Spring security oauth2的认证流程2

最新推荐文章于 2022-09-27 16:10:09 发布
最新推荐文章于 2022-09-27 16:10:09 发布
阅读量438 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/wwh/blog/3094370
版权

Spring security oauth2资源的认证模式

ResourceServerSecurityConfigurer资源配置模式

@Override
	public void configure(HttpSecurity http) throws Exception {

		AuthenticationManager oauthAuthenticationManager = oauthAuthenticationManager(http);
		resourcesServerFilter = new OAuth2AuthenticationProcessingFilter();
		resourcesServerFilter.setAuthenticationEntryPoint(authenticationEntryPoint);
		resourcesServerFilter.setAuthenticationManager(oauthAuthenticationManager);
		if (eventPublisher != null) {
			resourcesServerFilter.setAuthenticationEventPublisher(eventPublisher);
		}
		if (tokenExtractor != null) {
		 //添加token的额外解析方法 默认调用BearerTokenExtractor
			resourcesServerFilter.setTokenExtractor(tokenExtractor);
		}
		if (authenticationDetailsSource != null) {
			resourcesServerFilter.setAuthenticationDetailsSource(authenticationDetailsSource);
		}
		resourcesServerFilter = postProcess(resourcesServerFilter);
		resourcesServerFilter.setStateless(stateless);

		// @formatter:off
		http
			.authorizeRequests().expressionHandler(expressionHandler)
		.and()
			.addFilterBefore(resourcesServerFilter, AbstractPreAuthenticatedProcessingFilter.class)
			.exceptionHandling()
				.accessDeniedHandler(accessDeniedHandler)
				.authenticationEntryPoint(authenticationEntryPoint);
		// @formatter:on
	}

OAuth2AuthenticationProcessingFilter中作为filter拦截认证会借助tokenExtractor从request中获取token的值,将其转换为Authentication 对象。

public class OAuth2AuthenticationProcessingFilter implements Filter, InitializingBean {
...
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {

		final boolean debug = logger.isDebugEnabled();
		final HttpServletRequest request = (HttpServletRequest) req;
		final HttpServletResponse response = (HttpServletResponse) res;

		try {
//调用TokenExtractor从httpRequest解析出对应的token值,将其转化为Authentication对象。
			Authentication authentication = tokenExtractor.extract(request);
			
			if (authentication == null) {
				if (stateless && isAuthenticated()) {
					if (debug) {
						logger.debug("Clearing security context.");
					}
					SecurityContextHolder.clearContext();
				}
				if (debug) {
					logger.debug("No token in request, will continue chain.");
				}
			}
			else {
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, authentication.getPrincipal());
				if (authentication instanceof AbstractAuthenticationToken) {
					AbstractAuthenticationToken needsDetails = (AbstractAuthenticationToken) authentication;
					needsDetails.setDetails(authenticationDetailsSource.buildDetails(request));
				}
//2调用的Authenticationd对象,调用authenticationManager.authenticate的方法
来判断用户是否登陆成功
				Authentication authResult = authenticationManager.authenticate(authentication);

				if (debug) {
					logger.debug("Authentication success: " + authResult);
				}

				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);

			}
		}
		catch (OAuth2Exception failed) {
			SecurityContextHolder.clearContext();

			if (debug) {
				logger.debug("Authentication request failed: " + failed);
			}
			eventPublisher.publishAuthenticationFailure(new BadCredentialsException(failed.getMessage(), failed),
					new PreAuthenticatedAuthenticationToken("access-token", "N/A"));

			authenticationEntryPoint.commence(request, response,
					new InsufficientAuthenticationException(failed.getMessage(), failed));

			return;
		}

		chain.doFilter(request, response);
	}
}
....
}

认证执行结束之后,继续走configure中的配置的权限认证过滤操作 AuthenticationManager 默认实现方式是配置的OAuth2AuthenticationManager,所以OAuth2AuthenticationManager中的

--ResourceServerSecurityConfigurer.java
private AuthenticationManager oauthAuthenticationManager(HttpSecurity http) {
		OAuth2AuthenticationManager oauthAuthenticationManager = new OAuth2AuthenticationManager();
		if (authenticationManager != null) {
			if (authenticationManager instanceof OAuth2AuthenticationManager) {
				oauthAuthenticationManager = (OAuth2AuthenticationManager) authenticationManager;
			}
			else {
				return authenticationManager;
			}
		}
		oauthAuthenticationManager.setResourceId(resourceId);
//配置tokenService解析方式		oauthAuthenticationManager.setTokenServices(resourceTokenServices(http));
		oauthAuthenticationManager.setClientDetailsService(clientDetails());
		return oauthAuthenticationManager;
	}

private ResourceServerTokenServices resourceTokenServices(HttpSecurity http) {
		tokenServices(http);
		return this.resourceTokenServices;
	}

	private ResourceServerTokenServices tokenServices(HttpSecurity http) {
		if (resourceTokenServices != null) {
			return resourceTokenServices;
		}
		DefaultTokenServices tokenServices = new DefaultTokenServices();
		//指定token的解析方式
		tokenServices.setTokenStore(tokenStore());
		tokenServices.setSupportRefreshToken(true);
		tokenServices.setClientDetailsService(clientDetails());
		this.resourceTokenServices = tokenServices;
		return tokenServices;
	}

Token的存取模式:

种模式

  • InMemoryTokenStore
  • JdbcTokenStore
  • JwtTokenStore
  • JwkTokenStore
  • RedisTokenStore
--OAuth2AuthenticationManager认证管理
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {

		if (authentication == null) {
			throw new InvalidTokenException("Invalid token (token not found)");
		}
		String token = (String) authentication.getPrincipal();
//从指定的实现的tokenStore中获取对应的值
		OAuth2Authentication auth = tokenServices.loadAuthentication(token);
		if (auth == null) {
			throw new InvalidTokenException("Invalid token: " + token);
		}

		Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
		if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
			throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
		}

		checkClientDetails(auth);

		if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
			OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
			// Guard against a cached copy of the same details
			if (!details.equals(auth.getDetails())) {
				// Preserve the authentication details from the one loaded by token services
				details.setDecodedDetails(auth.getDetails());
			}
		}
		auth.setDetails(authentication.getDetails());
		auth.setAuthenticated(true);
		return auth;

	}

转载于:https://my.oschina.net/wwh/blog/3094370

chiniao7467
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2+JWT 实现权限验证
2401_84046876的博客
04-09 1093
通过上边的测试我们发现,当资源服务和授权服务不在⼀起时资源服务使⽤RemoteTokenServices 远程请求授权 服务验证token,如果访问量较⼤将会影响系统的性能。解决上边问题: 令牌采⽤JWT格式即可解决上边的问题,⽤户认证通过会得到⼀个JWT令牌,JWT令牌中已经包括了⽤户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法⾃⾏完成令牌校验,⽆需每次都请求认证 服务完成授权。什么是JWT?
springboot+Oauth2实现自定义AuthenticationManager和认证path
08-29
本篇文章主要介绍了springboot+Oauth2实现自定义AuthenticationManager和认证path,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
oauth2 出现 cannot be cast to .security.oauth2.provider.authentication.OAuth2AuthenticationDetails
My52Hz
02-09 2675
一、问题背景 在使用oauth2获取用户登录信息的时候,如果用户未登录,就会出现 org.springframework.security.web.authentication.WebAuthenticationDetails cannot be cast to org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails; 问题如下: 二、原因 问题出现在以下两句代码: Authent
避坑指南(三):Spring Security Oauth2框架如何初始化AuthenticationManager
银河架构师的博客
01-13 8040
说明 顾名思义,即为“身份认证管理器”, 说白了,就是各种类型登录方式、或者Authentication(*AuthenticationToken)辅助认证Provider的管理对象。 比如,如果只是采用表单登录认证,那么完全可以使用默认的AuthenticationManager,认证用户势必要提供UserDetailsService、PasswordEncoder,如此一来,系统会根...
oracle access manager token,AuthenticationManager验证原理
weixin_42309293的博客
04-12 316
AuthenticationManager相关类图AuthenticationManager验证过程AuthenticationManager验证过程涉及到的类和接口较多,我们就从这里开始逐一分析,首先我手画了一张图作为索引,这张图说明了各个类和接口之间的关系。AuthenticationManager 为认证管理接口类,其定义了认证方法authenticate()。ProviderManager...
Spring Security OAuth2认证授权示例详解
08-25
- **授权服务器**:验证用户身份并发放授权令牌,是OAuth2流程的核心。 2. **访问令牌与刷新令牌**: - **访问令牌**:用于访问受保护资源的短期凭证,有权限范围和有效期限制。 - **刷新令牌**:当访问令牌即将...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring SecurityOAuth2,以实现基于password模式的认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的...
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring SecuritySpring生态系统中的一个强大安全框架,它提供了...
oauth2.0各组件讲解
戴怀财
07-08 1103
1.AuthorizationServerConfigurerAdapter:类 这个类实现了AuthorizationServerConfigurer 我们在搭建auth服务的时候需要写一个配置类 继承这个类 并重写这三个方法 (要加上@EnableAuthorizationServer注解才能生效) 接下来 一一介绍里边的组件 Client相关配置 ClientDetailsServiceConfigurer: 用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行
Re:从零开始的Spring Security Oauth2(三)
热门推荐
徐靖峰的专栏
08-10 6万+
上一篇文章中我们介绍了获取token流程,这一篇重点分析一下,携带token访问受限资源时,内部的工作流程。@EnableResourceServer与@EnableAuthorizationServer还记得我们在第一节中就介绍过了OAuth2的两个核心概念,资源服务器与身份认证服务器。我们对两个注解进行配置的同时,到底触发了内部的什么相关配置呢?上一篇文章重点介绍的其实是与身份认证相关的流程
Spring Cloud OAuth2 实现用户认证及单点登录
诚的博客
07-29 2772
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章。(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 本文我们将使用授权码模式和密码模式两种方式来实现用户认证和授权管理。 OAuth2 其实是
Spring Security OAuth2密码模式(四)
FAIRYTAIL的博客
08-28 3061
之前已经使用客户端模式进行认证授权的演示记录,但到目前为止还没有使用到用户相关的信息,之前项目都是在用户登录的时候判断用户名和密码是否正确,都校验通过后查询用户拥有的角色及菜单,并将用户权限信息放入session,那使用oauth2后怎么结合用户的角色权限保护资源呢?本篇记录一下密码模式的使用姿势。
Spring cloud Oauth2的密码模式内存方式实现登录授权验证
灰太狼
12-09 1895
oauth2有四种授权模式,是授权码模式,简化模式,密码模式,客户端模式。 1.oauth2的使用场景 目前大多数网站授权都是使用oauth2, 比如单点登录,第三方授权登录,微信登录,微博登录等等。这些第三方授权登录使用的是oauth2的授权码模式授权。 2.oauth2实现统一认证功能 接下来采用oauth2的密码模式实现授权,主要应用于登录场景,输入用户名,密码进行验证。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服
一步步入门搭建SpringSecurity OAuth2(密码模式)
我神级欧文的博客
02-05 4915
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
Oauth2的资源服务器核心源码分析
qq_29860591的博客
08-22 300
资源服务器核心源码分析 OAuth2AuthenticationProcessingFilter 资源服务器的核心是OAuth2AuthenticationProcessingFilter过滤器。它被插到配置为资源端口的过滤器链中,主要功能是获取请求中携带的access_token中,通过access_token提取OAuth2Authentication并存入Spring Security上下...
Spring Cloud项目(十)——使用OAuth2实现密码式认证
weixin_45974176的博客
09-27 876
使用OAuth2.0完成密码式认证
tokenExtractor
dulabing的专栏
02-26 1884
protected String extractToken(HttpServletRequest request) { // first check the header... String token = extractHeaderToken(request); // bearer type allows a request parameter as well if (...
springsecurity oauth2认证详细流程
最新发布
05-12
下面是 Spring Security OAuth2 认证的详细流程: 1. 用户访问客户端应用程序,客户端应用程序将用户重定向到认证服务器。 2. 用户在认证服务器上进行身份验证并授权客户端应用程序。 3. 认证服务器将授权令牌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值