security-oauth2(token解密过程)

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量4k 收藏 7
点赞数 2
分类专栏: security-oauth2源码解析 security-oauth2 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33421961/article/details/109585717
版权

整体介绍

security-oauth2 提供了一些默认的过滤器链,每个过滤器链里面都有一个匹配器,并且每个过滤器链中都有多个过滤器,当业务接口请求到后端的时候,在请求到达目标接口之前,会被过滤器链代理拦截下来,然后循环过滤器链,利用过滤器链本身的匹配器对请求进行匹配,如果匹配通过,则进入到过滤器链中,然后循环执行过滤器链中所有的过滤器,在这些过滤器中,会对请求头信息中的token进行校验,如果全部校验通过,请求才会调用到最初的目标接口,否则就终止请求的执行,并抛错错误码403类似的提示

源码解析

当业务接口请求到后端的时候,会被过滤器链代理拦截,代码如下

public class FilterChainProxy extends GenericFilterBean implements Filter, BeanNameAware, EnvironmentAware,
		EnvironmentCapable, ServletContextAware, InitializingBean, DisposableBean {
   
		
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
   
		boolean clearContext = request.getAttribute(FILTER_APPLIED) == null;
		if (clearContext) {
   
			try {
   
				request.setAttribute(FILTER_APPLIED, Boolean.TRUE);
				doFilterInternal(request, response, chain);
			}
			finally {
   
				SecurityContextHolder.clearContext();
				request.removeAttribute(FILTER_APPLIED);
			}
		}
		else {
   
			doFilterInternal(request, response, chain);
		}
	}
	
}

因为 FilterChainProxy 实现了 Filter 接口,所以会拦截接口请求,并进入到doFilter()方法中,然后请求会走到doFilterInternal()方法中,代码如下

private void doFilterInternal(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
   

		FirewalledRequest fwRequest = firewall
				.getFirewalledRequest((HttpServletRequest) request);
		HttpServletResponse fwResponse = firewall
				.getFirewalledResponse((HttpServletResponse) response);

		List<Filter> filters = getFilters(fwRequest); 

		if (filters == null || filters.size() == 0) {
   
			if (logger.isDebugEnabled()) {
   
				logger.debug(UrlUtils.buildRequestUrl(fwRequest)
						+ (filters == null ? " has no matching filters" : " has an empty filter list"));
			}
			fwRequest.reset();
			chain.doFilter(fwRequest, fwResponse);
			return;
		}

		VirtualFilterChain vfc = new VirtualFilterChain(fwRequest, chain, filters);
		vfc.doFilter(fwRequest, fwResponse);
	}

在上面代码块里,先调用getFilters()方法获取过滤器

private List<Filter> getFilters(HttpServletRequest request) {
   
		for (SecurityFilterChain chain : filterChains) {
   
			if (chain.matches(request)) {
   
				return chain.getFilters();
			}
		}
		return null;
	}

在getFilters()方法中,循环所有滤器链,利用每条过滤器链本身的匹配器与接口请求进行匹配,返回第一条匹配成功的过滤器链,然后将该过滤器链中的所有过滤器以集合的形式返回到doFilterInternal()方法中,doFilterInternal()方法在拿到过滤器集合之后,将其封装在了VirtualFilterChain过滤器链中,然后调用VirtualFilterChain过滤器链的doFilter方法

private static class VirtualFilterChain implements FilterChain{
   

@Override
		public void doFilter(ServletRequest request, ServletResponse response)
				throws IOException, ServletException {
   
			if (currentPosition == size) {
   
				if (logger.isDebugEnabled()) {
   
					logger.debug(UrlUtils.buildRequestUrl(firewalledRequest)
							+
最低0.47元/天 解锁文章
呼哈EV
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java整合oauth项目代码实现安全认证案例
10-31
Spring Boot中,我们可以使用Spring Security OAuth2模块来轻松配置客户端。 客户端的配置主要包括以下步骤: 1. 客户端注册:在认证服务器上注册客户端,指定其ID、秘密、回调URL等信息。 2. 授权请求:当需要...
SpringGateway集成Oauth2进行认证授权及SSO
08-31
1. `pom.xml`:添加必要的依赖,如Spring Security OAuth2、Spring Boot Data JPA、Redis等。 2. `AuthorizationServerConfig`:配置OAuth2的授权服务器,包括使用jdbc+jwt的方式设置令牌生成策略。 3. `Security...
SpringSecurity OAuth2 整合JWT,获取token解析token(密码模式为例子)
longqiyuye925的博客
06-26 5205
我前面的文章曾自己引入JWT,并且定义规则,并用于权限判断(想了解的可以看看源码),这篇将重点记录下,当我发现SpringSecurity可以使用业界公认的OAuth2规范来自动生成token,并且可以整合JWT,我是如何把它用于项目里的。 源码地址: https://github.com/longqiyuye925/blogServer 直接从依赖开始: 这些都是我所用到的相关包,注意下我这篇文章的时间,如果和你当前时间很接近而且你是新建的SpringBoot项目,不要使用最新版本,应该使用2.5.X,否
Sina微博OAuth2框架解密
forlong401的专栏--有问题上:http://www.androidren.com
02-03 628
http://my.oschina.net/xpbug/blog/88793 自从sina微博oauth2出来以后, 第三方集成开发简单了很多. Oauth2不像oauth1一样需要后台httpclient请求那么麻烦, 一切都可以在前台使用ajax实现了. 很多人觉得蹊跷, 对于一个第三方应用, 如何不走后台,而在前台使用ajax, 来获取access token? 又如何向sina发
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 1093
OAuth2.0 的token自动续期源码分析及实现
Spring Security Oauth2之获取token流程分析
clyu的博客
01-10 7309
前言 本文主要研究Spring Security Oauth2 token获取流程,token获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token获取,废话不多说,先上一张核心源码流程图! TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口 ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息
Spring Cloud OAuth 微服务内部Token传递的源码实现解析
weixin_33858485的博客
04-20 439
背景分析1.客户端携带认证中心发放的token,请求资源服务器A2.客户端携带令牌直接访问资源服务器,资源服务器通过对token 的校验 判断用户的合法性,并保存到上下文中3.A服务接口接收到请求,需要通过Feign或者其他RPC框架调用B服务来组装返回数据本文主要来探讨第三部 A --> B ,token 自定维护的源码实现如何实现token 传递配置OAuth2F...
谈谈Oauth2授权框架,token派发流程以及源码解析
青学博客
12-08 7015
一、本文解决的问题 在使用Oauth2,登陆授权框架使用的是Oauth2+Sping Security+jwt遇到了很多莫名奇妙的问题。因为套框架底层封装了很多东西,所以在操作的时候很多操作框架帮我们做了。我也莫名奇妙的根着框架做,最后连个认证流程都没搞清楚。 所以在这里主要为了总结下之前的疑惑做个小笔记。下面先把我遇到的问题列出来,然后再慢慢说解决,所有东西都是自己在项目打断点和自己的理解总结出...
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 2781
在上篇文章我们分析了token获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 三 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
spring-security-login-form-database-xml.zip_java security
09-21
10. **CSRF防护**: Web应用常见的跨站请求伪造(CSRF)攻击,Spring Security通过添加CSRF token到表单提交来防止。 总的来说,这个项目展示了如何使用Spring Security创建一个安全的登录系统,结合数据库存储用户...
Spring Security 单点登录简单示例详解
08-26
* `spring-security-oauth2-autoconfigure` 这些依赖项提供了 Spring Security 的核心功能,包括身份验证、授权和访问控制等。 结论 Spring Security 提供了一个强大且灵活的安全框架,帮助我们快速构建安全的...
Token验证的代码
09-08
Spring框架提供了多种实现Token验证的方式,例如JWT(JSON Web Tokens)或OAuth2。JWT是一个开放标准,它定义了一个紧凑的、自包含的方式来安全地传输信息作为JSON对象,这个信息可以被验证和信任,因为它是数字签名...
Spring Cloud OAuth2 资源服务器CheckToken 源码解析
dingjianjin的博客
05-27 6004
CheckToken的目的 当用户携带token 请求资源服务器的资源时, OAuth2AuthenticationProcessingFilter 拦截token,进行token 和userdetails 过程,把无状态的token 转化成用户信息。 详解 OAuth2AuthenticationManager.authenticate(),filter执行判断的入口 当用户携带token ...
oauth原理解析
壁立千仞无欲则刚的博客
02-17 454
1、用appkey换取code 访问https://目标网站.com/authorize?appkey=xxxxxx&redirect_uri=https://我们的网站(第三方).com/callback_url&response_type=code&state=STATE 检测发现用户没有登录的情况下,引导用户到授权页面去授权,这个地址是位于目标网站的一个网址,带入了我们的appkey,以
单点登录---SSO (JWT分析)-----SpringSecurity + OAuth 2
delete_bug的博客
01-05 943
什么是SSO 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。 普通认
【第十一篇】SpringSecurity基于JWT实现Token的处理
波波烤鸭的博客
05-26 3259
SpringSecurity基于JWT实现Token的处理   前面介绍了手写单点登录和JWT的应用,本文结合SpringSecurity来介绍下在SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理。 一、认证思路分析   SpringSecurity主要是通过过滤器来实现功能的!我们要找到SpringSecurity实现认证和校验身份的过滤器! 1.回顾集中式认证流程 用户认证:   使用 UsernamePasswordAuthent
Spring Security(十二):认证(OAuth2)-用户名密码登录获取token
热门推荐
人不风流枉少年
06-27 1万+
上文讲了授权码模式,了解授权码模式可以很好的了解授权模式,但实际开发中也需要 "用户名+密码"方式来获取授权,本文将"用户名密码"这种方式接入到标准的OAuth2流程中,登录成功后返回token,根据token访问其它接口。 1. pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://mav...
springsecurity-oauth2集成,jwt生成token,源码解析
做技术,贵在学习与坚持!
08-14 1316
springsecurity-oauth2集成,jwt生成token 认证 @Configuration @EnableAuthorizationServer public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Autowired private DataSource dataSource; @Autowired private JwtAccessToke
Spring Securitytoken实战
qq_34819586的博客
03-19 294
看到篇不错的security文章,与大家分享下:https://www.cnblogs.com/demingblog/p/10874753.html 原作者禁止二次创作,个人的security对该文章总结扩展衍生就不贴出来了,有兴趣的可以看git笔记:https://github.com/yuyumyself/ssm-springBoot/blob/master/spring/SpringSec...
spring-security-oauth2与spring-cloud-starter-oauth2
06-10
spring-security-oauth2和spring-cloud-starter-oauth2都是OAuth 2.0协议的Spring框架的库但它们的使用场景有所不同。 spring-security-oauth2是一个Spring Security的扩展,它提供了OAuth 2.0的实现,可以用于客户端和资源服务器的认证和授权。主要用于在独立的OAuth 2.0服务器上运行的情况下,为客户端和资源服务器提供认证和授权的功能。 而spring-cloud-starter-oauth2是一个Spring Cloud的库,它提供了对OAuth 2.0的支持,可以用于在微服务架构中的各个服务之间进行认证和授权。主要用于在微服务架构中,为各个服务提供认证和授权的功能。 因此,如果你需要在独立的OAuth 2.0服务器上运行,为客户端和资源服务器提供认证和授权的功能,你可以使用spring-security-oauth2。如果你需要在微服务架构中,为各个服务提供认证和授权的功能,你可以使用spring-cloud-starter-oauth2。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值