解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题

最新推荐文章于 2024-04-20 13:56:32 发布
最新推荐文章于 2024-04-20 13:56:32 发布
阅读量1.8k 收藏 5
点赞数 3
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38226693/article/details/107708554
版权

解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题

问题描述

当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。

项目工程

代码使用了redis 作为token 存储,资源服务器通过配置

security:
  oauth2:
    resource:
      user-info-uri: http://127.0.0.1:8081/user-me
      prefer-token-info: false

来指向认证服务器,资源服务器也是根据此接口进行token合法性校验以及校验成功后的用户信息返回。

源码分析

资源服务器获取用户信息的主要核心源码类是ResourceServerTokenServices

public interface ResourceServerTokenServices {

	/**
	 * Load the credentials for the specified access token.
	 *
	 * @param accessToken The access token value.
	 * @return The authentication for the access token.
	 * @throws AuthenticationException If the access token is expired
	 * @throws InvalidTokenException if the token isn't valid
	 */
	OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException;

	/**
	 * Retrieve the full access token details from just the value.
	 * 
	 * @param accessToken the token value
	 * @return the full access token with client id etc.
	 */
	OAuth2AccessToken readAccessToken(String accessToken);

}

我们当前使用的便是其子类实现之一的UserInfoTokenServices

	@Override
	public OAuth2Authentication loadAuthentication(String accessToken)
			throws AuthenticationException, InvalidTokenException {
		Map<String, Object> map = getMap(this.userInfoEndpointUrl, accessToken);
		if (map.containsKey("error")) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("userinfo returned error: " + map.get("error"));
			}
			throw new InvalidTokenException(accessToken);
		}
		return extractAuthentication(map);
	}

在这里出现并发问题的主要是在getmap这个函数

private Map<String, Object> getMap(String path, String accessToken) {
		if (this.logger.isDebugEnabled()) {
			this.logger.debug("Getting user info from: " + path);
		}
		try {
			OAuth2RestOperations restTemplate = this.restTemplate;
			if (restTemplate == null) {
				BaseOAuth2ProtectedResourceDetails resource = new BaseOAuth2ProtectedResourceDetails();
				resource.setClientId(this.clientId);
				restTemplate = new OAuth2RestTemplate(resource);
			}
			OAuth2AccessToken existingToken = restTemplate.getOAuth2ClientContext()
					.getAccessToken();
			if (existingToken == null || !accessToken.equals(existingToken.getValue())) {
				DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(
						accessToken);
				token.setTokenType(this.tokenType);
				restTemplate.getOAuth2ClientContext().setAccessToken(token);
			}
			return restTemplate.getForEntity(path, Map.class).getBody();
		}
		catch (Exception ex) {
			this.logger.warn("Could not fetch user details: " + ex.getClass() + ", "
					+ ex.getMessage());
			return Collections.<String, Object>singletonMap("error",
					"Could not fetch user details");
		}
	}

在这里通过我的debug 发现问题出现在restTemplate.getOAuth2ClientContext().setAccessToken(token);
设置token时候,出现了并发问题。当我打开了该函数的子类实现,一切问题都烟消云散。
该核心类是OAuth2ClientContext,子类默认实现是DefaultOAuth2ClientContext。

	@Override
	public OAuth2Authentication loadAuthentication(String accessToken)
			throws AuthenticationException, InvalidTokenException {
		Map<String, Object> map = getMap(this.userInfoEndpointUrl, accessToken);
		if (map.containsKey("error")) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("userinfo returned error: " + map.get("error"));
			}
			throw new InvalidTokenException(accessToken);
		}
		return extractAuthentication(map);
	}

在这里出现并发问题的主要是在getmap这个函数

public class DefaultOAuth2ClientContext implements OAuth2ClientContext, Serializable {

	private static final long serialVersionUID = 914967629530462926L;

	private OAuth2AccessToken accessToken;

	private AccessTokenRequest accessTokenRequest;

	private Map<String, Object> state = new HashMap<String, Object>();

	public DefaultOAuth2ClientContext() {
		this(new DefaultAccessTokenRequest());
	}

	public DefaultOAuth2ClientContext(AccessTokenRequest accessTokenRequest) {
		this.accessTokenRequest = accessTokenRequest;
	}

	public DefaultOAuth2ClientContext(OAuth2AccessToken accessToken) {
		this.accessToken = accessToken;
		this.accessTokenRequest = new DefaultAccessTokenRequest();
	}

	public OAuth2AccessToken getAccessToken() {
		return accessToken;
	}

	public void setAccessToken(OAuth2AccessToken accessToken) {
		this.accessToken = accessToken;
		this.accessTokenRequest.setExistingToken(accessToken);
	}

	public AccessTokenRequest getAccessTokenRequest() {
		return accessTokenRequest;
	}

	public void setPreservedState(String stateKey, Object preservedState) {
		state.put(stateKey, preservedState);
	}

	public Object removePreservedState(String stateKey) {
		return state.remove(stateKey);
	}

}

在该子类中,可以看出setAccessToken并没有做并发控制,简而言之是当A用户设置了token准备访问url获取用户信息时候,B用户进来修改了该值变为Btoken,然而A用户线程又获取到CPU,开始访问了url链接,拿着已被修改为B的token 值获取了 B的用户信息。

解决方案

1,修改源码

下载spring security源码,修改DefaultOAuth2ClientContext,源码将线程问题解决,然后打包,上传maven私服,修改自己项目工程的maven依赖。

2,添加新的子类实现,并作为新bean注入

@Component
public class WAYZDefaultOAuth2ClientContext implements OAuth2ClientContext, Serializable {

    private static final long serialVersionUID = 3078781745905248724L;

    // make accessToken thread local to avoid thread safe issue
    private ThreadLocal<OAuth2AccessToken> accessToken = new ThreadLocal<>();

    private AccessTokenRequest accessTokenRequest;

    private Map<String, Object> state = new HashMap<String, Object>();

    public WAYZDefaultOAuth2ClientContext() {
        this(new DefaultAccessTokenRequest());
    }

    public WAYZDefaultOAuth2ClientContext(AccessTokenRequest accessTokenRequest) {
        this.accessTokenRequest = accessTokenRequest;
    }

    public WAYZDefaultOAuth2ClientContext(OAuth2AccessToken accessToken) {
        this.accessToken.set(accessToken);
        this.accessTokenRequest = new DefaultAccessTokenRequest();
    }

    public OAuth2AccessToken getAccessToken() {
        return accessToken.get();
    }

    public void setAccessToken(OAuth2AccessToken accessToken) {
        this.accessToken.set(accessToken);
        this.accessTokenRequest.setExistingToken(accessToken);
    }

    public AccessTokenRequest getAccessTokenRequest() {
        return accessTokenRequest;
    }

    public void setPreservedState(String stateKey, Object preservedState) {
        state.put(stateKey, preservedState);
    }

    public Object removePreservedState(String stateKey) {
        return state.remove(stateKey);
    }
}

这种方式的实现,或许好多人并不理解,只是把bean放到容器里,就可以替换之前默认实现吗?难道不需要一个配置类引入之类吗?答案是不需要的

我通过源码debug发现改类主要是被OAuth2RestTemplate使用,而OAuth2RestTemplate却又是被UserInfoRestTemplateFactory工厂创建,而UserInfoRestTemplateFactory的构造创建又是在ResourceServerTokenServicesConfiguration中,在这个类里面,已经将容器里已存在的类型bean做了注入,然后默认实现的自动替换,这也是源码的巧妙之处。

总结

源码问题出现bug,是很难解决的头疼问题,此文章旨在给大家一个框架解决的思路和基本方案。当我们有一天可以熟练的使用和扩展框架,相信那一刻我们是很伟大的。

阿阳架构师
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【异常】记一次错误使用MyBatis-Plus的自动填充功能导致的ServiceException: 自动注入异常 => 获取用户账户异常“
本本本添哥
06-02 61
堆栈跟踪深入到了MyBatis Plus的组件,如MybatisParameterHandler、MybatisXMLLanguageDriver,表明问题发生在SQL执行的参数处理阶段,很可能是INSERT或UPDATE操作期间。可能的原因是由在应用程序中的CreateAndUpdateMetaObjectHandler.java文件的第59行, updateFill 方法在尝试执行一些自动注入或更新字段的逻辑时抛出,意味着在尝试自动注入或从数据库或其他服务检索用户账户详情时发生了故障。
Spring Security OAuth过期的解决方法
09-07
Spring Security OAuth过期问题解决方法 在Spring Security OAuth中,过期问题主要涉及OAuth2认证和授权流程的管理。OAuth2是一个开放标准,用于允许应用程序代表用户获取访问权限到受保护的资源,如API。随着...
Spring Security获取用户信息异常,多线程获取用户报错解决方式
最新发布
qingpark的博客
04-20 499
MODE_INHERITABLETHREADLOCAL工作模式,其存储载体为InheritableThreadLocal,InheritableThreadLocal继承ThreadLocal,多了一个特性,就是在创建子进程的时候,会自动的将父进程中的数据复制到子进程中去,实现了子进程能够获取父进程数据的功能。所以,如果使用的是Spring Security 5.0及以上版本,且需要在异步线程获取用户信息的时候,可以考虑修改SecurityContextHolder的默认策略。
Spring Security OAuth2 配置注意点
来啊 快活啊
09-14 3万+
security.oauth2.resource.jwt.key-uri/security.oauth2.resource.jwt.key-value和security.oauth2.resource.jwk.key-set-uri只能配置一个 前面是配置一个key,后面是配置好多key security.oauth2.client 下面的client_id和client_secret配置多重意
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
Spring-Security-Oauth2第二篇之配置客户端
Little_fxc的博客
03-28 1万+
Spring-Security-Oauth2第二篇之配置客户端 文章目录Spring-Security-Oauth2第二篇之配置客户端1. 项目结构2. maven 依赖3. 使用 @EnableOAuth2Sso 注解安全配置3.1. 客户端安全配置3.2. 授权服务器核心代码3.3. 配置文件4. MVC 配置4.1. 客户端 API4.2. 客户端 MVC 映射4.3. 前端index.ht...
Spring cloud(七)安全(Spring Security+Oauth2)
weixin_45040801的博客
12-09 517
一、环境 jdk:13 spring cloud:Greenwich.RELEASE spring boot:2.1.0.RELEASE spring-cloud-starter-feign:2.0.0.M2 eurekaServer: 前面提到用于服务注册 eurekaClient: 前面提到用于提供服务 configServer: 前面提到用于提供分布式配置服务 serviceConsumer...
轻量级权限框架之-SoToken
技术宅男
01-09 2780
轻量级的权限认证框架:可主要解决:**登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权** 等一系列权限相关问题
spring security oauth2.0 (讲义+代码)
03-10
OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何利用Spring Security OAuth2.0 实现这一目标。 首先,OAuth2.0 有四个核心角色...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
OAuth2 是一种身份验证协议,通过将客户端、资源服务器和授权服务器分离,实现了灵活的身份验证机制。Spring Security OAuth2 便是基于 OAuth2 协议的实现,提供了丰富的身份验证机制和授权机制。 在 Spring ...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,...
spring.sercurity.oauth2资源服务器检查token过程
qq_38941259的博客
04-26 3239
在使用spring.sercurity.oauth2配置资源服务器时,发现只配置了个ResourceServerConfigurerAdapter的实现类,就可以自己检查token的有效性了,不太理解,百度和debug看了一下源码明白了,大概流程如下 首先我在application.xml中配置了我的认证中心的相关参数 #指定使用的认证中心,如果不配置会使用默认认证中心 security: ...
Spring Security OAuth2的基本使用
积跬步,至千里。
10-20 3920
Spring Security OAuth2对Oauth2进行了实现,主要包含认证服务器资源服务器两大块的实现。本介绍Spring Security OAuth2的基本使用。
Spring Security Oauth2源码BUG认证并发用户身份信息混乱问题
KingdomCoder
04-15 1899
1.背景: 随着业务的增长,线上系统qps越来越高,起初市场同事和客户偶尔会反馈用户看到的信息出现的不是自己的信息,但是重新刷新之后就好了,当时我们就对这个问题进行分析,但是都是无疾而终,没有找到问题所在,随着用户增长的基数越来越大,出现这个问题的现象也就更加频繁,所以我们团队对于这个线上事故就非常重视,开始对于整个请求链路分析,我们用户端使用的是一款我们自研的客户端,当时我们分析出来可能存在的几个原因: 同一个客户端,不同用户登录,本地缓存的token混乱。 客户端因为某种特定场景下拿到了别人的toke
spring cloud oauth2 资源服务器配置
06-07 5119
user-info-uri 配置作用:security: oauth2: client: resource: user-info-uri: http://认证服务器的ip端口/user说明:spring在获得token后,必须要调用一下resource.userInfoUri里的接口,看看到底有没有返回值,也就是要验证一下token是不是正确的,这一步是它自动完成的...
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1416
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
4-OAuth2.0协议简单认识
码农小胖哥
03-16 7752
上一篇胖哥和大家一起通过日志分析了Spring Security OAuth2的authorization_code模式,相信流程你已经了解了一些。但是你会不会有这样的疑问,用户访问客户端自己的资源/foo/hello为啥还要跳到第三方gitee登录?正常情况下自己的资源只要自己认证就能访问,借助于其它平台认证授权是怎么回事? 解惑 Spring Security OAuth2 Login纯粹是“借别人的鸡下自己的蛋”。真正的目的是授权去访问/v5/user获得gitee平台当前用户信息,借第三方平台的用
serverhttpsecurity 缺少_看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer int...
weixin_33907300的博客
12-31 615
看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer introspect 错误最近在自己搭一个使用 SpringSecutiryOAuth2 的认证服务器, 这里的接口基于 SpringMVC, 而资源服务器SpringCloudGateway 建立的网关层,实现是 WebFlux。目的是为了在网...
spring-security-oauth2文档
03-26
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器资源服务器的过程。Spring Security OAuth2 Boot提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值