1. 前言
当用户发起第三方授权请求是如何初始化OAuth2AuthorizationRequest
授权请求对象以及如何通过过滤器进行转发到第三方的。今天我们接着这个流程往下走,来看看服务器收到授权请求是怎么做的。
2. OAuth2登录认证
当第三方收到OAuth2授权请求后,会将授权的回执通过我方提供的回调请求redirect_uri
传递给我们。由于默认情况下回调的路径满足/login/oauth2/code/*
,所以我们只要找到拦截回调的过滤器就可以知道Spring Security是如何处理回调了。通过搜索确认了OAuth2LoginAuthenticationFilter
就是处理回调的过滤器。
OAuth2LoginAuthenticationFilter
第三方认证服务器在调用redirect_uri
时附加code
和state
参数,在被这个Filter
拦截后,创建一个待认证凭据OAuth2LoginAuthenticationToken
,并委托给了AuthenticationManager
进行身份验证。
一旦成功验证,则生成认证凭据OAuth2AuthenticationToken
和认证客户端对象OAuth2AuthorizedClient
。 最