浅聊授权-spring security和oauth2

文章目录

  • 前言
  • 自定义授权
  • spring security授权
  • oauth2授权
  • 概述

前言

通常说到授权,就会想到登录授权、token令牌、JWT等概念,授权。顾名思义就是服务器授予了客户端访问资源的权益,那么要实现授权有几种方案呢,三种授权方式在公司项目中我都遇到过,在这里我浅谈一二。

自定义授权

自定义授权,也就是自己完成授权相关的工作,包括登录身份验证、加密、令牌发放、令牌校验、访问资源权限校验等工作。

自定义授权在我看来就是自由发挥,自己升级,结构定义超级自由,但是缺点也很明显,容易出现出现漏洞或者在不严谨的情况下可能出现后台人员可以盗取用户信息的问题,比如明文密码。

我这里举例一下场景:基于jwt令牌的自定义授权。关键的步骤有两个,一是发放令牌,二是令牌验证。大概的流程如下
在这里插入图片描述

spring security授权

spring security授权,其实就是使用spring提供的安全框架依赖spring-cloud-starter-security,如果是单体服务换成可换成单体服务可以换成spring-boot-starter-security依赖。

spring security做了什么呢,其实就是将授权这件事做成一个模式并简化了使用,一个注解@EnableWebSecurity就能把一堆可能需要考虑的东西都给你考虑了,比如加密方式、跨域、请求校验、默认登录页等等问题,在使用的时候,只需要按照定好的框架里加对应的东西即可,比如BCryptPasswordEncoder加密。如果使用最新版本的security,其实这些都不用考虑,配置好UserDetailService,开箱即用。

使用spring security的好处在于降低风险,而且spring security是跟着版本升级的,可以不断享受可能的隐藏福利。如果有人想问,这个与自定义的授权,有什么根本上的区别吗,答案是没有,security只是默默在后面奉献。

oauth2授权

oauth2之所以加一个数字,是因为之前有一个oauth,这个是升级版本,都是免费的,当然用oauth2啦。说到oauth2,就不得不说oauth2与spring的关系,oauth2是在spring security基础上搭建的一套授权方案,spring也是非常欢迎oauth2的加入,只要引入spring-cloud-starter-oauth2即可使用,但是只更新到2021年,因为spring认为spring security只做基础框架,不参与授权方案的具体实现,结果网上一阵沸腾,不过新版的spring又拥抱了oauth2,那就是spring-boot-starter-oauth2-authorization-server。

spring security虽然默认支持密码登录,但是远远不满足需求,oauth2就是在spring security的做一些授权补充,支持四种授权模式:密码模式、客户端模式、授权码模式、隐藏式模式,不过oauth不建议使用隐藏式模式,风险比较大。如果使用过oauth2的小伙伴会发现刷新token也是一种授权模式,但其实这只是密码模式的一种叠加,实现客户端永不掉线。

概述

不管是自定义授权还是基于spring security授权,都没有授权服务和资源服务的区分,但是oauth2是有这个概念的,单从依赖就可以看出分为server、client、resource,三者各司其职,但是实际使用也可以打破这个概念。按照oauth2的设计,微服务中需要独立一个服务作为授权服务,假设有需要将用户服务与授权服务当做一个服务,其实也可以将授权服务当做一个资源,但是这个时候需要自己稍做自定义。

关于技术选型,我建议先看公司项目的方向,如果每个项目相互独立,并且没有第三方访问资源的场景,那么直接使用spring security即可,oauth2会显得太臃肿。假设公司想做一个独立的授权中心,或者有给第三方授权的需求,或者是项目之间对接的场景,就可以采用oauth2。如果说不确定未来的发展方向,要么先用spring security,后续无法满足的话再使用oauth2,要么一开始就使用oauth2,秉承“可以不用但不能没有”的精髓。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/872022.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

c++dll库的制作和使用

01、dll库的创建使用 创建dll项目 dllexport到处 dllimport导入 分别制定dll和lib的生成目录 调用: 包含头文件 常规添加 最后把dll文件拷贝到程序 成功调用

使用Keepalived实现双机热备(虚拟漂移IP地址)详细介绍

🏡作者主页:点击! 🐧Linux基础知识(初学):点击! 🐧Linux高级管理防护和群集专栏:点击! 🔐Linux中firewalld防火墙:点击! ⏰️创作…

uniapp发送Form Data格式请求

设置header的Content-Type为 application/x-www-form-urlencoded 即可 uni.request({url: , // 接口urldata: {input: 写一篇一千字的作文}, // 入参method: POST, // 参数类型header: {"Content-Type": "application/x-www-form-urlencoded"}, // 请求头…

进销存管理系统设计

进销存管理系统(Inventory Management System,简称IMS)是一种帮助企业有效管理商品的入库、出库及库存情况的信息系统。良好的进销存管理系统能够提升库存周转率、减少库存成本、提高订单处理效率,从而增强企业的市场竞争力。以下…

[JS]Generator

介绍 Generator函数是 ES6 提供的一种异步编程解决方案, async是该方案的语法糖 核心语法 Generator对象由生成器函数返回, 并且它符合可迭代协议和迭代器协议 生成器函数在执行时能暂停, 后面又从暂停处继续执行 <script>// 1.定义生成器函数function* testGenerato…

VMware与centos安装

目录 VM安装 安装centos VM安装 VMware Workstation Pro是VMware&#xff08;威睿公司发布的一袋虚拟机软件&#xff09;&#xff0c;它主要功能是可以给用户在单一的桌面上同时运行不同的操作系统&#xff0c;也是可以进行开发、测试、部署新的应用程序的最佳解决方案。 开始…

HarmonyOS 屏幕适配设计

1. armonyOS 屏幕适配设计 1.1. 像素单位 &#xff08;1&#xff09;px (Pixels)   px代表屏幕上的像素点&#xff0c;是手机屏幕分辨率的单位&#xff0c;即屏幕物理像素单位。 &#xff08;2&#xff09;vp (Viewport Percentage)   vp是视口百分比单位&#xff0c;基于…

程序包不存在【java: 程序包org.springframework.boot不存在】

1、问题提示&#xff1a;java: 程序包org.springframework.boot不存在 注意&#xff1a;已经下载好了程序包&#xff0c;就是提示不存在 2、解决办法

PostgreSQL 中如何处理数据的并发读写和锁等待超时?

&#x1f345;关注博主&#x1f397;️ 带你畅游技术世界&#xff0c;不错过每一次成长机会&#xff01;&#x1f4da;领书&#xff1a;PostgreSQL 入门到精通.pdf 文章目录 PostgreSQL 中如何处理数据的并发读写和锁等待超时一、并发读写的基本概念&#xff08;一&#xff09;…

公司周年庆活动应该怎么策划?

当我们谈论公司周年庆典&#xff0c;我们不仅仅是在讨论一个简单的派对。 这是一个展现公司文化、增强员工归属感、加深客户关系&#xff0c;甚至推动公司战略发展的重要时刻。 那么&#xff0c;如何策划一场既有趣又有意义的周年庆典呢&#xff1f;这里分享一点自己的私人笔…

【java】力扣 买卖股票的最佳时机II

文章目录 题目链接题目描述思路代码 题目链接 122.买卖股票的最佳时机II 题目描述 思路 这道题和121.买卖股票的最佳时机 有所不同&#xff0c;不同点在于&#xff0c;这道题的股票可以多次买卖(但是要在买之前先卖掉) 详细思路请看链接的文章【java】力扣 买卖股票的最佳时…

ERP基础知识

ERP 一、概述 ​ ERP是Event-related Potentials的简称。外加一种特定的刺激&#xff0c;作用于感觉系统或脑 的某一部位&#xff0c;在给予刺激或撤销刺激时&#xff0c;或和当某种心理因素出现时在脑区所产生的电位变化&#xff0c;成为事件相关电位&#xff0c;是一种特殊…

Sentinel-1 Level 1数据处理的详细算法定义(四)

《Sentinel-1 Level 1数据处理的详细算法定义》文档定义和描述了Sentinel-1实现的Level 1处理算法和方程,以便生成Level 1产品。这些算法适用于Sentinel-1的Stripmap、Interferometric Wide-swath (IW)、Extra-wide-swath (EW)和Wave模式。 今天介绍的内容如下: Sentinel-1 L…

【详解】Spring Cloud概述

&#x1f3a5; 个人主页&#xff1a;Dikz12&#x1f525;个人专栏&#xff1a;Spring学习之路&#x1f4d5;格言&#xff1a;吾愚多不敏&#xff0c;而愿加学欢迎大家&#x1f44d;点赞✍评论⭐收藏 目录 1. 认识微服务 1.1 单体架构 1.2 集群和分布式架构 1.3 集群和分布式…

从零开始做题:什么奇奇怪怪的东西

题目 解题 mrf拓展名&#xff0c;macro recorder打开&#xff0c;鼠标键盘的记录 然后解压flag.zip即可&#xff0c;发现有一个挂载的文件&#xff0c;直接打开后 显示所有的隐藏文件 一个一个打开 然后进行拼接运行吧估计。 首先打开txt文件直接久就给出了代码&#xff1…

linux的学习(四):磁盘,进程,定时,软件包的相关命令

简介 关于磁盘管理&#xff0c;进程管理&#xff0c;定时任务&#xff0c;软件包管理的命令的使用 磁盘管理类命令 du du 目录名&#xff1a; 查看文件和目录占用的磁盘空间 参数&#xff1a; -h&#xff1a;可以看到大小的单位&#xff0c;g,mb-a&#xff1a;还可以看到文…

昇思25天学习打卡营第8天|模型权重保存与加载

打卡 目录 打卡 模型的两种保存形式 Checkpoint 中间表示IR 模型保存与加载 模型权重保存-例1 模型权重加载-例1 模型权重保存-例2 模型权重加载-例2 模型权重文件的空间占用计算-例 模型的两种保存形式 Checkpoint 权重参数文件 中间表示IR 中间表示&#xff08;…

跟着操作,解决iPhone怎么清理内存难题

在如今智能手机功能日益强大的时代&#xff0c;我们使用手机拍照、录制视频、下载应用、存储文件等操作都会占用手机内存。当内存空间不足时&#xff0c;手机运行会变得缓慢&#xff0c;甚至出现卡顿、闪退等现象。因此&#xff0c;定期清理iPhone内存是非常必要的。那么&#…

详解注意力机制上篇【RNN,Seq2Seq(Encoder-Decoder,编码器-解码器)等基础知识】

NLP-大语言模型学习系列目录 一、注意力机制基础——RNN,Seq2Seq等基础知识 二、注意力机制【Self-Attention,自注意力模型】 &#x1f525; 在自然语言处理&#xff08;NLP&#xff09;领域&#xff0c;理解和生成自然语言的能力对于构建智能系统至关重要。从文本分类、机器翻…

电脑文件误删除如何恢复?Top12电脑数据恢复软件汇总合集!(图文详解)

电脑文件误删除如何恢复&#xff1f;在日常使用电脑过程中&#xff0c;我们经常会遇到意外删除文件的情况。可能是因为按错了按键、误操作了鼠标&#xff0c;或者意外格式化了存储设备。这些情况都可能导致重要的文件不小心被删除。但是不用担心&#xff0c;有许多专业的数据恢…