浅聊授权-spring security和oauth2

news2024/11/12 8:37:09

文章目录

  • 前言
  • 自定义授权
  • spring security授权
  • oauth2授权
  • 概述

前言

通常说到授权,就会想到登录授权、token令牌、JWT等概念,授权。顾名思义就是服务器授予了客户端访问资源的权益,那么要实现授权有几种方案呢,三种授权方式在公司项目中我都遇到过,在这里我浅谈一二。

自定义授权

自定义授权,也就是自己完成授权相关的工作,包括登录身份验证、加密、令牌发放、令牌校验、访问资源权限校验等工作。

自定义授权在我看来就是自由发挥,自己升级,结构定义超级自由,但是缺点也很明显,容易出现出现漏洞或者在不严谨的情况下可能出现后台人员可以盗取用户信息的问题,比如明文密码。

我这里举例一下场景:基于jwt令牌的自定义授权。关键的步骤有两个,一是发放令牌,二是令牌验证。大概的流程如下
在这里插入图片描述

spring security授权

spring security授权,其实就是使用spring提供的安全框架依赖spring-cloud-starter-security,如果是单体服务换成可换成单体服务可以换成spring-boot-starter-security依赖。

spring security做了什么呢,其实就是将授权这件事做成一个模式并简化了使用,一个注解@EnableWebSecurity就能把一堆可能需要考虑的东西都给你考虑了,比如加密方式、跨域、请求校验、默认登录页等等问题,在使用的时候,只需要按照定好的框架里加对应的东西即可,比如BCryptPasswordEncoder加密。如果使用最新版本的security,其实这些都不用考虑,配置好UserDetailService,开箱即用。

使用spring security的好处在于降低风险,而且spring security是跟着版本升级的,可以不断享受可能的隐藏福利。如果有人想问,这个与自定义的授权,有什么根本上的区别吗,答案是没有,security只是默默在后面奉献。

oauth2授权

oauth2之所以加一个数字,是因为之前有一个oauth,这个是升级版本,都是免费的,当然用oauth2啦。说到oauth2,就不得不说oauth2与spring的关系,oauth2是在spring security基础上搭建的一套授权方案,spring也是非常欢迎oauth2的加入,只要引入spring-cloud-starter-oauth2即可使用,但是只更新到2021年,因为spring认为spring security只做基础框架,不参与授权方案的具体实现,结果网上一阵沸腾,不过新版的spring又拥抱了oauth2,那就是spring-boot-starter-oauth2-authorization-server。

spring security虽然默认支持密码登录,但是远远不满足需求,oauth2就是在spring security的做一些授权补充,支持四种授权模式:密码模式、客户端模式、授权码模式、隐藏式模式,不过oauth不建议使用隐藏式模式,风险比较大。如果使用过oauth2的小伙伴会发现刷新token也是一种授权模式,但其实这只是密码模式的一种叠加,实现客户端永不掉线。

概述

不管是自定义授权还是基于spring security授权,都没有授权服务和资源服务的区分,但是oauth2是有这个概念的,单从依赖就可以看出分为server、client、resource,三者各司其职,但是实际使用也可以打破这个概念。按照oauth2的设计,微服务中需要独立一个服务作为授权服务,假设有需要将用户服务与授权服务当做一个服务,其实也可以将授权服务当做一个资源,但是这个时候需要自己稍做自定义。

关于技术选型,我建议先看公司项目的方向,如果每个项目相互独立,并且没有第三方访问资源的场景,那么直接使用spring security即可,oauth2会显得太臃肿。假设公司想做一个独立的授权中心,或者有给第三方授权的需求,或者是项目之间对接的场景,就可以采用oauth2。如果说不确定未来的发展方向,要么先用spring security,后续无法满足的话再使用oauth2,要么一开始就使用oauth2,秉承“可以不用但不能没有”的精髓。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1927886.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python个性化电影推荐系统的设计与实现

💗博主介绍💗:✌在职Java研发工程师、专注于程序设计、源码分享、技术交流、专注于Java技术领域和毕业设计✌ 温馨提示:文末有 CSDN 平台官方提供的老师 Wechat / QQ 名片 :) Java精品实战案例《700套》 2025最新毕业设计选题推荐…

客户端通过服务器进行TCP通信(三)

一. 对TCP的基础讲解 服务端 1. 首先创建一个套接字,TCP是面向字节流的套接字,故需要使用SOCK_STREAM 2. 然后使用bind()函数将套接字与服务器地址关联(如果是在本地测试,直接将地址设置为217.0.0.1或者localhost,端口号为1000…

Mac电脑下运行java命令行出现:错误: 找不到或无法加载主类

mac 电脑 问题复现 随手写了一个main方法,想用命令行操作 进入 BlockDemo.java 所在目录: wnwangnandeMBP wn % cd /Users/wn/IdeaProjects/test/JianZhiOffer/src/main/java/com/io/wn wnwangnandeMBP wn % ls -l total 16 -rw-r--r-- 1 wangnan …

前端框架学习之 搭建vue2的环境 书写案例并分析

目录 搭建vue的环境 Hello小案例 分析案例 搭建vue的环境 官方指南假设你已经了解关于HTML CSS 和JavaScript的中级知识 如果你刚开始学习前端开发 将框架作为你的第一步可能不是最好的主意 掌握好基础知识再来吧 之前有其他框架的使用经验会有帮助 但这不是必需的 最…

【JavaScript 算法】二分查找:快速定位目标元素

🔥 个人主页:空白诗 文章目录 一、算法原理二、算法实现三、应用场景四、优化与扩展五、总结 二分查找(Binary Search)是一种高效的查找算法,适用于在有序数组中快速定位目标元素。相比于线性查找,二分查找…

【java】力扣 买卖股票的最佳时机II

文章目录 题目链接题目描述思路代码 题目链接 122.买卖股票的最佳时机II 题目描述 思路 这道题和121.买卖股票的最佳时机 有所不同,不同点在于,这道题的股票可以多次买卖(但是要在买之前先卖掉) 详细思路请看链接的文章【java】力扣 买卖股票的最佳时…

Milvus核心设计(2)-----TSO机制详解

目录 背景 动机 Timestamp种类及使用场景 Guarantee timestamp Service timestamp Graceful time Timestamp同步机制 主流程 时间戳同步流程 背景 Milvus 在设计上突出了分布式的设计,虽然Chroma 也支持分布式的store 与 query。但是相对Milvus来说,不算非常突出。…

Linux--USB驱动开发(二)插入USB后的内核执行程序

一、USB总线驱动程序的作用 a)识别USB设备 1.1 分配地址 1.2 并告诉USB设备(set address) 1.3 发出命令获取描述符 b)查找并安装对应的设备驱动程序 c)提供USB读写函数 二、USB设备工作流程 由于内核自带了USB驱动,所以我们先插入一个U…

SQL中的谓词与谓词下推

在 SQL 查询中,谓词(Predicate)是用来对数据进行过滤的条件。它们决定了数据从数据库表中被选择的条件。理解和正确使用 SQL 谓词对于编写高效查询至关重要。 目录 什么是谓词?一个真实的故事SQL 谓词的代码示例比较谓词逻辑谓词…

服务客户,保证质量:腾讯云产品的质量实践

分享主题是“服务客户,保证质量”。自从20年开始,我们把质量提升到了一个前所未有的高度。为什么会如此重视质量呢?在竞争激烈和复杂的市场环境中,产品质量对于企业的重要性不言而喻。一旦出现了质量事故,对客户和企业…

SCI二区|母亲优化算法(MOA)原理及实现【免费获取Matlab代码】

目录 1.背景2.算法原理2.1算法思想2.2算法过程 3.结果展示4.参考文献5.代码获取 1.背景 2023年,I Matoušov受到母亲与孩子之间的人际互动启发,提出了母亲优化算法(Mother Optimization Algorithm, MOA)。 2.算法原理 2.1算法思…

PHP中的函数与调用:深入解析与应用

目录 一、函数基础 1.1 函数的概念 1.2 函数的定义 1.3 函数的调用 二、PHP函数的分类 2.1 内置函数 2.2 用户自定义函数 2.3 匿名函数 2.4 递归函数 2.5 回调函数 2.6 魔术方法 三、函数的参数与返回值 3.1 参数传递 3.2 返回值 四、函数的高级特性 4.1 可变函…

【HarmonyOS】鸿蒙中如何获取用户相册图片?photoAccessHelper.PhotoViewPicker

【HarmonyOS】鸿蒙中如何获取用户相册图片?photoAccessHelper.PhotoViewPicker 前言 有同学私聊我说,之前的博客文章提到的没有HarmonyOS白名单帐号,如何在OpenHarmony Gitee开发仓里学习API接口。需要注意一个点,默认看到的文档…

07 物以类聚 基于特征的七种算法模型

你好,我是大壮。在 06 讲中,我们介绍了协同过滤(CF)算法,它主要通过用户行为构建用户物品共现矩阵,然后通过 CF 算法预测结果实现个性化推荐。其实,除了利用用户行为特征之外,我们还…

决策树(ID3,C4.5,C5.0,CART算法)以及条件推理决策树R语言实现

### 10.2.1 ID3算法基本原理 ### mtcars2 <- within(mtcars[,c(cyl,vs,am,gear)], {am <- factor(am, labels c("automatic", "manual"))vs <- factor(vs, labels c("V", "S"))cyl <- ordered(cyl)gear <- ordered…

VMware与centos安装

目录 VM安装 安装centos VM安装 VMware Workstation Pro是VMware&#xff08;威睿公司发布的一袋虚拟机软件&#xff09;&#xff0c;它主要功能是可以给用户在单一的桌面上同时运行不同的操作系统&#xff0c;也是可以进行开发、测试、部署新的应用程序的最佳解决方案。 开始…

力扣144题:二叉树的先序遍历

给你二叉树的根节点 root &#xff0c;返回它节点值的 前序 遍历。 示例 1&#xff1a; 输入&#xff1a;root [1,null,2,3] 输出&#xff1a;[1,2,3]示例 2&#xff1a; 输入&#xff1a;root [] 输出&#xff1a;[]示例 3&#xff1a; 输入&#xff1a;root [1] 输出&am…

跳妹儿学编程之ScratchJr(9):程序控制积木篇—短跑比赛

跳妹儿学编程之ScratchJr(7)&#xff1a;动作积木篇—爸爸去散步 跳妹儿学编程之ScratchJr(8)&#xff1a;外观积木篇—捉迷藏 跳妹儿学编程之ScratchJr(9)&#xff1a;程序控制积木篇—短跑比赛 引言 在之前的一篇文章中&#xff0c;我们了解了ScratchJr的动作积木和外观积…

排序(三)——归并排序(MergeSort)

欢迎来到繁星的CSDN&#xff0c;本期内容主要包括归并排序(MergeSort)的实现 一、归并排序的主要思路 归并排序和上一期讲的快速排序很像&#xff0c;都利用了分治的思想&#xff0c;将一整个数组拆成一个个小数组&#xff0c;排序完毕后进行再排序&#xff0c;直到整个数组排序…

php反序列化--2--PHP反序列化漏洞基础知识

一、什么是反序列化&#xff1f; 反序列化是将序列化的字符串还原为PHP的值的过程。 二、如何反序列化 使用unserialize()函数来执行反序列化操作 代码1&#xff1a; $serializedStr O:8:"stdClass":1:{s:4:"data";s:6:"sample";}; $origina…