Spring Security OAuth专题学习-授权服务源码解读

最新推荐文章于 2024-05-21 18:10:02 发布
最新推荐文章于 2024-05-21 18:10:02 发布
阅读量1.7k 收藏
点赞数 2
分类专栏: Spring 源码研读 Spring Security OAuth2应用示例 文章标签: Spring Spring Security OAuth 授权服务源码 Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icarusliu/article/details/90510845
版权

授权服务主要完成以下四个核心功能:

  • 客户端授权关系管理;
  • 接收用户或客户端登录请求,生成accessToken
  • Token存储
  • Token校验

本文将从源码层面分析授权服务如何实现上述四个功能。
关于Spring Oauth2的一些基础概念及示例,可参考:http://liumoran.cn/topic/myTopics/1

1. 概述

授权服务包含有以下几个关键类:

  • EnableAuthorizationServer
    启用授权服务,并引入AuthorizationServerEndpointsConfiguration及AuthorizationServerSecurityConfiguration两个配置类;
  • AuthorizationServerEndpointsConfiguration/AuthorizationServerEndpointsConfigurer
    授权服务Endpoints配置类;
  • AuthorizationServerSecurityConfiguration/AuthorizationServerSecurityConfigurer
    授权服务访问授权配置类;
  • AuthorizationServerConfigurerAdapter(AuthorizationServerConfigurer)
    授权服务配置适配器,开发人员可定义其实现类来完成对授权服务的各项配置;
  • ClientDetailsServiceConfigurer
    客户端配置类;

其中比较费解的是AuthorizationServerEndpointsConfiguration/AuthorizationServerEndpointsConfigurer
与AuthorizationServerSecurityConfiguration/AuthorizationServerSecurityConfigurer。
简单来说Configuration类可以看成是Configurer的代理类和配置类;而Configurer是存储配置项的类。

这几个类之间的关系如下所示:

1558323393708.png

2. AuthorizationServerEndpointsConfiguration

它完成以下功能:

  • 配置AuthorizationServerEndpointsConfigurer:通过init方法完成AuthorizationServerEndpointsConfigurer的创建与配置。
  • 创建Endpoint:通过Bean注解,往Spring容器中托管各个Endpoint(如用于处理/oauth/token请求的TokenEndpoint、用于处理/oauth/authorize请求的AuthorizationEndpoint等;
    Endpoint可以看成是控制器,即平常我们所定义的Controller。

2.1 AuthorizationServerEndpointsConfigurer的创建与配置

init方法定义如下:

@Autowired
private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

@PostConstruct
public void init() {
   
    for (AuthorizationServerConfigurer configurer : configurers) {
   
        try {
   
            configurer.configure(endpoints);
        } catch (Exception e) {
   
            throw new IllegalStateException("Cannot configure enpdoints", e);
        }
    }
    endpoints.setClientDetailsService(clientDetailsService);
}

看到它就是使用容器中的所有类型为AuthorizationServerConfigurer的Bean,然后调用其configure方法对endpoints进行配置。
因此如果我们在应用中定义了实现AuthorizationServerConfigurer接口或者继承AuthorizationServerConfigurerAdapter的配置类,
并且这个配置类通过Configuration注解或者其它方式被注入到Spring中,那么我们在方法configure(AuthorizationServerEndpointsConfigurer)中
定义的代码将会被执行。
通过这种方式我们可以对授权服务所使用的TokenStore、TokenService等进行配置,见4.3节内容。具体配置项内容可看AuthorizationServerEndpointsConfigurer源码。

2.2 创建Endpoints

AuthorizationServerEndpointsConfiguration通过Bean往Spring容器中注入了多个Endpoint,用于处理OAuth相关的授权请求。主要包含的Endpoint如下:

  • AuthorizationEndpoint: 用于处理资源授权请求(/oauth/authorize)
  • TokenEndpoint: 用于处理Token申请请求(/oauth/token)
  • CheckTokenEndpoint:用于处理Token校验请求(/oauth/check_token)
  • 其它:默认的授权页面等Endpoint;

以TokenEndpoint为例,它的托管过程如下:

@Bean
public TokenEndpoint tokenEndpoint() throws Exception {
   
    TokenEndpoint tokenEndpoint = new TokenEndpoint();
    tokenEndpoint.setClientDetailsService(clientDetailsService);
    tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
    tokenEndpoint.setTokenGranter(tokenGranter());
    tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
    tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
    tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
    return tokenEndpoint;
}

TokenEndpoint的关键方法如下:

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal
最低0.47元/天 解锁文章
icarusliu81
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth2的token认证接口/oauth/token、/oauth/check_token、/oauth/authorize在哪个包里
Dream_it_possible!的博客
07-02 2万+
在org.springframework.security.oauth2.provider.endpoint里的TokenEndpoint类里 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.springframework.security.oauth2.provider.endpoint; import java.
Spring Security#OAuth2
来啊 快活啊
06-20 4808
Congiurer ClientDetailsServiceConfigurer AuthorizationServerSecurityConfigure AuthorizationServerEndpointsConfigurer ResourceServerSecurityConfigurer HttpSecurity Authorization Server ClientDetailsServ
Spring Authorization Server的使用
zzy7075的专栏
05-21 412
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
Spring Cloud OAuth2 认证流程
偶尔记一下 - mybatis.io
09-24 3万+
Spring Cloud OAuth2 认证流程本文基于官方提供的示例进行讲解,文中部分源码使用的 5.0 版本,基本上没太大差别。建议配合本文提供的关键代码和官方示例结合查看,可以运行官方示例查看效果。 认证服务器:https://github.com/spring-cloud-samples/authserver SSO客户端:https://github.com/spring-c
Oauth2---AuthorizationServer配置
silmeweed的博客
09-28 2万+
AuthorizationServerConfigurerAdapter只是一个提供给开发配置ClientDetailsServiceConfigurer、AuthorizationServerEndpointsConfigurer、AuthorizationServerSecurityConfigurer空壳类并没有持有以上三个配置Bean对象。由初始化时调用Authorizati...
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1554
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
配置 spring cloud oauth2 的(关键)易错点
qq_39729362的博客
01-15 401
1、在配置端点时:configure(AuthorizationServerEndpointsConfigurer endpoints) ,需要指明 AuthenticationManager,即调用方法:authenticationManager(authenticationManager),但是在注入authenticationManager时,网站同时给了两种方案: A、调用WebSec...
Spring security oauth源码
10-28
总之,Spring Security OAuth源码提供了一个深入了解OAuth 2.0协议及其在Spring生态系统中实现的绝佳机会。通过研究Sparklr2和Tonr2这两个示例应用,开发者可以更好地掌握OAuth的实践应用,并提升在构建安全Web服务...
spring-security-oauth2
03-17
通过Spring Security OAuth2,我们可以为API、Web服务或微服务添加授权功能,确保数据的安全传输和访问控制。 二、OAuth2核心概念 1. 客户端(Client):请求访问受保护资源的应用程序。 2. 用户(Resource Owner...
spring-security-oauth2源码
06-30
Spring Security OAuth2允许开发者自定义各种组件,如TokenEnhancer(增强令牌)、UserDetailsService(用户详情服务)等,以满足特定需求。 6. **spring-security-oauth-master** 文件夹中可能包含的内容: - 源...
spring-security-oauth2-2.0.3.jar(包括jar包,源码,doc)
10-11
Spring Security OAuth2是一个广泛使用的Java库,用于在Spring应用程序中实现OAuth2协议,提供安全授权服务OAuth2是一种授权框架,允许第三方应用在用户许可的情况下访问其私有资源,如在社交媒体上的数据。2.0.3....
基于Java的Spring Security OAuth2框架测试设计源码
最新发布
06-01
源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
springcloud整合oauth2------认证服务
weixin_45592424的博客
09-10 1781
springcloud整合oauth-认证服务
Spring Authorization Server 配置模型
semicolon_hello的专栏
02-20 1000
DEFAULT_JWT_VALIDATOR_FACTORY是为指定的RegisteredClient提供OAuth2TokenValidator<JWT>的默认工厂,用于验证JWT客户端断言的iss、sub、aud、exp和nbf声明。
token续时长_两种方式
qq_42533633的博客
11-29 2772
oauth中redis存储方式下为token续时长,两种方式让一个token一直续下去。
聊聊spring security oauth2的几个endpoint的认证
weixin_34233856的博客
12-12 1666
序 本文就来讲一下spring security oauth2的几个endpoint的认证 endpoint spring-security-oauth2-2.0.14.RELEASE-sources.jar!/org/springframework/security/oauth2/config/annotation/web/configuration/AuthorizationServerEnd...
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7006
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的
Spring Cloud OAuth2 资源服务CheckToken 源码解析
weixin_34055787的博客
01-25 280
## CheckToken的目的 当用户携带token 请求资源服务器的资源时, OAuth2AuthenticationProcessingFilter 拦截token,进行token 和userdetails 过程,把无状态的token 转化成用户信息。 ## 详解 OAuth2AuthenticationManager.au...
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
springboot security oauth2 源码
06-12
Spring Security OAuth2 是 Spring Security 的子项目,用于支持 OAuth2 协议。其源码包括了授权服务器和资源服务器两部分,下面分别介绍。 ## 授权服务源码 Spring Security OAuth2 的授权服务源码主要包括以下几个模块: 1. oauth2-core:包括 OAuth2 协议的核心实现,如授权码、令牌等的生成和验证。 2. oauth2-jwt:包括 JWT 令牌的生成和解析。 3. oauth2-authorization-server:包括授权服务器的实现,包括授权码模式、密码模式、客户端模式等。 其中,授权服务器的实现是基于 Spring MVC 的,主要包括以下几个核心类: 1. AuthorizationEndpoint:处理授权端点,包括授权码模式、密码模式、客户端模式等。 2. TokenEndpoint:处理令牌端点,包括颁发访问令牌、刷新令牌等。 3. WhitelabelApprovalEndpoint:处理用户授权页面,提供用户授权功能。 ## 资源服务源码 Spring Security OAuth2 的资源服务源码主要包括以下几个模块: 1. oauth2-resource:包括资源服务器的核心实现,如令牌解析和访问控制等。 2. oauth2-jwt:包括 JWT 令牌的生成和解析。 其中,资源服务器的实现是基于 Spring Security 的,主要包括以下几个核心类: 1. ResourceServerConfigurerAdapter:用于配置资源服务器,包括资源的访问控制、令牌的解析等。 2. JwtAccessTokenConverter:用于将 JWT 令牌转换为 OAuth2 令牌。 以上是 Spring Security OAuth2 的授权服务器和资源服务器的主要源码模块和类,具体实现方式还需要根据实际需求进行具体的配置和实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值