得票数 0
回答已采纳
1回答
在Spring中处理OAuth2回调
java、spring、spring-boot、oauth-2.0
我正在尝试构建一个Spring项目,需要将其签名到一个OAuth2 SSO中。我有以下Maven依赖项:
org.springframework.boot:spring-boot-starter-web
org.springframework.security:spring-security-oauth2-client
org.springframework.security:spring-security-config
我使用HttpSecurity对应用程序执行OAuth2身份验证,使用以下方法:
@EnableWebSecurity
@Order(101)
public class Se
浏览 1提问于2020-04-23得票数 2
回答已采纳
1回答
Spring OAuth2单页应用集成到Azure
azure-active-directory、spring-oauth2
我的任务是将Azure Active Directory授权集成到我们的应用程序中,并尝试了一些相对成功的示例。
我有一个Javascript应用程序(GoogleWebToolkit),它与Spring (而不是Boot)通信。Rest目前使用Security和登录URL、用户名/密码等进行保护。
我想将其更改为使用Azure OAuth2。
作为OAuth2的新手,我试图弄清楚我是否应该使用以下任何一种Spring选项。
使用此选项,所有配置都在服务器端完成,客户端id,如果我从SPA前端执行href到'oauth2/authorization/AzureAD‘URL,它会将重
浏览 12提问于2022-05-25得票数 0
2回答
Spring Boot 2.5.3 OAuth2 - Auth-Server和Webservice分开,登录后没有endpont工作
java、spring-boot、spring-security、spring-security-oauth2、okta
按照登录后使用项目Create an OAuth 2.0 Server和Build Your Client App的https://developer.okta.com/blog/2019/03/12/oauth2-spring-security-guide上的示例,访问的任何端点都会跳转到根端点localhost:8082。 我不使用Thymeleaf,因为我的not服务返回的是数据,而不是页面。 OAuth 2.0服务器项目 @SpringBootApplication
@EnableResourceServer
public class Demo2Application {
p
浏览 84提问于2021-08-02得票数 0
回答已采纳
1回答
为什么我的OAuth2不使用Spring?
java、spring、spring-boot、oauth-2.0、facebook-oauth
我正在尝试用OAuth2为Spring设置Facebook登录。
首先,我有我的春季安全配置。我希望www.localhost:8080/Intranet/**中的每一页都被那些未经Facebook授权的人屏蔽。
@Configuration
@EnableOAuth2Client
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
浏览 5提问于2020-03-17得票数 0
回答已采纳
1回答
如何在Spring网关上传递访问令牌
spring-security、oauth、spring-cloud、spring-cloud-netflix、spring-cloud-gateway
我是OAuth2和(以及WebFlux方面的新成员)。
我的团队决定从Zuul网关转移到。目前的Spring版本是"Greenwich.SR1“
问题是,spring云网关总是响应401。
如何在Spring网关上正确传递访问令牌?
Auth服务器:
@EnableEurekaClient
@EnableAuthorizationServer
@SpringBootApplication
public class AuthServer {...} // jwtAccessTokenConverter bean included
Zuul服务器是:
@EnableEurekaClient
浏览 1提问于2019-06-05得票数 1
回答已采纳
1回答
Spring Boot对同一Oauth2使用多个grant_types
java、spring、spring-security、spring-oauth2
是否可以将Spring Boot配置为允许同一URL上的Oauth2授权类型password和authorization_code。例如/boot
我已经做了基本的授权配置,如下
security:
oauth2:
client:
accessTokenUri: http://UAA/oauth/token
userAuthorizationUri: http://UAA/oauth/authorize
clientId: ******
clientSecret: ******
resource:
userInfo
浏览 5提问于2018-05-18得票数 2
1回答
使用Spring Boot OAuth2客户端登录后访问用户数据
java、spring、spring-boot、client、spring-security-oauth2
我正在尝试使用spring boot构建一个OAuth2客户端来访问一个自定义的API。
到目前为止,我的代码如下:
@SpringBootApplication
public class MyClient {
public static void main(String[] args){
SpringApplication.run(MyClient.class, args);
}
}
@Configuration
@EnableOAuth2Sso
public class ApplicationSecurity extends WebSecurityConfi
浏览 2提问于2019-06-03得票数 0
2回答
HttpSecurity文件没有方法oauth2Login()
spring-boot、spring-security-oauth2
我正在做Spring安全Oauth2。在客户端,我重写configure(HttpSecurity http)方法,并希望在HttpSecurity文件中使用oauth2Login()方法。但是HttpSecurity没有这个函数。我已经在spring-security-oauth2-client, spring-boot-starter-security and spring-security-oauth2中添加了pom.xml的依赖项。在HttpSecurity文件中,它写着“2002-2016年版权原作者”。我怎样才能更新这个?
@EnableWebSecurity
浏览 3提问于2019-04-04得票数 4
回答已采纳
1回答
Spring安全中安全方法的默认登录形式
spring、spring-boot、spring-mvc、spring-security
也许我想错了。我希望在我的web应用程序中使用Security,并且只保护我的Controller类的一些功能,而不指定URL。
当我包含依赖项spring-boot-starter-security时,默认情况下,所有内容都使用一个侧默认登录表单进行保护。到目前一切尚好。
现在,我用@EnableGlobalMethodSecurity(securedEnabled = true)激活方法安全性,并用@Secured("USER")标记我的一些方法。
为了默认没有安全性,我定义了一个自定义SecurityFilterChain
@Bean
public Sec
浏览 4提问于2022-09-09得票数 0
1回答
如何进一步停止处理请求?
spring-boot、spring-security、spring-security-oauth2、spring-filter
如果请求中不存在某个标头,我需要阻止所有请求处理。因此,我有以下SecurityConfig代码,其中我配置了一个过滤器,它在执行所有其他操作之前执行: protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
httpSecurity.addFilterBefore(
new OncePer
浏览 33提问于2021-09-22得票数 0
回答已采纳
2回答
创建URI模式匹配器以允许/禁止解码JWT
java、spring-boot、spring-security
我是Spring Boot和Spring Security的新手,我正在构建一个RESTful API服务,允许用户在应用程序上进行注册、登录和其他操作。 我正在使用JWT进行声明验证,每次我的用户使用除登录和注册之外的API时,我都会传递令牌。因此,我将允许在不传入JWT的情况下访问这些API,但对于其余部分,如果JWT未通过,我希望直接拒绝请求。 我只有一个控制器,就是映射到路径/api/user的UserController。它将为以下API提供服务- /sign-up。这是一个POST方法。我希望它允许在不需要传递JWT的情况下访问它。 /verify/{verificationCo
浏览 13提问于2019-06-01得票数 0
回答已采纳
2回答
当没有更多令牌时,Spring安全返回403
java、spring-security、spring-security-oauth2、spring-oauth2
我还没有找到适当的办法解决我的问题。我正在使用Security Oauth2资源服务器来验证我的请求。效果很好。但是,在不同的情况下测试时,如果不存在授权头,或者如果存在授权头,则spring安全性返回为403,而不是401。如果存在授权头,则该值不会以Bearer开头。
Spring Boot Starter - 2.6.7
Spring Boot Starter Security - 2.6.7
Spring Security Config & Web - 5.6.3
Spring Security Core - 5.3.19
Spring Boot Starter OAuth2
浏览 20提问于2022-11-08得票数 1
回答已采纳
1回答
SpringBoot2 OAuth2 AuthorizationServer登录页面在登录后显示无限循环
spring-boot、spring-security-oauth2
我使用SpringBoot2.1.4和SpringSecurityOAuth2实现OAuth2系统。
我想把所有组件( Client,ResourceServer,AuthorizationServer)分开
因此,我创建了3个项目,每个git存储库。
在Client中,我请求受保护的URL。
Security将我重定向到授权服务器的/oauth/authorize,而我重定向到授权服务器的登录页面。
我试着登录,然后成功了。然后重定向到我的Client,然后再重定向到AuthorizationServer的登录页面agian。(无限循环)
下面是我的3个组件(Client、Authoriza
浏览 0提问于2019-05-04得票数 0
回答已采纳
1回答
Spring Boot OAuth 2:登录后的匿名用户
java、spring-boot、authentication、oauth-2.0
我试图用Spring Boot2创建一个OAuth 2客户端,但即使是最简单的官方示例也无法正常工作,因为我的用户没有通过身份验证并进入登录循环。
我克隆了第一个官方Spring Boot OAuth 2示例:
它的目标是通过外部OAuth身份验证服务器(在本例中是Facebook)对用户进行身份验证。我唯一改变的是使用了Github而不是Facebook。
在有效的Github身份验证并允许客户端使用Github的资源之后,Github使用code和state参数重定向回localhost:8080。但是客户端正在记录:
Access is denied (user is anonymous
浏览 121提问于2018-12-13得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
