51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

Spring Security5.5发布,正式实装OAuth2.0的第五种授权模式

作者: 码农小胖哥
开发 架构
今天Spring Security 5.5发布了,主要涉及OAuth2.0和SAML2.0两个协议。

[[400320]]

今天Spring Security 5.5发布了,主要涉及OAuth2.0和SAML2.0两个协议。其中最大的亮点是支持了OAuth2.0的另一种授权模式jwt-bearer。这个模式可能对大家比较陌生,说实话胖哥也没在实际开发中玩过这种模式,不过它并不是刚出的规范,这是2015年5月起草的RFC7523的一部分,如今正式实装到Spring Security中,今天就和大家一起学习一下这个规范。

JWT Bearer 授权模式

通常出现在各大技术社区的OAuth2.0有四大授权模式:

授权码模式 grant_type=authorization_code。

隐藏模式response_type=token。

密码模式grant_type=password。

凭据模式grant_type=client_credentials。

其实这几种模式中都会用到Bearer Token,甚至Token直接选用JWT技术。那么它作为一种授权模式是如何定义的呢?

JWT Bearer 授权

首先jwt-bearer认证请求也要携带grant_type参数来表明使用的授权模式:

  1. grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer 

这个grant_type有点长!还要携带assertion参数,这个参数对应的值只能是一个JWT,另外也可以携带(可选)scope参数以表明请求的作用域。根据上面的描述,一个jwt-bearer类型的授权模式大致是这样的:

  1. POST /token/oauth2 HTTP/1.1 
  2.      Host: felord.cn 
  3.      Content-Type: application/x-www-form-urlencoded 
  4.  
  5.      grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer 
  6.      &assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. 
  7.      eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. 
  8.      ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs 

其实也就是说用户如果要请求授权要先有一个JWT,我个人估计有可能是可以被授权服务器信任的第三方JWT凭据,凭据校验通过用户就可以得到相应的授权去访问特定的资源。

客户端身份认证

RFC7523还规定JWT Bearer还可以用于客户端身份验证。客户端携带一个client_assertion_type参数:

  1. client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer 

同Beaerer JWT授权类似,还要携带一个client_assertion参数,这个参数同样要带一个JWT。请求实例如下:

  1. POST /token/oauth2 HTTP/1.1 
  2.     Host: felord.cn 
  3.     Content-Type: application/x-www-form-urlencoded 
  4.  
  5.     grant_type=authorization_code& 
  6.     code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4& 
  7.     client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3A 
  8.     client-assertion-type%3Ajwt-bearer& 
  9.     client_assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. 
  10.     eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. 
  11.     ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs 

场景

那么场景是什么?根据RFC723的描述,该模式用于当客户端希望利用一个现有的、可信任的、使用JWT语义表达的关系来获取Access Token,它不需要在授权服务器上直接进行用户批准(User Approval)步骤。

另外jwt-bearer也被定义用于客户端身份验证机制,来判断客户端的身份是否合规。客户端使用JWT进行身份认证和客户端使用JWT进行授权是分离的行为。当然这两种行为可以组合使用,也可以分离使用。客户端使用JWT进行身份验证仅是客户端向令牌端点进行身份验证一种替代方法。

个人感觉就是方便在已经有JWT体系上使用OAuth2.0协议。

总结

今天主要对jwt-bearer授权模式的协议进行了分享,和其它模式比较起来jwt-bearer还很新,虽然目前还没有大规模运用,不过目前我在国外的技术社区已经发现了很多关于这种模式的问题和讨论,看来这个模式还是有点东西的,需要留意一下。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

 

责任编辑:武晓燕 来源: 码农小胖哥
SpringOAuth2.0授权
相关推荐
谈谈你对OAuth理解,这道题你会了吗?
OAuth2.0是OAuth的最新版本。OAuth的首版于2010年发布。OAuth2.0于2012年发布,修复了OAuth1.0中存在的若干漏洞。目前,大家基本上都只会使用OAuth2.0了。

2022-09-09 10:15:06

OAuthJava
一口气说出 OAuth2.0 授权方式
OAuth简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。

2020-07-08 07:45:44

OAuth2.0授权
OAuth2.0密码模式废了,停止使用吧!
OAuth2本身是一个授权框架,它并没有对用户的认证流程做出定义。它的初衷是解决不同服务之间的授权访问问题,它无法明确你认为正确的接收者就是那个接收者。

2022-03-16 00:07:55

OAuth2授权框架
JBoss Developer Studio 2.0发布
RedHat近日发布了JBossDeveloperStudio2.0,它不仅增强了Eclipse工具集,还添加了JBossEnterpriseApplication、Portal、SOA与DataServices平台。

2009-03-30 09:16:16

JBossSOAEclipse
Windows Intune 2.0正式版将于10月发布
WindowsIntune是微软的一款云计算PC管理和安全防护工具,今年7月份WindowsIntune2.0开始了测试,新版简化了软件的分配和升级,便于管理所有软件授权,硬件报告也更加简化。日前,微软表示,WindowsIntune2.0正式版将在10月17日发布。

2011-09-07 16:24:01

Windows Int
JVM插件JavaRebel 2.0发布
根据国外媒体报道,ZeroTurnaround公司3月30日宣布JavaRebel2.0发布,它是一个JVM插件,开发者通过它可以立刻看到代码改动后的效果,而无须重新部署一个应用或重启容器。

2009-04-01 08:53:34

JavaRebelJVM插件
MySQL 5.5发布 支持半同步复制
MySQL官网发布了MySQL里程碑版本,其官网上也开始提供从5.4版本升级到5.5的指南。在MySQL5.5中,我们可以清晰的看到MySQL继续向企业级数据库迈进的努力。

2009-12-17 08:54:31

MySQL 5.5半同步复制
JActor 2.0 RC2发布 Actor模式Java实现
JActor是一个Java的Actor模式的实现,经过测试在i5CPU上可支持每秒钟发送8500万条消息,可能是目前最快的。这相当于是Scala的Actor的纯Java版本。

2012-02-13 09:47:28

JavaJActor
PerlWeb框架Mojolicious 2.0发布
Mojolicious是下一代的Perl语言的Web编程框架,提供强大的功能而无需第三方包依赖,功能包括:RESTful的路由、插件管理、Perl风格的模板系统、会话管理、签名的cookie、静态文件服务、测试框架、文件级的Unicode支持等等。

2011-10-18 15:00:46

Perl
JActor 2.0 RC3发布
JActor是一个Java的Actor模式的实现,经过测试在i5CPU上可支持每秒钟发送8500万条消息,可能是目前最快的。这相当于是Scala的Actor的纯Java版本。

2012-02-16 09:15:48

JavaJActor
Ruby 2.0发布 新特性介绍
Ruby2.0目前已经发布了,各位Ruby的粉丝们是否已经体验过了?本文将介绍最新的Ruby2.0的一些新特性,到底有哪些变化呢,请详细阅读下文。

2013-02-26 09:36:57

RubyRuby 2.0
PHP开发框架phpPeanuts 2.0发布
phpPeanuts2.0完全支持PHP5,遵循ESTRICT标准,不再使用变量引用来传递对象;提升了灵活性;更独立的模块,以及迭代的对象复制等等。

2011-07-13 15:09:48

PHP
再见,Spring Security OAuth!!
本次将《SpringAuthorizationServer》项目正式上线,去掉了之前的体验状态,此举恰逢0.2.0版本发布,这也是第一个正式支持的生产就绪版本。

2021-08-29 18:36:57

项目
OAuth2.0协议扩展——OIDC认证协议
客户端无法认定资源拥有者就是正确的拥护者,虽然市面上的OAuth2.0能够保证授权的安全性,但是OAuth2.0本身并没有对用户认证提供明确的规范。

2021-08-02 06:49:46

OIDC认证协议
Spring.NET1.1.2发布
本文描述Spring.NET1.1.2的发布,以及Spring.NET1.1.2主要加入的几个特性。

2009-06-19 17:53:51

Spring.NET1
Errai 2.0发布 异步消息传递框架
Errai是JBoss开发的一个基于GWT的框架,使用下一代WEB技术,用于构建富客户端应用。该框架构建在ErraiBus基础上,为客户端与服务器的异步消息传递提供了一个真正统一的消息基础设施。

2012-05-11 10:42:56

JavaErrai
Musix GNU/Linux 2.0 Beta 1发布
MusixGNU+Linux是基于KNOPPIX的自启动运行安装光盘,它搜集了大量的自由音频相关软件。

2009-05-20 16:28:47

LinuxMusix2.0 Beta 1
发行版:Debris Linux 2.0发布
DebrisLinux是基于Ubuntu的一份面向桌面的极简主义发行和自启动运行光盘。它包含了GNOME桌面和一小套流行的桌面应用......

2009-11-30 10:44:37

Debris LinuLinux
Quartz 2.0发布,Java作业调度框架
Quartz2.0发布了,Quartz是一个Java轻量级开源企业级的作业调度框架,来自Quartz开发团队的信息,这是Quartz有史以来最大的、最值得兴奋的一个版本。

2011-03-30 14:29:13

QuartzJava
Linux桌面Tiny Core Linux 2.0发布
TinyCoreLinux是一份很小(10MB)的最低限度Linux桌面。它基于Linux2.6内核、Busybox、TinyX、FLTK图形用户界面、JWM窗口管理器,全部运行在内存中。

2009-06-10 08:43:33

Linux桌面发布
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服