SpringCloud Security + OAuth2 集成之回调地址拓展

最新推荐文章于 2024-08-12 12:35:47 发布
置顶 最新推荐文章于 2024-08-12 12:35:47 发布
阅读量3.8k 收藏 4
点赞数 2
分类专栏: SpringCloud 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nvluco/article/details/103888801
版权

SpringCloud Security + OAuth2 集成之回调地址拓展

技术栈:

springCloud (Finchley.SR2)

springBoot(2.0.4)

OAuth (2.3.3.RELEASE)

Security(2.3.3.RELEASE)

1.问题引出

在实际应用中,单调登录有验证 前端请求中携带的回调地址 与 数据库所存对应客户端ID所允许的回调地址 做验证的过程,那么就会存在一个 clientID 会对应多个 web_server_redirect_uri 服务回调地址。抱着试一下的心态,试着用 ; 来拼接多个 回调地址,会出现下面错误。Invalid redirect: does not match one of the registered values,那么接下来来分析如何拓展回调地址。

2.问题分析

2.1.找到相关接口

  • 验证客户端的相关接口为 : /oauth/authorize

2.2.定位到相关的依赖和类

  • 定位到依赖包:
    spring-security-oauth2-2.2.3.RELEASE.jar

  • 所在的类:
    org.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint

2.3.定位到相关细节

  • 所在的方法:
    authorize

  • 具体方法如下 :

@RequestMapping(value = "/oauth/authorize")
	public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters,
			SessionStatus sessionStatus, Principal principal) {

		// Pull out the authorization request first, using the OAuth2RequestFactory. All further logic should
		// query off of the authorization request instead of referring back to the parameters map. The contents of the
		// parameters map will be stored without change in the AuthorizationRequest object once it is created.
		AuthorizationRequest authorizationRequest = getOAuth2RequestFactory().createAuthorizationRequest(parameters);

		Set<String> responseTypes = authorizationRequest.getResponseTypes();

		if (!responseTypes.contains("token") && !responseTypes.contains("code")) {
			throw new UnsupportedResponseTypeException("Unsupported response types: " + responseTypes);
		}

		if (authorizationRequest.getClientId() == null) {
			throw new InvalidClientException("A client id must be provided");
		}

		try {

			if (!(principal instanceof Authentication) || !((Authentication) principal).isAuthenticated()) {
				throw new InsufficientAuthenticationException(
						"User must be authenticated with Spring Security before authorization can be completed.");
			}

			ClientDetails client = getClientDetailsService().loadClientByClientId(authorizationRequest.getClientId());

			// The resolved redirect URI is either the redirect_uri from the parameters or the one from
			// clientDetails. Either way we need to store it on the AuthorizationRequest.
			String redirectUriParameter = authorizationRequest.getRequestParameters().get(OAuth2Utils.REDIRECT_URI);
			String resolvedRedirect = redirectResolver.resolveRedirect(redirectUriParameter, client);
			if (!StringUtils.hasText(resolvedRedirect)) {
				throw new RedirectMismatchException(
						"A redirectUri must be either supplied or preconfigured in the ClientDetails");
			}
			authorizationRequest.setRedirectUri(resolvedRedirect);

			// We intentionally only validate the parameters requested by the client (ignoring any data that may have
			// been added to the request by the manager).
			oauth2RequestValidator.validateScope(authorizationRequest, client);

			// Some systems may allow for approval decisions to be remembered or approved by default. Check for
			// such logic here, and set the approved flag on the authorization request accordingly.
			authorizationRequest = userApprovalHandler.checkForPreApproval(authorizationRequest,
					(Authentication) principal);
			// TODO: is this call necessary?
			boolean approved = userApprovalHandler.isApproved(authorizationRequest, (Authentication) principal);
			authorizationRequest.setApproved(approved);

			// Validation is all done, so we can check for auto approval...
			if (authorizationRequest.isApproved()) {
				if (responseTypes.contains("token")) {
					return getImplicitGrantResponse(authorizationRequest);
				}
				if (responseTypes.contains("code")) {
					return new ModelAndView(getAuthorizationCodeResponse(authorizationRequest,
							(Authentication) principal));
				}
			}

			// Store authorizationRequest AND an immutable Map of authorizationRequest in session
			// which will be used to validate against in approveOrDeny()
			model.put(AUTHORIZATION_REQUEST_ATTR_NAME, authorizationRequest);
			model.put(ORIGINAL_AUTHORIZATION_REQUEST_ATTR_NAME, unmodifiableMap(authorizationRequest));

			return getUserApprovalPageResponse(model, authorizationRequest, (Authentication) principal);

		}
		catch (RuntimeException e) {
			sessionStatus.setComplete();
			throw e;
		}

	}
  • 如上,找到下面这条语句,便是对 重定向地址的处理。
			String resolvedRedirect = redirectResolver.resolveRedirect(redirectUriParameter, client);
  • 进入 resolveRedirect 这个方法,方法内容如下:
public String resolveRedirect(String requestedRedirect, ClientDetails client) throws OAuth2Exception {

		Set<String> authorizedGrantTypes = client.getAuthorizedGrantTypes();
		if (authorizedGrantTypes.isEmpty()) {
			throw new InvalidGrantException("A client must have at least one authorized grant type.");
		}
		if (!containsRedirectGrantType(authorizedGrantTypes)) {
			throw new InvalidGrantException(
					"A redirect_uri can only be used by implicit or authorization_code grant types.");
		}

		Set<String> registeredRedirectUris = client.getRegisteredRedirectUri();
		if (registeredRedirectUris == null || registeredRedirectUris.isEmpty()) {
			throw new InvalidRequestException("At least one redirect_uri must be registered with the client.");
		}
		return obtainMatchingRedirect(registeredRedirectUris, requestedRedirect);
	}
  • 再看 重定向定制的匹配函数 obtainMatchingRedirect,他的方法参数有 registeredRedirectUrisrequestedRedirect 这两个,其中 requestedRedirect 是前端请求时携带的回调地址,registeredRedirectUris 这个则是我们注册到 OAuth2 允许对应客户端的回调地址。然后我们再接着看obtainMatchingRedirect 这个方法,代码如下 :
	private String obtainMatchingRedirect(Set<String> redirectUris, String requestedRedirect) {
		Assert.notEmpty(redirectUris, "Redirect URIs cannot be empty");

		if (redirectUris.size() == 1 && requestedRedirect == null) {
			return redirectUris.iterator().next();
		}
		for (String redirectUri : redirectUris) {
			if (requestedRedirect != null && redirectMatches(requestedRedirect, redirectUri)) {
				return requestedRedirect;
			}
		}
		throw new RedirectMismatchException("Invalid redirect: " + requestedRedirect
				+ " does not match one of the registered values: " + redirectUris.toString());
	}

-Invalid redirect: " + requestedRedirect + " does not match one of the registered values ,看到这个就很亲切了,因为这个是我之前刚开始学的时候,经常能遇到的问题。

  • redirectMatches 这个就是回调地址具体的匹配函数,此处暂时不做详细介绍了,有兴趣的同学可以自己去研究。

  • 回到我们的背景,我们的需求实时 看能不能实现单个 clientID 对应多个 web_server_redirect_uri (回调地址)。回到 resolveRedirect 这个方法,我们关注如何获取已注册的回调地址,代码如下:

Set<String> registeredRedirectUris = client.getRegisteredRedirectUri();
  • 再接着进入 client.getRegisteredRedirectUri() ,方法如下:
@org.codehaus.jackson.annotate.JsonIgnore
	@com.fasterxml.jackson.annotation.JsonIgnore
	public Set<String> getRegisteredRedirectUri() {
		return registeredRedirectUris;
	}

	@org.codehaus.jackson.annotate.JsonProperty("redirect_uri")
	@org.codehaus.jackson.map.annotate.JsonDeserialize(using = JacksonArrayOrStringDeserializer.class)
	@com.fasterxml.jackson.annotation.JsonProperty("redirect_uri")
	@com.fasterxml.jackson.databind.annotation.JsonDeserialize(using = Jackson2ArrayOrStringDeserializer.class)
	private Set<String> registeredRedirectUris;
  • 我们看到上述的 getRegisteredRedirectUri 这个方法,其实就是获取 BaseClientDetails 这个对象的 registeredRedirectUris 变量,这个变量在反序列化时,又会自动使用 Jackson2ArrayOrStringDeserializerJacksonArrayOrStringDeserializer 这两个类的 deserialize 方法,我们再看 deserialize 这个方法,代码如下:
public class Jackson2ArrayOrStringDeserializer extends StdDeserializer<Set<String>> {

	public Jackson2ArrayOrStringDeserializer() {
		super(Set.class);
	}

	@Override
	public JavaType getValueType() {
		return SimpleType.construct(String.class);
	}

	@Override
	public Set<String> deserialize(JsonParser jp, DeserializationContext ctxt) throws IOException,
			JsonProcessingException {
		JsonToken token = jp.getCurrentToken();
		if (token.isScalarValue()) {
			String list = jp.getText();
			list = list.replaceAll("\\s+", ",");
			return new LinkedHashSet<String>(Arrays.asList(StringUtils.commaDelimitedListToStringArray(list)));
		}
		return jp.readValueAs(new TypeReference<Set<String>>() {
		});
	}
}

  • 如上,主要的函数就是 String.replaceAll()StringUtils.commaDelimitedListToStringArray() 这两个方法。第一个方法就是一个对字符串替换的函数,第二个则是对字符串根据某个特殊符号进行分割的函数。那么我们将如上代码进行解读:

    1. list = list.replaceAll("\\s+", ",");
      • 上述方法 \\s+ 这个是转义后的正则表达式,即使 \s+ 表示的就是对字符 list 中存在大于等于1个空格的地方,将被 ,来替换。
    2. StringUtils.commaDelimitedListToStringArray(list))
      • 显而易见,这个防范就是对字符 list 进行按 , 分割,将分割后的字符放入一个 String[] 数组中。

2.4.分析小结

OAuth 2.3.3 这个版本是支持单个CliendID 对应多个 web_server_redirect_uri 的,其中对 web_server_redirect_uri 的格式要求就是对 多个回调地址之间用 逗号 进行一个隔开即可。

3.问题解决

  • oauth_client_details 表中,对 web_server_redirect_uri 这个字段存储多个回调地址时,在多个回调地址之间用英文小写逗号隔开。

    • 例如:http://000.000.000.229:1234/login,http://000.000.0.01:9123/login

  • 注: 如上描述如有错误,烦请各位朋友指出,共同学习共同进步。

  • 文章原创,禁止转载。

N廿一
关注
专栏目录
User must be authenticated with Spring Security before authorization can be completed.
程序员劝退师的博客
11-07 1万+
在整合SpringOAuth2.0时,启动后访问/oauth/authorize接口获取code时 显示User must be authenticated with Spring Security before authorization can be completed.异常,这个异常我在网上看了一些解决方案,都不符合我的问题。有一个是这样的 没用! 还一种就是 还一种 也解决不了,启动调试模式,看了一下 问题锁定principal这个值为空,然后就搜索了一下,找到这篇文章, OAuth2.0
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1552
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
SpringSecurity学习笔记之 入门 十 四(SpringSecurityOAuth2整合SSO单点登录)
m0_49194578的博客
08-21 957
首先准备一个新项目,这个项目是想要通过我们之前配置的oauth认证服务器进行单点登录的; 导入maven坐标: 基本坐标: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-dependencies</artifactId> <version>Greenwich.SR1</version&gt
Spring Security 实战内容:OAuth2授权回调的处理机制
V539413949的博客
04-16 2295
1. 前言 当用户发起第三方授权请求是如何初始化OAuth2AuthorizationRequest授权请求对象以及如何通过过滤器进行转发到第三方的。今天我们接着这个流程往下走,来看看服务器收到授权请求是怎么做的。 2. OAuth2登录认证 当第三方收到OAuth2授权请求后,会将授权的回执通过我方提供的回调请求redirect_uri传递给我们。由于默认情况下回调的路径满足/login/oauth2/code/*,所以我们只要找到拦截回调的过滤器就可以知道Spring Security是如何处理回调了.
微服务认证系列一:SpringCloud OAuth2
最新发布
wanping15825992341的博客
08-12 414
OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。
利用简单方法解决外部系统回调测试环境,多套环境便捷切换
Testerhomee的博客
03-18 399
原文由JoyMao发表于TesterHome社区网站,点击原文链接可与作者直接交流 这个是简单的措施来解决外部系统回调测试环境时面临多套环境的方法。 背景: 部门有10套测试环境并发,每套环境都有一些同样的应用来接受外网或者内网内的其他系统的webhook回调处理,但回调地址只能有一个:每次版本变化,对应应用ip都会发生变化,需要及时去修改,存在管理混乱的问题。 过程 解决的方法很多,比如服务化、proxy、k8s…复杂度不一,不改动现有测试发布环境的基础上,利用proxy是最方便的,但需要提供方便改动.
单点登录 cas 设置回调地址_spring下使用shiro+cas配置单点登录
weixin_39877504的博客
11-21 493
往期精彩推荐:这是一款国产略吊的Java模版引擎权限系统控制到按钮级别开源推荐 Spring Boot-Shiro-Vue高逼格开源聊天系统 推荐 Spring+Netty+Websocket实现杠把子级别的Java开源后台管理系统炸街版Java开源OA系统,你值得学习这几天有人问我要单点登录demo,这里推荐一枚。github地址:https://github.com/tinybyhu...
User must be authenticated with Spring Security before authorization can be completed
honor_zhang的博客
08-10 8920
问题描述 利用Spring cloud oauth2实现Oauth 2权限控制时,调用/oauth/authorize获取授权码,抛出了User must be authenticated with Spring Security before authorization can be completed异常? 请求接口: 控制台异常信息为: 接口部分源码为: @RequestMapping(value = "/oauth/authorize") public ModelAndV...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3531
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
javaSpring Cloud+Mybatis 微服务商城 b2b2c商城 直播商城 小程序商城 多商家入驻商城 APP商城源码 聚合支付商城
iteye_3750的博客
03-07 1万+
B2B2C多商家入驻直播/短视频带货版本: 标准多商户入驻+直播、短视频带货+二级分销体系+满减、满送、优惠券、组合销售、平台礼包等营销活动
微服务安全Spring Security Oauth2实战
xnxqwzy的博客
04-01 1967
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
SpringCloud学习
qq_43317879的博客
04-29 250
这是一篇关于Spring Cloud微服务架构的学习 1.微服务架构的认识 1.1 单体应用架构: 将所有的代码及功能都包含在一个WAR包中的项目组织方式被称为Monolith(单体应用) 特点: ①编译难,部署难,测试难 ②技术选择难 ③扩展难 在中小型项目的情况下使用单体应用比较简单比如: crm 物流 库存管理等 单体应用中多个模块的负载不均衡,我们扩容高负载的时候,也把低负载的模块也扩容...
spring security oauth2.0搭建用户认证服务(二)
u013911102的博客
09-10 663
项目场景: 言归正传,我们上一篇文章搭建的spring security显然不符合我们的需求,因此我们要在原来的基础上引入oauth.通过jwt的形式来完成登录模块。本篇文章我们只是引入oauth。 技术详解: 我们之前的配置只不过是引入了spring security,现在我们要加入oauth。 第一步:配置数据库 create table oauth_client_details ( client_id VARCHAR(256) PRIMARY KEY, resource_ids V
遇坑OAuth2 error: error=“invalid_grant“, error_description=“Invalid redirect
热门推荐
ywdevil1314的博客
08-27 2万+
Handling OAuth2 error: error="invalid_grant", error_description="Invalid redirect: =http://www.baidu.com does not match one of the registered values." spring Outh2请求code时,请求code重定向时与坑!错误描述错误截图错误日志AuthorizationServerConfigurerAdapter配置如下原因如下关于解析回调url部分源码剖析
OAuth2.0协议入门
Daniel462038751的专栏
10-20 1812
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
微信网页授权,解决REDIRECT_URL携带#号,微信返回时临时code等参数拼接在URL中间,而不是最后面
qq_37967380的博客
04-12 6366
微信授权获取临时code的URL https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=snsapi_userinfo&state=012#wechat_redirect 授权逻辑代码 通过window.history.pushState({}, 0, jumpURL)解决问题=,其中jumpU.
OAuth2.0 授权码认证方式使用流程
北辰
09-05 1460
第一步:访问认证服务 http://localhost:9001/oauth/authorize?response_type=code&client_id=资源服务在认证服务里面的ClientID 输入登录账户(admin)和密码(admin) 访问成功后,会回调到一个地址并且含有授权码 https://www.baidu.com/?code=ZuhQ3u 第二步: http://127.0.0.1:9001/oauth/token?grant_type=authorization_c
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 5275
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
基于SpringSecurity OAuth2实现单点登录——授权服务器是如何实现授权的呢?
向心行者
06-12 2293
1、前言   在前面的几篇博文中,我们分析了实现单点登录过程中是如何实现从访问http://localhost:8082/index重定向到http://localhost:8082/login,然后又重定向到授权服务器http://localhost:8080/oauth/authorize地址上的。到目前为止,我们的请求已经从应用A到授权服务器了,那授权服务器是如何实现登录认证的呢?我们下面开始跟着代码进行分析。 2、重定向到授权登录页   当从应用A重定向到授权服务器http://localhost:
springcloud+springboot+oauth2+spring security+redis
07-15
总之,Spring Cloud、Spring BootOAuth2、Spring Security和Redis等技术可以在构建分布式系统时发挥重要作用,帮助我们快速搭建实现各个功能模块,并提供高性能和安全性。 ### 回答3: Spring Cloud是一套基于...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值