自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式

最新推荐文章于 2024-08-22 15:07:42 发布
最新推荐文章于 2024-08-22 15:07:42 发布
阅读量1w 收藏 18
点赞数 7
分类专栏: 接口API 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37634156/article/details/125245278
版权
本文档详细介绍了如何在Spring Security Oauth2中自定义获取token及token过期/无效的返回内容格式,包括创建响应实体类、转换器、切面处理以及错误信息转换类,以满足项目的特定需求。
摘要由CSDN通过智能技术生成

前言

在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:

而token过期或者无效的返回参数格式如下图所示:

实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取token和token失效/过期的自定义返回内容格式。

自定义获取token接口的参数格式

1、创建接收获取token接口返回参数的实体

@Data
public class OauthResult {

    private String code;

    private String mesg;
}
@JsonSerialize(using = ResponseSerializer.class)
@Data
public class OauthResponse extends OauthResult{

    private Object data;
}

2、创建获取token接口返回值的转换类

创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知道的可以自行百度

import com.bw.dsm.entity.OauthResponse;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.std.StdSerializer;
import org.springframework.security.oauth2.common.OAuth2AccessToken;

import java.io.IOException;


public class ResponseSerializer extends StdSerializer<OauthResponse> {

    public ResponseSerializer() {
        super(OauthResponse.class);
    }

    @Override
    public void serialize(OauthResponse value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        OAuth2AccessToken oAuth2AccessToken = (OAuth2AccessToken) value.getData();

        gen.writeStartObject();
        if (oAuth2AccessToken != null){
            gen.writeStringField("code", value.getCode());
            gen.writeStringField("mesg", value.getMesg());

            gen.writeObjectFieldStart("data");
            gen.writeStringField("accessToken", oAuth2AccessToken.getValue());
            gen.writeNumberField("expiresIn",oAuth2AccessToken.getExpiresIn());
            gen.writeEndObject();
        } else {
            gen.writeStringField("code", "1");
            gen.writeStringField("mesg", "获取token失败");
        }

        gen.writeEndObject();
    }
}

3、新建切面类,将ResponseEntity进行重新组织,改变返回值

自定义切点,对postAccessToken方法进行增强,该方法是/oauth/token接口的返回方法,在这个方法的基础上改变返回值即可。

import com.bw.dsm.entity.OauthResponse;
import com.bw.dsm.util.AES128Util;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.ResponseEntity;
import org.springframework.security.oauth2.common.OAuth2AccessToken;
import org.springframework.stereotype.Component;

@Component
@Aspect
public class AuthTokenAspect {

    private Logger logger = LoggerFactory.getLogger(getClass());

    /// @Around是可以改变controller返回值的
    @Around("execution(* org.springframework.security.oauth2.provider.endpoint.TokenEndpoint.postAccessToken(..))")
    public Object handleControllerMethod(ProceedingJoinPoint pjp) throws Throwable {
        // 放行
        OauthResponse response = new OauthResponse();
        ObjectMapper mapper = new ObjectMapper();
        try {
            Object proceed = pjp.proceed();
            if (proceed != null) {
                ResponseEntity<OAuth2AccessToken> responseEntity = (ResponseEntity<OAuth2AccessToken>)proceed;
                OAuth2AccessToken body = responseEntity.getBody();
                if (responseEntity.getStatusCode().is2xxSuccessful()) {
                    response.setCode("0");
                    response.setMesg("");
                    response.setData(body);
                } else {
                    logger.error("error:{}", responseEntity.getStatusCode().toString());
                    response.setCode("1");
                    response.setMesg("获取token失败");
                }
            }
        } catch (Exception e){
            response.setCode("1");
            response.setMesg("获取token失败");
        }
        String result = mapper.writeValueAsString(response);
        return ResponseEntity
                .status(200)
                .body(AES128Util.JiaMi(result));
    }
}

我这里还另外对返回值进行了加密,如果不需要加密则直接返回response,即:

return ResponseEntity
        .status(200)
        .body(response);

这样,返回格式就成了我们自定义的格式了,下面可以看下未加密的自定义返回格式:

获取token接口调用成功:

获取token接口调用失败:

 

 

自定义token过期/无效的返回参数格式

1、在配置资源服务器的配置类中添加拦截

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        // 自定义token失效/错误返回信息
        OAuth2AuthenticationEntryPoint authenticationEntryPoint = new OAuth2AuthenticationEntryPoint();
        authenticationEntryPoint.setExceptionTranslator(new CustomExceptionTranslator());
        resources.authenticationEntryPoint(authenticationEntryPoint);
    }
}

其他配置省略。按照各自业务需求来,这里只介绍自定义token过期/无效的返回参数格式。

2、自定义接收token无效/过期的错误信息转换类

import com.bw.dsm.util.AES128Util;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.ResponseEntity;
import org.springframework.security.oauth2.common.exceptions.OAuth2Exception;
import org.springframework.security.oauth2.provider.error.DefaultWebResponseExceptionTranslator;

public class CustomExceptionTranslator extends DefaultWebResponseExceptionTranslator {

    @Override
    public ResponseEntity translate(Exception e) throws Exception {
        ResponseEntity translate = super.translate(e);
        ObjectMapper mapper = new ObjectMapper();
        OAuth2Exception body = (OAuth2Exception) translate.getBody();
        CustomOauthException customOauthException = new CustomOauthException(body.getMessage(), body.getOAuth2ErrorCode(), String.valueOf(body.getHttpErrorCode()));
//        ResponseEntity response = new ResponseEntity<>(customOauthException, translate.getHeaders(), translate.getStatusCode());
        return ResponseEntity
                .status(translate.getStatusCode())
                .header(String.valueOf(translate.getHeaders()))
                .body(AES128Util.JiaMi(mapper.writeValueAsString(customOauthException)));
    }
}

同样的这里我也将返回参数加密处理,如果不需要加密,如下所示:

public class CustomExceptionTranslator extends DefaultWebResponseExceptionTranslator {

    @Override
    public ResponseEntity translate(Exception e) throws Exception {
        ResponseEntity translate = super.translate(e);
        ObjectMapper mapper = new ObjectMapper();
        OAuth2Exception body = (OAuth2Exception) translate.getBody();
        CustomOauthException customOauthException = new CustomOauthException(body.getMessage(), body.getOAuth2ErrorCode(), String.valueOf(body.getHttpErrorCode()));
        ResponseEntity response = new ResponseEntity<>(customOauthException, translate.getHeaders(), translate.getStatusCode());
        return response;
    }
}

3、创建自定义token无效/过期返回参数格式类

@JsonSerialize(using = CustomOauthExceptionSerializer.class)
public class CustomOauthException extends OAuth2Exception {

    private String code;

    private String mesg;

    public CustomOauthException(String msg, String code, String mesg){
        super(msg);
        this.code = code;
        this.mesg = mesg;
    }

    public String getCode() {
        return code;
    }

    public void setCode(String code) {
        this.code = code;
    }

    public String getMasg() {
        return mesg;
    }

    public void setMasg(String mesg) {
        this.mesg = mesg;
    }
}

4、token无效或过期返回值转换类

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.std.StdSerializer;

import java.io.IOException;

public class CustomOauthExceptionSerializer extends StdSerializer {

    public CustomOauthExceptionSerializer() {
        super(CustomOauthException.class);

    }

    @Override
    public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        gen.writeStartObject();
        gen.writeObjectField("code","1");
        gen.writeObjectField("mesg","token无效或已过期");
        gen.writeEndObject();
    }
}

这样,返回格式就成了我们自定义的格式了,下面可以看下未加密的自定义返回格式:

token无效返回:

 

唯空城
关注
专栏目录
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
Spring Security OAuth2.0 自定义token生成方式
weixin_34242658的博客
12-20 3945
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring OAuth2客户端身份验证源码解析
最新发布
onePlus5T的博客
08-22 956
本文介绍在spring oauth2.0客户端向授权服务发起token请求时,源码是如何向请求中添加客户端认证参数,来交由授权服务进行认证的
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 2245
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
oauth2.0自定义token失效返回信息
m0_52846216的博客
01-13 1910
oauth2.0自定义token失效返回信息 一、问题 由于spring security oauth2返回失效信息对于客户端不太有好,在网上找了自定义的解决方案以便更优雅的展示返回信息。 重写框架里的方法,实现自定义。 二、配置类 Oauth2ResourceServer extends ResourceServerConfigurerAdapter @Override public void configure(ResourceServerSecurityConfigurer reso
100 spring-security 中 /oauth/token 发送请求不携带参数 报错 “401 Unauthorized“
970655147的专栏
03-06 1676
前言 最近存在这样的一个问题, 大致的复现方式是 访问 /oauth/token 接口, 然后不携带任何参数, 结果 服务器抛出了一个 "401 Unauthorized" 针对这个 401, 这里 梳理一下这个流程, 也会衍生出一些其他的问题 测试用例 客户端这边大致的情况是 构造参数, 然后发送请求, 上面两个 参数封装到查询字符串的请求是可以正常处理 后面两个 未携带参数 的请求发送, 报错 "401 Unauthorized" 我们这里主要关心 这里的未携带参数 的异常场...
OAuth2.0实现自定义颁发token
doinbb的博客
03-18 5775
一. 底层原理 通过浏览器/外部服务传入账号密码,以及clientId以及secret申请token,底层实现token颁发的类: org.springframework.security.oauth2.provider.endpoint.TokenEndpoint -- postAccessToken()方法 二. 自定义实现 /** * 生成 oauth2...
/oauth/token
qq_39256196的博客
01-24 1010
本文主要研究Spring Securitytoken获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图!
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
03-23 1万+
https://blog.csdn.net/bluuusea/article/details/80284458 ...
oauth2源码解析/oauth/token干了些什么?
weixin_34194317的博客
10-30 3583
最近做了两个项目,基于各种原因,安全框架都是使用的Oauth2,之前对oauth2的了解也只是停留在使用的层面,知道有资源服务器,认证服务器,四种认证方式,但是对于其中的源码以及原因,没有深入的分析过,最近结合大师(程序员DD)的博客(http://blog.didispace.com/spr...),以及自己断点查看源码,对oauth的...
Springsecurity-oauth2之/oauth/token的处理
热门推荐
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
oauth2的token认证接口/oauth/token、/oauth/check_token、/oauth/authorize在哪个包里
Dream_it_possible!的博客
07-02 2万+
在org.springframework.security.oauth2.provider.endpoint里的TokenEndpoint类里 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.springframework.security.oauth2.provider.endpoint; import java.
Spring Security Oauth2之获取token流程分析
ityw520的博客
11-28 7462
ClientDetailsService则是读取客户端信息的,也就是根据我们发送/oauth/token请求是存放在Authorization中的username和password,注意这个不是用户的,而是客户端的端点信息。OAuth2Authentication: 这个对象就是将当前授权登录的用户信息,当前授权的是那个客户端信息,还有授权模式是什么,还有一些授权中的其他参数,最终这些数据都会被封装在这个对象中。因为获取token的url是/oauth/token,所以他会进入下面的代码。
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 1585
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
Spring Security OAuth2如何自定义返回Token 信息
西京刀客
03-01 291
Spring Security OAuth2如何自定义返回Token 信息
记录一下Spring Security Oauth2 认证(/oauth/token获取token)的源码出处
weixin_46063176的博客
12-24 1038
/oauth/token
Spring Boot+OAuth2,如何自定义返回Token 信息?
2401_84003977的博客
04-18 1072
既然选择这个行业,选择了做一个程序员,也就明白只有不断学习,积累实战经验才有资格往上走,拿高薪,为自己,为父母,为以后的家能有一定的经济保障。学习时间都是自己挤出来的,短时间或许很难看到效果,一旦坚持下来了,必然会有所改变。不如好好想想自己为什么想进入这个行业,给自己内心一个答案。面试大厂,最重要的就是夯实的基础,不然面试官随便一问你就凉了;其次会问一些技术原理,还会看你对知识掌握的广度,最重要的还是你的思路,这是面试官比较看重的。
Spring Boot+OAuth2,如何自定义返回Token 信息
2401_83915450的博客
04-10 1062
token_typeexpires_inscope具体如下:但是在实际操作中,我们往往需要在这个基础上,定制自己的返回信息,这就需要我们对这个东西进行自定义。本文松哥就来和大家聊一聊这里要如何自定义。好了,不废话了,我们来看今天的内容。1.access_token 从哪里来首先我们要搞清楚,access_token 从哪里来。在前面的文章中,我们在生成 access_token 的时候,都配置了一个类,叫做 AuthorizationServerTokenServices,如下:@Bean。
spring security oauth2 带过期token请求免登录接口被拦截
a435656923的博客
09-09 5388
简单说下,项目是springcloud架构,用的spring security oauth2 就是如果token过期了或者token错误了,请求开放的接口是会被看拦截的,但是不带token就能请求。有一种解决方案是在请求判断这个地址是不是免登陆的是的话把请求头的token给去掉,这种方法也可以做到,但是如果是登录用户的话在有必要获取到访问用户的时候就没方法拿到用户了,虽然这种情况比较少。 解决方案:重写原本的认证管理器 import org.springframework.security.auth
Spring Security OAuth2 权限隔离实践与解决方案
"本文主要探讨了在Spring Security OAuth2框架中如何实现令牌(token)的权限隔离,特别是在项目中涉及到多种授权模式如授权码模式、密码模式和Client模式时的处理策略。文中通过具体的示例代码,展示了在遇到权限...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值