Spring Security Oauth2 执行流程剖析

最新推荐文章于 2024-03-28 15:30:50 发布
最新推荐文章于 2024-03-28 15:30:50 发布
阅读量1.9k 收藏 7
点赞数 4
分类专栏: Spring 文章标签: spring sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_33403616/article/details/120215506
版权

1.工作原理及过程

OAuth 2.0的运行流程如下图

 本篇案列主要基于授权码模式(authorization code)一下是授权码模式的运行流程如下图

2.时序图展示

3.核心源码解析

基于spring security  Oauth2主要就三个类:

1.AbstractAuthenticationProcessingFilter  主要是用来对用户的访问请求进行拦截认证的入口

2.AuthorizationEndpoint  主要是匹配授权模式(1.授权码模式 2:隐匿模式 3:客户端模式 4密码模式)返回不同的ModelAndView(重定向到login路由)对象 并且携带凭证、权限信息

3.TokenPoint 校验凭证信息 并且颁发Token

3.1.1 AbstractAuthenticationProcessingFilter 

AbstractAuthenticationProcessingFilter.doFilter()方法

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
       //判断该请求是否需要进行权限校验 内部调用requiresAuthenticationRequestMatcher.matches
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response);
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Request is to process authentication");
            }

            Authentication authResult;
            try {
                 //对该请求的用户信息进行认证返回的是一个Authentication对象 
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }

                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
                this.logger.error("An internal error occurred while trying to authenticate the user.", var8);
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            } catch (AuthenticationException var9) {
                this.unsuccessfulAuthentication(request, response, var9);
                return;
            }

            if (this.continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }
                
            //认证成功 封装request请求 并将authentication存储到上下文对象中最后进行路由转发
            this.successfulAuthentication(request, response, chain, authResult);
        }
    }

这里重点提一下requiresAuthentication方法内部调用的是requiresAuthenticationRequestMatcher方法

   protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
        return this.requiresAuthenticationRequestMatcher.matches(request);
    }

我们在进行spring security oauth2的配置的时候会有这么一个类WebSecurityConfigurerAdapter 的自定义实现的子类里面的antMatchers方法这里面   .antMatchers("/", "/login**")被装载进requiresAuthenticationRequestMatcher。

@EnableOAuth2Sso
@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/", "/login**")
            .permitAll()
            .anyRequest()
            .authenticated();
    }

}

3.1.2 AuthorizationEndpoint 

AuthorizationEndpoint.auhorize方法

 @RequestMapping({"/oauth/authorize"})
    public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters, SessionStatus sessionStatus, Principal principal) {
   //根据response_type、client_id、state、redirect_uri生成封装的authorizationRequest
        AuthorizationRequest authorizationRequest = this.getOAuth2RequestFactory().createAuthorizationRequest(parameters);
  //获取返回类型这里默认值是code    
        Set<String> responseTypes = authorizationRequest.getResponseTypes();
        if (!responseTypes.contains("token") && !responseTypes.contains("code")) {
            throw new UnsupportedResponseTypeException("Unsupported response types: " + responseTypes);
        } else if (authorizationRequest.getClientId() == null) {
            throw new InvalidClientException("A client id must be provided");
        } else {
            try {
                if (principal instanceof Authentication && ((Authentication)principal).isAuthenticated()) {
//根据client_id获取ClinetDetails对象 这里我们默认是在内存中进行配置的,所以调用的是inMemoryClientDetailsService
                    ClientDetails client = this.getClientDetailsService().loadClientByClientId(authorizationRequest.getClientId());
//获取重定向的uri 这里默认是login 路由
                    String redirectUriParameter = (String)authorizationRequest.getRequestParameters().get("redirect_uri");
                    String resolvedRedirect = this.redirectResolver.resolveRedirect(redirectUriParameter, client);
                    if (!StringUtils.hasText(resolvedRedirect)) {
                        throw new RedirectMismatchException("A redirectUri must be either supplied or preconfigured in the ClientDetails");
                    } else {
//设置重定向路由
                        authorizationRequest.setRedirectUri(resolvedRedirect);
//验证scope范围
                        this.oauth2RequestValidator.validateScope(authorizationRequest, client);
                        authorizationRequest = this.userApprovalHandler.checkForPreApproval(authorizationRequest, (Authentication)principal);
//用户是否许可、一种是默认方式为true 一种是手动授权方式 
                        boolean approved = this.userApprovalHandler.isApproved(authorizationRequest, (Authentication)principal);
                        authorizationRequest.setApproved(approved);
                        if (authorizationRequest.isApproved()) {
                            if (responseTypes.contains("token")) {
                                return this.getImplicitGrantResponse(authorizationRequest);
                            }

                            if (responseTypes.contains("code")) {
//返回视图重定向到登录页面并且携带用户信息、client等信息
                                return new ModelAndView(this.getAuthorizationCodeResponse(authorizationRequest, (Authentication)principal));
                            }
                        }

                        model.put("authorizationRequest", authorizationRequest);
                        model.put("org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint.ORIGINAL_AUTHORIZATION_REQUEST", this.unmodifiableMap(authorizationRequest));
                        return this.getUserApprovalPageResponse(model, authorizationRequest, (Authentication)principal);
                    }
                } else {
                    throw new InsufficientAuthenticationException("User must be authenticated with Spring Security before authorization can be completed.");
                }
            } catch (RuntimeException var11) {
                sessionStatus.setComplete();
                throw var11;
            }
        }
    }

3.1.2 TokenPoint

public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
        if (!(principal instanceof Authentication)) {
            throw new InsufficientAuthenticationException("There is no client authentication. Try adding an appropriate authentication filter.");
        } else {
//获取clientId信息
            String clientId = this.getClientId(principal);
//获取ClientDetails信息
            ClientDetails authenticatedClient = this.getClientDetailsService().loadClientByClientId(clientId);

            TokenRequest tokenRequest = this.getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
            if (clientId != null && !clientId.equals("") && !clientId.equals(tokenRequest.getClientId())) {
                throw new InvalidClientException("Given client ID does not match authenticated client");
            } else {
                if (authenticatedClient != null) {
                    this.oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
                }

                if (!StringUtils.hasText(tokenRequest.getGrantType())) {
                    throw new InvalidRequestException("Missing grant type");
                } else if (tokenRequest.getGrantType().equals("implicit")) {
                    throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
                } else {
                    if (this.isAuthCodeRequest(parameters) && !tokenRequest.getScope().isEmpty()) {
                        this.logger.debug("Clearing scope of incoming token request");
                        tokenRequest.setScope(Collections.emptySet());
                    }

                    if (this.isRefreshTokenRequest(parameters)) {
                        tokenRequest.setScope(OAuth2Utils.parseParameterList((String)parameters.get("scope")));
                    }
//调用DefaultTokenService 的createAccessToken方法
                    OAuth2AccessToken token = this.getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
                    if (token == null) {
                        throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
                    } else {
                        return this.getResponse(token);
                    }
                }
            }
        }
    }

生成token

 private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
        DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
        int validitySeconds = this.getAccessTokenValiditySeconds(authentication.getOAuth2Request());
        if (validitySeconds > 0) {
            token.setExpiration(new Date(System.currentTimeMillis() + (long)validitySeconds * 1000L));
        }

        token.setRefreshToken(refreshToken);
        token.setScope(authentication.getOAuth2Request().getScope());
        return (OAuth2AccessToken)(this.accessTokenEnhancer != null ? this.accessTokenEnhancer.enhance(token, authentication) : token);
    }

总结:

访问受限资源-------filter拦截-------验证是否认证没有---------定向到登录页面-------------filter拦截---------------进行用户身份校验-通过----------生成authenticaiotn信息并且定向到/oauth/authorize----------对authentication进行一些校验、授权、封装重定向到登录页面--------filter拦截-重现走一遍认证逻辑--------颁发token

再写三行
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurityOAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 2587
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security + OAuth2】Spring Security快速入门
最新发布
weixin_43676950的博客
03-28 655
Spring Security 之所以默认帮助我们做了那么多事情,它的底层原理是传统的Servlet过滤器。DelegatingFilterProxy作为过滤器的代理,帮助我们调用spring容器中所有注册的过滤器FilterChainProxy帮助我们管理多个不同的过滤器链(SecurityFilterChain)。SecurityFilterChain帮助我们处理复杂的业务逻辑,通过匹配不同的url,由不同的过滤器链的组合来接收,从而由不同的过滤器来完成相应的功能。
Spring Security Oauth2 认证流程
ppangxiao的博客
08-03 1447
本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。
SpringSecurityOAuth2登录流程分析
张氏小毛驴的博客
06-30 975
整个流程跟着源码走下来,结合log分析,还是能大体上理解的,不奢求所有细节都掌握,其中实际上跟我们关系比较大的就是几处自定义的地方,毕竟我们如果要自定义一些东西,还是得仰仗他们,比如微信的授权登录,就会用到,他有很多不同之处,也有一些坑,这个就留到下一篇再学习好了。
spring-security-oauth2源码
06-30
spring security oauth2的源码,方便研究,备份一下。
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
spring-oauth2
09-26
OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。...下面我们实现一个 整合 SpringBoot 、Spring Security OAuth2 来实现单点登录功能的案例并对执行流程进行详细的剖析
spring_security.zip
09-07
spring security and oauth 2
spring security实现下次自动登录功能过程解析
08-25
Spring Security 是一个强大的安全框架,用于管理Web应用的访问控制。在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的...
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3823
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
Spring Security Oauth2 详细执行流程
u011237918的博客
01-06 497
先给自己挖个坑,贴两张整理的图 token颁发流程(/oauth/token) token校验流程
spring security oauth2.0搭建用户认证服务(一)
u013911102的博客
09-10 623
项目场景: 公司开发了APP,不过因为开发的周期比较短。因此很多的功能都不是很完善。 比如用户的登录流程。之前的登录流程是直接通过调用接口,后端校验账号密码。校验成功之后直接返回用户信息。前端缓存用户信息,然后请求接口的时候把用户信息通过请求的数据带过来,用以标识当前接口的请求人。 感觉这么做并不安全,后端只能够根据前端传递的userId来区分用户标识。因此我打算基于spring security oauth来重构一下用户的登录模块,写这篇文章来记录自己从零到有的搭建过程以及排坑日记 技术介绍:
接口报错Missing grant type
weixin_44594219的博客
11-07 3332
接口报错Missing grant type的原因分析,以及解决方式
SpringSecurityOAuth2 登录 Miss grant type问题
07-12 7757
SpringSecurityOAuth2 登录传值的时候会出现 Miss grant type问题 解决方式为:在header 加上 'Content-Type': 'application/x-www-form-urlencoded' ...
SpringSecurityOAuth2 中 Miss grant type问题
Demolist的博客
07-08 593
SpringSecurityOAuth2 登录传值的时候会出现 Miss grant type问题。没有设置content-type问题。
知乎登录出现Miss argument grant_type 无法成功登录解决方法
supramolecular的博客
08-31 8184
 知乎的模拟登录,出现Miss argument grant_type 无法成功登录, 根据网上的说法,需要进行chrome版本降级,要使用用Chrome 60版本,chromedriver2.3( 1. chrome浏览器降到60版本,下载地址: https://www.slimjet.com/chrome/download-chrome.php?file=lnx%2Fchrome64_60....
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8175
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
security.oauth2.ignore.urls
07-28
- *1* *3* [Spring Security OAuth Client配置加载源码分析](https://blog.csdn.net/weixin_40972073/article/details/126296562)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值