SpringSecurityOauth2 - Token校验逻辑,以及认证对象如何存到Security上下文中的(RemoteTokenServices)

最新推荐文章于 2023-05-19 15:20:15 发布
最新推荐文章于 2023-05-19 15:20:15 发布
阅读量797 收藏 1
点赞数
分类专栏: SpringSecurity - 资源服务器 文章标签: java 服务器 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54554770/article/details/128018351
版权

关键词:
DefaultTokenServices, RemoteTokenServices, Authentication , SecurityContextHolder

入口一定是过滤器 而 SpringSecurityOauth2 资源服务器处理 Token校验的过滤器是 OAuth2AuthenticationProcessingFilter 我们直接从这个地方打断点进行分析:

FilterChainProxy

public class FilterChainProxy extends GenericFilterBean {
   

  private static final class VirtualFilterChain implements FilterChain {
   
  
   		private final FilterChain originalChain;
        private final List<Filter> additionalFilters;
        private final FirewalledRequest firewalledRequest;
        private final int size;
        private int currentPosition;

        private VirtualFilterChain(FirewalledRequest firewalledRequest, FilterChain chain, List<Filter> additionalFilters) {
   
            this.currentPosition = 0;
            this.originalChain = chain;
            this.additionalFilters = additionalFilters;
            this.size = additionalFilters.size();
            this.firewalledRequest = firewalledRequest;
        }

        public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
   
            if (this.currentPosition == this.size) {
   
                if (FilterChainProxy.logger.isDebugEnabled()) {
   
                    FilterChainProxy.logger.debug(LogMessage.of(() -> {
   
                        return "Secured " + FilterChainProxy.requestLine(this.firewalledRequest);
                    }));
                }

                this.firewalledRequest.reset();
                this.originalChain.doFilter(request, response);
            } else {
   
                ++this.currentPosition;
                Filter nextFilter = (Filter)this.additionalFilters.get(this.currentPosition - 1);
                if (FilterChainProxy.logger.isTraceEnabled()) {
   
                    FilterChainProxy.logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(), this.currentPosition, this.size));
                }
				
				// OAuth2AuthenticationProcessingFilter 用来校验Token的
                nextFilter.doFilter(request, response, this);
            }
        }
  }

}

OAuth2AuthenticationProcessingFilter


public class OAuth2AuthenticationProcessingFilter implements Filter, InitializingBean {
   
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
				ServletException {
   
	
			final boolean debug = logger.isDebugEnabled();
			final HttpServletRequest request = (HttpServletRequest) req;
			final HttpServletResponse response = (HttpServletResponse) res;
	
			try {
   
	
				Authentication authentication = tokenExtractor.extract(request);
				
				if (authentication == null) {
   
					if (stateless && isAuthenticated()) {
   
						if (debug) {
   
							logger.debug("Clearing security context.");
						}
						SecurityContextHolder.clearContext();
					}
					if (debug) {
   
						logger.debug(
最低0.47元/天 解锁文章
丨阳光很暖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0资源服务器之校验Token配置
北辰
09-06 2761
资源服务器在获取到了客户端发送过来的token后,做的第一件事情就是校验token的真伪性,如果token校验不通过,则不允许调用对应的接口。 当前Spring Cloud与OAth2.0整合的版本依赖为: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId>
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 2733
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
Springsecurity-oauth2之RemoteTokenServices
weixin_34184158的博客
03-12 6107
2019独角兽企业重金招聘Python工程师标准>>> ...
基于springboot +oauth2+securityJwt实现token校验,接口访问权限控制
u010290208的博客
05-19 1298
在管理后台的开发经常需要对用户授权及权限控制,用户登录后,需要对用户拥有的角色来判断能够访问的资源。首选简单创建5张表来存储用户、角色、资源表及用户-角色、角色-资源的关联表。最后就是在登录方法通过令牌来生成JWT的token放回给前端。统一对登录后的token校验以及注解式的角色权限控制。创建一个适配器,来配置哪些接口需要鉴权,鉴权的方式。来表示只有角色是admin的才能访问该接口。登录后访问其他接口时的token校验。自定义用户登录时查询用户角色的方法。自定义身份验证,并生成令牌。
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4107
springsecurity oauth2 令牌access_token验证源码分析
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器、JWT令牌的使用
Huathy的博客
03-18 3885
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
spring security ouath2获取token(认证)流程图.pdf
08-26
`ProviderManager`的`authenticate()`方法会被调用,进一步执行认证逻辑。在密码模式下,这通常会引导我们进入`AbstractUserDetailsAuthenticationProvider`,这是一个用于处理基于用户详情(UserDetails)的认证的...
ngx-window-token:角度2窗口注入令牌
05-02
删除了现在不必要的NgxWindowTokenModule ,它将注入到根模块 1.0.0版以后的重大更改 更改WindowTokenModule > NgxWindowTokenModule 依存关系 角> = 6.0.0 安装 您可以在npm上获得它。 npm install ngx-window-...
SpringSecurity OAuth2 (8) 自定义: ResourceServerTokenServices 资源服务器自行验证签名并解析令牌
O_o
07-24 6440
资源服务器用自己的 ResourceTokenServices 解析令牌.
Spring Cloud云架构 - SSO单点登录之OAuth2.0登录认证(1)
dhpu15386的博客
02-24 284
今天我们对OAuth2.0的整合方式做一下笔记,首先我从网上找了一些关于OAuth2.0的一些基础知识点,帮助大家回顾一下知识点: 一、oauth的角色 client:调用资源服务器API的应用 Oauth 2.0 Provider:包括Authorization Server和Resource Server (1)Authorization Server:认证服务器,进行认证...
Oauth2协议如何对accessToken进行校验
飘渺Jam的博客
07-04 3761
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
Spring Security Oauth2 如何鉴别Token是否有效
热门推荐
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
Spring Oauth2.0 自定义认证模式
weixin_42782429的博客
03-27 1714
首先呢在这之前我们要搞清楚什么是Oauth , OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。OAuth2 是 OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。
深入理解Spring Cloud Security OAuth2资源授权
iloveoverfly的博客
03-08 2703
在Spring Cloud Security 认证和授权都是通过Servlet Filter拦截,处理完成后然后再转发到对应的Servlet请求。认证成功后,会被FilterSecurityInterceptor Filter拦截,进入授权部分,如果应用配置了对权限的控制,这就将生成对应的过滤器对其进行权限控制。AccessDecisionManager接口,定义了授权处理,源码如下: ...
Spring Security OAuth2.0申请令牌访问/oauth/token时候报401 authentication is required
传智燕青
10-11 6298
问题出处 在访问Spring Security OAuth2.0提供的/oauth/token断点申请令牌报401 authentication is required错误。 具体场景如下: 1、使用OAuth2.0的密码模式认证 2、问题图片如下: 解决问题 在/oauth/token 的请求我们指定了client_id和client_secret,所以会走ClientCredentials...
spring security OAuth2AuthenticationProcessingFilter的token认证流程解析
a807719447的专栏
11-19 1771
在ResourceServer需要对token进行校验需要走如下过滤器,我们来分析下token校验认证过程是什么样的 OAuth2AuthenticationProcessingFilter.doFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { final boolean debug = l
sa-token如何校验token
最新发布
07-28
sa-token可以通过以下配置来校验token: 1. 配置token名称:在yml配置文件,可以通过设置`sa-token.token-name`来指定token的名称,例如`sa-token.token-name: X-Token`\[1\]。 2. 配置token有效期:可以通过设置`sa-token.timeout`来指定token的有效期,单位为秒,默认为30天,可以设置为-1代表永不过期,例如`sa-token.timeout: 2592000`\[1\]。 3. 配置token临时有效期:可以通过设置`sa-token.activity-timeout`来指定token的临时有效期,即在指定时间内无操作就视为token过期,单位为秒,默认为-1,表示不设置临时有效期,例如`sa-token.activity-timeout: -1`\[1\]。 4. 配置是否允许同一账号并发登录:可以通过设置`sa-token.is-concurrent`来指定是否允许同一账号并发登录,为true时允许一起登录,为false时新登录会挤掉旧登录,例如`sa-token.is-concurrent: true`\[1\]。 5. 配置是否共用一个token:可以通过设置`sa-token.is-share`来指定在多人登录同一账号时,是否共用一个token,为true时所有登录共用一个token,为false时每次登录会新建一个token,例如`sa-token.is-share: true`\[1\]。 6. 配置是否输出操作日志:可以通过设置`sa-token.is-log`来指定是否输出操作日志,为true时输出操作日志,为false时不输出操作日志,例如`sa-token.is-log: false`\[1\]。 7. 配置是否使用cookie保存token:可以通过设置`sa-token.is-read-cookie`来指定是否使用cookie保存token,为true时使用cookie保存token,为false时不使用cookie保存token,例如`sa-token.is-read-cookie: false`\[1\]。 8. 配置是否使用head保存token:可以通过设置`sa-token.is-read-head`来指定是否使用head保存token,为true时使用head保存token,为false时不使用head保存token,例如`sa-token.is-read-head: true`\[1\]。 通过以上配置,sa-token可以根据配置的规则来校验token的有效性。 #### 引用[.reference_title] - *1* [最简单的权限验证实现——使用Sa-Token进行权限验证](https://blog.csdn.net/lp840312696/article/details/127072424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [探索 Sa-Token (一) SpringBoot 集成 Sa-Token](https://blog.csdn.net/weixin_38982591/article/details/126764928)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值