Spring Security OAuth专题学习-授权服务源码解读

最新推荐文章于 2024-02-20 13:18:40 发布
最新推荐文章于 2024-02-20 13:18:40 发布
阅读量1.8k 收藏
点赞数 2
分类专栏: Spring 源码研读 Spring Security OAuth2应用示例 文章标签: Spring Spring Security OAuth 授权服务源码 Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icarusliu/article/details/90510845
版权
本文详细介绍了Spring Security OAuth的授权服务,解析了AuthorizationServerEndpointsConfiguration和AuthorizationServerSecurityConfiguration的核心功能,包括客户端授权管理、授权接口配置、请求授权设置。通过AuthorizationServerConfigurerAdapter适配器,开发者可以自定义授权服务的配置,实现OAuth2的安全控制。
摘要由CSDN通过智能技术生成

授权服务主要完成以下四个核心功能:

  • 客户端授权关系管理;
  • 接收用户或客户端登录请求,生成accessToken
  • Token存储
  • Token校验

本文将从源码层面分析授权服务如何实现上述四个功能。
关于Spring Oauth2的一些基础概念及示例,可参考:http://liumoran.cn/topic/myTopics/1

1. 概述

授权服务包含有以下几个关键类:

  • EnableAuthorizationServer
    启用授权服务,并引入AuthorizationServerEndpointsConfiguration及AuthorizationServerSecurityConfiguration两个配置类;
  • AuthorizationServerEndpointsConfiguration/AuthorizationServerEndpointsConfigurer
    授权服务Endpoints配置类;
  • AuthorizationServerSecurityConfiguration/AuthorizationServerSecurityConfigurer
    授权服务访问授权配置类;
  • AuthorizationServerConfigurerAdapter(AuthorizationServerConfigurer)
    授权服务配置适配器,开发人员可定义其实现类来完成对授权服务的各项配置;
  • ClientDetailsServiceConfigurer
    客户端配置类;

其中比较费解的是AuthorizationServerEndpointsConfiguration/AuthorizationServerEndpointsConfigurer
与AuthorizationServerSecurityConfiguration/AuthorizationServerSecurityConfigurer。
简单来说Configuration类可以看成是Configurer的代理类和配置类;而Configurer是存储配置项的类。

这几个类之间的关系如下所示:

1558323393708.png

2. AuthorizationServerEndpointsConfiguration

它完成以下功能:

  • 配置AuthorizationServerEndpointsConfigurer:通过init方法完成AuthorizationServerEndpointsConfigurer的创建与配置。
  • 创建Endpoint:通过Bean注解,往Spring容器中托管各个Endpoint(如用于处理/oauth/token请求的TokenEndpoint、用于处理/oauth/authorize请求的AuthorizationEndpoint等;
    Endpoint可以看成是控制器,即平常我们所定义的Controller。

2.1 AuthorizationServerEndpointsConfigurer的创建与配置

init方法定义如下:

@Autowired
private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

@PostConstruct
public void init() {
   
    for (AuthorizationServerConfigurer configurer : configurers) {
   
        try {
   
            configurer.configure(endpoints);
        } catch (Exception e) {
   
            throw new IllegalStateException("Cannot configure enpdoints", e);
        }
    }
    endpoints.setClientDetailsService(clientDetailsService);
}

看到它就是使用容器中的所有类型为AuthorizationServerConfigurer的Bean,然后调用其configure方法对endpoints进行配置。
因此如果我们在应用中定义了实现AuthorizationServerConfigurer接口或者继承AuthorizationServerConfigurerAdapter的配置类,
并且这个配置类通过Configuration注解或者其它方式被注入到Spring中,那么我们在方法configure(AuthorizationServerEndpointsConfigurer)中
定义的代码将会被执行。
通过这种方式我们可以对授权服务所使用的TokenStore、TokenService等进行配置,见4.3节内容。具体配置项内容可看AuthorizationServerEndpointsConfigurer源码。

2.2 创建Endpoints

AuthorizationServerEndpointsConfiguration通过Bean往Spring容器中注入了多个Endpoint,用于处理OAuth相关的授权请求。主要包含的Endpoint如下:

  • AuthorizationEndpoint: 用于处理资源授权请求(/oauth/authorize)
  • TokenEndpoint: 用于处理Token申请请求(/oauth/token)
  • CheckTokenEndpoint:用于处理Token校验请求(/oauth/check_token)
  • 其它:默认的授权页面等Endpoint;

以TokenEndpoint为例,它的托管过程如下:

@Bean
public TokenEndpoint tokenEndpoint() throws Exception {
   
    TokenEndpoint tokenEndpoint = new TokenEndpoint();
    tokenEndpoint.setClientDetailsService(clientDetailsService);
    tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
    tokenEndpoint.setTokenGranter(tokenGranter());
    tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
    tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
    tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
    return tokenEndpoint;
}

TokenEndpoint的关键方法如下:

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal
最低0.47元/天 解锁文章
icarusliu81
关注
专栏目录
Spring Security OAuth专题学习-资源服务源码解读
icarusliu的专栏
05-14 530
通过Spring Security OAuth专题学习的前面四篇文章(http://liumoran.cn/topic/myTopics/1),对于Spring Security OAUth的基本使用已经有了一些基本的概念。 然而对于资源服务授权服务生效原理,仍旧一无所知。接下来将从源码层面对Spring Security OAuth相关组件进行分析与学习。 Spring Security OA...
Spring Security#OAuth2
来啊 快活啊
06-20 4920
Congiurer ClientDetailsServiceConfigurer AuthorizationServerSecurityConfigure AuthorizationServerEndpointsConfigurer ResourceServerSecurityConfigurer HttpSecurity Authorization Server ClientDetailsServ
Oauth2---AuthorizationServer配置
silmeweed的博客
09-28 2万+
AuthorizationServerConfigurerAdapter只是一个提供给开发配置ClientDetailsServiceConfigurer、AuthorizationServerEndpointsConfigurer、AuthorizationServerSecurityConfigurer空壳类并没有持有以上三个配置Bean对象。由初始化时调用Authorizati...
配置 spring cloud oauth2 的(关键)易错点
qq_39729362的博客
01-15 440
1、在配置端点时:configure(AuthorizationServerEndpointsConfigurer endpoints) ,需要指明 AuthenticationManager,即调用方法:authenticationManager(authenticationManager),但是在注入authenticationManager时,网站同时给了两种方案: A、调用WebSec...
Spring Authorization Server 配置模型
最新发布
semicolon_hello的专栏
02-20 1174
DEFAULT_JWT_VALIDATOR_FACTORY是为指定的RegisteredClient提供OAuth2TokenValidator<JWT>的默认工厂,用于验证JWT客户端断言的iss、sub、aud、exp和nbf声明。
spring security authorization server token端点配置跨域访问
路过君的博客
09-16 1037
版本 spring-security-oauth2-2.3.8 问题 在网页端跨域访问spring-security-oauth2搭建的授权服务器,以ClientCredentials授权模式获取token,发生跨域请求失败。 解决 方案1 WebSecurityConfig 增加忽略OPTIONS请求配置 public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void
spring-security-oauth2
03-17
通过Spring Security OAuth2,我们可以为API、Web服务或微服务添加授权功能,确保数据的安全传输和访问控制。 二、OAuth2核心概念 1. 客户端(Client):请求访问受保护资源的应用程序。 2. 用户(Resource Owner...
spring-security-oauth2-2.0.3.jar(包括jar包,源码,doc)
10-11
Spring Security OAuth2是一个广泛使用的Java库,用于在Spring应用程序中实现OAuth2协议,提供安全授权服务OAuth2是一种授权框架,允许第三方应用在用户许可的情况下访问其私有资源,如在社交媒体上的数据。2.0.3....
Spring security oauth源码
10-28
总之,Spring Security OAuth源码提供了一个深入了解OAuth 2.0协议及其在Spring生态系统中实现的绝佳机会。通过研究Sparklr2和Tonr2这两个示例应用,开发者可以更好地掌握OAuth的实践应用,并提升在构建安全Web服务...
聊聊spring security oauth2的几个endpoint的认证
weixin_34233856的博客
12-12 1681
序 本文就来讲一下spring security oauth2的几个endpoint的认证 endpoint spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEnd...
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7119
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的
Spring Security OAUTH2 获取用户信息
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
oauth2.0 /oauth/token 源码解析
qq_40293993的博客
04-08 5308
请求/oauth/token 访问到org.springframework.security.oauth2.provider.endpoint.TokenEndpoint @RequestMapping(value = "/oauth/token", method=RequestMethod.POST) public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4563
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
spring cloud笔记 oauth2授权服务 默认tokenService配置源码
路过君的博客
03-23 3124
AuthorizationServerEndpointsConfiguration ... private AuthorizationServerEndpointsConfigurer endpoints = new AuthorizationServerEndpointsConfigurer(); ... //注册工厂 @Bean public FactoryBean<Authorizat...
spring security oauth2 中两个endpoint的注入来源
a469517790的博客
07-06 4702
公司项目使用xml配置的方式整合oauth2,在阅读源码,跟踪整个授权跟获取令牌的过程中,对比xml的配置文件,并没有找到有配置配了两个endpoint的注入:TokenEndpoint 和AuthorizationEndpoint。这两个类分别对应我们oauth2中两个重要的请求:/oauth/token 和/oauth/authorize。我们oauth的功能都围绕着这个给url展开,这里...
Spring Cloud OAuth2 认证服务
凉茶铺的博客
08-31 3113
Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。............
深入解析SpringSecurity OAuth2.0源码及其应用
综上所述,Spring Security OAuth2.0 源码是理解和实现基于 OAuth2.0 协议安全认证授权机制的重要资源。通过深入学习源码,开发者可以掌握如何在 Spring 应用中安全地进行用户认证和授权,确保应用的安全性和可扩展...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值