Spring Security 实战内容:OAuth2授权请求是如何构建并执行的

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量505 收藏
点赞数
文章标签: java 程序人生 spring 学习 struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V539413949/article/details/124218900
版权

在这里插入图片描述
我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑给补上。

2. sendRedirectForAuthorization

这个sendRedirectForAuthorization方法没多少代码,它的主要作用就是向第三方平台进行授权重定向访问。它所有的逻辑都和OAuth2AuthorizationRequest有关,因此我们对OAuth2AuthorizationRequest进行轻描淡写是不行的,我们必须掌握OAuth2AuthorizationRequest是怎么来的,干嘛用的。

OAuth2AuthorizationRequestResolver

这就需要去分析解析类OAuth2AuthorizationRequestResolver,其核心方法有两个重载,这里分析一个就够了。

@Override
public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {
    // registrationId是通过uri路径参数/oauth2/authorization/{registrationId}获得的
   String registrationId = this.resolveRegistrationId(request);
    // 然后去请求对象request中提取key为action的参数,默认值是login
   String redirectUriAction = getAction(request, "login");
    // 然后进入根本的解析方法
   return resolve(request, registrationId, redirectUriAction);
}

上面方法里面的resolve(request, registrationId, redirectUriAction)方法才是最终从/oauth2/authorization提取OAuth2AuthorizationRequest的根本方法。代码太多但是我尽量通俗易懂的来进行图解。resolve方法会根据不同的授权方式(AuthorizationGrantType)来组装不同的OAuth2AuthorizationRequest

3. OAuth2AuthorizationRequest

接下来就是OAuth2.0协议的核心重中之重了,可能以后你定制化的参考就来自这里,这是圈起来要考的知识点。我会对OAuth2AuthorizationRequestResolver在各种授权方式下的OAuth2AuthorizationRequest对象的解析进行一个完全的总结归纳。大致分为以下两部分:

3.1 由AuthorizationGrantType决定的

在不同AuthorizationGrantType下对OAuth2AuthorizationRequest的梳理。涉及到的成员变量有:

  • authorizationGrantType ,来自配置spring.security.client.registration.{registrationId}.authorizationGrantType
  • responseType , 由authorizationGrantType 的值决定,参考下面的JSON。
  • additionalParameters,当authorizationGrantType值为authorization_code时需要额外的一些参数,参考下面JSON 。
  • attributes,不同的authorizationGrantType存在不同的属性。

其中类似{registrationId} 的形式表示 {registrationId}是一个变量,例如 registrationId=gitee

在OAuth2客户端配置spring.security.client.registration.{registrationId}的前缀中有以下五种情况。

scope 不包含openid而且client-authentication-method不为none时上述四个参数:

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {},
  "attributes": {
    "registration_id": "{registrationId}"
  }
}

scope 包含openid而且client-authentication-method不为none时上述四个参数:

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "nonce": "{nonce}的Hash值"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "nonce": "{nonce}"
  }
}

scope不包含openid而且client-authentication-methodnone时上述四个参数:

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "code_challenge": "{codeVerifier}的Hash值",
    // code_challenge_method 当不是SHA256可能没有该key
    "code_challenge_method": "S256(如果是SHA256算法的话)"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "code_verifier": "Base64生成的安全{codeVerifier}"
  }
}

scope包含openid而且client-authentication-methodnone时上述四个参数:

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "code_challenge": "{codeVerifier}的Hash值",
    // code_challenge_method 当不是SHA256可能没有该key
    "code_challenge_method": "S256(如果是SHA256算法的话)",
    "nonce": "{nonce}的Hash值"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "code_verifier": "Base64生成的安全{codeVerifier}",
    "nonce": "{nonce}"
  }
}

implicit下要简单的多:

{
  "authorizationGrantType": "implicit",
  "responseType": "token",
  "attributes": {}
}

3.2 固定规则部分

上面是各种不同AuthorizationGrantType下的OAuth2AuthorizationRequest的成员变量个性化取值策略, 还有几个参数的规则是固定的:

  • clientId 来自于配置,是第三方平台给予我们的唯一标识。
  • authorizationUri来自于配置,用来构造向第三方发起的请求URL。
  • scopes 来自于配置,是第三方平台给我们授权划定的作用域,可以理解为角色。
  • state 自动生成的,为了防止csrf 攻击。
  • authorizationRequestUri 向第三方平台发起授权请求的,可以直接通过OAuth2AuthorizationRequest的构建类来设置或者通过上面的authorizationUri等参数来生成,稍后会把构造机制分析一波。
  • redirectUriOAuth2AuthorizationRequest被第三方平台收到后,第三方平台会回调这个URI来对授权请求进行相应,稍后也会来分析其机制。
authorizationRequestUri的构建机制

如果不显式提供authorizationRequestUri就会通过OAuth2AuthorizationRequest中的

  • responseType
  • clientId
  • scopes
  • state
  • redirectUri
  • additionalParameters

按照下面的规则进行拼接成authorizationUri的参数串,参数串的keyvalue都要进行URI编码。

authorizationUri?response_type={responseType.getValue()}&client_id={clientId}&scope={scopes元素一个字符间隔}&state={state}&redirect_uri={redirectUri}&{additionalParameter展开进行同样规则的KV参数串}

然后OAuth2AuthorizationRequestRedirectFilter负责重定向到authorizationRequestUri向第三方请求授权。

redirectUri

第三方收到响应会调用redirectUri,回调也是有一定默认规则的,它遵循{baseUrl}/{action}/oauth2/code/{registrationId}的路径参数规则。

  • baseUrl 是从我们/oauth2/authorization请求中提取的基础请求路径。
  • action,有两种默认值loginauthorize ,当/oauth2/authorization请求中包含了action参数时会根据action的值进行填充。
  • registrationId 这个就不用多说了。

4. 总结

通过对OAuth2AuthorizationRequest请求对象的规则进行详细分析,我们应该能大致的知道的过滤器OAuth2AuthorizationRequestRedirectFilter流程:

  1. 通过客户端配置构建ClientRegistration,后续可以进行持久化。
  2. 拦截/oauth2/authorization请求并构造OAuth2AuthorizationRequest,然后重定向到authorizationRequestUri进行请求授权。
  3. 第三方通过redirect_uri进行相应。

愿与诸君共进步,大量的面试题及答案还有资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化、分布式架构等这些成为架构师必备的知识体系
可以进交流群124388967获取,最后祝大家都能拿到自己心仪的offer

Lydia Bess
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
再探 Spring Security:使用 OAuth2 来实现认证和授权
wen_linfeng的专栏
07-31 388
Spring Security 中,使用 OAuth2 进行认证是一种常见的身份认证和授权机制,常用于实现安全的第三方应用程序访问用户资源的场景。客户端模式适用于客户端应用程序自身作为用户的情况,如机器对机器的通信。简化模式适用于无后端服务器的客户端应用程序,如单页应用,它直接通过重定向流程获取访问令牌,没有授权码的步骤,是一种相对简单的授权方式。通过使用 OAuth2 进行认证,第三方应用程序可以在获得用户授权的前提下,安全地访问用户的资源,同时保护了用户的用户名和密码不被直接暴露给第三方应用。
oauth2 spring-authorization-server 分析
tof
01-19 1万+
spring boot,spring security,oauth2,spring-authorization-server
OAuth2.0 原理流程及其单点登录和权限控制
热门推荐
kefeng.wang 的博客
07-26 13万+
单点登录是多域名企业站点流行的登录方式。本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程。同时总结了权限控制的实现方案,及其在微服务架构中的应用。 作者:王克锋 出处:https://kefeng.wang/2018/04/06/oauth2-sso/ 版权:自由转载-非商用-非衍生-保持署名,转载请标明作者和出处。 1 什么是单点登录 1....
【权限】OAuth2入门
这太Imba了
01-15 199
什么是OAuth2 一、定义 OAuth2是开放授权的一个标准,旨在让用户允许第三方应用去访问用户在某服务器中特定的私有资源,而可以不提供在某服务器的账号密码给到第三方应用。 OAuth2可以分为四个角色: Resource Owner:资源所有者 类似用户 Resource Server:资源服务器 保存/提供用户的私有资源信息的服务器 Client:第三方应用客户端 想获取用户私有资源信息的应用 Authorication Server:授权服务器,管理前三者的中间层 OAuth2解决问题的关键在于使用
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4797
认证: 用户认证就是判断一个用户的身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4200
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring SecuritySpring生态系统中的一个强大安全框架,它提供了...
spring boot +spring Security+ jwt+oauth2.rar
06-13
Spring Boot、Spring Security、JWT 和 OAuth2 是现代Web应用程序开发中的关键组件,它们共同构建了一个安全、高效的身份验证和授权框架。在这个项目中,我们看到一个整合了这些技术的实战应用,下面将详细阐述这些...
spring-security-oauth-workshop:Spring安全性OAuth研讨会
01-30
7. **实战演练**:通过实际操作,如创建授权服务器、资源服务器,设置客户端,模拟用户授权流程,进一步加深对OAuth2和Spring Security的理解。 8. **错误处理与日志记录**:理解在OAuth2流程中可能出现的错误情况...
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺...通过理解和掌握Spring Security OAuth2,开发者能够构建出安全、高效且符合标准的授权系统,为现代Web应用和微服务架构保驾护航。
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Security OAuth2提供了授权服务器、资源服务器和客户端的实现,使得开发者可以方便地在微服务架构中实现安全的身份验证和授权。 首先,我们需要创建一个授权服务器,这通常是我们系统的认证中心。授权服务器...
16 OAuth2登录流程分析
Markix的博客
10-28 1519
Client获取用户授权,得到令牌,通过令牌,获取用户信息(资源)。再在本地构建用户登录认证信息,维持用户会话状态,以此达到登录的目的。OAuth2AuthorizationRequestRedirectFilter、OAuth2LoginAuthenticationFilter
SpringSecurity OAuth2授权端点AuthorizationEndpoint、授权码AuthorizationCodeServices 详解
向心行者
01-09 7081
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时了解"/oauth/authorize"授权接口在AuthorizationEndpoint类中定义。这一节,我们将详细分析AuthorizationEndpoint类的实现。 2、AbstractEndpoint抽象类   AuthorizationEndpoint授权端点继承自AbstractEndpoint抽象类,这里我们先分析一下AbstractEndpoint抽象类的实现逻辑。   AbstractEnd
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 6096
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
Spring Security 实战干货:OAuth2授权请求是如何构建执行
码农小胖哥
11-10 1665
1. 前言在Spring Security 实战干货:客户端 OAuth2 授权请求的入口中我们找到了拦截 OAuth2 授权请求入口/oauth2/authorization的过滤器O...
Spring SecurityOAuth2 授权许可
深圳市多克创新科技有限公司
10-21 543
Spring SecurityOAuth2 授权许可
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8216
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
配置Java开发环境
最新发布
Broken_x的博客
07-10 1288
Java开发环境配置
认证和授权Oauth2、RBAC、Casbin、Spring Security Oauth2)
05-08
"认证和授权是软件安全的关键...认证和授权构建安全系统的基础,Oauth2、RBAC和Casbin分别提供了标准的授权协议、角色权限管理模型和灵活的访问控制策略。掌握这些技术,开发者能够创建出既开放又安全的软件系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值