spring-security-oauth2(十九) 重构用户名密码登陆

最新推荐文章于 2024-04-30 17:11:35 发布
最新推荐文章于 2024-04-30 17:11:35 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: spring-security-oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahcr1026212/article/details/89412623
版权

在开始重构前我们来回忆下前面的流程

三种方式登陆成功后组装后续流程返回token,必须携带basic client信息(因为需要它获取clientDetails信息)

 

 

 ok分析完流程后我们进行重构。先直接用浏览器的配置进行修改后续继续重构优化

登陆成功转换token处理

package com.rui.tiger.auth.core.authentication;

import com.alibaba.fastjson.JSON;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.rui.tiger.auth.core.model.enums.LoginTypeEnum;
import com.rui.tiger.auth.core.properties.SecurityProperties;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.collections.MapUtils;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.Authentication;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.security.oauth2.common.exceptions.UnapprovedClientAuthenticationException;
import org.springframework.security.oauth2.config.annotation.configuration.ClientDetailsServiceConfiguration;
import org.springframework.security.oauth2.provider.*;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Base64;

/**
 * 认证成功处理器
 * {@link SavedRequestAwareAuthenticationSuccessHandler}是Spring Security默认的成功处理器
 *
 * @author CaiRui
 * @date 2018-12-6 12:39
 */
@Component("tigerAuthenticationSuccessHandler")
@Slf4j
public class TigerAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

	@Autowired
	private SecurityProperties securityProperties;
	/**
	 * 授权服务器:自动配置的
	 * @see ClientDetailsServiceConfiguration#clientDetailsService()
	 */
	@Autowired
	private ClientDetailsService clientDetailsService;
	@Autowired
	private AuthorizationServerTokenServices authorizationServerTokenServices;
	@Autowired
	private ObjectMapper objectMapper;

	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
		log.info("登录成功");
		/**
		 * @see BasicAuthenticationFilter#doFilterInternal(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, javax.servlet.FilterChain)
		 *  */
		String header = request.getHeader("Authorization");
		if (header == null || !header.startsWith("Basic ")) {
			// 不被认可的客户端异常
			throw new UnapprovedClientAuthenticationException("没有Authorization请求头");
		}
		// 解析请Authorization 获取client信息 client-id: tigerauth client-secret: 123456
		String[] tokens = extractAndDecodeHeader(header, request);
		assert tokens.length == 2;
		String clientId = tokens[0];
		String clientSecret = tokens[1];
		ClientDetails clientDetails = clientDetailsService.loadClientByClientId(clientId);
		// 判定提交的是否与查询的匹配
		if (clientDetails == null) {
			throw new UnapprovedClientAuthenticationException("clientId对应的配置信息不存在:" + clientId);
		} else if (!StringUtils.equals(clientDetails.getClientSecret(), clientSecret)) {
			throw new UnapprovedClientAuthenticationException("clientSecret不匹配:" + clientId);
		}
		/**  @see DefaultOAuth2RequestFactory#createTokenRequest(java.util.Map, org.springframework.security.oauth2.provider.ClientDetails)
		 * requestParameters,不同的授权模式有不同的参数,这里自定义的模式,没有参数
		 * String clientId,
		 * Collection<String> scope, 给自己的前段使用,默认用所有的即可
		 * String grantType 自定义 custom
		 * */
		TokenRequest tokenRequest = new TokenRequest(MapUtils.EMPTY_SORTED_MAP, clientId, clientDetails.getScope(), "custom");
		OAuth2Request oAuth2Request = tokenRequest.createOAuth2Request(clientDetails);
		/**
		 * @see org.springframework.security.oauth2.provider.token.AbstractTokenGranter#getOAuth2Authentication(org.springframework.security.oauth2.provider.ClientDetails, org.springframework.security.oauth2.provider.TokenRequest)
		 * */
		OAuth2Authentication oAuth2Authentication = new OAuth2Authentication(oAuth2Request, authentication);
		OAuth2AccessToken accessToken = authorizationServerTokenServices.createAccessToken(oAuth2Authentication);
		response.setContentType("application/json;charset=UTF-8");
	/*	log.info("TOKEN信息:" + JSON.toJSONString(accessToken));
		response.getWriter().write(JSON.toJSONString(accessToken));*/
		log.info("jack TOKEN信息:" + objectMapper.writeValueAsString(accessToken));
		response.getWriter().write(objectMapper.writeValueAsString(accessToken));
	}

	/**
	 * Decodes the header into a username and password.
	 * @throws BadCredentialsException if the Basic header is not present or is not valid
	 *                                 Base64
	 */
	private String[] extractAndDecodeHeader(String header, HttpServletRequest request) throws IOException {
		byte[] base64Token = header.substring(6).getBytes("UTF-8");
		byte[] decoded;
		try {
			decoded = Base64.getDecoder().decode(base64Token);
		} catch (IllegalArgumentException e) {
			throw new BadCredentialsException(
					"Failed to decode basic authentication token");
		}
		String token = new String(decoded, "UTF-8");
		int delim = token.indexOf(":");
		if (delim == -1) {
			throw new BadCredentialsException("Invalid basic authentication token");
		}
		return new String[]{token.substring(0, delim), token.substring(delim + 1)};
	}

}

权限配置器

package com.rui.tiger.auth.app;

import com.rui.tiger.auth.core.config.CaptchaSecurityConfig;
import com.rui.tiger.auth.core.config.SmsAuthenticationSecurityConfig;
import com.rui.tiger.auth.core.properties.SecurityConstants;
import com.rui.tiger.auth.core.properties.SecurityProperties;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.social.security.SpringSocialConfigurer;

/**
 * @author CaiRui
 * @date 2019-04-17 08:38
 */
@Configuration
@EnableResourceServer
public class TigerResourceServerConfig extends ResourceServerConfigurerAdapter{

    @Autowired
    private AuthenticationSuccessHandler tigerAuthenticationSuccessHandler;
    @Autowired
    private AuthenticationFailureHandler tigerAuthenticationFailureHandler;

    @Autowired
    private SmsAuthenticationSecurityConfig smsAuthenticationSecurityConfig;//短信登陆配置
    @Autowired
    private SpringSocialConfigurer tigerSpringSocialConfigurer;

    @Autowired
    private SecurityProperties securityProperties;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        /**
         * 表单密码配置
         */
        http.formLogin()
                .loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)
                .loginProcessingUrl(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM)//
                .defaultSuccessUrl("/index.html")
                .successHandler(tigerAuthenticationSuccessHandler)
                .failureHandler(tigerAuthenticationFailureHandler);

        http
                /*.apply(captchaSecurityConfig) //图形验证码的有问题 先不处理
                .and()*/
                .apply(smsAuthenticationSecurityConfig)
                .and()
                .apply(tigerSpringSocialConfigurer)
                .and()
                .authorizeRequests()
                .antMatchers(
                        SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,//权限认证
                        SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,//手机
                        securityProperties.getBrowser().getLoginPage(),//登录页面
                        SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*",//  /captcha/* 验证码放行
                        securityProperties.getBrowser().getSignupUrl(),
                        //这个第三方自定义权限 后续抽离出去 可配置
                        securityProperties.getBrowser().getLoginOut(),
                        "/user/regist",
                        "/index.html",
                        securityProperties.getBrowser().getSession().getInvalidSessionUrl())
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .csrf().disable();
    }
}

ok 我们来测试下

 带上token访问用户信息

ok 下章我们 重构短信登陆。

codeing-tiger
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth过滤login_OAuth2AuthenticationProcessingFilter资源认证服务器过滤器
weixin_39859909的博客
01-13 503
资源服务器如何认证访问身份?一般会传入access_token,那资源认证服务器是如何解析令牌以及如何与资源认证服务器的token库进行对比的?核心代码在org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter#doFilterDebug验证:1、先用密码模式生成...
【转载】spring-security-oauth2(八) 短信密码登录重构
yxbmail_2010的博客
12-23 165
短信密码登录重构 抽取重复的代码 将一些变量用常量或枚举类管理起来 对一些流程进行抽象封装,方便扩展 比如前面我们的短信和验证码过滤器流程很相似,还有系统置不够清晰糅杂在一起了等。 关于用户名密码登录和短信登录表单提交的url地址,不需要真实存在,  因为这个是提供这两个特定过滤器框架特定的拦截...
Spring Security OAuth2 密码模式实现统一登录
最新发布
算法之道
04-30 905
Spring Security OAuth2 使用用户名密码进行授权被称为"密码授权模式"(Password Grant),它允许用户通过直接提供其用户名密码来获取访问令牌(access token)。这种方式通常用于受信任且高度安全的应用程序,例如原生移动应用程序。yunfeng-boot3-sercurity: Spring Security OAuth2 统一登录(密码模式)
【转载】spring-security-oauth2(十九) 重构用户名密码登陆
yxbmail_2010的博客
12-23 307
在开始重构前我们来回忆下前面的流程 三种方式登陆成功后组装后续流程返回token,必须携带basic client信息(因为需要它获取clientDetails信息)      ok分析完流程后我们进行重构。先直接用浏览器的配置进行修改后续继续重构优化 登陆成功转换token处...
OAuth2LoginAuthenticationFilter授权码登录回调扩展
qq_29415357的博客
05-21 432
OAuth2LoginAuthenticationFilter授权码登录回调扩展。
SpringBoot整合Security利用oauth2完成第三方验证登录
weixin_45815520的博客
11-02 397
登录访问出问题或者二次登录不显示以上页面,二次登录需清除Token,清除后需要等待一段时间才可访问。另外令牌Token存在即使启动在多次springboot也不会出现以上页面,有登录缓存,不需要在二次登录。配置application.properties,配置第三方登录需要的配置,springboot服务端口默认端口为:8080,可配可不配,访问服务的Security默认登录地址:http://localhost:8080/login,点击下面小的gitee登录。//开启oauth2第三方登录。
spring-reactive-authorization-server
03-07
目前,该实现仅支持spring-security-oauth2的2.3.8版本。 我决定不使用更高版本,因为大多数功能都已弃用。 由于旧版本中支持许多端点,因此我只有时间实现暴露/oauth/token tokenEndpoint。 如果您使用其他端点,...
基于 OAuth2.0 的 Spring Cloud 权限管理系统
03-10
整体接入OAuth2 提供标准专业的权限管理深度封装 spring security oauth2 只需要继承封装类,即可接入OAuth2 6. ORM 全面使用 Mybatis Plus 3,采用lambda 重构 7. 全面重构业务代码 使用lambda、stream、 lombok ...
SpringBlade微服务开发平台-其他
06-12
SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot 2 、Spring ...
blade-tool:SpringBlade 3.0 架构核心工具包,SpringBlade 是一个由商业级项目升级优化而来的SpringCloud分布式微服务架构、SpringBoot单体式微服务架构并存的综合型项目,采用Java8 API重构了业务代码,完全遵循阿里巴巴编码规范。采用Spring Boot 2 、Spring Cloud 2020 、Mybatis 等核心技术,同时提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台。 官网:https
05-04
SpringBlade微服务开发平台采用前后端分离的模式,前端开源两个框架: (基于 React、Ant ...借鉴OAuth2,实现了多终端认证系统,可控制子系统的token权限互相隔离。借鉴Security,封装了Secure模块,采用JWT做Token
基于SpringBoot,ORM-Mybatis,SpringMVC和多种组件构建的企业信息化开发基础平台,快速构建OA、CMS
06-16
基于SpringBoot,ORM-Mybatis,SpringMVC和多种组件构建的企业信息化开发基础平台,快速构建...权限安全:Apache Shiro、Spring Security 全文搜索引擎:Lucene(待定) 模板引擎:JSP(还没使用Thymeleaf,前端需要重构)
oauth过滤login_SpringSecurity5 Oauth2.0 Login核心过滤器备忘录
weixin_34928063的博客
12-23 505
SecurityContextPersistenceFilter(安全上下文持久化)默认到Session里面搂数据,搂到数据再塞入SecurityContextHolder,此时SecurityContextHolder里面有数据,再调用filterchain内部的其他filter,其他filter也会处理这个SecurityContextHolder数据存入SecurityContextHold...
Spring Security 源码解读:OAuth2.0 Login Client
weixin_41866717的博客
02-05 1058
本文样例代码地址:关于OAuth2.0简介可以参考:关于Spring Security中OAuth2.0在前后端分离架构下的授权流程可以参考:关于OAuth2.0 Login在Spring Security中实现基本原理,可参考官网文档:另外,OAuth2.0协议初衷是用来做授权的,而不是认证(特殊的授权)。在此协议的进一步衍生出了 OpenID Connect (Oidc)协议专门应对OAuth2.0认证。具体关于这两个协议的区别,可以参考。
Spring Security 5 OAuth2 Login
wudengyu的博客
01-10 5877
  先吐槽一下上一篇博客,现在回过头来自己看都不知道写了什么,主要是不会使用Markdown的首行缩进,看起来就很分不清。当然,主要还是内容不清楚,这一篇其实就是补充上一篇的。真实的情况是,写上一篇之前,发现Spring Security 5支持OAuth2登录,但是想弄的企业微信登录虽然在文档里说它的网页授权登录就是OAuth2登录,但实际上跟OAuth2标准差别还有点大,至少跟Spring S...
Abp vNext实现登录返回token可调用其他接口
weixin_38225763的博客
07-13 1555
/必须加上项目和数据库里定义得授权范围,否则登录成功后还是提示401。只是验证登录,并不返回token。Abp中获取token的接口是。具体使用方式看官方文档的。部分,我就记录一些常用的。
基于Oauth2.0的单点登录—搭建认证服务器(四)
qq_39847635的博客
02-03 900
一. 安全相关配置 继承WebSecurityConfigurerAdapter,如下代码所示。 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { } (一). 用户信息配置 存储在内存中,有两种创建用户信息的方式: 分别创建用户的用户名密码、角色等信息; 基于org.springframework.security.core.userdetails.User创建用户信息。 @Conf
五分钟带你玩转oauth2(十三)重写源码,定制spring security+oauth2的/oauth/token接口
小鲍侃java
02-09 6346
在获取token时使用/oauth/token接口 但是想在返回token的同时也返回其他属性:如用户姓名 ,权限等 那么我们可以重写/oauth/token 接口 OauthController 以下配置不会更改接口地址和入参 只更改返回值 @RestController @RequestMapping("/oauth") public class OauthController { @Autowired @Lazy private TokenStore tokenS.
SpringSecurity+OAuth2实现单点登录SSO(详细教程+源码)
热门推荐
空夜's Blog
10-24 1万+
文章目录一、父级项目sso-oauth2-demo二、授权服务器auth-server三、客户端应用client-a与client-b四、启动与测试 本节源码在https://github.com/laolunsi/spring-boot-examples/tree/master/04-sso-oauth2-demo上,请放心食用 本节利用Spring Security Oauth2实现Spri...
Spring Cloud OAUTH2认证鉴权的实现
Myheart,Myworld的博客
09-29 4905
1. 背景 最近在做权限相关服务的开发,在系统微服务化后,原有的单体应用是基于session的安全权限方式,不能满足现有的微服务架构的认证与鉴权需求。微服务架构下,一个应用会被拆分成若干个微应用,每个微应用都需要对访问进行鉴权,每个微应用都需要明确当前访问用户以及其权限。尤其当访问来源不只是浏览器,还包括其他服务的调用时,单体应用架构下的鉴权方式就不是特别合适了。在微服务架构下,要考虑外部应用接入...
spring-security-oauth2与spring-cloud-starter-oauth2
06-10
spring-security-oauth2和spring-cloud-starter-oauth2都是OAuth 2.0协议的Spring框架的库但它们的使用场景有所不同。 spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值