Spring Authorization Server 中实现基于 PKCE 的单页应用认证指南

于 2025-06-08 09:15:08 发布
阅读量399 收藏 3
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00380/article/details/148507980

Spring Authorization Server 中实现基于 PKCE 的单页应用认证指南

前言

在现代 Web 应用开发中,单页应用(SPA)因其流畅的用户体验而广受欢迎。然而,SPA 的安全认证一直是个挑战,特别是如何在不暴露客户端密钥的情况下安全地进行 OAuth2 认证。本文将详细介绍如何在 Spring Authorization Server 中配置支持 PKCE(Proof Key for Code Exchange)的单页应用认证方案。

PKCE 机制简介

PKCE(发音为"pixy")是 OAuth2 的一个扩展,专门为解决公共客户端(如移动应用和单页应用)的安全问题而设计。其核心思想是:

  1. 客户端在发起授权请求时生成一个随机字符串(code_verifier)
  2. 对该字符串进行变换(code_challenge)后发送给授权服务器
  3. 在获取令牌时提供原始字符串供服务器验证

这种机制可以有效防止授权码拦截攻击,特别适合无法安全存储客户端密钥的公共客户端场景。

配置步骤详解

1. 启用 CORS 支持

由于 SPA 通常与后端服务部署在不同的域下,必须配置跨域资源共享(CORS):

@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests(authorizeRequests ->
            authorizeRequests.anyRequest().authenticated()
        )
        .cors(cors -> cors.configurationSource(corsConfigurationSource()));
    return http.build();
}

@Bean
CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(Arrays.asList("http://localhost:4200"));
    configuration.setAllowedMethods(Arrays.asList("GET","POST"));
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}

关键点说明:

  • 明确指定允许的源(如 Angular 开发服务器的 localhost:4200)
  • 只开放必要的 HTTP 方法
  • 配置应用到所有端点(/**)

2. 配置公共客户端

在 Spring Authorization Server 中配置支持 PKCE 的公共客户端:

spring:
  security:
    oauth2:
      authorization-server:
        registered-clients:
          - id: spa-client
            client-authentication-methods: none
            authorization-grant-types: authorization_code
            redirect-uris: http://localhost:4200
            scopes: openid,profile
            require-proof-key: true

重要安全考虑:

  • client-authentication-methods 必须设为 none 表示公共客户端
  • require-proof-key 强制要求 PKCE,防止降级攻击
  • 仅授予必要的 scope(如 openid,profile)

3. 客户端认证流程

完整的 PKCE 授权码流程如下:

  1. 初始化请求

    • SPA 生成随机 code_verifier(43-128 字符)
    • 计算 code_challenge(S256 转换)
    • 重定向到授权端点,携带 challenge

  2. 用户认证

    • 如果用户未登录,跳转到登录页
    • 认证后重定向回授权端点

  3. 用户授权

    • 显示请求的权限范围
    • 用户同意后生成授权码

  4. 获取令牌

    • SPA 用授权码和原始 verifier 请求令牌端点
    • 服务器验证 challenge 匹配后颁发令牌

安全最佳实践

  1. 始终使用 S256 变换方法:比 plain 更安全
  2. 令牌存储策略:SPA 应使用内存存储而非 localStorage
  3. 会话管理:实现适当的令牌刷新和失效处理
  4. 范围最小化:仅请求应用必需的最小权限

常见问题解答

Q: 为什么公共客户端不能获取刷新令牌? A: 由于公共客户端无法安全存储凭证,Spring Authorization Server 默认不颁发刷新令牌。建议采用 BFF(Backend for Frontend)模式替代。

Q: 如何选择 code_verifier 长度? A: 建议使用 64 字符以上的高熵随机字符串,确保足够的安全性。

Q: SPA 应该如何处理令牌过期? A: 实现静默刷新机制或在令牌过期时引导用户重新认证。

总结

通过本文的指导,开发者可以在 Spring Authorization Server 中安全地实现基于 PKCE 的单页应用认证方案。PKCE 机制有效弥补了公共客户端在 OAuth2 流程中的安全短板,是现代化 SPA 应用不可或缺的安全保障。

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Spring Cloud 微服务安全:OAuth2 + JWT 实现认证与授权
AI开发架构师
04-10 689
随着微服务架构的普及,服务拆分带来的分布式特性对安全体系提出了更高要求。传统单体应用的认证授权模式(如 Session-Cookie)难以适应跨服务、跨平台的安全需求。如何实现微服务间的统一身份认证?如何通过开放标准协议(OAuth2)实现第三方接入安全?如何利用 JWT(JSON Web Token)实现无状态令牌管理?如何在 Spring Cloud 生态中整合认证服务与资源服务?核心概念:解析 OAuth2 协议与 JWT 技术的原理及结合点架构设计。
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
weixin_62421895的博客
08-23 930
公共客户端和保密客户端。保密客户端在服务器上运行,在前面介绍OAuth2文章中Spring Boot创建的应用程序是保密客户端类型的示例。首先它们在服务器上运行,并且通常位于具有其他保护措施防火墙或网关的后面。公共客户端的代码一般会以某种形式暴露给最终用户,要么是在浏览器中下载执行,要么是直接在用户的设备上运行。例如原生应用是直接在最终用户的设备(计算机或者移动设备)上运行的应用。
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现
spring authorization server系列教程】(一)入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 2万+
spring authorization server系列教程】(一)入门系列,快速构建一个授权服务器spring authorization serverspring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
Spring Authorization Server 动态客户端注册指南
最新发布
gitblog_00641的博客
06-08 361
Spring Authorization Server 动态客户端注册指南 动态客户端注册概述 在现代OAuth2.0和OpenID Connect(OIDC)体系中,动态客户端注册是一项重要功能,它允许客户端应用在运行时向授权服务器注册自己,而无需预先配置。Spring Authorization Server实现了OpenID Connect Dynamic Client Registrati...
Spring Authorization Server 授权服务器
xxxzzzqqq_的博客
03-07 2885
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
Spring Authorization Server1.0 介绍与使用
言午玉口才
12-24 7981
authorizationConsentService:关于OAuth2AuthorizationConsent信息的处理(入库)jwkSource()、generateRsaKey()、jwtDecoder:关于token生成规则的处理authorizationServerSettings:关于AuthorizationServerSettings【授权服务器】的配置,含路径及接口。此处需要注意编码器的注入,配置不当会影响授权码的账号密码输入,获取不到code值。需要拓展的根据自己的需求拓展。
Spring Authorization Server实战
wsb_2526的博客
07-20 1720
OAuth是一个开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(比如用户和密码)分享给第三方应用。OAuth2.0协议的流程如下:用户打开客户端后,客户端要求用户给与授权;用户同意给客户端授权;客户端使用上一步获得授权,向服务器申请令牌;授权服务器对客户端认证后,向客户端发放令牌;客户端使用令牌,向资源服务器申请获取资源;资源服务器确认令牌有效后,向客户端开发资源;
Spring Authorization Server (如何使用具有 PKCE单页应用程序进行身份验证-1)
semicolon_hello的专栏
02-21 1157
我们再使用 Spring Authorization Server 实现 PKCE ,先介绍一下 PKCE的拓展协议;
spring authorization server官网案例Single Page Application (SPA) Sample如何应用到分布式微服务场景
03-18
要将Spring Authorization Server提供的SPA(单页应用)示例应用于分布式微服务架构,需结合OAuth 2.0授权流程、微服务间的安全通信以及服务治理组件。以下是关键步骤和注意事项: --- ### 1. **授权服务器的独立...
Spring Boot实现OAuth2.0与OpenID Connect授权服务器指南
Spring Security OAuth项目提供了一套用于实现OAuth2认证和授权机制的工具,而Spring Security 5中已经将OAuth2和OIDC支持作为核心功能直接集成。 6. 容器化支持: Spring Boot应用通常采用微服务架构,所以容器化...
spring-authorization-server (1.1.1)自定义认证
weixin_43861630的博客
07-27 3705
spring-authorization-server 1.1.1 spring-authorization-server自定义认证 spring-authorization-server 客户端及授权服务器
Spring Authorization Server入门 (八) Spring Boot引入Security OAuth2 Client对接认证服务
云逸的博客
06-12 6177
本篇文章以较少的代码集成了Security OAuth2 Client,体验到了springboot最开始说的约定大于配置的好处,框架添加了大量的默认配置,只需更改必须修改的自定义部分即可。
Spring Authorization Server的使用
zzy7075的专栏
05-21 2014
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo
土味儿
05-19 1万+
一个完整的Demo,有认证端,有资源端,有客户端;采用当前最新的技术。 非常感谢 码农小胖哥,仔细研读了他的很多文章。本项目中的很多逻辑和代码都源自于他。如果想深入学习OAuth2,强烈建议关注胖哥。 1、项目概述 1.1、概述 Server + Resource + Client 功能完善: 授权中心Server: 进行认证、授权,并发放token、刷新token,不负责token鉴权(由资源服务器自行鉴权); 资源服务器Resource:提供资源,需要携带token请求,可以自行鉴权; 客.
一、简单的Spring Authorization Server示例代码
admin_15082037343的博客
07-11 1787
需要有一定的OAuth2的基础 需要有一定的Spring Security基础 Spring Authorization Server 官方简介:Spring Authorization Server is a framework that provides implementations of the OAuth 2.1 and OpenID Connect 1.0 个人理解为OAuth 2.1 and OpenID Connect 1.0的实现。 关于OAuth2有很多的版本,Spring Author
Spring Authorization Server 1.1.1 学习记录
qq_41896122的博客
06-30 2871
则不签发 refreshe_token, 和网上很多人都不太一样, 但是OIDC模式该字段必须是none,因为没有 client_secret,所以现在还不清楚如何在该模式下获取refreshe_token。该模式的流程不过多进行赘述了,和OAuth2.0一致:引导客户端做认证,回调给客户端携带code,客户端再携带code,client_secret 等请求。, 这里就和授权码模式一样了,接下来,再访问服务端 /oauth2/token 来获取token,需要携带。需要后端服务作为支持,可以存储。
Spring Authorization Server 1.4.0 使用及详细配置 搭配Spring Boot3.4.0 + Spring Security6.4.1
qq_44845339的博客
12-04 3500
:::info Spring Authorization Server 是一个提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现的框架。它构建在Spring Security之上,为构建 OpenID Connect 1.0 身份提供商和 OAuth2 授权服务器产品提供安全、轻量级和可定制的基础。:::本篇文章主要讲解常用的授权码模式、客户端模式、令牌刷新这三种模式,以及如何自己扩展授权模式(以账号密码模式为例)本篇文章会讲解两种token的原理,如何使用不同格式的to
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

荣宣廷

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值