【Spring Security OAuth2】客户端授权模式(client credentials)~获取访问令牌

最新推荐文章于 2026-04-17 09:25:24 发布
原创 最新推荐文章于 2026-04-17 09:25:24 发布 · 7.8k 阅读 · 16 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文深入解析OAuth2中Token的生成流程,包括对grant_type参数的校验、不同授权类型处理、TokenGranter对象的工作原理及如何通过自定义配置支持刷新Token。

访问路径:http://localhost:8081/oauth/token?grant_type=client_credentials&client_id=app&client_secret=app

如果我们在请求中添加了scope参数则会对该参数进行校验,没设置并不会报错
在这里插入图片描述
112行,验证请求中是否设置了grant_type参数,若没有设置则抛出异常

随后判断是否为隐式授权、是否授权码授权、是否时刷新令牌的请求
生成Token的逻辑

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest)

getTokenGranter()获得一个TokenGranter的匿名对象
在这里插入图片描述在这里插入图片描述
该匿名对象中含有一个CompositeTokenGranter对象,由上图可以,在创建CompositeTokenGranter对象时会注入一个TokenGranter集合,通过遍历TokenGranter集合找到能处理grantType类型的TokenGranter对象
在这里插入图片描述在这里插入图片描述
第61行,会验证单位详情中是否包含我们所使用的grantType,由于我们使用的grantType为client_credentials,所以在oauth_client_details表的authorized_grant_types字段中须含有client_credentials

由于我们在配置类中并未设置tokenService,系统中默认使用DefaultTokenServices
在这里插入图片描述
在这里插入图片描述
默认支持RefreshTokenReuseRefreshToken

调用DefaultTokenServices.createAccessToken()创建token

判断是否支持刷新Token

  • ClientDetailService对象不为空时则验证单位明细表中的authorized_grant_types字段是否包含refresh_token,若存在则支持
  • ClientDetailService对象为空时,则采用默认设置

刷新令牌的有效时间,若设置了则采用自定义的,若未设置则采用默认值

private int refreshTokenValiditySeconds = 60 * 60 * 24 * 30; // default 30 days.

在这里插入图片描述
refreshToken 值由 UUID 生成

访问令牌的有效时间,若设置了则采用自定义的,若未设置则采用默认值

private int accessTokenValiditySeconds = 60 * 60 * 12; // default 12 hours.

accessToken 值由 UUID 生成
在这里插入图片描述
tokenEnhancer 可以帮助我们在token中增加自定义信息

/**
 * Created by liuquan on 2019/8/31.
 */
public class CustomTokenEnhancer implements TokenEnhancer{

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<String, Object>();
        additionalInfo.put("resourceId","app");
        ((DefaultOAuth2AccessToken)accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore()).tokenEnhancer(tokenEnhancer());
    }

    @Bean
    public TokenEnhancer tokenEnhancer(){
        return new CustomTokenEnhancer();
    }

在这里插入图片描述
为什么明明已经生成了RefreshToken,可返回信息中却没有?
我们回到ClientCredentialsTokenGranter一探究尽,原来是默认不允许刷新,最后将RefreshToken置为null
在这里插入图片描述
可以看到ClientCredentialsTokenGranter提供了setter方法对allowRefresh属性进行设置,我们将对之前的配置文件(【Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置)进行调整,以便我们可以获取到RefreshToken

public class CustomAuthorizationServerConfigurer extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore());

        ClientDetailsService clientDetails = jdbcClientDetailsService();

        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setReuseRefreshToken(true);
        tokenServices.setClientDetailsService(clientDetails);
        tokenServices.setTokenEnhancer(tokenEnhancer());

        OAuth2RequestFactory requestFactory = new DefaultOAuth2RequestFactory(clientDetails);

        ClientCredentialsTokenGranter tokenGranter = new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory);
        tokenGranter.setAllowRefresh(true);

        endpoints.tokenGranter(tokenGranter);
    }

    @Bean
    public TokenEnhancer tokenEnhancer(){
        return new CustomTokenEnhancer();
    }

}

在这里插入图片描述
此处的自定义配置是参考的框架中的默认配置

Spring Security OAuth2客户端授权模式(client credentials)~授权服务配置
不务正业的野猴子
08-25 8896
基于Spring Boot 2.1.7.RELEASE 参考资源: OAuth 2 Developers Guide 授权服务配置 添加一个实现了AuthorizationServerConfigurer接口的实现类且使用@EnableAuthorizationServer注解进行标注 AuthorizationServerConfigurer接口的实现类是AuthorizationSer...
Spring cloud系列20 OAuth2.0的实现客户端模式(client_credentials)支持refesh code
不积跬步无以至千里; 不积小流无以成江海
07-17 8079
默认情况下OAuth2.0 客户端模式(client_credentials)不支持refresh code。现在由于业务的关系,需要支持refresh code。 在Spring OAuth2.0中 client_credentials模式对应的类是ClientCredentialsTokenGranter 在此类中有个变量可以控制是否返回refreshcode,此成员变量是allowRefresh,默认值为false。在此类的在grant()方法中,如果allowRefresh=false,则会将
别再硬编码client_id了!Spring Security OAuth2动态客户端注册实战(附完整数据库配置)
最新发布
weixin_42530732的博客
04-17 146
本文详细介绍了Spring Security OAuth2动态客户端注册的实战方案,帮助企业解决硬编码client_id带来的安全与维护问题。通过数据库设计、JdbcClientDetailsService配置及RESTful接口实现,展示了如何构建灵活、安全的OAuth2.0授权系统,特别适用于多租户SaaS平台和开发者门户场景。
Spring Security OAuth2客户端授权模式(client credentials)~校验访问令牌
不务正业的野猴子
09-08 5717
前文 【Spring Security OAuth2客户端授权模式(client credentials)~资源服务配置 我们设定 授权服务 和 资源服务 是两个单独的应用,在 资源服务 中使用RemoteTokenServices对Token进行校验。 从图中可以看出,ResourceServerTokenServices接口有两个实现类(DefaultTokenServices、Remot...
OAuth2授权(Client Credentials)
shonegg的技术人生
08-15 3万+
OAuth 2.0定义了四种授权方式。 1.授权模式(authorization code) 2.简化模式(implicit) 3.密码模式(resource owner password credentials) 4.客户端模式client credentialsClientCredentials客户端模式: Client使用自己的 client证书(如 clien
OAuth2.0 实现单点登录(四种授权方式)
qq_52066082的博客
03-30 6078
OAuth2.0 实现单点登录(四种授权方式)
Spring Security实现OAuth2协议及实战
qq_43372633的博客
05-13 2973
OAuth2是目前最流行的授权协议,用来授权第三方应用,获取用户数据。举个例子:快递员想要进入小区,有3种方式。1是业主远程开门,2是业主告诉门禁密码,3是使用令牌Oauth2)。如图:令牌和密码的区别:令牌相当于火车票,密码相当于是钥匙。令牌是短期的,自动失效。密码是长期有效。令牌是可以撤销的,撤销立即生效。密码一般不允许他们撤销。令牌有权限范围,如车票座位为10车A15座。密码一般是完整权限。第三方登录演示(网易云客户端利用QQ扫码登录)
spring security oauth2 常用授权方式配置详细教程(一)
tiancxz的专栏
09-28 1万+
spring security oauth2 简单配置说明 工程说明: <modules> <!-- 项目依赖--> <module>spring-security-oauth2-dependencies</module> <!-- 认证服务器--> <module>spring-security-oauth2-server</module>
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
Springcloud之OAuth2
xiaopang2020的博客
08-22 8752
springcloud之OAuth2
Spring Security OAuth2客户端凭据授权
new_ord的博客
07-10 1895
在没有明确的资源拥有者,或对于客户端来说资源拥有者不可区分,该怎么办?这是一种相当常见的场景。比如后端系统之间需要直接通信时,将使用客户端凭据授权
Grant type 使用Client Credentials 或者 Authorization code 之间的区别
weixin_45428910的博客
03-19 1755
Grant type 使用Client Credentials 或者 Authorization code 之间的区别
()OAuth 2.0 客户端模式ClientCredentials
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 2011
spring-oauth-server实践:使用授权方式四:client_credentials 模式客户端和服务端交互...
weixin_33912445的博客
07-12 1255
spring-oauth-server入门(1-11)使用授权方式四:client_credentials 模式的客戶端      一、客户端逻辑 1、界面入口(credentials_access_token)   2、后台逻辑  3、fullUri的由来 二、服务端逻辑 filters 1、身份识别 2、权限检查 3、请求处理   三、客户端接收  ...
Oauth2授权模式访问客户端模式(client_credentials)访问
热门推荐
面朝大海,春暖花开
06-04 4万+
Oauth2授权模式访问客户端模式(client_credentials)访问 使用POSTMAN获取token,url上填写http://localhost:8080/oauth/token?grant_type=client_credentials:
Spring Security OAuth2 Demo —— 客户端模式ClientCredentials
拾级而上
12-14 1611
前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单的模式客户端模式 其中客户端模式的流程是:客户端使用授权服器给的标识与secret访问资源服务器获取token 本文目标 编写与说明密码模式Spring Security Oauth2的...
spring security oauth2 client_credentials模式
weixin_33919950的博客
12-03 857
序 本文主要简单介绍一下spring security oauth2client_credentials模式 maven &lt;dependency&gt; &lt;groupId&gt;org.springframework.security.oauth&lt;/groupId&gt; &lt;artifactId&gt;spring-security-oauth...
Spring Security OAuth客户端模式超简单实现
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
08-16 6393
OAuth 是一个开放标准,Spring Security OAuth 给我们提供了一个 OAuth 的实现,本篇演示了如何使用 Spring Security OAuth客户端模式授权和认证,代码非常简单!
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0 的四种授权方式...
weixin_34804926的博客
01-14 726
一、OAuth2.0 为何物OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值