spring security OAuth2AuthenticationProcessingFilter的token认证流程解析

最新推荐文章于 2023-10-18 11:33:25 发布
最新推荐文章于 2023-10-18 11:33:25 发布
阅读量1.7k 收藏
点赞数
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a807719447/article/details/109809418
版权

从@ResourceServer 注解进去可以看到导入了ResourceServerConfiguration这个类,
我们来看这个配置初始化了一些配置,后面会用到。

protected void configure(HttpSecurity http) throws Exception {
//新增一个ResourceServerSecurityConfigurer,这个是重点。
		ResourceServerSecurityConfigurer resources = new ResourceServerSecurityConfigurer();
		//如果配置了多个tokenService 则取第一个
		ResourceServerTokenServices services = resolveTokenServices();
		if (services != null) {
			resources.tokenServices(services);
		}
		else {
			if (tokenStore != null) {
				resources.tokenStore(tokenStore);
			}
			else if (endpoints != null) {
				resources.tokenStore(endpoints.getEndpointsConfigurer().getTokenStore());
			}
		}
		if (eventPublisher != null) {
			resources.eventPublisher(eventPublisher);
		}
		for (ResourceServerConfigurer configurer : configurers) {
			configurer.configure(resources);
		}
		// @formatter:off
		http.authenticationProvider(new AnonymousAuthenticationProvider("default"))
		// N.B. exceptionHandling is duplicated in resources.configure() so that
		// it works
		.exceptionHandling()
				.accessDeniedHandler(resources.getAccessDeniedHandler()).and()
				.sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
				.csrf().disable();
		// @formatter:on
		http.apply(resources);
		if (endpoints != null) {
			// Assume we are in an Authorization Server
			http.requestMatcher(new NotOAuthRequestMatcher(endpoints.oauth2EndpointHandlerMapping()));
		}
		for (ResourceServerConfigurer configurer : configurers) {
			// Delegates can add authorizeRequests() here
			configurer.configure(http);
		}
		if (configurers.isEmpty()) {
			// Add anyRequest() last as a fall back. Spring Security would
			// replace an existing anyRequest() matcher with this one, so to
			// avoid that we only add it if the user hasn't configured anything.
			http.authorizeRequests().anyRequest().authenticated();
		}
	}

ResourceServerSecurityConfigurer.configure

@Override
	public void configure(HttpSecurity http) throws Exception {
		//配置认证管理器
		AuthenticationManager oauthAuthenticationManager = oauthAuthenticationManager(http);
		//配置认证过滤器
		resourcesServerFilter = new OAuth2AuthenticationProcessingFilter();
		resourcesServerFilter.setAuthenticationEntryPoint(authenticationEntryPoint);
		resourcesServerFilter.setAuthenticationManager(oauthAuthenticationManager);
		if (eventPublisher != null) {
			resourcesServerFilter.setAuthenticationEventPublisher(eventPublisher);
		}
		if (tokenExtractor != null) {
			resourcesServerFilter.setTokenExtractor(tokenExtractor);
		}
		if (authenticationDetailsSource != null) {
			resourcesServerFilter.setAuthenticationDetailsSource(authenticationDetailsSource);
		}
		resourcesServerFilter = postProcess(resourcesServerFilter);
		resourcesServerFilter.setStateless(stateless);

		// @formatter:off
		http
			.authorizeRequests().expressionHandler(expressionHandler)
		.and()
			.addFilterBefore(resourcesServerFilter, AbstractPreAuthenticatedProcessingFilter.class)
			.exceptionHandling()
				.accessDeniedHandler(accessDeniedHandler)
				.authenticationEntryPoint(authenticationEntryPoint);
		// @formatter:on
	}

在ResourceServer中需要对token进行校验需要走如下过滤器,我们来分析下token校验的认证过程是什么样的
OAuth2AuthenticationProcessingFilter.doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {

		final boolean debug = logger.isDebugEnabled();
		final HttpServletRequest request = (HttpServletRequest) req;
		final HttpServletResponse response = (HttpServletResponse) res;

		try {
			//同request中提取认证信息,TokenExtractor的具体实现
			//BearerTokenExtractor.extract方法中分为两种情况,一种是从头部
			//获取token 即调用extractHeaderToken方法获取Authorization该属
			//性,并判断是否以Bearer开头不区分大小写,头部获取不到token时将从
			//请求参数中获取,请求参数中获取的key为access_token;获取到token之
			//后将往请求中塞入如下属性request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, OAuth2AccessToken.BEARER_TYPE);
			//并返回token,然后交给PreAuthenticatedAuthenticationToken处理,
			//最后将token塞给Authentication 对象中的principal,返回当前对象。
			Authentication authentication = tokenExtractor.extract(request);
			
			if (authentication == null) {
				if (stateless && isAuthenticated()) {
					if (debug) {
						logger.debug("Clearing security context.");
					}
					SecurityContextHolder.clearContext();
				}
				if (debug) {
					logger.debug("No token in request, will continue chain.");
				}
			}
			else {
			//获取到token之后将token值塞给request中的一个固定属性。
			//并通过OAuth2AuthenticationDetails 类创建details;
			//改对象做的事情是详细见Ⅰ返回一个 字符串对象塞给needsDetails
		
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, authentication.getPrincipal());
				if (authentication instanceof AbstractAuthenticationToken) {
					AbstractAuthenticationToken needsDetails = (AbstractAuthenticationToken) authentication;
					needsDetails.setDetails(authenticationDetailsSource.buildDetails(request));
				}
				//这里进行认证校验,authenticationManager为ResourceServerSecurityConfigurer
				//中进行设置的为oauthAuthenticationManager,其中tokenService也都在这里配置,这里为DefaultTokenServices 
				//内部调用tokenServices.loadAuthentication(token),该方法进行认证,tokenServices有好几个实现类,
				//可以是RemoteTokenServices,也可以是UserInfoTokenServices,还可以是DefaultTokenServices。
				//或者自定义实现。
				//token校验流程可以参见Ⅱ
				Authentication authResult = authenticationManager.authenticate(authentication);

				if (debug) {
					logger.debug("Authentication success: " + authResult);
				}

//发布认证成功事件				
				eventPublisher.publishAuthenticationSuccess(authResult);

//认证成功就将解析,将信息交给SecurityContextHolder中
				SecurityContextHolder.getContext().setAuthentication(authResult);

			}
		}
		catch (OAuth2Exception failed) {
			SecurityContextHolder.clearContext();

			if (debug) {
				logger.debug("Authentication request failed: " + failed);
			}
			eventPublisher.publishAuthenticationFailure(new BadCredentialsException(failed.getMessage(), failed),
					new PreAuthenticatedAuthenticationToken("access-token", "N/A"));

			authenticationEntryPoint.commence(request, response,
					new InsufficientAuthenticationException(failed.getMessage(), failed));

			return;
		}

		chain.doFilter(request, response);
	}

Ⅰ、OAuth2AuthenticationDetails

public OAuth2AuthenticationDetails(HttpServletRequest request) {
//从请求中拿出token
		this.tokenValue = (String) request.getAttribute(ACCESS_TOKEN_VALUE);
		//获取token类型。这边为Bearer
		this.tokenType = (String) request.getAttribute(ACCESS_TOKEN_TYPE);
		//获取反问地址
		this.remoteAddress = request.getRemoteAddr();
		//获取session,如果为空返回null,如果不为null将返回sessionid并将以上元
		//素拼接成一个字符串最后返回;remoteAddress=xxx,sessionId=<SESSION>,tokenType=xxxxxtokenValue=<TOKEN>
		HttpSession session = request.getSession(false);
		this.sessionId = (session != null) ? session.getId() : null;
		StringBuilder builder = new StringBuilder();
		if (remoteAddress!=null) {
			builder.append("remoteAddress=").append(remoteAddress);
		}
		if (builder.length()>1) {
			builder.append(", ");
		}
		if (sessionId!=null) {
			builder.append("sessionId=<SESSION>");
			if (builder.length()>1) {
				builder.append(", ");
			}
		}
		if (tokenType!=null) {
			builder.append("tokenType=").append(this.tokenType);
		}
		if (tokenValue!=null) {
			builder.append("tokenValue=<TOKEN>");
		}
		this.display = builder.toString();
	}
	//该对象重写了toString方法,即返回上面所生成的字符串
@Override
	public String toString() {
		return display;
	}

Ⅱ、DefaultTokenServices.loadAuthentication解析

public OAuth2Authentication loadAuthentication(String accessTokenValue) throws AuthenticationException,
			InvalidTokenException {
			//读取token
		OAuth2AccessToken accessToken = tokenStore.readAccessToken(accessTokenValue);
		if (accessToken == null) {
			throw new InvalidTokenException("Invalid access token: " + accessTokenValue);
		}
		//判断token是否过期
		else if (accessToken.isExpired()) {
			tokenStore.removeAccessToken(accessToken);
			throw new InvalidTokenException("Access token expired: " + accessTokenValue);
		}
		//解析token。根据你设置的tokenStore进行解析。解析完成直接返回。
		OAuth2Authentication result = tokenStore.readAuthentication(accessToken);
		if (result == null) {
			// in case of race condition
			throw new InvalidTokenException("Invalid access token: " + accessTokenValue);
		}
		if (clientDetailsService != null) {
			String clientId = result.getOAuth2Request().getClientId();
			try {
				clientDetailsService.loadClientByClientId(clientId);
			}
			catch (ClientRegistrationException e) {
				throw new InvalidTokenException("Client not valid: " + clientId, e);
			}
		}
		return result;
	}
起风哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security OAuth2 token权限隔离实例解析
08-25
主要介绍了Spring Security OAuth2 token权限隔离实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity系列 - 07 认证入口:AbstractAuthenticationProcessingFilter 过滤
你今天真好看呀
09-14 2128
UsernamePasswordAuthenticationFilter 过滤器:SpringSecurity 中默认的是表单登录格式,即用户在表单中输入用户名和密码进行登录,登录参数的提取在 UsernamePasswordAuthenticationFilter 过滤器中完成,UsernamePasswordAuthenticationFilter 是AbstractAuthenticationProcessingFilter 针对使用用户名和密码进行身份认证而定制化的一个过滤器。
spring oauth2 OAuth2AuthenticationProcessingFilter 校验token过滤
weixin_34399060的博客
11-20 1635
2019独角兽企业重金招聘Python工程师标准>>> ...
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
qq_25248407的博客
11-13 1006
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter xym01 1 2019-02-24 19:38 Spring-security-oauth2的版本是2.0 如下图1所示,继承了Filter,还继承了InitializingBean,这个与SpringIOC有关,在创建Bean的时候,调用afterPropertiesS...
OAuth2AuthenticationProcessingFilter资源认证服务器过滤
qq_39256196的博客
04-22 943
方法:org.springframework.security.oauth2.provider.authentication.BearerTokenExtractor#extractHeaderToken。经过:org.springframework.security.oauth2.provider.authentication.BearerTokenExtractor#extract。验证当前登录用户的scope属性是否符合所请求的资源所需的权限要求,如果不满足,抛出。图1的第二步,进入断点。
通过过滤器链了解spring security + oauth2实现单点登录的过程
a595077052的专栏
08-04 672
一、系统 注意部署在同一机器(localhost)上的三个应用,为了防止存放在cookie中的JSESSIONID不被覆盖,需要设置不同的path,可以在配置文件中指定不同的上下文路径,如:servlet: context-path: /crm、servlet: context-path: /oa 认证中心系统OAUTHSERVERhttp://localhost:8888 客户端系统1CRMhttp://localhost:8090/crm 客户端系统2OAhttp://localhost...
No AuthenticationProvider found for org.***.PreAuthenticatedAuthenticationToken
weixin_40109343的博客
09-14 4175
框架:Spring security oauth2+MmongoDB 问题描述:请求自定义登陆接口和使用默认接口都都能正常返回token信息,但携带refresh_token换取token时,则报错。自定义登陆接口相关配置和错误信息如下。 ResourceConfig配置如下: @EnableResourceServer @Configuration public class ResourceServerConfig extends ResourceServerConfigurerAdapter
简单梳理一下Oauth2
js0808088的博客
11-12 3928
先贴一个Spring-security的官方文档地址: 学习一门技术,最好的方法就是去看他的官方文档。 简介: OAuth2(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 简而言之,Oauth2就是经过一次验证,将客户端及个人信息保存在服务器上,当在第三方应用上需要认证或者授权时,无需再次登录认证。 这是一个简单的流程图,便于大家快速了解Oauth2的认证流程: 接下来,我按照下面几个模块,
SpringSecurity框架原理浅谈之Authentication
黄先生的博客
02-10 993
所以我们从这里可以知道Authentication是用来封装用户的认证信息的!
深入理解Spring Cloud Security OAuth2身份认证
iloveoverfly的博客
03-06 4566
OAuth2协议 生活中,当我们使用滴滴出行或者美团app进行登录时,如果选择微信授权登录,则可以使用微信的头像,昵称,地区和性别信息登录,如图: 在滴滴出行和美团app的系统中,是没有存储微信的用户信息,但是授权过后就可以使用到微信的部分权限。这就是使用OAuth2协议实现的。它为第三方应用提供对HTTP服务的有限访问,即可以是资源拥有者通过授权运行第三方应用获取HTTP服务,也可以是第...
spring boot中spring security实现单点登录,传统模式(一)
热门推荐
lvhao2813的博客
09-26 2万+
单点登录是什么? 一个系统中可能引用别的很多系统。单点登录就是解决,一次登录,就可以访问所有的系统。 每次浏览器向一个域名发送http请求,去查找域名的cookie信息拼接到http的header中发送到服务器。 cookie不能跨域。这个域是浏览器请求的域名,哪怕他们都是访问一个服务器也不能跨越。   网上有很多基于spring boot的Spring Security OAuth...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security OAuth 个性化token的使用
08-26
主要介绍了Spring Security OAuth 个性化token的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3653
loadUserByUsername携带多个参数
Spring Security登录用户数据获取(4)
最新发布
qq_39853669的博客
10-18 1850
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。无论是哪种获取方式,都离不开一个重要的对象:Authentication。可以看到,在Spring Security中,只要获取到Authentication对象,就可以获取到登录用户的详细信息;
Spring Cloud OAuth2 实现用户认证及单点登录
诚的博客
07-29 2701
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 本文我们将使用授权码模式和密码模式两种方式来实现用户认证和授权管理。 OAuth2 其实是
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,使用访问令牌去获取资源服务器的资源,可
springsecurity oauth2认证详细流程
05-12
Spring Security OAuth2 是一个基于 Spring SecurityOAuth2 认证框架。下面是 Spring Security OAuth2 认证的详细流程: 1. 用户访问客户端应用程序,客户端应用程序将用户重定向到认证服务器。 2. 用户在认证服务器上进行身份验证并授权客户端应用程序。 3. 认证服务器将授权令牌(Access Token)发送回客户端应用程序。 4. 客户端应用程序使用授权令牌访问资源服务器。 5. 资源服务器将检查授权令牌的有效性并返回响应。 6. 客户端应用程序收到响应并将其呈现给用户。 在 Spring Security OAuth2 中,以上流程可以被分为以下几个步骤: 1. 配置客户端应用程序和认证服务器信息。 2. 通过 Spring Security 配置认证服务器的安全性。 3. 创建授权服务器和资源服务器。 4. 定义用户详细信息服务和令牌存储服务。 5. 配置 OAuth2 安全过滤器链。 6. 通过 OAuth2RestTemplate 从客户端应用程序访问资源服务器。 总的来说,Spring Security OAuth2 认证是一个复杂的过程,需要配置和实现多个组件。但一旦完成,它提供了一个安全的认证机制,允许用户使用其授权令牌访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值