Перейти к основному содержимому

16 записей с тегом "OAuth"

Посмотреть все теги

· 8 мин. чтения

1. Обзор

Безопасность является первоклассным гражданином в экосистеме Spring. Поэтому неудивительно, что OAuth2 может работать с Spring Web MVC практически без настройки.

Однако собственное решение Spring — не единственный способ реализовать уровень представления. Jersey , реализация, совместимая с JAX-RS, также может работать в тандеме со Spring OAuth2.

В этом руководстве мы узнаем, как защитить приложение на Джерси с помощью Spring Social Login, реализованного с использованием стандарта OAuth2.

2. Зависимости Maven

· 4 мин. чтения

1. Обзор

Keycloak — это сторонний сервер авторизации, используемый для управления требованиями аутентификации и авторизации наших веб-приложений или мобильных приложений. Он использует страницу входа по умолчанию для входа пользователей от имени нашего приложения.

В этом руководстве мы сосредоточимся на том, как мы можем настроить страницу входа для нашего сервера Keycloak, чтобы она выглядела по-другому. Мы увидим это как для автономных, так и для встроенных серверов.

Мы будем опираться на настройку тем для учебника Keycloak , чтобы сделать это.

2. Настройка автономного сервера Keycloak

· 7 мин. чтения

1. Обзор

Keycloak — это решение для управления идентификацией и доступом или IAM с открытым исходным кодом, которое можно использовать в качестве стороннего сервера авторизации для управления требованиями аутентификации и авторизации наших веб-приложений или мобильных приложений.

В этом руководстве мы сосредоточимся на том, как мы можем настроить тему для нашего сервера Keycloak, чтобы мы могли иметь другой внешний вид для наших веб-страниц, обращенных к конечным пользователям.

Во-первых, мы установим фон с точки зрения автономного сервера Keycloak. В следующих разделах мы рассмотрим аналогичные примеры в контексте встроенного.

Для этого мы будем опираться на наши предыдущие статьи: Краткое руководство по использованию Keycloak и Keycloak Embedded in a Spring Boot Application . Так что для тех, кто начинает, рекомендуется сначала пройти их.

2. Темы в Keycloak

· 5 мин. чтения

1. Обзор

Keycloak — это сторонний сервер авторизации, который управляет пользователями наших веб-приложений или мобильных приложений.

Он предлагает некоторые атрибуты по умолчанию, такие как имя, фамилия и адрес электронной почты, которые будут храниться для любого данного пользователя. Но часто этого недостаточно, и нам может понадобиться добавить некоторые дополнительные пользовательские атрибуты, специфичные для нашего приложения.

В этом руководстве мы увидим, как мы можем добавить пользовательские атрибуты пользователя на наш сервер авторизации Keycloak и получить к ним доступ в бэкэнде на основе Spring .

Сначала мы увидим это для автономного сервера Keycloak, а затем для встроенного .

2. Автономный сервер

· 18 мин. чтения

1. Обзор

В этом руководстве мы собираемся предоставить реализацию платформы авторизации OAuth 2.0 с использованием Jakarta EE и MicroProfile. Самое главное, мы собираемся реализовать взаимодействие ролей OAuth 2.0 через тип гранта Authorization Code . Мотивация написания этой статьи — оказать поддержку проектам, реализованным с использованием Jakarta EE, так как это еще не обеспечивает поддержку OAuth.

Для наиболее важной роли, сервера авторизации, мы собираемся реализовать конечную точку авторизации, конечную точку маркера и, кроме того, конечную точку ключа JWK , которая полезна для сервера ресурсов для получения открытого ключа.

Поскольку мы хотим, чтобы реализация была простой и легкой для быстрой настройки, мы собираемся использовать предварительно зарегистрированное хранилище клиентов и пользователей и, очевидно, хранилище JWT для токенов доступа.

Прежде чем перейти непосредственно к теме, важно отметить, что пример в этом руководстве предназначен для образовательных целей. Для производственных систем настоятельно рекомендуется использовать зрелое, хорошо протестированное решение, такое как Keycloak .

2. Обзор OAuth 2.0

· 7 мин. чтения

1. Введение

OAuth — это отраслевой стандарт для делегированной авторизации. Много внимания и заботы было потрачено на создание различных потоков, составляющих стандарт. Даже в этом случае не обошлось без уязвимостей.

В этой серии статей мы обсудим атаки против OAuth с теоретической точки зрения и опишем различные варианты, которые существуют для защиты наших приложений.

2. Предоставление кода авторизации

Поток предоставления кода авторизации — это поток по умолчанию, который используется большинством приложений, реализующих делегированную авторизацию.