Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)

最新推荐文章于 2024-06-14 14:16:51 发布
最新推荐文章于 2024-06-14 14:16:51 发布
阅读量1.6w 收藏 56
点赞数 9
分类专栏: Spring Cloud Oauth2 SpringCloud

1.本文介绍的认证流程范围

本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。

2.认证会用到的相关请求

注:所有请求均为post请求。

  • 获取access_token请求(/oauth/token) 
    请求所需参数:client_id、client_secret、grant_type、username、password
<span style="color:#000000"><code><span style="color:#000088">http</span>://localhost/oauth/<span style="color:#000088">token</span>?client_id=demoClientId&client_secret=demoClientSecret&grant_type=password&username=demoUser&password=<span style="color:#006666">50575</span>tyL86xp29O380t1</code></span>
  • 1
  • 检查头肯是否有效请求(/oauth/check_token) 
    请求所需参数:token
<span style="color:#000000"><code><span style="color:#000088">http</span>://localhost/oauth/check_token?<span style="color:#000088">token</span>=f57ce129-<span style="color:#006666">2</span>d4d-<span style="color:#006666">4</span>bd7-<span style="color:#006666">1111</span>-f31ccc69d4d1</code></span>
  • 1
  • 刷新token请求(/oauth/token) 
    请求所需参数:grant_type、refresh_token、client_id、client_secret 
    其中grant_type为固定值:grant_type=refresh_token
<span style="color:#000000"><code>http://localhost/oauth/token?grant_<span style="color:#4f4f4f">type</span>=refresh_token&refresh_token=fbde81ee-f419-<span style="color:#006666">42</span>b1-<span style="color:#006666">1234</span>-<span style="color:#006666">9191</span>f1f95be9&client_id=demoClientId&client_secret=demoClientSecret</code></span>
  • 1

2.认证核心流程

注:文中介绍的认证服务器端token存储在Reids,用户信息存储使用数据库,文中会包含相关的部分代码。

2.1.获取token的主要流程:

加粗内容为每一步的重点,不想细看的可以只看加粗内容:

  1. 用户发起获取token的请求。
  2. 过滤器会验证path是否是认证的请求/oauth/token,如果为false,则直接返回没有后续操作。
  3. 过滤器通过clientId查询生成一个Authentication对象
  4. 然后会通过username和生成的Authentication对象生成一个UserDetails对象,并检查用户是否存在。
  5. 以上全部通过会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。
  6. postAccessToken方法中会验证Scope,然后验证是否是refreshToken请求等。
  7. 之后调用AbstractTokenGranter中的grant方法。
  8. grant方法中调用AbstractUserDetailsAuthenticationProvider的authenticate方法,通过username和Authentication对象来检索用户是否存在
  9. 然后通过DefaultTokenServices类从tokenStore中获取OAuth2AccessToken对象
  10. 然后将OAuth2AccessToken对象包装进响应流返回

2.2.刷新token(refresh token)的流程

刷新token(refresh token)的流程与获取token的流程只有⑨有所区别:

  • 获取token调用的是AbstractTokenGranter中的getAccessToken方法,然后调用tokenStore中的getAccessToken方法获取token。
  • 刷新token调用的是RefreshTokenGranter中的getAccessToken方法,然后使用tokenStore中的refreshAccessToken方法获取token。

2.3.tokenStore的特点

tokenStore通常情况为自定义实现,一般放置在缓存或者数据库中。此处可以利用自定义tokenStore来实现多种需求,如:

  • 同已用户每次获取token,获取到的都是同一个token,只有token失效后才会获取新token。
  • 同一用户每次获取token都生成一个完成周期的token并且保证每次生成的token都能够使用(多点登录)。
  • 同一用户每次获取token都保证只有最后一个token能够使用,之前的token都设为无效(单点token)。

3.获取token的详细流程(代码截图)

3.1.代码截图梳理流程

1.一个比较重要的过滤器 
这里写图片描述
2.此处是①中的attemptAuthentication方法 
这里写图片描述
3.此处是②中调用的authenticate方法 
这里写图片描述
4.此处是③中调用的AbstractUserDetailsAuthenticationProvider类的authenticate方法 
这里写图片描述
5.此处是④中调用的DaoAuthenticationProvider类的retrieveUser方法 
这里写图片描述
6.此处为⑤中调用的ClientDetailsUserDetailsService类的loadUserByUsername方法,执行完后接着返回执行④之后的方法 
这里写图片描述
7.此处为④中调用的DaoAuthenticationProvider类的additionalAuthenticationChecks方法,此处执行完则主要过滤器执行完毕,后续会进入/oauth/token映射的方法。 
这里写图片描述
8.此处进入/oauth/token映射的TokenEndpoint类的postAccessToken方法 
这里写图片描述
9.此处为⑧中调用的AbstractTokenGranter类的grant方法 
这里写图片描述
10.此处为⑨中调用的ResourceOwnerPasswordTokenGranter类中的getOAuth2Authentication方法 
这里写图片描述
11.此处为⑩中调用的自定义的CustomUserAuthenticationProvider类中的authenticate方法,此处校验用户密码是否正确,此处执行完则返回⑨执行后续方法。 
这里写图片描述
12.此处为⑨中调用的DefaultTokenServices中的createAccessToken方法 
这里写图片描述
13.此处为12中调用的RedisTokenStore中的getAccessToken方法等,此处执行完,则一直向上返回到⑧中执行后续方法。 
这里写图片描述
14.此处为⑧中获取到token后需要包装返回流操作 
这里写图片描述

3.2.示例中spring-security.xml的部分配置

<span style="color:#000000"><code class="language-xml"><span style="color:#880000"><!-- 认证地址 --></span>
<span style="color:#006666"><<span style="color:#4f4f4f">sec:http</span> <span style="color:#4f4f4f">pattern</span>=<span style="color:#009900">"/oauth/token"</span> <span style="color:#4f4f4f">create-session</span>=<span style="color:#009900">"stateless"</span>
              <span style="color:#4f4f4f">authentication-manager-ref</span>=<span style="color:#009900">"authenticationManager"</span> ></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:intercept-url</span> <span style="color:#4f4f4f">pattern</span>=<span style="color:#009900">"/oauth/token"</span> <span style="color:#4f4f4f">access</span>=<span style="color:#009900">"IS_AUTHENTICATED_FULLY"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:anonymous</span> <span style="color:#4f4f4f">enabled</span>=<span style="color:#009900">"false"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:http-basic</span> <span style="color:#4f4f4f">entry-point-ref</span>=<span style="color:#009900">"clientAuthenticationEntryPoint"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:custom-filter</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"clientCredentialsTokenEndpointFilter"</span> <span style="color:#4f4f4f">before</span>=<span style="color:#009900">"BASIC_AUTH_FILTER"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:access-denied-handler</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"oauthAccessDeniedHandler"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">sec:http</span>></span>

<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"clientAuthenticationEntryPoint"</span>
          <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"realmName"</span> <span style="color:#4f4f4f">value</span>=<span style="color:#009900">"springsec/client"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"typeName"</span> <span style="color:#4f4f4f">value</span>=<span style="color:#009900">"Basic"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>

<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"clientCredentialsTokenEndpointFilter"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"authenticationManager"</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"authenticationManager"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>

<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"oauthAccessDeniedHandler"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler"</span>></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>


<span style="color:#880000"><!-- 认证管理器--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">sec:authentication-manager</span> <span style="color:#4f4f4f">alias</span>=<span style="color:#009900">"authenticationManager"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:authentication-provider</span> <span style="color:#4f4f4f">user-service-ref</span>=<span style="color:#009900">"clientDetailsUserService"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">sec:authentication-manager</span>></span>

<span style="color:#880000"><!-- 注入自定义clientDetails--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"clientDetailsUserService"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">constructor-arg</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"clientDetails"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>

<span style="color:#880000"><!-- 自定义clientDetails--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"clientDetails"</span> <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"com.xxx.core.framework.oauth.CustomClientDetailsServiceImpl"</span>></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>
<span style="color:#880000"><!-- 注入自定义provider--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">sec:authentication-manager</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"userAuthenticationManager"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">sec:authentication-provider</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"customUserAuthenticationProvider"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">sec:authentication-manager</span>></span>
<span style="color:#880000"><!--自定义用户认证provider--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"customUserAuthenticationProvider"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"com.xxx.core.framework.oauth.CustomUserAuthenticationProvider"</span>></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>

<span style="color:#006666"><<span style="color:#4f4f4f">oauth:authorization-server
</span>        <span style="color:#4f4f4f">client-details-service-ref</span>=<span style="color:#009900">"clientDetails"</span> <span style="color:#4f4f4f">token-services-ref</span>=<span style="color:#009900">"tokenServices"</span> <span style="color:#4f4f4f">check-token-enabled</span>=<span style="color:#009900">"true"</span> ></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">oauth:authorization-code</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">oauth:implicit</span>/></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">oauth:refresh-token</span>/></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">oauth:client-credentials</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">oauth:password</span> <span style="color:#4f4f4f">authentication-manager-ref</span>=<span style="color:#009900">"userAuthenticationManager"</span>/></span>
<span style="color:#006666"></<span style="color:#4f4f4f">oauth:authorization-server</span>></span>

<span style="color:#880000"><!-- 自定义tokenStore--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"tokenStore"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"com.xxx.core.framework.oauth.RedisTokenStore"</span> /></span>

<span style="color:#880000"><!-- 设置access_token有效期,设置支持refresh_token,refresh_token有效期默认为30天--></span>
<span style="color:#006666"><<span style="color:#4f4f4f">bean</span> <span style="color:#4f4f4f">id</span>=<span style="color:#009900">"tokenServices"</span>
      <span style="color:#4f4f4f">class</span>=<span style="color:#009900">"org.springframework.security.oauth2.provider.token.DefaultTokenServices"</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"tokenStore"</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"tokenStore"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"supportRefreshToken"</span> <span style="color:#4f4f4f">value</span>=<span style="color:#009900">"true"</span> /></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"accessTokenValiditySeconds"</span> <span style="color:#4f4f4f">value</span>=<span style="color:#009900">"43200"</span>></span><span style="color:#006666"></<span style="color:#4f4f4f">property</span>></span>
    <span style="color:#006666"><<span style="color:#4f4f4f">property</span> <span style="color:#4f4f4f">name</span>=<span style="color:#009900">"clientDetailsService"</span> <span style="color:#4f4f4f">ref</span>=<span style="color:#009900">"clientDetails"</span> /></span>
<span style="color:#006666"></<span style="color:#4f4f4f">bean</span>></span>
</code></span>

4.总结

本文中的流程能够结果的问题:

  • 需要自定义修改获取到的token
  • token单点问题
  • 使用refresh_token的情况
漫玥刚花
关注
  • 9
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Spring 核心方法 refresh 刷新流程简要概述及相关源码扩展实现(一)
vnjohn 博主 > 主线分享后端领域业务设计知识、源码思想、架构设计
02-04 2781
refresh(prepareRefresh、obtainFreshBeanFactory、prepareBeanFactory、postProcessBeanFactory、invokeBeanFactoryPostProcessors)核心方法分析,文章内容有点长,可以分目录节点进行阅读,比较想深入理解的方法可以点击文章目录入口.
SpringOauth2.0源码分析之获取access_token(四)
有信仰的蜗牛
10-25 7302
1.概述 前面三个章节叙述了用户名密码认证方式中客户端用户名密码认证细节。 SpringOauth2.0源码分析之认证流程分析(一) SpringOauth2.0源码分析之 ProviderManager(二) SpringOauth2.0源码分析之客户端认证(三) 本章节主要深入分析access_token的实现细节。整个流程实现细节如下: 整个流程中主要核心分为三大块: 用户的用户名密...
基于springSecurity的双token机制(accesToken,refreshToken)以及如何刷新token
最新发布
AllenLuoYi的博客
06-14 811
核心功能概要: 通过加密算法创建一个用户:1.代码整体结构: 2.所需依赖: 3.UserDetailServiceImpl拦截用户登陆:4.所需工具类4.1ApplicationContextUtils: 4.2JwtUtils:4.3ResponseResult4.4ResponseStatus4.5RsaUtils:4.6.SecurityContextUtil5.SecurityConfig:6.LoginSuccessHandler登陆成功处理器:7.RequestAuthenticationFi
Spring Security Oauth2之获取token流程分析
clyu的博客
01-10 7313
前言 本文主要研究Spring Security Oauth2 token获取流程token获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token获取,废话不多说,先上一张核心源码流程图! TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口 ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 5540
使用oauth2生成 token流程+续命
最简单方式来改变OAuth2 生成access_token返回值
youyangrensheng的博客
07-29 2186
通过AOP切面来改变OAuth2 生成access_token返回值格式 @Component @Aspect public class AuthTokenAspect { /// @Around注解 改变controller返回值的 @Around("execution(* org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.postAccessToken(..))") public Objec.
spring security ouath2获取token(认证)流程图.pdf
08-26
在这个流程中,我们主要关注的是使用`password`方式获取OAuth2的访问令牌(token)。下面将详细解释这个过程。 首先,客户端发起一个POST请求到 `/oauth/token`,并携带参数`grant_type=password`。这表明客户端...
Spring Security OAuth2 token权限隔离实例解析
08-25
Spring Security OAuth2框架中,权限隔离是一种重要的安全机制,它确保了不同类型的token(如授权码模式、密码模式和Client模式)具有不同的权限范围,防止了混淆和潜在的安全风险。在本文中,我们将深入探讨如何...
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring SecurityOAuth2,以实现基于password模式认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的...
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
spring-boot集成spring-securityoauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring SecurityOAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
热门推荐
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
Springsecurity普通登录认证OAuth2产生token认证流程
join_null的博客
08-10 5722
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用...
一个接口优雅的实现 Spring Cloud OAuth2 自定义token返回格式
java_beautiful的博客
06-22 1659
今天这篇文章就来回答其中一个问题:如何自定义token的返回格式?
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2312
OAuth2根据授权码获取Token
SpringSecurity(九)从请求对象获取登录数据
陈橙橙
03-13 2139
上两篇我们主要讨论了一下从SecurityContextHolder中获取数据以及他的原理,这里我们来看一下第二种方法获取请登录数据,从当前请求种对象种获取。 从请求对象中获取 我们首先来看一下获取登录数据的代码,如下: @GetMapping("/authentication") public void authentication(Authentication authentication){ System.out.println("authentication = "+ a.
SpringBoot、Spring-security、WebSocket整合,WebSocket带token加入Spring-security认证机制
qq_37470526的博客
08-06 5905
背景 项目里边有个模块首页会显示一些汇总信息,有部分信息需要进行实时更新,因此想到使用WebSocket进行长连接,进入后便链接后台,然后后台根据需求(定时、数据有更新)给前台反馈数据,从而达到一次链接,一直通信的功能。避免了前端轮询调用带来的资源消耗。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、
oauth2 access_denied 不允许访问_OAuth2.0系列之客户端模式实践教程(五)
weixin_39590989的博客
12-10 2066
OAuth2.0系列之客户端模式实践教程(五)1、客户端模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践...
springboot整合springsecurity+oauth2.0实现token认证
07-08
关于Spring Boot整合Spring SecurityOAuth2.0实现token认证,你可以按照以下步骤进行操作: 1. 添加依赖:在你的Spring Boot项目的pom.xml文件中,添加Spring SecurityOAuth2.0相关的依赖。 ```xml <!-- ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值