Spring Security Oauth2 Token 提取流程源码分析

最新推荐文章于 2022-12-06 10:02:13 发布
最新推荐文章于 2022-12-06 10:02:13 发布
阅读量342 收藏 1
点赞数
分类专栏: Spring Java 文章标签: spring cloud spring security oauth2 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdfg159/article/details/115342685
版权

Spring Security Oauth2 Token 提取流程源码分析

问题

Spring Security Oauth2 请求 提取 Token 方式

  • 请求头携带token
  • url参数携带token
  • 请求form表单

源码

spring-security-Oauth2 版本: 2.3.4.RELEASE

配置

  • 访问受保护的资源需要携带token访问,所以资源服务器都会写一个相应的安全配置类
  • 配置适配器类都是继承 ResourceServerConfigurerAdapter,配合使用@EnableResourceServer启用相应资源服务器配置,内部关联了ResourceServerSecurityConfigurerHttpSecurity

资源安全配置

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
       // 配置代码 省略
    }

Http安全相关

配置权限地址拦截这些都是使用这个方法参数进行相应的配置),相应代码如下:

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 配置代码 省略
    }

关键代码分析

ResourceServerSecurityConfigurer 源码分析

  • ResourceServerSecurityConfigurer是一个配置器,
    关键地方是看他挂载了那些过滤器

  • 方法签名为org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer.configure注册了OAuth2AuthenticationProcessingFilter正是核心的关键,注册在AbstractPreAuthenticatedProcessingFilter之前,详细代码和部分注释如下:


	@Override
	public void configure(HttpSecurity http) throws Exception {
		AuthenticationManager oauthAuthenticationManager = oauthAuthenticationManager(http);
		// 初始化过滤器
		resourcesServerFilter = new OAuth2AuthenticationProcessingFilter();
		resourcesServerFilter.setAuthenticationEntryPoint(authenticationEntryPoint);
		resourcesServerFilter.setAuthenticationManager(oauthAuthenticationManager);
		if (eventPublisher != null) {
			resourcesServerFilter.setAuthenticationEventPublisher(eventPublisher);
		}
		// 配置 token 提取实现类
		if (tokenExtractor != null) {
			resourcesServerFilter.setTokenExtractor(tokenExtractor);
		}
		if (authenticationDetailsSource != null) {
			resourcesServerFilter.setAuthenticationDetailsSource(authenticationDetailsSource);
		}
		resourcesServerFilter = postProcess(resourcesServerFilter);
		// 设置无状态
		resourcesServerFilter.setStateless(stateless);

		http
			.authorizeRequests().expressionHandler(expressionHandler)
		.and()
                // 在AbstractPreAuthenticatedProcessingFilter之前插入resourcesServerFilter过滤器
			.addFilterBefore(resourcesServerFilter, AbstractPreAuthenticatedProcessingFilter.class)
			.exceptionHandling()
                    // 配置访问拒绝处理器
				.accessDeniedHandler(accessDeniedHandler)
				.authenticationEntryPoint(authenticationEntryPoint);
	}

OAuth2AuthenticationProcessingFilter 源码分析

  • OAuth2AuthenticationProcessingFilter是一个普通实现javax.servlet.Filterorg.springframework.beans.factory.InitializingBean接口的Bean;

  • 既然是过滤器,核心方法当然是org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter.doFilter
    详细代码如下:

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {
                // 获取日志是否开启 debug 模式
		final boolean debug = logger.isDebugEnabled();
		final HttpServletRequest request = (HttpServletRequest) req;
		final HttpServletResponse response = (HttpServletResponse) res;
		try {
		        // 关键代码,提取token返回认证信息
			Authentication authentication = tokenExtractor.extract(request);
                        // 省略代码...
		}
		catch (OAuth2Exception failed) {

		         // 省略代码...
			return;
		}
		chain.doFilter(request, response);
	}
  • 追溯源码org/springframework/security/oauth/spring-security-oauth2/2.3.4.RELEASE/spring-security-oauth2-2.3.4.RELEASE-sources.jar!/org/springframework/security/oauth2/provider/authentication/OAuth2AuthenticationProcessingFilter.java:64
  • 发现TokenExtractor接口实现类是org.springframework.security.oauth2.provider.authentication.BearerTokenExtractor
  • BearerTokenExtractor详细源码里面先后调用了几个方法,从extract->extractToken方法,extractToken方法是关键代码,详细代码如下:
    protected String extractToken(HttpServletRequest request) {
        // 提取请求头参数
        String token = this.extractHeaderToken(request);
        if (token == null) {
            logger.debug("Token not found in headers. Trying request parameters.");
            // 直接获取请求参数
            token = request.getParameter("access_token");
            if (token == null) {
                logger.debug("Token not found in request parameters.  Not an OAuth2 request.");
            } else {
                // 如果两种方式都获取不到,直接设置一个认证请求头,不带 token
                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, "Bearer");
            }
        }

        return token;
    }

    protected String extractHeaderToken(HttpServletRequest request) {
        // 获取请求头为 Authorization 的信息 
        Enumeration headers = request.getHeaders("Authorization");

        String value;
        do {
            if (!headers.hasMoreElements()) {
                return null;
            }

            value = (String)headers.nextElement();
        } while(!value.toLowerCase().startsWith("Bearer".toLowerCase()));
        // 如果存在,提取Bear后部分实际token值
        String authHeaderValue = value.substring("Bearer".length()).trim();
        // 重新设置 request 属性
        request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, value.substring(0, "Bearer".length()).trim());
        int commaIndex = authHeaderValue.indexOf(44);
        if (commaIndex > 0) {
            authHeaderValue = authHeaderValue.substring(0, commaIndex);
        }

        return authHeaderValue;
    }

从上面代码分析得到:
extractToken方法是提取token,返回相应的认证信息
extractHeaderToken是从请求头获取相应 token,extractHeaderToken无法从请求头相应参数获取 token 时候,request.getParameter("access_token");这段代码会获取请求参数。

结论

整个流程下来,是通过OAuth2AuthenticationProcessingFilter提取请求头参数,获取不到再去获取请求参数。

hdfg159
关注
专栏目录
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
http请求返回405 (Method Not Allowed)
weixin_48014441的博客
10-13 2592
一、问题描述 使用post请求json文件中的数据时,返回报错405(Method Not Allowed) 二、解决方法 由post请求改为get请求,请求静态资源时用get请求; 原因: 使用post请求并且发送的URL是一个具体的资源的时候例如JSON文件, 网站解析的时候会把整个URL当作域名解析,也就是说我并没有传参数给服务端, 而是直接访问服务端的具体资源, 所以要用get请求. 参考:https://www.checkupdown.com/status/E405_zh.html ...
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2353
OAuth2根据授权码获取Token
资源服务器验证Token的几种方式
bobozai86的博客
05-25 7932
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
springboot security - resource server token 认证信息获取过程
tina_tian1的博客
06-14 279
resource server 用户认证信息获取
SpringSecurity OAuth2 (8) 自定义: ResourceServerTokenServices 资源服务器自行验证签名并解析令牌
O_o
07-24 6560
资源服务器用自己的 ResourceTokenServices 解析令牌.
SpringSecurityOAuth2中resources.tokenExtractor();介绍、使用
程序员劝退师的博客
04-11 1280
前言 tokenExtractor()这玩意字面意思叫Token提取,确实,这玩意就是干这个的,就是提取Token的,因为我们狭义的认为Token是存放在请求头中的Authorization中的,但是并不只有这一种,共有三种token存放方式,如下! 1.在Header中携带 Header: Authentication:Bearer xxxxx-xxx-xxx-xxx-xxxxxx 2.拼接在url中作为requestParam http://localhost:9000/pay/1?access_
Spring Security整合Oauth2实现流程详解
09-07
在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的客户端库以及Spring Data Redis,用于存储令牌。注意,这里的OAuth2是Spring Security的实现,而不是Spring Boot自带的。 ```xml <groupId>org....
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2提供了检查令牌的端点`/oauth/check_token`和`/oauth/token_key`,它们默认受到保护。在配置中,可以通过`tokenKeyAccess()`和`checkTokenAccess()`方法来控制这些端点的访问策略。 通过...
Spring Security OAuth过期的解决方法
09-07
Spring Security OAuth中,过期问题主要涉及OAuth2认证和授权流程的管理。OAuth2是一个开放标准,用于允许应用程序代表用户获取访问权限到受保护的资源,如API。随着时间的推移,Spring Security OAuth的某些组件...
spring security oauth2 获取请求中的token方式
chongdu8794的博客
05-28 2375
spring security oauth2 授权访问两种方式: 1、url:http://../a?access_token={access_token} 2、request请求header中加入key为Authorization,值为{tokenType}+空格+{access_token...
Spring Security Oauth2之获取token流程分析
ityw520的博客
11-28 7424
ClientDetailsService则是读取客户端信息的,也就是根据我们发送/oauth/token请求是存放在Authorization中的username和password,注意这个不是用户的,而是客户端的端点信息。OAuth2Authentication: 这个对象就是将当前授权登录的用户信息,当前授权的是那个客户端信息,还有授权模式是什么,还有一些授权中的其他参数,最终这些数据都会被封装在这个对象中。因为获取token的url是/oauth/token,所以他会进入下面的代码。
oauth2 java 获取token_OAuth2 Token 一定要放在请求头中吗?
weixin_39948309的博客
02-19 691
Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。Token 解析过程说明当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ① spring security oauth2 通过拦截器获取此 t...
Spring Security+OAuth2资源服务之令牌校验源码分析
Charge8的博客
02-24 1007
Spring Security+OAuth2资源服务之令牌校验源码分析
spring security OAuth2AuthenticationProcessingFilter的token认证流程解析
a807719447的专栏
11-19 1814
在ResourceServer中需要对token进行校验需要走如下过滤器,我们来分析token校验的认证过程是什么样的 OAuth2AuthenticationProcessingFilter.doFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { final boolean debug = l
授权服务器与资源服务器分离-资源服务器验证token是否合法(六)
FAIRYTAIL的博客
08-28 4029
资源服务器校验token的方式
tokenExtractor
dulabing的专栏
02-26 1891
protected String extractToken(HttpServletRequest request) { // first check the header... String token = extractHeaderToken(request); // bearer type allows a request parameter as well if (...
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
最新发布
Instanceztt的博客
12-06 2855
在上篇文章我们分析token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 三 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
Spring Security OAuth2 权限隔离实践与解决方案
"本文主要探讨了在Spring Security OAuth2框架中如何实现令牌(token)的权限隔离,特别是在项目中涉及到多种授权模式如授权码模式、密码模式和Client模式时的处理策略。文中通过具体的示例代码,展示了在遇到权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值