Spring Security认证成功后回跳(解决前后端分离下OAuth2认证成功回跳)

最新推荐文章于 2024-04-26 14:29:13 发布
最新推荐文章于 2024-04-26 14:29:13 发布
阅读量3.5w 收藏 35
点赞数 5
分类专栏: spring scurity Spring Cloud Oauth2

前言

Spring Security(后面简称SS)用了很长时间了,但之前一直没注意到一个有趣的特性,直到最近弄前后端分离,在OAuth2提供者(github)认证后,需要跳回前端页面(前端页面和服务端不在同个域下),然后突然一般情况下(同域),SS认证后会自动跳回认证前用户想访问的资源。由此开始寻找这个magic。

OAuth2 的一个sso demo,有兴趣可以看一下

问题:SS是怎么在认证成功后自动跳转到认证前用户想访问的资源(url)?

原本我以为SS是跟SS OAuth的实现一样,通过在http报文里面传递这个url,但是看浏览器的报文内容,在认证过程中是没有传递过url的。而且在OAuth里面,OAuth2 provider这种第三方服务,不可能帮你传递这个参数,所以比较好的办法就是利用session,这也解释前后端分离情况下,SS不会(不能)帮我们跳回去前端页面

问题的切口:SavedRequestAwareAuthenticationSuccessHandler

之前我用SS经常接触到这个类,但是我只知道它作为认证成功的handler,在认证成功后会进行一个跳转操作。这里是部分源码

public class SavedRequestAwareAuthenticationSuccessHandler extends
        SimpleUrlAuthenticationSuccessHandler {
    protected final Log logger = LogFactory.getLog(this.getClass());

    private RequestCache requestCache = new HttpSessionRequestCache();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
            HttpServletResponse response, Authentication authentication)
            throws ServletException, IOException {
        //这里取出了一个request
        SavedRequest savedRequest = requestCache.getRequest(request, response);

        if (savedRequest == null) {
            super.onAuthenticationSuccess(request, response, authentication);

            return;
        }
        String targetUrlParameter = getTargetUrlParameter();
        if (isAlwaysUseDefaultTargetUrl()
                || (targetUrlParameter != null && StringUtils.hasText(request
                        .getParameter(targetUrlParameter)))) {
            requestCache.removeRequest(request, response);
            super.onAuthenticationSuccess(request, response, authentication);

            return;
        }

        clearAuthenticationAttributes(request);

        // Use the DefaultSavedRequest URL !!关键的一句!!
        String targetUrl = savedRequest.getRedirectUrl();
        logger.debug("Redirecting to DefaultSavedRequest Url: " + targetUrl);
        // 这里有一个很明显的跳转操作,追踪targetUrl怎么来的
        getRedirectStrategy().sendRedirect(request, response, targetUrl);
    }

    public void setRequestCache(RequestCache requestCache) {
        this.requestCache = requestCache;
    }
}

这里有一个很奇怪的属性——savedRequest,从上面就可以看到,它是来自requestCacherequestCache的类型是HttpSessionRequestCache。这里可以看到,第一行代码就从requestCachegetRequest方法中取出了savedRequest,看一下这个方法

public SavedRequest getRequest(HttpServletRequest currentRequest,
            HttpServletResponse response) {
        HttpSession session = currentRequest.getSession(false);

        if (session != null) {
            return (SavedRequest) session.getAttribute(SAVED_REQUEST);
        }

        return null;
    }

这里就印证了我们前面的猜测,的确是保存在session里面,那么SS什么时候放进去的?毕竟我想要前后端分离下OAuth2认证后跳回前端页面

很容易猜测是调用HttpSessionRequestCachesetRequest方法放进去,可以搜索,这里我是用上面的sso demo的日志找到ExceptionTranslationFiltersendStartAuthentication方法(把日志级别调到debug)

ExceptionTranslationFilter

ExceptionTranslationFilter源码里面注释的第一句话就说明了它的用处

Handles any AccessDeniedException and AuthenticationException
thrown within the filter chain.

这里也解释了各种认证filter诸如UsernamePasswordAuthenticationFilter为什么可以随便抛出AuthenticationException

protected void sendStartAuthentication(HttpServletRequest request,
            HttpServletResponse response, FilterChain chain,
            AuthenticationException reason) throws ServletException, IOException {
        // SEC-112: Clear the SecurityContextHolder's Authentication, as the
        // existing Authentication is no longer considered valid
        SecurityContextHolder.getContext().setAuthentication(null);
        requestCache.saveRequest(request, response);
        logger.debug("Calling Authentication entry point.");
        authenticationEntryPoint.commence(request, response, reason);
    }

到这里大概明白了SS怎么保存和跳转回认证前用户想访问的资源,总结一下。SS通过ExceptionTranslationFilter在认证开始前把request缓存到session中,当认证成功后,在SavedRequestAwareAuthenticationSuccessHandler里取出缓存的request,跳转回认证前用户想访问的url

解决前后端分离下OAuth2认证后跳回前端页面

理解了SS怎么处理认证成功自动跳转问题,解决前后端分离下OAuth2认证成功跳转就很容易了。这里先说一下前后端跨域下OAuth2认证的流程(OAuth2协议具体请自己谷歌,我也说不清楚)

oauth2.png

这个流程比同域OAuth2情况下少了一步,同域下第一步应该是访问一个受保护资源,然后才开始上面流程,所以我暂时的做法是

在/login接口处接受一个auth_url参数,表示认证成功后跳转到这个url,然后认证成功后取出这个url进行跳转

这样只需要修改两处地方

继承OAuth2ClientAuthenticationProcessingFilter

class MyOAuth2ClientAuthenticationProcessingFilter extends OAuth2ClientAuthenticationProcessingFilter{

        private RequestCache requestCache = new HttpSessionRequestCache();

        public MyOAuth2ClientAuthenticationProcessingFilter(String defaultFilterProcessesUrl) {
            super(defaultFilterProcessesUrl);
        }

        @Override
        public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
            requestCache.saveRequest(request, response);
            return super.attemptAuthentication(request, response);
        }
    }

重写这个filter的AuthenticationSuccessHandler

filter.setAuthenticationSuccessHandler((request, response, authentication) -> {
            String authUrl = request.getParameter("auth_url");
            response.sendRedirect(authUrl);
        });

这样就简单粗暴地实现了OAuth2下认证成功后可以自动跳转回认证前想访问的资源了。



作者:zerouwar
链接:https://www.jianshu.com/p/39f46c8de9c1
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

漫玥刚花
关注
  • 5
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
关于spring oauth2 登录成功跳转 performance-now.js.map解决方法
火星人专栏
05-11 1211
放几个阿里云的优惠链接 代金券 / 高性能服务器2折起 / 高性能服务器5折 在使用spring boot oauth2实现登录时,有时会出现登录成功跳转地址为 http://localhost:8080/performance-now.js.map 这样的情况。 使用fiddler进行抓包分析后情况如下图 发现在加载完登录后会自动发送一条 http://localhost...
laravel实现Auth认证,登录、注册后的回跳方法
10-16
今天小编就为大家分享一篇laravel实现Auth认证,登录、注册后的回跳方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
spring security oauth2 实现微信登陆(授权调域、前端重定向、微信解绑、获取用户信息中文乱码等相关问题解析)
SuperBins的博客
08-26 7637
OAuth 的核心 OAuth 的核心就是向第三方应用颁发令牌。OAuth提供了四种获取令牌的授权方式 授权码(authorization-code)、隐藏式(implicit)、密码式(password)、客户端凭证(client credentials)。 而微信登陆采用的是授权码模式。 背景 目前项目大多都是采用前后端分离模式开发。本文前端采用 vue ,后端采用spring boot + ...
ServerAuthenticationSuccessHandler这个类的onAuthenticationSuccess方法的作用是什么?
最新发布
weixin_40914952的博客
04-26 236
的实现中,它主要是用来添加一些自定义的HTTP头到响应中,这些头包含了用户的信息,如用户ID、用户名、用户类型和用户详细信息。在Spring Security的WebFlux环境中,认证过程是由一系列的过滤器(Filters)来处理的。这些过滤器构成了一个过滤器链,每个过滤器都有特定的职责。调用的,用于执行认证成功后的自定义逻辑,并且它是Spring Security的WebFlux支持中的一部分。方法中,可以执行一些自定义的逻辑,例如添加自定义的HTTP头、重定向到另一个面、更新用户的登录信息等。
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
oauth2 单点登录_前后端分离基于Oauth2的SSO单点登录怎样做?
weixin_39533795的博客
12-05 516
作者简介:陶陶老师10年后端工作经验,专注Java、SpringBoot、SpringCloud、分布式系统/微服务、中间件等领域。掘金专栏:zlt2000 的个人主 - 掘金一、说明单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼;本文主要介绍跨域间的 前后端分离 项目怎样实现单点登录,并且与 非前后端分离 的差异在那里?需要解决什么问...
oauth2.0 在登录面,输入一次错误的用户名和密码,即使下次输入正确的用户名和密码,也会跳转到/error面,而此时其实已经登录成功了。
fulq1234的专栏
05-23 5349
参考网站https://blog.csdn.net/biboheart/article/details/80666700 错误表现:在登录面,输入一次错误的用户名和密码,即使下次输入正确的用户名和密码,也会跳转到/error面,而此时其实已经登录成功了。 面没有任何报错。 首先要在application.properties文件里面配置 logging.level.org.spr...
SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
Blues的专栏
10-07 2113
OAuth2.0 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。客户端来申请资源资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。 具体的OAuth学习建议仔细研读阮一峰的教程, ...
eggjs-oAuth2-server:基于eggjs的oAuth2.0授权服务端,包含完整流程实例
02-03
oAuthCenter OAuth授权服务器的nod​​ejs基于eggjs实现 快速开始 有关更多详细信息,请参见 。 发展历程 $ npm i $ npm run dev ...部署 $ npm start ...最后是授权成功回跳来重新指定指定的替代地址:
asp.net 回跳实现代码
10-29
今天做登录时,遇到点小问题,在网上找了一下,没看到源码案例,不过还是花了一点时间调试通过了在此记录一下,备忘。
基于回跳层数的SAT求解器学习子句删除策略
04-30
针对此问题,提出了一种利用冲突回跳层数(back-jump levels)的评估方式来保留LBD值较大的有用学习子句。以CDCL(conflict driven clause learning)完备算法为框架,在子句删除环节形成了BJL删除算法。通过测试...
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
springCloud-分享版-基于Spring Cloud、OAuth2.0的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动
08-06
springCloud-分享版: 基于Spring Cloud、OAuth2.0的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录 基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的RBAC权限管理系统 提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持 提供 lambda 、stream api 、webflux 的生产实践 Spring Boot 2.3.0.RELEASE Spring Cloud Hoxton.SR4 Spring Security OAuth2 2.3.6 Mybatis Plus 3.3.1 hutool 5.3.5 Avue 2.5.2
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
qjyn1314的博客
11-08 8009
前后端分离Oauth2.0实践-授权码模式
记录Spring Security OAuth2.0认证授权7:前后端代码分离
m0_54983229的博客
01-29 1250
一、jwt令牌在网关处的过期时间校验 二、refresh-token接口缺少用户信息 三、新建business-server模块作为web容器 四、前后端分离 1、关闭认证服务表单登录 2、前后端代码 五、测试 六、源代码地址 历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OAuth2.0认证授权三:使用JWT令牌 Spring Security OAuth2
SpringSecurityOauth2实现前后端分离token服务,app登录
一点光辉的博客
02-09 6405
图解认证服务器和资源服务器 用户通过认证服务器获取token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
前后端分离项目 — 基于SpringSecurity OAuth2.0用户认证
a595077052的专栏
08-10 3377
1、前言 现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单面应用流行起来后,情况更甚。为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,不同以往的基于Session用户认证,基于Token的用户认证是目前主流选择方案(至于什么是Token认证,网上有相关的资料,大家可以看看),而且基于Java的两大认证框架有Apache Shiro和SpringS
Spring Security 实战干货:OAuth2授权调的处理机制
码农小胖哥
11-13 2202
1. 前言上一文着重讲了当用户发起第三方授权请求是如何初始化OAuth2AuthorizationRequest授权请求对象以及如何通过过滤器进行转发到第三方的。今天我们接着这个流程往下...
spring security oauth2_SpringBootSecurity学习(15)前后端分离版之 OAuth2.0简单示例
weixin_39821604的博客
11-26 407
OAuth2.0OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。客户端来申请资源资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。也就是说,OAuth 的核心就是向第三方应用颁发令牌。而且,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。具体的OAuth学习建议仔细研读阮一峰的教程,http...
vue3 sortablejs拖拽后重新赋值出现回跳问题
03-29
问题描述: 使用Vue3和Sortable.js实现拖拽排序功能,拖拽排序后重新赋值给原数组,出现回跳问题,即拖拽的元素会到原来的位置。 原因分析: 这是因为拖拽排序后,Sortable.js会将原数组的顺序重新排列,而Vue.js对数组的响应式更新是通过监测数组的变异方法(如push、pop、shift、unshift、splice、sort、reverse等)来实现的,而Sortable.js并没有调用这些变异方法,所以Vue.js并没有检测到数组的变化,从而导致回跳问题。 解决方法: 一种解决方法是手动调用Vue.js的数组变异方法,来更新数组的顺序。具体实现方法如下: 1. 在Vue组件中引入Sortable.js库。 ```javascript import Sortable from 'sortablejs' ``` 2. 在组件的mounted生命周期钩子中初始化Sortable.js实例,并传入需要排序的元素和配置项。 ```javascript mounted() { this.$nextTick(() => { this.sortable = new Sortable(this.$refs.list, { onEnd: this.sortHandler }) }) } ``` 其中,onEnd是Sortable.js的一个调函数,当拖拽结束后会自动调用该函数。 3. 实现sortHandler方法,该方法会在拖拽结束后自动调用,用来更新数组的顺序。 ```javascript sortHandler(event) { const { newIndex, oldIndex } = event const item = this.list.splice(oldIndex, 1)[0] this.list.splice(newIndex, 0, item) } ``` 其中,newIndex和oldIndex分别表示拖拽结束时元素的新索引和旧索引。通过splice方法,将拖拽的元素从旧索引位置删除,再将其插入到新索引位置即可。 4. 在组件的beforeUnmount生命周期钩子中,销毁Sortable.js实例。 ```javascript beforeUnmount() { this.sortable.destroy() } ``` 完整代码示例: ```javascript <template> <div ref="list"> <div v-for="(item, index) in list" :key="item.id"> {{ item.text }} </div> </div> </template> <script> import Sortable from 'sortablejs' export default { data() { return { list: [ { id: 1, text: 'Item 1' }, { id: 2, text: 'Item 2' }, { id: 3, text: 'Item 3' }, { id: 4, text: 'Item 4' }, { id: 5, text: 'Item 5' } ], sortable: null } }, mounted() { this.$nextTick(() => { this.sortable = new Sortable(this.$refs.list, { onEnd: this.sortHandler }) }) }, beforeUnmount() { this.sortable.destroy() }, methods: { sortHandler(event) { const { newIndex, oldIndex } = event const item = this.list.splice(oldIndex, 1)[0] this.list.splice(newIndex, 0, item) } } } </script> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值