spring-security-oauth2 源码分析B路线(一)

最新推荐文章于 2024-09-01 22:15:07 发布
最新推荐文章于 2024-09-01 22:15:07 发布
阅读量484 收藏
点赞数 1
分类专栏: # spring-secuirty-oauth2 文章标签: spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dev3932/article/details/111681221
版权

文章目录

前言

在开始之前务必下载好源码 spring-security-oauth2-2.3.x版本https://codeload.github.com/spring-projects/spring-security-oauth/zip/2.3.x
并基于 spring-security-oauth2 配置(二),将注解配置开始分析源码称为A路线 ,将授权模式访问分析源码称为B路线
A路线与B路线互相印证。

密码模式

本篇从密码授权模式开始进行分析源码

TokenEndpoint

TokenEndpoint端点中定义了访问路径 /oauth/token,适用于密码模式、授权码模式通过code获取token、刷新token。

由于 /oauth/token 默认配置需要授权,将会被spring-security中的拦截器链代理FilterChainProxy拦截进行处理调用。根据RequestMatcher匹配请求返回对应的过滤器链,然后将其包装成FilterChainProxy中私有类VirtualFilterChain,调用其doFilter方法(DefaultSecurityFilterChain是在HttpSecurity中初始化),最终根据授权服务器AuthorizationServerSecurityConfigurer对象是否配置allowFormAuthenticationForClients(是否允许表单形式访问),使用不同的filter,如果配置该参数将配置ClientCredentialsTokenEndpointFilter,并匹配处理。
在这里插入图片描述
由ClientCredentialsTokenEndpointFilter的父类抽象类AbstractAuthenticationProcessingFilter判断是否是认证请求,通过验证后由ClientCredentialsTokenEndpointFilter实现父类抽象方法attemptAuthentication处理
如果没有配置allowFormAuthenticationForClients,默认由BasicAuthenticationFilter匹配并处理

ClientCredentialsTokenEndpointFilter

ClientCredentialsTokenEndpointFilter:表单传参的客户端信息过滤器
如果配置allowFormAuthenticationForClients在AuthorizationServerSecurityConfigurer中配置
ClientCredentialsTokenEndpointFilter

	@Override
	public void configure(HttpSecurity http) throws Exception {
   
		
		// ensure this is initialized
		frameworkEndpointHandlerMapping();
		// 如果允许表单传参client信息,则配置ClientCredentialsTokenEndpointFilter,拦截url为/oauth/token的请求
		if (allowFormAuthenticationForClients) {
   
			clientCredentialsTokenEndpointFilter(http);
		}

		for (Filter filter : tokenEndpointAuthenticationFilters) {
   
			http.addFilterBefore(filter, BasicAuthenticationFilter.class);
		}

		http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);
	}

并将其加入到BasicAuthenticationFilter之前。
在这里插入图片描述
获取request中的clientId与clientSecret组装成UsernamePasswordAuthenticationToken并交给authenticationManager进行认证。这里的authenticationManager匹配到使用ClientDetailsUserDetailsService的DaoAuthenticationProvider,ClientDetailsUserDetailsService中调用ClientDetailsService获取ClientDetails,并组装成UserDetails,AbstractUserDetailsAuthenticationProvider再将UserDetails进行校验、组装成认证通过的UsernamePasswordAuthenticationToken。

		
		/**
		 * 获取request中的clientId与clientSecret组装成UsernamePasswordAuthenticationToken并交给authenticationManager
		 * 进行认证
		 */
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(clientId
最低0.47元/天 解锁文章
-aonez-
关注
专栏目录
spring-security-oauth2 源码分析A路线(一)
dev3932的博客
12-25 556
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 本篇分析spring-security-oauth2 源码,从最初的注解开始,一步一步逆向分析源码。逆向分析跳跃性会比较大一些,需要仔细分析。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as
OAuth2与spring-security-oauth2
dev3932的博客
12-24 675
OAuth2与spring-security-oauth2OAuth2OAuth2是什么OAuth2中4种授权模式spring-security-oauth2spring-security-oauth2是什么搭建spring-security-oauth2案例环境版本pom.xmlapplication.yml目录结构密码模式获取token访问受保护的资源授权码模式获取code获取token访问受保护的资源结语 OAuth2 OAuth2是什么 关于这块概念可以参考: https://www.jianshu
oauth2自定义granter与provider实现自定义身份认证
weixin_45738731的博客
05-17 1073
oauth接收到了你传入的grant_type,并把你的请求转发到了你自己的Granter,但谁来进行真正的用户信息合法性校验呢?这段代码比较简单,说白了,当用户进行身份校验时,如果传入的grant_type为group_token_authentication,那么则自动进入这段逻辑创建GroupCompanyAuthenticationToken对象的实例,并将request接收到的参数传入。同时,还提供了认证模式的扩展机制,以便于我们在遇到特殊情况时根据自己的需求来完成身份验证。
SpringSecurity Oauth2 - 密码认证获取访问令牌源码分析
最新发布
你今天真好看呀
09-01 1342
① 过滤器链:在Spring Security的配置中,这些过滤器通常被配置在一个过滤器链中,这样每个请求都会经过这些过滤器,并根据请求路径、请求参数和方法来决定该请求需要经过哪些过滤器的处理。③ 令牌存储:这些过滤器通常会结合令牌存储(例如内存存储、数据库存储或JWT存储)一起使用,以管理访问令牌和刷新令牌的生成、存储、验证和撤销。在这个类中,你可以配置上述的过滤器,并指定授权路径、令牌路径、客户端详细信息服务、以及各种授权方式的处理逻辑。② 用户凭证验证:如果客户端验证通过,,确保客户端的合法性。
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4352
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
springsecurity登录(自己随意笔记)
yangxin_blog的专栏
06-25 480
springsecurity登录 首先 1.UsernamePasswordAuthenticationFilter->attemptAuthentication (AbstractAuthenticationProcessingFilter 父类 ) successfulAuthentication 1.1 ProviderManager-> authenticate 1.1.1 ...
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect安全功能。OAuth2是一个授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而OpenID Connect则是在OAuth2之上...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2569
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
6 客户端认证方式 之 client_secret_basic & client_secret_post
Markix的博客
09-28 5357
client_secret_basic 和 client_secret_post 认证方式都是将客户端的 client_id 和 client_secret 传递给授权服务器,授权服务器接收到请求,则根据不同的认证方式从请求中解析出来客户端信息,对 client_secret 进行验证。
SpringSecurity身份认证方式及底层源码学习
酱酱的博客
05-22 552
SpringSecurity分为两种 HttpBasic 是弹窗认证方式。 HttpForm 是表单认证方式。 它们都有默认的页面来使用。 1. 首先我们需要创建配置类,此类需要加上@EnableWebSecurity证明 启动springSecurity过滤链功能,需要重写两个方法 /** 身份认证过滤器 2. 认证信息提供方式(用户名,密码,当前用户的资源权限) 3. 可采的内存存储方式,也可采用数据库方式等。 */ configure(AuthenticationManagerBuilder
手把手教你Spring Security Oauth2自定义授权模式
qq_36551991的博客
12-01 2626
Spring Security Oauth2自定义授权模式
OAuth2认证请求头中的authorization从哪里来的
houjx3的博客
11-23 416
Oauth2的登录接口oauth/token, 在请求头里有个 authorization: Basic
Spring Authorization Server 0.2.3变化
罗小爬的技术宝书
04-21 1776
Spring Authorization Server 0.2.3(2022-03-24)相关变化说明
Spring Security Oauth2 认证流程
山巅
09-16 4319
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
sping cloud gateway集成spring security实现前后端分离模式下的后端微服务认证授权
热门推荐
MongolianWolf的专栏
06-30 4万+
# 引言   由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程中走了很多弯路,所以特地写一篇spring cloud gateway和security的集成实践博客,如有错误,欢迎指正。 Spring Security  ...
SpringBoot 整合 Spring Security 、JWT 实现认证、权限控制
z1259678404的博客
02-16 1466
引入依赖包(gradle) maven 请自行转换 dependencies { compile group: 'io.jsonwebtoken', name: 'jjwt', version: '0.9.1' implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'org.springframework.boot:spring-boot-starte...
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6671
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
深入解析SpringSecurity OAuth2.0源码及其应用
接下来,让我们分析 Spring Security OAuth2.0 源码中可能涉及到的关键组件和类: 1. `AuthorizationServerConfigurerAdapter`:这是一个配置授权服务器的适配器类,它提供了一系列回调方法,允许开发者自定义授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值