[6] OAuth2AuthenticationProcessingFilter之Bearer Token验证流程

最新推荐文章于 2024-04-17 09:42:40 发布
最新推荐文章于 2024-04-17 09:42:40 发布
阅读量3w 收藏 10
点赞数 3
分类专栏: spring security
本文链接:https://blog.csdn.net/liuyanglglg/article/details/104973252
版权

OAuth2AuthenticationProcessingFilter

简介

授权认证服务通过认证后会返回Access Token,该token可用于请求资源服务(业务系统)的接口。我们需要把特定的信息放到请求头中,例如在请求头中写入Authorization: Bearer !xBYUEBY0N3o234N,Authorization为key,Bearer !xBYUEBY0N3o234N为value,!xBYUEBY0N3o234N是Access Token。请求经过OAuth2AuthenticationProcessingFilter后,过滤器中的认证管理器会调用配置的授权认证服务的check token接扣校验token是否有效,token有效则可以继续访问了。需要注意的是,对于资源认证服务Spring Security会把这个过滤器加入到过滤链里,但授权认证认证服务却不能。

源码分析

步骤1

笔者的Spring Cloud项目分ums[用户管理]服务以及auth[授权认证]服务,ums是一个业务系统,ums借助授权认证认证服务需要配置client-id,client-secret,token-info-uri等,token-info-uri即auth[授权认证]服务校验token的url,配置如下:

security:
  oauth2:
    client:
      client-id: carp
      client-secret: carp
    resource:
      id: carp-ums
      token-info-uri: http://carp-auth:8002/oauth2/token/check
      loadBalanced: true

步骤2

我们doFilter()方法中的代码进行分析,tokenExtractor.extract(request)从请求中取Bearer Token并包装成Authentication,然后调用authenticationManager.authenticate()向授权认证服务发起请求,对token进行认证。
认证成功后,发送认证成功事件,并把身份认证信息写入上下文,代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
        ServletException {
   

    final boolean debug = logger.isDebugEnabled();
    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;

    try {
   
        //此处代码逻辑很简单
        //Header中取出Authorization中的access token 并包装成Authentication,Authentication的principal就是token
        Authentication authentication = tokenExtractor.extract(request);
        
        //authentication不存在,清空上下文
        if (authentication == null) {
   
            if (stateless && isAuthenticated()) {
   
                SecurityContextHolder.clearContext();
            }
        }
        else {
   
            //在request属性中写入OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE:xxxxx xxxx是token
            request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, authentication.getPrincipal());
            //对于Bearer Token而言,authentication是PreAuthenticatedAuthenticationToken的实例,所以会执行到if分支里
            if (authentication instanceof AbstractAuthenticationToken
最低0.47元/天 解锁文章
Young~^_^
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
20-BearerTokenAuthenticationFilter
码农小胖哥
03-17 3121
BearerTokenAuthenticationFilter是Spring Security资源服务器的核心过滤器。负责对请求中携带的Token进行校验,提取认证信息,以确定当前请求是否有权限访问对应的资源。 BearerTokenAuthenticationFilter 以下是BearerTokenAuthenticationFilter的大致结构: 成员属性都在上一文中进行了说明,这里就不再赘述了。 核心逻辑 作为一个OncePerRequestFilter核心的逻辑还在doFilterIntern
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
weixin_33895016的博客
02-24 7040
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot学习笔记(十五:OAuth2 )
最新发布
2401_83412172的博客
04-17 907
我还通过一些渠道整理了一些大厂真实面试主要有:蚂蚁金服、拼多多、阿里云、百度、唯品会、携程、丰巢科技、乐信、软通动力、OPPO、银盛支付、中国平安等初,中级,高级Java面试题集合,附带超详细答案,希望能帮助到大家。还有专门针对JVM、SPringBoot、SpringCloud、数据库、Linux、缓存、消息中间件、源码等相关面试题。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
Authorization: Bearer是干什么的?底层原理是什么?
长风破浪会有时的博客
06-06 1万+
底层原理是这样的:当客户端发送 HTTP 请求时,可以在请求头部中添加 "Authorization" 字段来传递访问令牌。"Bearer" 是一种认证方案(authentication scheme)的名称,用于指示后面的令牌是访问令牌。需要注意的是,"Bearer" 方案本身并不提供加密或验证令牌的机制,它只是一种用于标识令牌类型的约定。服务器在接收到请求时,可以读取 "Authorization" 字段,并解析出令牌部分,即 "your_access_token"。
JWT授权为啥要在 Authorization标头里加个Bearer 呢
Java__EE小白成长之路
07-16 9624
JWT授权为啥要在 Authorization标头里加个Bearer 呢
详解OAuth 2.0授权协议(Bearer token
热门推荐
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
详解OAuth2 Token 一定要放在请求头中吗
08-18
OAuth2AuthenticationProcessingFilter.doFilter 方法中,我们可以看到 Token 解析过程的实现。 在 doFilter 方法中,我们可以看到,首先根据用户请求解析令牌,组装预登陆对象,然后根据 token 来做真正的认证登录...
基于SpringBoot整合oauth2实现token认证
08-25
基于SpringBoot整合oauth2实现token认证 本文主要介绍了基于SpringBoot整合oauth2实现token认证的技术,通过示例代码对该技术进行了详细的介绍,对读者学习或工作具有重要参考价值。 SpringBoot和oauth2的整合 在...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
springboot整合Oauth2,GateWay实现网关登录授权验证
11.Oauth2授权之JWT集成
01-01
Oauth2授权之JWT集成 在本文中,我们将详细介绍Oauth2授权中使用JSON Web Token(JWT)的集成。JWT是一种基于RFC 7519标准定义的可以安全传输的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT的组成 -...
Spring Security OAuth2 token权限隔离实例解析
08-25
主要介绍了Spring Security OAuth2 token权限隔离实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Authorization为啥必须要以Bearer开头
Greedy Hat的博客
11-16 733
Bearer代表Authorization头定义的schema ,除了Bearer,还有其它的一些 schemas ,
Android基础(三):登录与授权
qq_31433709的博客
08-03 2841
前言 这个篇章我们来谈谈登录和授权的相关操作,很多时候真的感觉自己其实真的非常怠惰。 正文 今天来讲讲登录和授权那些事情,我们首先先默认我们的请求都是基于HTTP进行的(为了防止抬杠)。我们知道HTTP协议是无状态的,也就是说,HTTP协议本身并不能验证发送方和接收方的身份。但是,我们实际业务就需要这样的功能,那该怎么办呢? 还能怎么办,只能每次请求的时候手动携带可以用于验证的身份信息了。这就是Cookie和Authorization的作用。 Cookie Cookie作用 会话管理:登录状态,购物车
spring oauth2 OAuth2AuthenticationProcessingFilter 校验token过滤器
weixin_34399060的博客
11-20 1652
2019独角兽企业重金招聘Python工程师标准>>> ...
oauth2 spring-authorization-server 分析
tof
01-19 1万+
spring boot,spring security,oauth2,spring-authorization-server
Hello SpringSecurity
⛄沉淀分享成长--长久的沉淀势必会收获到你想要的,那些旅途上的果实
08-08 346
Spring Security 是一个安全框架,提供了身份验证、授权和对常见攻击的保护。对命令式和响应式应用程序的安全提供了一流的支持,它实际上是保护基于 spring 的应用程序的标准。
Bearer token身份认证
m0_62407354的博客
10-12 1309
在自动化测试中,我们会从登录的返回信息中获取token参数,然后我们会把该参数添加到headers的authorization中,然后我们接着进行请求操作这时服务器会返回 401 Unauthorized: 表示请求未授权?????我们明明添加了授权,为什么请求还是未授权?
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
oauth2authenticationprocessingfilter
04-11
Q:什么是"oauth2authenticationprocessingfilter"? A:"oauth2authenticationprocessingfilter"指的是一个处理OAuth2认证的过滤器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值