基于SpringSecurity OAuth2实现单点登录——登录访问应用A后再访问应用B会发生什么呢?

最新推荐文章于 2023-05-05 14:48:12 发布
最新推荐文章于 2023-05-05 14:48:12 发布
阅读量1.2k 收藏 7
点赞数 2
分类专栏: Spring Cloud 文章标签: SpringSecurity OAuth 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hou_ge/article/details/117569587
版权

1、《入门示例和流程分析》
2、《未认证的请求是如何重定向到登录地址的》
3、《应用A是如何重定向到授权服务器的授权地址呢?》
4、《授权服务器是如何实现授权的呢?》
5、《登录访问应用A后再访问应用B会发生什么呢?》

1、前言

  前面我们已经完整的把应用A从访问、授权登录、获取code、换取accessToken和实现应用A的正常访问的整个过程分析了一遍,那么如果已经成功访问了应用A后,再直接跳转访问应用B会发生什么呢?让我们一起从代码中找到答案吧!

2、浏览器视角

2.1、访问应用B

  当已经成功访问应用A后,再访问应用B(http://localhost:8083/index)时,会重定向到http://localhost:8083/login地址,如下所示:
在这里插入图片描述

2.2、重定向到授权服务器

  当访问前面重定向到的http://localhost:8083/login地址时,又会被重定向到授权服务器的授权地址,如下所示:
在这里插入图片描述

2.3、重新 重定向到应用B的登录

  当访问授权服务器授权接口后,又重定向到了应用B的登录界面,不过这个时候,带了code参数。
在这里插入图片描述

2.4、重新 重定向到应用B的访问页面

  当重定向到带code参数的应用B的登录地址后,会再重定向到应用B的访问页面。这个过程,用户不需要再输入用户名和密码进行登录了。
在这里插入图片描述

  至此,我们从浏览器视角,分析了请求应用B时,请求链接的重定向过程。下面我们开始从代码层面分析,为什么会这样重定向。

3、重定向到应用B的登录地址

  这一步的实现,和《未认证的请求是如何重定向到登录地址的》中是完全一样的。首先,我们进入FilterSecurityInterceptor过滤器的doFilter()方法,在doFilter()方法中又调用了invoke()方法,而在invoke()方法中,又调用了父类AbstractSecurityInterceptor的beforeInvocation()方法,来获取请求需要的Token值,因为第一次访问,还没有进行认证,所以会抛出认证异常(AccessDeniedException ),抛出了AccessDeniedException 异常,这个异常就会被ExceptionTranslationFilter过滤器捕获,然后,经过异常处理,最终会跳转到应用B的登录界面。 前面的博文中已经详细分析了,这里不再重复。

4、重定向到授权服务器的授权地址

  这一步的实现,和《应用A是如何重定向到授权服务器的授权地址呢?》中的逻辑是一样的。首先,在OAuth2ClientAuthenticationProcessingFilter中,会进行单点登录的认证,即向授权服务器发送登录验证请求,因为没有携带accessToken或code,这个时候就会抛出异常,然后被前面的OAuth2ClientContextFilter过滤器拦截到,然后在OAuth2ClientContextFilter异常处理逻辑中,实现认证授权地址的重定向。

5、授权服务器如何进行授权

  在这一步中,和《授权服务器是如何实现授权的呢?》类似,不过因为这次我们没有再跳转到统一登录界面,而是直接通过重定向完成了授权,为什么不需要重新登录了呢?我们下面跟着代码分析一下。

  在《授权服务器是如何实现授权的呢?》中,之所以会跳转到登录界面是因为应用A进行授权请求(/oauth/authorize)时,其中的principal参数为空,即没有认证信息,这个时候就会抛出InsufficientAuthenticationException异常,然后被SpringSecurity过滤器链中的异常过滤器拦截,并重定向到授权服务器的登录地址。而这里之所以没有重定向到登录界面,其实就是因为这次的认证授权请求,携带了principal信息,我们下面分析应用B发送认证授权请求,是如何携带了用户信息的。

  首先,当重定向到授权服务器授权地址的时候,浏览器会带有对应的缓存信息,如下所示:
在这里插入图片描述
  那么,在授权服务器,是不是根据这些缓存信息,我们可以查询对应的用户信息呢,答案是肯定的,该过程就是在授权服务器的SecurityContextPersistenceFilter过滤器中完成的。我们下面开始分析SecurityContextPersistenceFilter是如何获取用户信息的。

  在请求到达授权请求(/oauth/authorize)方法之前,会先经过SpringSecurity的过滤器,其中SecurityContextPersistenceFilter过滤器就是用来初始化上下文信息的。

  我们先来分析其doFilter()方法,代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
	throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;

	// 省略 ……

	HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
			response);
	// 根据请求,获取上下文信息,这里是逻辑的核心。
	SecurityContext contextBeforeChainExecution = repo.loadContext(holder);

	try {
		SecurityContextHolder.setContext(contextBeforeChainExecution);

		chain.doFilter(holder.getRequest(), holder.getResponse());

	}
	finally {
		// 省略 ……
	}
}

  正如代码中注释,repo.loadContext()方法是获取请求上下文的核心,我们继续分析该方法,该方法在HttpSessionSecurityContextRepository类中定义,具体实现如下:

public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
	HttpServletRequest request = requestResponseHolder.getRequest();
	HttpServletResponse response = requestResponseHolder.getResponse();
	HttpSession httpSession = request.getSession(false);

	SecurityContext context = readSecurityContextFromSession(httpSession);

	if (context == null) {
		//省略 debug ……
		context = generateNewContext();
	}
	SaveToSessionResponseWrapper wrappedResponse = new SaveToSessionResponseWrapper(
			response, request, httpSession != null, context);
	requestResponseHolder.setResponse(wrappedResponse);

	requestResponseHolder.setRequest(new SaveToSessionRequestWrapper(
			request, wrappedResponse));

	return context;
}

  其中,又通过readSecurityContextFromSession()方法读取SecurityContext 信息,实现如下:

private SecurityContext readSecurityContextFromSession(HttpSession httpSession) {
	final boolean debug = logger.isDebugEnabled();
	if (httpSession == null) {
		if (debug) {
			logger.debug("No HttpSession currently exists");
		}
		return null;
	}
	Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);
	if (contextFromSession == null) {
		//省略 debug ……
		return null;
	}
	// We now have the security context object from the session.
	if (!(contextFromSession instanceof SecurityContext)) {
		//省略 debug ……
		return null;
	}
	//省略 debug ……
	
	// Everything OK. The only non-null return from this method.
	return (SecurityContext) contextFromSession;
}

  在readSecurityContextFromSession()方法中,首先尝试从httpSession中获取对应上下文,对应的key=SPRING_SECURITY_CONTEXT,然后判断该上下文是否是SecurityContext类型,不是的话也直接返回null,最后如果都符合条件,就强转成SecurityContext类型并返回。返回值,包括了principal参数值,所以在授权请求(/oauth/authorize)方法中,我们就可以直接从上下文中获取,而不会在跳转到登录界面让用户进行登录。
在这里插入图片描述

6、写在最后

  这篇博文中,我们分析了登录访问应用A后再访问应用B请求经过的授权过程。至此,我们基于SpringSecurity OAuth2实现单点登录的分析就全部完成了,当然在其中还涉及到了一些问题没有深入分析(比如该博文中获取的key=SPRING_SECURITY_CONTEXT的上下文是何时存储到Session的等),后续在使用SpringSecurity的过程中,我们再继续学习和分享。

姠惢荇者
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
关于spring oauth2 登录成功跳转 performance-now.js.map解决方法
火星人专栏
05-11 1225
放几个阿里云的优惠链接 代金券 / 高性能服务器2折起 / 高性能服务器5折 在使用spring boot oauth2实现登录时,有时出现登录成功后跳转地址为 http://localhost:8080/performance-now.js.map 这样的情况。 使用fiddler进行抓包分析后情况如下图 发现在加载完登录页后自动发送一条 http://localhost...
oauth2认证、鉴权框架知识点汇总
03-15
在实际应用中,OAuth2常用于API授权、社交媒体登录集成、企业系统间的单点登录等场景。理解并熟练掌握OAuth2的原理和实现方式,对于构建安全、可扩展的Web服务至关重要。通过实践和深入学习,开发者可以更好地应对...
spring security中当已登录用户再次访问登录界面时,应跳转到home
weixin_30319153的博客
07-14 262
@RequestMapping("/login") public String login(){ Authentication auth = SecurityContextHolder.getContext().getAuthentication(); if(auth instanceof AnonymousAuthenticationToken){ r...
SpringBoot 整合oauth2实现授权第三方应用
weixin_42293081的博客
03-11 1259
什么是OAuth2 OAuth(open authorization开放授权)是一个开放标准,允许用户授权第三方应用访问他们服务器资源,而不需要将用户名和密码提供给第三方应用OAuth2.0OAuth协议的延续版本,但是不向后兼容OAuth1.0,即完全废止了OAuth1.0。 1.快递员问题 我住在一个大型的居民小区 小区有门禁系统 小区进入小区的时候需要输入密码 我经常网购和点外卖,每天都有快递员来送货,我必须找到一个办法,让快递员通过门禁系统,进入小区 如果我把自己的密码告诉快递员,他就拥
Spring Security认证成功后回跳(解决前后端分离下OAuth2认证成功回跳)
gangsijay888的博客
07-23 3万+
前言 Spring Security(后面简称SS)用了很长时间了,但之前一直没注意到一个有趣的特性,直到最近弄前后端分离,在OAuth2提供者(github)认证后,需要跳回前端页面(前端页面和服务端不在同个域下),然后突然一般情况下(同域),SS认证后自动跳回认证前用户想访问的资源。由此开始寻找这个magic。 OAuth2 的一个sso demo,有兴趣可以看一下 问题:SS是怎么在...
OAuth2.0认证登录服务端实现详解
泛微二次开发后端知识总结
05-05 4170
本篇博客介绍了OAuth2.0认证登录服务端的实现过程,主要针对授权码模式和简化模式做了详细介绍。OAuth2.0是目前业界广泛使用的认证授权框架,在实际应用中,可以根据系统需求选择不同的授权方式。
SSO单点登录解决方案
03-28
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录访问多个相互关联的应用系统,而无需再次进行身份验证。这个过程提高了用户体验,同时也简化了安全管理。在本文中,我们将深入探讨SSO的工作...
基于spring-cloud系列整合的分布式项目的例子zip
最新发布
01-04
本项目实例——"基于spring-cloud系列整合的分布式项目的例子zip",旨在全面展示Spring Cloud在构建监控管理、配置中心、注册中心、分布式锁、分布式事务、多数据源、工作流、单点登录OAuth2授权、接口文档、路由...
v2_20200428.zip
04-28
该压缩包文件"v2_20200428.zip"包含了Spring Boot 2.x的详细学习资料——"Spring Boot 2.x.pdf",这是一本全面讲解Spring Boot 2.x的书籍,书中可能包括了以下重要知识点: 1. **Spring Boot入门**:介绍Spring ...
spring5.1.8.zip
09-08
8. **安全增强**:Spring SecuritySpring生态中的安全组件,5.1.8版本提供了最新的安全特性,包括对OAuth2和其他认证协议的支持,以及针对跨站请求伪造(CSRF)和XSS攻击的防护。 9. **测试框架**:Spring Test和...
spring security oauth2.0 client集成第三方登录
weixin_40693633的博客
01-21 1万+
   大家上网的时候可能遇见这样的一个问题,就是我们去访问一个网站,但是又不想去注册这个网站的账号,账号太多了实在是记不来,于是我们可以用qq或者微信登录这个网站,简直不要太方便有没有。    这么神奇的事情怎么能不去一探究竟呢,今天我们就来给他说道说道。    其实那些第三方服务他们都是使用了Oauth2.0这个协议,做的事情都是差不多,只是细节不同而已。 什么是 OAuth 2.0?    ...
spring security oauth2认证服务器 用户授权确认 流程源码 配置要点
路过君的博客
05-20 982
org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint // 授权 @RequestMapping(value = "/oauth/authorize") public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters, SessionStatus
BUG写累了分享下笔记-关于spring-security-oauth2传递的principal对象没有id等自定义属性
weixin_44536909的博客
05-04 3953
只分享思路没有代码 下边是正题 我们进入debug模式,逆向分析这个principal怎么来的.点打上断点看下是哪来的(后面每次请求debug都用’->'代替) -> 可以看到是一个UsernamePasswordAuthenticationToken的对象,计入这个类可以看到一个构造方法,我们在构造方法内打上断点,看下是谁创建的 -> 我们f它可以看到extractAuthe...
Spring Security Oauth2系列(四)
索南杰夕的专栏
06-01 843
前言:已经很久没有更新相关的文章资料了,现在分享目前的心得吧,从前面的相关系列文章相信大家对于Spring Security Oauth2系列的登录应该没有多大问题了吧。在这里我用简单的话在说一次大楷流程吧,首先从客户端开始默认/login作为sso单点登录路径。在客户端的security设置了认证权限的地方也跳转到单点登录,它去认证授权服务中心获取token,如果不行就跳转到/oauth/a...
OAuth2.0四种授权方式详解
卡了个卡
11-30 6371
OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。 OAuth1.0https://www.ietf.org/rfc/rfc5849.txt OAuth2.0https://tools.ietf.org/html/rfc6749 OAuth2.0定义了四种获取令牌的方式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭..
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
qq_22178703的博客
09-25 1459
Spring Security 解析(七) —— Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象...
SpringSecurityOAuth2登录后无法跳转获取授权码地址,直接跳转根路径原因详解
oPeiJie1的博客
04-10 2573
至于UserDetailsService、TokenConfig、ResourceServerConfig 令牌配置、AuthorityServerConfig、Controller请自行到本文开头提到的那篇文章中查看。
Spring Security 认证
weixin_42609405的博客
03-03 1355
Spring Security 认证
Oauth2授权模式访问之授权码模式(authorization_code)访问
热门推荐
面朝大海,春暖花开
06-07 9万+
Oauth2授权模式访问之授权码模式(authorization_code)访问 获取code redirect_uri可以随便写,在浏览器输入(注意是get请求方式): http://localhost:8080/oauth/authorize?response_type=code&amp;amp;amp;amp;amp;client_id=pair&amp;amp;amp;amp;amp;redirect_uri=http://bai...
OAuth2单点登录SpringSecurity实现解析
"该资源是关于SpringSecurity结合OAuth2实现单点登录(SSO)的讲解。主要内容涵盖了OAuth2.0的发展历史、角色定义、协议流程、授权模式以及在实际系统中的设计,同时提及了SSO的实现分析。" 在讲解OAuth2.0时,我们...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姠惢荇者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值