浅聊授权-spring security和oauth2

文章目录

  • 前言
  • 自定义授权
  • spring security授权
  • oauth2授权
  • 概述

前言

通常说到授权,就会想到登录授权、token令牌、JWT等概念,授权。顾名思义就是服务器授予了客户端访问资源的权益,那么要实现授权有几种方案呢,三种授权方式在公司项目中我都遇到过,在这里我浅谈一二。

自定义授权

自定义授权,也就是自己完成授权相关的工作,包括登录身份验证、加密、令牌发放、令牌校验、访问资源权限校验等工作。

自定义授权在我看来就是自由发挥,自己升级,结构定义超级自由,但是缺点也很明显,容易出现出现漏洞或者在不严谨的情况下可能出现后台人员可以盗取用户信息的问题,比如明文密码。

我这里举例一下场景:基于jwt令牌的自定义授权。关键的步骤有两个,一是发放令牌,二是令牌验证。大概的流程如下
在这里插入图片描述

spring security授权

spring security授权,其实就是使用spring提供的安全框架依赖spring-cloud-starter-security,如果是单体服务换成可换成单体服务可以换成spring-boot-starter-security依赖。

spring security做了什么呢,其实就是将授权这件事做成一个模式并简化了使用,一个注解@EnableWebSecurity就能把一堆可能需要考虑的东西都给你考虑了,比如加密方式、跨域、请求校验、默认登录页等等问题,在使用的时候,只需要按照定好的框架里加对应的东西即可,比如BCryptPasswordEncoder加密。如果使用最新版本的security,其实这些都不用考虑,配置好UserDetailService,开箱即用。

使用spring security的好处在于降低风险,而且spring security是跟着版本升级的,可以不断享受可能的隐藏福利。如果有人想问,这个与自定义的授权,有什么根本上的区别吗,答案是没有,security只是默默在后面奉献。

oauth2授权

oauth2之所以加一个数字,是因为之前有一个oauth,这个是升级版本,都是免费的,当然用oauth2啦。说到oauth2,就不得不说oauth2与spring的关系,oauth2是在spring security基础上搭建的一套授权方案,spring也是非常欢迎oauth2的加入,只要引入spring-cloud-starter-oauth2即可使用,但是只更新到2021年,因为spring认为spring security只做基础框架,不参与授权方案的具体实现,结果网上一阵沸腾,不过新版的spring又拥抱了oauth2,那就是spring-boot-starter-oauth2-authorization-server。

spring security虽然默认支持密码登录,但是远远不满足需求,oauth2就是在spring security的做一些授权补充,支持四种授权模式:密码模式、客户端模式、授权码模式、隐藏式模式,不过oauth不建议使用隐藏式模式,风险比较大。如果使用过oauth2的小伙伴会发现刷新token也是一种授权模式,但其实这只是密码模式的一种叠加,实现客户端永不掉线。

概述

不管是自定义授权还是基于spring security授权,都没有授权服务和资源服务的区分,但是oauth2是有这个概念的,单从依赖就可以看出分为server、client、resource,三者各司其职,但是实际使用也可以打破这个概念。按照oauth2的设计,微服务中需要独立一个服务作为授权服务,假设有需要将用户服务与授权服务当做一个服务,其实也可以将授权服务当做一个资源,但是这个时候需要自己稍做自定义。

关于技术选型,我建议先看公司项目的方向,如果每个项目相互独立,并且没有第三方访问资源的场景,那么直接使用spring security即可,oauth2会显得太臃肿。假设公司想做一个独立的授权中心,或者有给第三方授权的需求,或者是项目之间对接的场景,就可以采用oauth2。如果说不确定未来的发展方向,要么先用spring security,后续无法满足的话再使用oauth2,要么一开始就使用oauth2,秉承“可以不用但不能没有”的精髓。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/799686.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【java】力扣 买卖股票的最佳时机II

文章目录 题目链接题目描述思路代码 题目链接 122.买卖股票的最佳时机II 题目描述 思路 这道题和121.买卖股票的最佳时机 有所不同,不同点在于,这道题的股票可以多次买卖(但是要在买之前先卖掉) 详细思路请看链接的文章【java】力扣 买卖股票的最佳时…

KALI使用MSF攻击安卓设备

这期是kali使用MSF进行安卓渗透的保姆级别教程,话不多说,直接开始。 准备材料: 1.装有kali的实体机或虚拟机(这里用实体机进行演示) 2.一台安卓10.0以下的手机 打开kali,先用ifconfig查看自己的kali IP地址…

RABBITMQ的本地测试证书生成脚本

由于小程序要求必须访问wss的接口,因此需要将测试环境也切换到https,看了下官方的文档 RabbitMQ Web STOMP Plugin | RabbitMQ里面有这个信息 然后敲打GPT一阵子,把要求输入几个来回,得到这样一个脚本: generate_cer…

Redis 中String类型操作命令(命令演示,时间复杂度,返回值,注意事项)

String 类型 文章目录 String 类型set 命令get 命令mset 命令mget 命令get 和 mget 的区别incr 命令incrby 命令decr 命令decrby 命令incrbyfloat 命令append 命令getrange 命令setrange 命令 字符串类型是 Redis 中最基础的数据类型,在讲解命令之前,我们…

论文分享|Arxiv2024‘麦吉尔大学|LLM2Vec—将LLM转换为文本编码器

LLM本身的表征直接用于Embedding,比如用于检索/聚类/STS等任务,效果其实不太好。因此才需要将Embedding模型和大模型区分开来。本文介绍一篇将LLM转换为Embedding模型的工作,代码全开源,值得好好学习。 论文题目:LLM2…

Qt Mqtt客户端 + Emqx

环境 Qt 5.14.2 qtmqtt mqttx 功能 QT Mqtt客户端 qtmqtt 下载 qtmqtt (注意下载与QT版本相符的库)并使用QT 编译 编译完成后需要的文件: emqx 1.虚拟机中安装emqx,并启动 curl -s https://assets.emqx.com/scripts/install-emqx-deb.sh | sudo bash sudo apt-get inst…

【详解】Spring Cloud概述

🎥 个人主页:Dikz12🔥个人专栏:Spring学习之路📕格言:吾愚多不敏,而愿加学欢迎大家👍点赞✍评论⭐收藏 目录 1. 认识微服务 1.1 单体架构 1.2 集群和分布式架构 1.3 集群和分布式…

【全面介绍Pip换源】

🎥博主:程序员不想YY啊 💫CSDN优质创作者,CSDN实力新星,CSDN博客专家 🤗点赞🎈收藏⭐再看💫养成习惯 ✨希望本文对您有所裨益,如有不足之处,欢迎在评论区提出指正,让我们共同学习、交流进步! 🦁Pip换源.⛅ 🦁当使用Pip安装Python软件包时,默认情况下会…

BayesPrism(贝叶斯棱镜法)可提取单细胞数据去卷积后将信息映射至bulkRNA数据

贝叶斯棱镜法作为一种工具可以根据scRNA数据(作为先验模型)去推断bulkRNA数据中肿瘤微环境组成(不同免疫细胞组分/不同细胞群)和基因表达情况。 开发者展示的图片就很形象了,左边图展示了把标注了不同细胞类型的单细胞数据作为先验信息(prior info)的基因信息和bul…

力扣144题:二叉树的先序遍历

给你二叉树的根节点 root ,返回它节点值的 前序 遍历。 示例 1: 输入:root [1,null,2,3] 输出:[1,2,3]示例 2: 输入:root [] 输出:[]示例 3: 输入:root [1] 输出&am…

【云岚到家】-day05-6-项目迁移-门户-CMS

【云岚到家】-day05-6-项目迁移-门户-CMS 4 项目迁移-门户4.1 迁移目标4.2 能力基础4.2.1 缓存方案设计与应用能力4.2.2 静态化技术应用能力 4.3 需求分析4.3.1 界面原型 4.4 系统设计4.4.1 表设计4.4.2 接口与方案4.4.2.1 首页信息查询接口4.4.3.1 数据缓存方案4.4.3.2 页面静…

【绝命Coding助力秋招】Python实现<实习僧>海投脚本

hello hello~ ,这里是绝命Coding——老白~💖💖 ,欢迎大家点赞🥳🥳关注💥💥收藏🌹🌹🌹 💥个人主页:绝命Coding-CSDN博客 &a…

Java 实验三:数组操作以及Java中的方法

一、实验目的 1、掌握数组的声明、初始化、查找、排序等的方式; 2、掌握Java中如何定义一个方法,定义好的方法如何进行调用等。 二、实验环境 1、windows11; 2、JDK1.8,集成开发环境Eclipse。 三、实验内容 1、 定义一个函数,获取某个…

Linux系统搭建轻量级个人博客VanBlog并一键发布公网远程访问

文章目录 前言1. Linux本地部署2. VanBlog简单使用3. 安装内网穿透4. 创建公网地址5. 创建固定公网地址 前言 今天和大家分享如何在Linux Ubuntu系统搭建一款轻量级个人博客VanBlog,并结合cpolar内网穿透软件生成公网地址,轻松实现随时随地远程访问本地…

网络配置命令

文章目录 一、查看网络接口信息 ifconfig1.1 网络接口名称1.2 使用 ifconfig 查看网络接口信息1.2.1 输出示例1.2.2 输出解释 1.3 查看特定网络接口信息1.3.1 输出示例 1.4 查看所有网络接口信息1.5 特殊网络接口 二、修改网络配置文件2.1 配置文件示例2.2 使配置生效2.3 关闭 …

JavaScript日期对象倒计时案例

思路&#xff1a;1.先求出当前时间的总毫秒数 2.再求出所需要求的时间的总毫秒数 3.用所求时间的减去当前时间的可得到倒计时剩余时间 4.最后将所求的倒计时剩余时间转换为天&#xff0c;小时&#xff0c;分钟&#xff0c;秒即可 <!DOCTYPE html> <html lang"en…

1.31、基于长短记忆网络(LSTM)的发动机剩余寿命预测(matlab)

1、基于长短记忆网络(LSTM)的发动机剩余寿命预测的原理及流程 基于长短期记忆网络(LSTM)的发动机剩余寿命预测是一种常见的机器学习应用&#xff0c;用于分析和预测发动机或其他设备的剩余可用寿命。下面是LSTM用于发动机剩余寿命预测的原理和流程&#xff1a; 数据收集&#…

可观察性优势:掌握当代编程技术

反馈循环是我们开发人员工作的关键。它们为我们提供信息&#xff0c;并让我们从用户过去和现在的行为中学习。这意味着我们可以根据过去的反应进行主动开发。 TestComplete 是一款自动化UI测试工具&#xff0c;这款工具目前在全球范围内被广泛应用于进行桌面、移动和Web应用的…

C++ 类和对象 赋值运算符重载

前言&#xff1a; 在上文我们知道数据类型分为自定义类型和内置类型&#xff0c;当我想用内置类型比较大小是非常容易的但是在C中成员变量都是在类(自定义类型)里面的&#xff0c;那我想给类比较大小那该怎么办呢&#xff1f;这时候运算符重载就出现了 一 运算符重载概念&…

npm发布的包如何快速在cnpm上使用

npm发布的包如何快速在cnpm上使用 解决方案 前往淘宝npm镜像官网 搜索插件库并点击同步 等待一分钟即可查看最新版本