[总结]spring security oauth2认证回执源码分析

最新推荐文章于 2023-03-28 10:53:05 发布
最新推荐文章于 2023-03-28 10:53:05 发布
阅读量463 收藏
点赞数
分类专栏: 服务器 spring security 文章标签: spring security oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ncy2005/article/details/103971741
版权

目录

1.回执

回执版本一(默认)

回执版本二

2.回执DefaultOAuth2AccessToken类图

3.请求/oauth/token流程

3.1.CompositeTokenGranter.grant

3.1.1根据前端传参的grantType,匹配数组tokenGranters中的对应类型

3.1.2.validateGrantType看ClientDetails是否有对应的grantType的权限

3.1.3.获取用户token

3.2.返回token

4.两个版本回执的原因

4.1.OAuth2AccessToken的序列化方式有两种

4.2.版本1回执OAuth2AccessTokenJackson2Serializer

4.3.版本2回执OAuth2AccessTokenJackson1Serializer

4.4.回执版本变化的原因

4.5.fastJSON使用默认回执数据结构

 

 

1.回执

回执版本一(默认)

* {
*     "access_token": "eeff86b8-66d5-428c-9c2b-9d1cce4d502a",
*     "token_type": "bearer",
*     "refresh_token": "7cc00001-ba52-473f-9c49-ee63f2ca1a0c",
*     "expires_in": 1799,
*     "scope": "read write trust"
* }

回执版本二

DefaultOAuth2AccessToken

* {
*  "additionalInformation": {},
*  "expiration": "2020-01-13 16:52:45",
*  "expired": false,
*  "expiresIn": 1598,
*  "refreshToken": {
*     "expiration": "2020-01-13 17:22:45",
*     "value": "a8ddb0a0-5872-4b70-aa12-3f0a4c4e9247"
*        },
*  "scope": [
*     "read",
*     "write",
*     "trust"
*  ],
*  "tokenType": "bearer",
*  "value": "2b576b11-cad8-4756-89e6-7090023407b2"
*}

2.回执DefaultOAuth2AccessToken类图

 

 

 

3.请求/oauth/token流程

3.1.CompositeTokenGranter.grant

 

3.1.1根据前端传参的grantType,匹配数组tokenGranters中的对应类型

 

 

 

granter.grant()方法如果grantType不匹配,就直接返回null。如果匹配就validateGrantType

 

3.1.2.validateGrantType看ClientDetails是否有对应的grantType的权限

 

 

这个set的值,是我们根据用户去在数据库保存的。

 

 

3.1.3.获取用户token

 

 

先从tokenStore获取有没有token,如果token存在,则校验是否过期,过期了则先清除刷新token,再清除该token。

 

有5种getAccessToken方式,我们如果用的是数据库,就是JdbcTokenStore

如果没有已经存在的token,则新建

 

 

 

新建的token类型正是DefaultOAuth2AccessToken

 

3.2.返回token

返回结果会通过通用的项目的WebMvcConfigurerAdapter进行序列化(因为实际上也是http请求的回执)

 

 

4.两个版本回执的原因

4.1.OAuth2AccessToken的序列化方式有两种

OAuth2AccessTokenJackson1Serializer

OAuth2AccessTokenJackson2Serializer

 

4.2.版本1回执OAuth2AccessTokenJackson2Serializer

 

{
    "access_token": "2de139d5-4b8e-49d0-baf4-1f37a9b3796d",
    "token_type": "bearer",
    "refresh_token": "f35dae51-c6d3-4a10-86b7-5f417834baa4",
    "expires_in": 1793,
    "scope": "read write trust"
}

 

4.3.版本2回执OAuth2AccessTokenJackson1Serializer

 

{
    "additionalInformation": {},
    "expiration": "2020-01-14 11:07:49",
    "expired": false,
    "expiresIn": 1798,
    "refreshToken": {
        "expiration": "2020-01-14 11:37:49",
        "value": "47ad8c7b-61f9-41db-bb7c-8a020efc38a1"
    },
    "scope": [
        "read",
        "write",
        "trust"
    ],
    "tokenType": "bearer",
    "value": "6a49bff9-2f70-41cb-b83b-209294c45c0c"
}

 

 

4.4.回执版本变化的原因

Spring Security Oauth2 返回非标准数据结构 OAuth2AccessToken 序列化问题_yuelangyc的专栏-CSDN博客 https://blog.csdn.net/yuelangyc/article/details/88235639

 

如文章所述,如果自定义了消息处理,覆盖了默认的消息处理器。

 

使用 fastjson 时, spring security oauth2 获取 token 格式变化 · Issue #1640 · alibaba/fastjson https://github.com/alibaba/fastjson/issues/1640

 

针对fastjson,确实存在自定义fastjson消息处理器时,出现回执版本变化。

 

4.5.fastJSON使用默认回执数据结构

参考上面的文章

 

你需要自行写个HttpMessageConverter来转换OAuth2AccessToken,fastjson本身也意识到这个问题,但是FormOAuth2AccessTokenMessageConverter这个类的writeInternal方法没有进行实现,你需要自行实现转换

public class OAuth2AccessTokenMessageConverter extends AbstractHttpMessageConverter<OAuth2AccessToken> {

    private final FastJsonHttpMessageConverter delegateMessageConverter;

    public OAuth2AccessTokenMessageConverter() {
        super(MediaType.APPLICATION_JSON);
        this.delegateMessageConverter = new FastJsonHttpMessageConverter();
    }

    @Override
    protected boolean supports(Class<?> clazz) {
        return OAuth2AccessToken.class.isAssignableFrom(clazz);
    }

    @Override
    protected OAuth2AccessToken readInternal(Class<? extends OAuth2AccessToken> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        throw new UnsupportedOperationException(
                "This converter is only used for converting from externally acquired form data");
    }

    @Override
    protected void writeInternal(OAuth2AccessToken accessToken, HttpOutputMessage outputMessage) throws IOException,
            HttpMessageNotWritableException {
        Map<String, Object> data = new HashMap<>(8);
        data.put(OAuth2AccessToken.ACCESS_TOKEN, accessToken.getValue());
        data.put(OAuth2AccessToken.TOKEN_TYPE, accessToken.getTokenType());
        data.put(OAuth2AccessToken.EXPIRES_IN, accessToken.getExpiresIn());
        data.put(OAuth2AccessToken.SCOPE, String.join(" ", accessToken.getScope()));
        OAuth2RefreshToken refreshToken = accessToken.getRefreshToken();
        if (Objects.nonNull(refreshToken)) {
            data.put(OAuth2AccessToken.REFRESH_TOKEN, refreshToken.getValue());
        }
        delegateMessageConverter.write(data, MediaType.APPLICATION_JSON, outputMessage);
    }

}

注意:上面问题回答针对的只是OAuth2AccessToken,所以实际上,如果我们的项目还有其他的http请求需要处理,则需要修改上面的转换器,只处理token的回执保持兼容,其他请求的回执仍然保持原样

public class OAuth2AccessTokenMessageConverter extends AbstractHttpMessageConverter<Object> { //这里替换成Object
    
    @Override
    protected Object readInternal(Class<? extends OAuth2AccessToken> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        //需要写自己的转换规则
    }
    
    @Override
    protected void writeInternal(Object t, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
        String jsonString = JSON.toJSONString(t);
        if (t instanceof DefaultOAuth2AccessToken) {
            DefaultOAuth2AccessToken oAuth2AccessToken = JSON.parseObject(jsonString, DefaultOAuth2AccessToken.class);
            Map<String, Object> data = new HashMap<>(8);
            data.put(OAuth2AccessToken.ACCESS_TOKEN, oAuth2AccessToken.getValue());
            data.put(OAuth2AccessToken.TOKEN_TYPE, oAuth2AccessToken.getTokenType());
            data.put(OAuth2AccessToken.EXPIRES_IN, oAuth2AccessToken.getExpiresIn());
            data.put(OAuth2AccessToken.SCOPE, String.join(" ", oAuth2AccessToken.getScope()));

            //获取refreshToken
            JSONObject jsonObject = JSON.parseObject(jsonString);
            String refreshTokenString = jsonObject.getString("refreshToken");
            if (Objects.nonNull(refreshTokenString)) {
                data.put(OAuth2AccessToken.REFRESH_TOKEN, JSONObject.parseObject(refreshTokenString).getString("value"));
            }
            jsonString = JSON.toJSONString(data);
        }
        StreamUtils.copy(jsonString, DEFAULT_CHARSET, outputMessage.getBody());
    }

}

 

加入MessageConverters

@Configuration
public class Oauth2WebMvcConfigurer implements WebMvcConfigurer {

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
       converters.add(0, new OAuth2AccessTokenMessageConverter());
    }
}

你可以参考OAuth2AccessToken这个序列化类OAuth2AccessTokenJackson2Serializer进行编写相应的代码

 

飞跃球门
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Oauth2 返回非标准数据结构 OAuth2AccessToken 序列化问题
yuelangyc的专栏
03-06 4856
问题描述: 在Spring框架中,自定义配置了FastJsonHttpMessageConverter ,覆盖掉 MappingJackson2HttpMessageConverter,导致返回时 序列化出现问题。 预期: { "access_token": "f7d77b3f-61f1-4c1e-975e-c6b3bb5f244d", "token_type": "b...
oauth2登录认证SpringSecurity源码分析
欢迎来到我的博客
02-08 256
最近想给自己的小系统搭建一个登录认证服务,最初是想着一套oauth2权鉴就可以,但是发现这个oauth2只是权鉴,具体的登录认证需要由 SpringSecurity来进行实现。 也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架 然后看了一下 SpringSecurity,发现之前用过,但是只是用过,具体的流程不清楚。 趁这个机会,将SpringSecurity源码大体的整理看一下。 概述# SpringSecurity 的功能就是 认证、授权、防止伪造登录 其核心就是一组
Spring Security OAuth2 缓存使用jackson序列化的处理
阿道夫的博客
01-14 1016
不知道这个问题有没有人遇到或者处理过,Spring Security OAuth2的tokenStore的redis缓存默认的序列化策略是jdk序列化,这意味着redis里面的值是无法阅读的状态,而且这个缓存也无法被其他语言的web应用所使用,于是就打算使用最常见的json序列化策略来存储。这个Serializer的代码在刚才的报错中并没有执行,也就是说在序列化之前就报错了,这是为什么呢?限于篇幅,不再过多的讲述其他问题,需要注意的是,mapper还是需要注册两个module,是Spring源码中提供的。
微信access_token定期获取并存储
u014459937的专栏
08-05 4645
在本文中,笔者将演示的定期获取并存储access_token的流程为:Web服务器启动时就加载一个Servlet,在Servlet的init()方法中启动一个线程,在线程的run()方法中通过死循环+Thread.sleep()的方式定期获取access_token,然后将获取到的access_token保存在public static修饰的变量中。 在工程中创建一个InitServlet类
序列化和反序列化版本号不一样异常
qq_51017451的博客
03-28 176
序列化和反序列化版本号不一样的异常
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security oauth2.0 (讲义+代码)
03-10
通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际项目中,我们还需要考虑安全性问题,比如防止CSRF攻击,这...
基于Java的Spring Security OAuth2框架测试设计源码
最新发布
06-01
源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架,提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...
SpringSecurity版本不一致导致序列化失败
王大发的博客
01-29 8309
问题 今天将springcloud.sr2升级到g版后发现zuul去auth验证信息时失败,auth报以下错误 Handling error: SerializationException, Cannot deserialize; nested exception is org.springframework.core.serializer.support.SerializationFailedE...
聊聊 OAuth 2.0 的 token expire_in 使用
热门推荐
冷冷的博客
04-08 1万+
问题背景 有同学私信问了这样的问题,访问 pig4cloud 的演示环境 查看登录请求 network 返回报文如下: { "access_token":"16d35799-9cbb-4c23-966d-ab606029a623", "token_type":"bearer", "re...
小程序前端验证和发送请求和后端验证
天天的博客
01-15 1053
logingo:function(){ // es6 结构语法 const {phone,password} = this.data; console.log(this.data) //手机号不能为空 if(!phone){ wx.showToast({ title: '手机号不能为空', icon:'none' }) return; } //手机号必须符合格式 cons.
Oauth2 - FastJson对Oauth2结果序列化问题的处理过程记录
qq_38800175的博客
04-15 1360
问题的暴露 起因: 在工作中,授权框架从 Spring Security 更换为 Oauth2,授权获取 token 的时候,发现登录后,使用 FastJson 和采用默认的Jackson2 颁发 token 返回结果格式完全不同,按照 Oauth2 官网提供的示例中的返回结果,对比使用 FastJson 返回结果完全不同,于是在这个情况下,决定先探一下 Jackson2 为什么会返回正确格式,而 FastJson 却存在问题。 FastJson 错误格式 { "additionalInform
spring-security-oauth2 简介、中文文档、中英对照文档 下载
寒水馨
01-31 949
spring-security-oauth2 简介、中文文档、中英对照文档 下载;org.springframework.security.oauthspring-security-oauth2、中文文档、中英对照文档、下载、包含jar包、原API文档、源代码、Maven依赖信息文件、翻译后的API文档、springsecurityspringframework、oauth2、oauth、jar包、java、中英对照文档;为Spring Security提供OAuth2支持的模块
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
oauth2 redis mysql_spring security oauth2使用redis存储token
weixin_29497981的博客
02-08 365
序本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构mavenorg.springframework.bootspring-boot-starter-securityorg.springframework.security.oauthspring-security-oauth2org.springframework.boots...
spring security oauth2使用redis存储token
weixin_34313182的博客
12-09 603
序 本文就来讲述一下spring security oauth2使用redis来存储token的配置及在redis中的存储结构 maven <dependency> <groupId>org.springframework.boot</groupId> <artif...
spring-security-oauth2文档
03-26
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器和资源服务器的过程。Spring Security OAuth2 Boot提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值