SpringSecurity基于OAuth2协议实现第三方登录源码剖析

最新推荐文章于 2023-06-23 17:49:53 发布
最新推荐文章于 2023-06-23 17:49:53 发布
阅读量977 收藏
点赞数 3
分类专栏: SpringSecurity 文章标签: java spring spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drama_CJL/article/details/104385312
版权

1. 基础介绍

1.1 应用场景

  1. 目前互联网系统应用登录方式除了常规的账号密码登录、手机验证码登录方式之外,通过第三方平台进行认证登录的情景也逐渐成为主流的登录方式;
  2. 在国内通过第三方登录主流的平台有QQ、微信、微博等;

1.2 OAuth2.0协议

  1. 一句话解释:OAuth2.0是目前主流的授权机制,用来授权第三方应用,目的是从第三方获取用户数据。

  2. OAuth2.0 与 1.0 的区别:国外系统用得比较多的还是OAuth1.0,国内因为这种授权机制普及的时间比较晚,所以国内主流用的还是OAuth2.0;(本文不细剖协议內部细节)

  3. OAuth认证流程中涉及的主体对象:

    1. User: 用户
    2. 第三方Client:即我们自己开发的系统
    3. 服务提供商Provider:
      1. 认证服务器(Authentication Server):与第三方应用交互,完成授权认证流程
      2. 资源服务器(Resources Server):存放用户数据

    在这里插入图片描述

  4. 用户授权方式:

    1. **授权码模式:**最普遍的授权模式
      1. 将用户授权导向认证服务器
      2. 用户告诉认证服务器同意授权
      3. 认证服务器返回client并携带授权码
      4. 功能最完整,流程最严密
    2. 密码模式
    3. 客户端模式
    4. 简化模式
      1. 在授权码模式中返回会的授权码直接变为令牌
      2. 直接将令牌返回到第三方的浏览器中,这种第三方通常没有服务器;
        在这里插入图片描述

2. 第三方认证流程框架流程

2.1 自定义实现涉及的核心组件

  1. Connection:存放从服务提供商获取的用户信息;
  2. UserConnection:可以简单理解为一张数据库表,维护第三方系统的用户信息与服务提供商用户信息的关联关系
  3. UserConnectionRepository:负责对UserConnection表进行增删改查,以维护用户关系;这个例子用到的是JdbcUserConnectionRepository的具体实现;
  4. ConnectionFactory:负责授权认证流程,最终创建Connection;并且由两个部分组成
    1. ServiceProvider
      1. OAuth2Operations: 负责完成封装授权的参数,并带着授权码去申请令牌的过程
      2. Api:负责向服务提供商获取用户信息
    2. ApiAdapter:负责将从服务提供商获取的信息放入ConnectionValues中,将被拿去封装成connection;

在这里插入图片描述

2.2 源码执行过程梳理

  1. 用户通过第三方client登录页面点击QQ登录,访问登录链接,如/qqLogin/qq;这条链接由两部分组成:
    1. 第一部分/qqLogin:通过配置SocialAuthenticationFilter中的filterProcessesUrl`属性
    2. 第二部分qq: 通过配置OAuth2ConnectionFactory中的providerId属性
  2. 用户点击该路径发起请求后,将经过SocialAuthenticationFilter,该过滤器的doFilter方法将根据requiresAuthentication方法判断该链接是否符合要求;即是否以filterProcessesUrl为开头,并且是否能够在authServiceLocator中加载到对应的ProviderId;
  3. 接着过滤器准备加载该providerId对应的SocialAuthenticationService;
    1. SocialAuthenticationService初始化的时候会通过SocialAuthenticationServiceRegistry注册器进行注册
    2. 在注册器中有一个以providerId作为key,SocialAuthenticationService作为值的Map来管理认证服务;
  4. 过滤器在拿到对应的SocialAuthenticationService后将执行其getAuthToken以获得认证后的SocialAuthenticaionToken;
  5. getAuthToken是一个重要的方法,这里面完成了授权码的获取以及令牌的申请过程;(即完成授权码模式认证流程第2、4、5、6步)
  6. 将用户请求导向认证服务器并获得授权码的过程是通过捕获重定向异常,在请求中没有获得code值则抛出重定向异常,从处理异常过程中来请求获取授权码;(即完成授权码模式认证流程第2步)
  7. 授权请求后,服务提供商将通过我们创建应用时填写的回调地址返回给我们的应用,继续被SocialAuthenticationFilter拦截,回到getAuthToken方法中;
  8. 第一次进入getAuthToken的请求参数中是没有携带code(即授权码),第二次进入的时候才携带了code;
  9. 因此在第一次进入的时候就会抛出一个携带authorizeUrl的异常,SocialAuthenticationFailureHandler登录失败处理器则会将该异常进行捕获,并根据异常携带的链接进行重定向,向认证服务器请求授权码;
  10. 第二次进入getAuthToken的时候则是通过认证服务器调用创建应用时配置的回调地址发起的的,此时请求中已经携带了授权码,进入令牌申请阶段;(即完成授权码模式流程第4步)
  11. getAuthToken中通过getConnectionFactory().getOAuthOperations()拿到OAuth2Template,执行exchangeForAccess封装申请令牌请求所需要的参数,并通过调用postForAccessGrant方法发起令牌申请并处理响应结果;(即完成授权码模式第5,6步)
  12. 此时返回的结果已经可以拿到access_token了,即最终的令牌;将该令牌进行封装,并通过ConnectionFaccorycreateConnection方法构建connection,并封装到SocialAuthenticationToken中;(即组件执行流程第3、4步)
  13. 拿到SocialAuthenticaionToken之后则走类似用户认证一样的流程,通过ProviderManager找到能够support匹配的provider;SocialAuthenticaionToken对应的Provider即SocialAuthenticationProvider; (即组件执行流程第5、6步)
  14. 通过Provider的authenticate方法调用usersConnectionRepository去数据库查出与之关联的用户ID;(即组件执行流程第7、8步)
  15. 找到用户ID后则去调用实现了SocialUserDetailService的类,执行loadUserByUserId()方法,获得用户信息;(即组件执行流程第9步)

在这里插入图片描述

2.3 无法获得用户UserConnection对应关系如何处理?

2.3.1 配置注册页面

  1. 如果UsersConnectionRepository查找数据库找不到对应的userId,则会抛出BadCredentialsException异常

  2. 抛出BadCredentialsException,该异常判断如果signUp注册页面路径不为空时则抛出跳转异常,跳转到用户配置的注册页面;

  3. 编写自定义注册页面,并通过SpringSocialConfigure配置注册页面路径;

@Bean
public SpringSocialConfigurer systemSpringSocialConfigurer() {
    String filterProcessesUrl = systemSecurityProperties.getSocial().getFilterProcessesUrl();
    SystemSpringSocialConfigurer configurer = new SystemSpringSocialConfigurer(filterProcessesUrl);
    //配置注册页面
    configurer.signupUrl("signIn.html");
    return configurer;
}

  1. 在页面上拿到授权用户信息:

    1. 编写控制器,通过Connection<?> connection = providerSignInUtils.getConnectionFromSession(new ServletWebRequest(request));,从request中拿到Connection信息;自行进行封装并返回给页面;
    2. 这个用户认证信息(Connection)什么时候放入request中的? 在执行跳转注册页面的异常之前,将用户认证数据放入了request中;

  2. 在注册接口中获得授权获得的信息并进行绑定操作:

    1. 在用户注册接口中进行业务逻辑编写,在保存完本系统的用户信息后返回一个唯一标识
    2. 通过ProviderSignInUtil工具类将该唯一标识与openId进行绑定
    3. providerSignInUtils.doPostSignUp("userId",new ServletWebRequest(request));
    4. 记得将用户注册接口放行
2.3.2 无需注册用户(自动绑定)
  1. SocialAuthenticationProvider中会调用usersConnectionRepository去数据库查找关联信息
  2. 当查询用户的信息为空时,还会根据另一个参数(ConnectionSignUp)是否为空去判断是否跳转到注册页面;
  3. 如果不想用户显式地去注册地话,可以通过在UsersConnectionRepository中配置实现了ConnectionSignUp的对象
  4. ConnectionSignUp在这个地方可以自己实现接口,基于社交用户信息编写用户创建逻辑
@Component
public class SystemConnectionSignUp implements ConnectionSignUp {
    @Override
    public String execute(Connection<?> connection) {
        //根据社交用户信息创建用户,并返回用户唯一标识
        //DEMO 
        return "id";//
    }
}
  1. 记得在UsersConnectionRepository中进行配置
drama_CJL
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
15 Spring Security OAuth2登录(三方登录
Markix的博客
10-28 2710
OAuth2可以用来实现 OAuth2登录(三方登录)。在OAuth2登录的场景中,用户信息则是"资"! Spring Security 实现OAuth2登录功能。实现原理是:Client获取用户授权,得到令牌,通过令牌,获取用户信息(资)。再在本地构建用户登录认证信息,维持用户会话状态,以此达到登录的目的。
spring security oauth2.0搭建用户认证服务(四) - 实现第三方登录
u013911102的博客
09-14 2990
项目场景: 前面有说到登录的方式有用户名密码和手机验证码登录,最常用的还有第三方登录。第三方登录其实oauth已经有了很好的集成。 技术详解: 第三方登录的话,其实也是利用了oauth的相关思想。这里就已微信登录为例吧 从上面的流程图就可以看出,这其实就是oauth2的授权码模式,流程如下: 1.第三方应用请求登录,获取code 2.微信端返回code到回调地址 3.第三方应用根据code,获取token 4.第三方应用根据token获取用户信息 APP之前的第三方登录,是前端获取到了
基于SpringSecurity OAuth2实现单点登录——集成Github实现第三方账户登录
向心行者
09-25 2400
1、前言   在《SpringSecurity系列 之 集成第三方登录》中,我们基于SpringSecurity实现了集成的用户名密码、短信验证码和Github三种登录方式,其中,基于Github实现登录,其实已经在SpringSecurity Oauth2中提供了一套实现流程,而且可以通过简单的配置就完成,我们下面尝试使用基于Oauth2的方式来实现Github的登录。 2、Github账户配置   在使用Github实现登录的时候,首先需要在Github账户进行OAuth配置,和《SpringSecu
Spring Security Oauth2认证码解析
alan_liuyue的博客
08-17 2358
本文开始从码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较多的码,非关键性代码以…代替。 准备工作 首先开启debug信息: logging: level: org.springframework: DEBUG 可以完整的看到内部的运转流程。 client模式稍微简单一些,使用client模式获取tokenhttp://localhost:808...
基于 Oauth2 搭建微服务 API 开放平台第 1 篇 —— 了解 Oauth2
流放深圳
06-06 1417
OK,根据系列博客我们已经学习了互联网的基本安全架构:https://blog.csdn.net/biandanloveyou/category_11074285.html 接下来,我们开始搭建基于 Oauth2 的 API 开放平台。 什么是 API 开放平台? 在一些大型互联网公司,随着公司的业务发展逐渐庞大,需要和外部合伙伙伴进行合作,需要将公司的接口开放给外部其他合伙伙伴进行调用。 比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2集成短信验证码登录以及第三方登录 Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方登录系统的解决方案。 Spring Security是一个强大的安全框架,它为Java和Java EE应用程序提供了全面的...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 便是基于 OAuth2 协议实现,提供了丰富的身份验证机制和授权机制。 在 Spring Security OAuth2 中,TokenEndpoint 是一个关键组件,负责处理客户端的授权请求。TokenEndpoint 通过调用 ...
搭建基于OAuth2和SSO的开放平台
dengchen2166的博客
09-08 431
搭建基于OAuth2和SSO的开放平台 原创文章,转载或摘录请说明文章来:http://heartlifes.com 开放平台介绍 什么是开放平台 开放平台在百科中的定义: 开放平台(Open Platform) 在软件行业和网络中,开放平台是指软件系统通过公开其应用程序编程接口(API)或函数(function)来使外部的程序可以增加该软件系统的功能或使用该软件系统的资,而不需要更...
【深入浅出 Spring Security(十二)】使用第三方(Github)授权登录
最新发布
qq_63691275的博客
06-23 3198
这里的Github授权登录,就是使用的OAuth2权限模式中的授权码模式。过程即通过向Github进行授权,授权成功的话会返回一个授权码,后端通过授权码可以去向Github申请Access-Token,通过这个Token,即可读取一些Github的用户资,观察到获取的用户信息里只有ROLE_USER,即user角色,所以说是获取Github上的用户的一些信息资
Spring Security OAuth2——自定义OAuth2第三方登录(Gitee)
无限迭代中......
03-16 2297
官方文档 https://docs.spring.io/spring-security/site/docs/current/reference/html5/#oauth2login-custom-provider-properties GiteeOAuth2 文档 https://gitee.com/api/v5/oauth_doc#/ 解决方案 application.yml spring: # Security Config security: oauth2: .
Spring Security OAuth2 第三方登录(一)之流程说明
weixin_42074868的博客
01-03 3918
SpringBoot第三方登录流程 public class OAuth2AuthenticationService&amp;amp;amp;lt;S&amp;amp;amp;gt; extends AbstractSocialAuthenticationService&amp;amp;amp;lt;S&amp;amp;amp;gt; { public SocialAuthenticationToken getAuthToken(HttpServletReques
SpringSecurity+Oauth+短信登录+第三方登录认证+Session管理
zouyang920的博客
02-10 1661
添加链接描述
Spring Security OAuth2——自定义OAuth2第三方登录(Gitee)并与UsernamePassword登录关联解决方案
无限迭代中......
03-16 1550
前文:Spring Security OAuth2——自定义OAuth2第三方登录(Gitee) Maven 主要 <!--Spring Security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security&lt.
SpringSecurity OAuth2 自定义授权 微信小程序登录
走在编程之路.....
06-18 8018
结合网络上的方法,主要有两种方式,一种是采用Filter,一种是采用自定义授权,目前我实现的方式是采用的是“自定义授权”的方式实现微信小程序登录验证。
Spring Security Oauth 2.0第三方授权认证
XYZ
08-21 2432
在开始之前,首先介绍一下认证和授权。 身份认证 用户访问系统资时,系统要求验证用户的身份信息,身份合法则方可继续访问。常见的用户身份认证的表现形式有: 用户名密码登陆 指纹打卡 用户授权 用户认证通过后去访问系统的资,系统会判断当前用户是否拥有访问资的权限,只允许访问有权限的资,没有权限的资无法访问。 1. 单点登陆 单点登陆是指用户在一个系统中登陆之后,就可以访问所有相互信任的应用系统。分布式系统要实现单点登陆,通常是将认证系统独立 抽取出来。 2. Oauth 2.0 OAuth(开放授
spring-security-oauth2(十三 ) 微信登录
codeing-tiger
01-10 9791
微信登陆和QQ登陆大致流程一致,只是有些api不一样,主要是QQ的getUserInfo微信多了一个参数openId。这是因为微信互联文档中在OAuth2.0的认证流程示意图第五步时,微信的openid 同access_token一起返回。而Spring Social获取access_token的类AccessGrant.java中没有openid 微信暂时没有申请测试账户,先上代码后续网站备案...
spring security oauth2第三方登录实验
03-22
可以使用Spring Security OAuth2来实现第三方登录,具体步骤如下: 1. 添加依赖 在pom.xml中添加以下依赖: ``` <groupId>org.springframework.security.oauth <artifactId>spring-security-oauth2 <version>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值