多因素身份验证是一种提高产品安全性的方法,它通过要求用户提供除用户名和密码之外的第二种形式的身份验证来增加额外的安全层。 在本文中,我们将使用 TOTP(基于时间的一次性密码...
发简信
IP属地:浙江
-
Spring Security 多因素认证(MFA) -
ArchUnit:轻松测试软件架构
为什么要测试你的架构? 当项目变得更大,架构变得更加复杂。每个项目都有开发人员需要遵循的标准规则。新开发人员加入,他们可能会在不知情的情况下违反架构约束。如果每个人都在他们认...
-
Spring Security OAuth2 内省协议与 JWT 结合使用指南
Spring Security OAuth2 内省协议与 JWT 结合使用指南 概述 我们已经熟悉两种用于授权服务器和受保护资源之间传递信息的方法:JWT(JSON Web ...
-
Spring Security OAuth2 Opaque 令牌的简单使用指南
Spring Security OAuth2 Opaque 令牌的简单使用指南 概述 JWT 是一种以广泛接受的 JSON 格式安全传输敏感信息的方法。包含的信息可能是关于用...
-
Spring Security OAuth 2.0授权服务器结合Redis实现获取accessToken速率限制
Spring Security OAuth 2.0授权服务器结合Redis实现获取accessToken速率限制 概述 在生产环境中,我们通常颁发给OAuth2客户端有效期较...
-
将Spring Security OAuth2授权服务JWK与Consul 配置中心结合使用
将Spring Security OAuth2授权服务JWK与Consul 配置中心结合使用 概述 在前文[https://www.jianshu.com/p/8464a62...
-
感谢您的评论,首先公共客户端存在refresh_token泄漏的风险,对于公共客户端是否支持refresh_token存在争议点。Spring 目前暂不支持公共客户端颁发refresh_token。
从代码层面来看,Spring对于OAuth Client PKCE流程支持源码如下:OAuth2AuthorizationRequestRedirectFilter->DefaultOAuth2AuthorizationRequestResolver#getBuilder(ClientRegistration clientRegistration),在此方法中明确定义clientAuthenticationMethod==none时授权请求将携带code_challenge和code_challenge_method。
而在整个流程请求token过程中,spring-authorization-server框架OAuth2AuthorizationCodeAuthenticationProvider#authenticate(Authentication authentication)方法中同样定义客户端authorizationGrantType包含refresh_token并且clientAuthenticationMethod!=none情况下颁发refresh_token。源码如下:
if (registeredClient.getAuthorizationGrantTypes().contains(AuthorizationGrantType.REFRESH_TOKEN) &&
// Do not issue refresh token to public client
!clientPrincipal.getClientAuthenticationMethod().equals(ClientAuthenticationMethod.NONE)) {
...
}
如果您想了解更多可以参考:https://github.com/spring-projects/spring-authorization-server/pull/335Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流 概述 OAuth2依据是否能持有客户端密钥,将客户端分为两种类型:公共客户...
-
Spring Security OAuth2实现简单的密钥轮换及配置资源服务器JWK缓存
Spring Security OAuth2实现简单的密钥轮换及配置资源服务器JWK缓存 概述 在OAuth2协议中授权服务器或者OIDC中身份提供服务常使用私钥对JWT令牌...
-
将Spring Cloud Gateway 与OAuth2模式一起使用将Spring Cloud Gateway 与OAuth2模式一起使用 概述 Spring Cloud Gateway是一个构建在 Spring 生态之上的 API Gate...
-
Spring Security和OpenID ConnectSpring Security和OpenID Connect 概述 OpenID Connect 是一个开放标准,由 OpenID 基金会于 2014 年 2 月发布。它定义...
-
Spring Security OAuth2登录Spring Security OAuth2登录 概述 OAuth 2.0 不是身份认证协议。 什么是身份认证?身份认证是解决“你是谁?”的问题。身份认证会告诉应用当前用户是...
-
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流 概述 OAuth2依据是否能持有客户端密钥,将客户端分为两种类型:公共客户...
-
Spring Security OAuth2客户端凭据授权Spring Security OAuth2客户端凭据授权 概述 在没有明确的资源拥有者,或对于客户端来说资源拥有者不可区分,该怎么办?这是一种相当常见的场景。比如后端系统之...
-
Spring Security 持久化OAuth2客户端
Spring Security 持久化OAuth2客户端 在之前文章中[https://www.jianshu.com/p/bef42fd11af8]介绍过了客户端通过向授权...
-
自定义OAuth2授权同意页面自定义OAuth2授权同意页面 前文[https://www.jianshu.com/p/bef42fd11af8]我们已经简单的介绍了如何搭建授权服务器,下面将继续介绍如何...
-
将JWT与Spring Security OAuth2结合使用
将JWT与Spring Security OAuth2结合使用 概述 OAuth 2.0 是行业标准的授权协议。OAuth 2.0 专注于客户端开发人员的简单性,同时为 We...
