springsecurity源码(oauth2)

最新推荐文章于 2024-03-25 10:44:13 发布
最新推荐文章于 2024-03-25 10:44:13 发布
阅读量405 收藏 1
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33788242/article/details/112705625
版权

一,先看流程图
在这里插入图片描述

二,步骤解析
1,首先从获取授权码的请求路径/oauth/token入手
主要流程为获取ClientDetails-》认证并返回授权信息-》返回获取到的token

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
。。。
		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);
		//获取ClientDetails(第三方应用)
		//loadClientByClientId 的 sql语句 :select client_id, client_secret,。。。   from oauth_client_details  where client_id = ?
		
		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);//组装tokenRequest
。。。
	   //这里根据传过来的认授权模式(密码模式,授权码模式等),认证并返回授权信息
		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}
		return getResponse(token);//返回获取到的token
	}

2,查看认证并返回授权信息的方法, getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

public class CompositeTokenGranter implements TokenGranter {

	private final List<TokenGranter> tokenGranters; 
	
	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		for (TokenGranter granter : tokenGranters) {
			OAuth2AccessToken grant = granter.grant(grantType, tokenRequest);//找到对应的生成token授权模式,并认证
			if (grant!=null) {
				return grant;
			}
		}
		return null;
	}


	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
      。。。
  		String clientId = tokenRequest.getClientId();
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		validateGrantType(grantType, client); 
		return getAccessToken(client, tokenRequest); //这里
	}

	protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
		return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));// 不同的授权模式getOAuth2Authentication
	}

3,上面的tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest)); 有两个方法
首先看内层方法getOAuth2Authentication(client, tokenRequest),该方法不同的授权模式有不同的实现
以密码授权模式ResourceOwnerPasswordTokenGranter 为例,
进入该类的getOAuth2Authentication方法

@Override
	protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

		Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
		String username = parameters.get("username");
		String password = parameters.get("password");
		parameters.remove("password");

		Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
		((AbstractAuthenticationToken) userAuth).setDetails(parameters);
		try {
			userAuth = authenticationManager.authenticate(userAuth);//这里
		}
	。。。
		OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);		 
		return new OAuth2Authentication(storedOAuth2Request, userAuth);  //生成OAuth2Authentication
	}

4,上面的 userAuth = authenticationManager.authenticate(userAuth); 就是账号密码登陆的逻辑,取得认证信息。详看springsecurity源码(密码登陆) 第三步
5,取得认证信息后,返回再看 tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest)); 的外层方法createAccessToken方法
跟进DefaultTokenServices的createAccessToken方法

@Transactional
	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);// 获取OAuth2AccessToken 从jdbc,jwt,redis,inmemory
		if (existingAccessToken != null) {
		 。。。。。
				return existingAccessToken; //如果存在就返回
		}
		OAuth2RefreshToken refreshToken = null; 
	  。。。
		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);//不存在就进入这里
		tokenStore.storeAccessToken(accessToken, authentication);
	 。。。
		refreshToken = accessToken.getRefreshToken();
		if (refreshToken != null) {
			tokenStore.storeRefreshToken(refreshToken, authentication);
		}
		return accessToken;
	}

6,查看 createAccessToken(authentication, refreshToken);
该方法生成最终的OAuth2AccessToken,并返回,
回到第1步的return getResponse(token); 返回给客户端

private OAuth2AccessToken createAccessToken(OAuth2Authentication authentication, OAuth2RefreshToken refreshToken) {
		DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(UUID.randomUUID().toString());
		int validitySeconds = getAccessTokenValiditySeconds(authentication.getOAuth2Request());
		if (validitySeconds > 0) {
			token.setExpiration(new Date(System.currentTimeMillis() + (validitySeconds * 1000L)));
		}
		token.setRefreshToken(refreshToken);
		token.setScope(authentication.getOAuth2Request().getScope());

		return accessTokenEnhancer != null ? accessTokenEnhancer.enhance(token, authentication) : token;//自定义token
	}
星火燎原bbb
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity5-教程3-oauth2登录源码分析
zhouwenjun0820的博客
03-20 1845
spring-security
springSecurityspringOAuth2源码解析
weixin_39538035的博客
10-25 2449
springSecurityspringOAuth2登录认证接口源码解析
Spring Security Oauth2认证源码解析
alan_liuyue的博客
08-17 2373
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较多的源码,非关键性代以…代替。 准备工作 首先开启debug信息: logging: level: org.springframework: DEBUG 可以完整的看到内部的运转流程。 client模式稍微简单一些,使用client模式获取tokenhttp://localhost:808...
Spring Security OAuth2根据授权获取Token源码
weixin_45795312的博客
07-06 2311
OAuth2根据授权获取Token
Spring Security OAuth2授权原理、流程与源码解读
swg321321的博客
06-21 2126
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
spring security oauth2的学习过程(二)
it帝国的博客-辉
02-26 541
前面我们已经把基本的授权服务器弄好了,并能根据四种方式获取到token了。今天就再讲讲具体的一些东西。 今天要做的事情如下 1,管理用户数据 2,修改原生返回token的内容(令牌增强器) 3,tokenStore(令牌持久化接口,令牌存储介质) 管理用户数据 比方我们前一篇文中的用户名和密是使用spring security auth2.0 默认产...
Spring security oauth源码
10-28
3. **OAuth2 endpoints**:如`/oauth/authorize`、`/oauth/token`等,用于处理OAuth相关的请求,如用户授权、令牌颁发等。 4. **Resource Server配置**:用于配置资源服务器如何验证访问令牌,通常使用`@...
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect安全功能。OAuth2是一个授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而OpenID Connect则是在OAuth2之上...
SpringSecurity OAuth2.0源码
最新发布
07-02
SpringSecurity OAuth2.0 源码
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
springboot +spring security+Oauth2 用户授权接口程序源码
08-09
一、控制逻辑 1、首先查询用户是否存在,如不存在,抛出异常 2、其次,用户存在,查询用户的锁定状态,如果用户锁定,用户当前时间减去锁定时间,事件超过10分钟,自动解除锁定,更新用户状态;...4、Oauth2版本 2.2.1
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
乌龟的专栏
03-13 1112
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
qq_42264638的博客
04-21 2878
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
Spring Security 源码解读 :基本架构及初始化
weixin_41866717的博客
02-02 1488
Spring Security 源码解读
SpringSecurity——OAuth2框架鉴权实现源码分析
weixin_56039103的博客
12-30 1311
这个过滤器下涉及到的类有以下12个类,大致作用是从请求中提取authentication,从authentication中获取token,判断是否为空,是否有效,是否过期。在springSecurityFilterChain过滤器链中,首先初始化一个FilterChainProxy过滤器链代理对象,在这个过滤器链代理对象中有一个过滤器链集合,每一个过滤器链都有一组过滤器来处理不同的请求。其中的第五条过滤器链springSecurityFilterChain是本文要讨论的对象。
Spring-Security-OAuth2架构及源码浅析
zzy7075的专栏
03-25 135
Spring Security OAuth2架构Spring Security OAuth2是一个基于OAuth2封装的一个类库,它提供了构建和Client三种Spring应用程序角色所需要的功能。需要与和提供的功能协同工作,在使用构建和Client的情况下,的整体架构图如下:1.资源拥有者通过UserAgent访问client,在授权允许访问授权端点的情况下,会创建OAuth2认证的REST请求,指示UserAgent重定向到的授权端点。2.UserAgent访问的授权端点的authorize。
SpringSecurityOAuth2授权流程加载源码分析
程序员劝退师的博客
04-17 576
前言 在学习新框架的时候,先是了解怎么用,在是去了解运行流程、加载流程、然后再试二次开发,本文是针对SpringSecurityOAuth2授权加载流程进行分析 源码分析 1.加载AuthorizationServerConfig 这个类就是标注@EnableAuthorizationServer的配置类,也就是授权服配置类,AuthorizationServerConfig实例化时会进入父类AuthorizationServerConfigurerAdapter进行加载,然后会完Authorizatio
(三) Spring Security Oauth2.0 源码分析--认证中心全流程分析
Instanceztt的博客
12-05 2146
的认证中心可以简单的理解为是对Spring Security的加强,也是通过(其原理可参考前面的Security源码分析)对客户端进行校验后在达到自定义token颁发站点,进行token的颁发,具体流程如下: 通过前面的文章分析,我们知道SpeingSecurity通过FilterChainProxy来完成相应的校验,我们断点看看他经历了那些校验 我们主要观察的是ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilte这两个过滤器,里面的其他
springboot security oauth2 源码
06-12
Spring Security OAuth2 的授权服务器源码主要包括以下几个模块: 1. oauth2-core:包括 OAuth2 协议的核心实现,如授权、令牌等的生成和验证。 2. oauth2-jwt:包括 JWT 令牌的生成和解析。 3. oauth2-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值