解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题

最新推荐文章于 2024-04-20 13:56:32 发布
最新推荐文章于 2024-04-20 13:56:32 发布
阅读量1.9k 收藏 5
点赞数 3
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38226693/article/details/107708554
版权

解决Spring Security Oauth资源服务器并发情况下获取用户信息错乱问题

问题描述

当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。

项目工程

代码使用了redis 作为token 存储,资源服务器通过配置

security:
  oauth2:
    resource:
      user-info-uri: http://127.0.0.1:8081/user-me
      prefer-token-info: false

来指向认证服务器,资源服务器也是根据此接口进行token合法性校验以及校验成功后的用户信息返回。

源码分析

资源服务器获取用户信息的主要核心源码类是ResourceServerTokenServices

public interface ResourceServerTokenServices {

	/**
	 * Load the credentials for the specified access token.
	 *
	 * @param accessToken The access token value.
	 * @return The authentication for the access token.
	 * @throws AuthenticationException If the access token is expired
	 * @throws InvalidTokenException if the token isn't valid
	 */
	OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException;

	/**
	 * Retrieve the full access token details from just the value.
	 * 
	 * @param accessToken the token value
	 * @return the full access token with client id etc.
	 */
	OAuth2AccessToken readAccessToken(String accessToken);

}

我们当前使用的便是其子类实现之一的UserInfoTokenServices

	@Override
	public OAuth2Authentication loadAuthentication(String accessToken)
			throws AuthenticationException, InvalidTokenException {
		Map<String, Object> map = getMap(this.userInfoEndpointUrl, accessToken);
		if (map.containsKey("error")) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("userinfo returned error: " + map.get("error"));
			}
			throw new InvalidTokenException(accessToken);
		}
		return extractAuthentication(map);
	}

在这里出现并发问题的主要是在getmap这个函数

private Map<String, Object> getMap(String path, String accessToken) {
		if (this.logger.isDebugEnabled()) {
			this.logger.debug("Getting user info from: " + path);
		}
		try {
			OAuth2RestOperations restTemplate = this.restTemplate;
			if (restTemplate == null) {
				BaseOAuth2ProtectedResourceDetails resource = new BaseOAuth2ProtectedResourceDetails();
				resource.setClientId(this.clientId);
				restTemplate = new OAuth2RestTemplate(resource);
			}
			OAuth2AccessToken existingToken = restTemplate.getOAuth2ClientContext()
					.getAccessToken();
			if (existingToken == null || !accessToken.equals(existingToken.getValue())) {
				DefaultOAuth2AccessToken token = new DefaultOAuth2AccessToken(
						accessToken);
				token.setTokenType(this.tokenType);
				restTemplate.getOAuth2ClientContext().setAccessToken(token);
			}
			return restTemplate.getForEntity(path, Map.class).getBody();
		}
		catch (Exception ex) {
			this.logger.warn("Could not fetch user details: " + ex.getClass() + ", "
					+ ex.getMessage());
			return Collections.<String, Object>singletonMap("error",
					"Could not fetch user details");
		}
	}

在这里通过我的debug 发现问题出现在restTemplate.getOAuth2ClientContext().setAccessToken(token);
设置token时候,出现了并发问题。当我打开了该函数的子类实现,一切问题都烟消云散。
该核心类是OAuth2ClientContext,子类默认实现是DefaultOAuth2ClientContext。

	@Override
	public OAuth2Authentication loadAuthentication(String accessToken)
			throws AuthenticationException, InvalidTokenException {
		Map<String, Object> map = getMap(this.userInfoEndpointUrl, accessToken);
		if (map.containsKey("error")) {
			if (this.logger.isDebugEnabled()) {
				this.logger.debug("userinfo returned error: " + map.get("error"));
			}
			throw new InvalidTokenException(accessToken);
		}
		return extractAuthentication(map);
	}

在这里出现并发问题的主要是在getmap这个函数

public class DefaultOAuth2ClientContext implements OAuth2ClientContext, Serializable {

	private static final long serialVersionUID = 914967629530462926L;

	private OAuth2AccessToken accessToken;

	private AccessTokenRequest accessTokenRequest;

	private Map<String, Object> state = new HashMap<String, Object>();

	public DefaultOAuth2ClientContext() {
		this(new DefaultAccessTokenRequest());
	}

	public DefaultOAuth2ClientContext(AccessTokenRequest accessTokenRequest) {
		this.accessTokenRequest = accessTokenRequest;
	}

	public DefaultOAuth2ClientContext(OAuth2AccessToken accessToken) {
		this.accessToken = accessToken;
		this.accessTokenRequest = new DefaultAccessTokenRequest();
	}

	public OAuth2AccessToken getAccessToken() {
		return accessToken;
	}

	public void setAccessToken(OAuth2AccessToken accessToken) {
		this.accessToken = accessToken;
		this.accessTokenRequest.setExistingToken(accessToken);
	}

	public AccessTokenRequest getAccessTokenRequest() {
		return accessTokenRequest;
	}

	public void setPreservedState(String stateKey, Object preservedState) {
		state.put(stateKey, preservedState);
	}

	public Object removePreservedState(String stateKey) {
		return state.remove(stateKey);
	}

}

在该子类中,可以看出setAccessToken并没有做并发控制,简而言之是当A用户设置了token准备访问url获取用户信息时候,B用户进来修改了该值变为Btoken,然而A用户线程又获取到CPU,开始访问了url链接,拿着已被修改为B的token 值获取了 B的用户信息。

解决方案

1,修改源码

下载spring security源码,修改DefaultOAuth2ClientContext,源码将线程问题解决,然后打包,上传maven私服,修改自己项目工程的maven依赖。

2,添加新的子类实现,并作为新bean注入

@Component
public class WAYZDefaultOAuth2ClientContext implements OAuth2ClientContext, Serializable {

    private static final long serialVersionUID = 3078781745905248724L;

    // make accessToken thread local to avoid thread safe issue
    private ThreadLocal<OAuth2AccessToken> accessToken = new ThreadLocal<>();

    private AccessTokenRequest accessTokenRequest;

    private Map<String, Object> state = new HashMap<String, Object>();

    public WAYZDefaultOAuth2ClientContext() {
        this(new DefaultAccessTokenRequest());
    }

    public WAYZDefaultOAuth2ClientContext(AccessTokenRequest accessTokenRequest) {
        this.accessTokenRequest = accessTokenRequest;
    }

    public WAYZDefaultOAuth2ClientContext(OAuth2AccessToken accessToken) {
        this.accessToken.set(accessToken);
        this.accessTokenRequest = new DefaultAccessTokenRequest();
    }

    public OAuth2AccessToken getAccessToken() {
        return accessToken.get();
    }

    public void setAccessToken(OAuth2AccessToken accessToken) {
        this.accessToken.set(accessToken);
        this.accessTokenRequest.setExistingToken(accessToken);
    }

    public AccessTokenRequest getAccessTokenRequest() {
        return accessTokenRequest;
    }

    public void setPreservedState(String stateKey, Object preservedState) {
        state.put(stateKey, preservedState);
    }

    public Object removePreservedState(String stateKey) {
        return state.remove(stateKey);
    }
}

这种方式的实现,或许好多人并不理解,只是把bean放到容器里,就可以替换之前默认实现吗?难道不需要一个配置类引入之类吗?答案是不需要的

我通过源码debug发现改类主要是被OAuth2RestTemplate使用,而OAuth2RestTemplate却又是被UserInfoRestTemplateFactory工厂创建,而UserInfoRestTemplateFactory的构造创建又是在ResourceServerTokenServicesConfiguration中,在这个类里面,已经将容器里已存在的类型bean做了注入,然后默认实现的自动替换,这也是源码的巧妙之处。

总结

源码问题出现bug,是很难解决的头疼问题,此文章旨在给大家一个框架解决的思路和基本方案。当我们有一天可以熟练的使用和扩展框架,相信那一刻我们是很伟大的。

阿阳架构师
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【异常】记一次错误使用MyBatis-Plus的自动填充功能导致的ServiceException: 自动注入异常 => 获取用户账户异常“
本本本添哥
06-02 68
堆栈跟踪深入到了MyBatis Plus的组件,如MybatisParameterHandler、MybatisXMLLanguageDriver,表明问题发生在SQL执行的参数处理阶段,很可能是INSERT或UPDATE操作期间。可能的原因是由在应用程序中的CreateAndUpdateMetaObjectHandler.java文件的第59行, updateFill 方法在尝试执行一些自动注入或更新字段的逻辑时抛出,意味着在尝试自动注入或从数据库或其他服务检索用户账户详情时发生了故障。
Spring Security Oauth2源码BUG认证并发用户身份信息混乱问题
KingdomCoder
04-15 1913
1.背景: 随着业务的增长,线上系统qps越来越高,起初市场同事和客户偶尔会反馈用户看到的信息出现的不是自己的信息,但是重新刷新之后就好了,当时我们就对这个问题进行分析,但是都是无疾而终,没有找到问题所在,随着用户增长的基数越来越大,出现这个问题的现象也就更加频繁,所以我们团队对于这个线上事故就非常重视,开始对于整个请求链路分析,我们用户端使用的是一款我们自研的客户端,当时我们分析出来可能存在的几个原因: 同一个客户端,不同用户登录,本地缓存的token混乱。 客户端因为某种特定场景下拿到了别人的toke
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1460
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
Spring Security OAUTH2 获取用户信息
热门推荐
m0_37834471的博客
08-19 7万+
1.user-info-uri 与 token-info-uri 作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。 解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的Us...
Spring Boot + Spring Security Oauth2 捕获UsernameNotFoundException 并处理
Return_Code的专栏
05-21 1467
在网上找了不少关于UsernameNotFoundException捕获的帖子,捕获成功后每次用户名错误会在控制台打印大段的异常信息,用统一异常处理也无法处理。 配置捕获UsernameNotFoundException,在 WebSecurityConfigurer 配置provider.setHideUserNotFoundExceptions(false) @Bean public DaoAuthenticationProvider authenticationProvid..
SpringSecurity登陆错误处理
luguling200802544的专栏
06-10 8468
1、在登录的时候出现错误时抛出的异常AuthenticationException异常详解      UsernameNotFoundException 用户找不到      BadCredentialsException 坏的凭据      AccountStatusException 用户状态异常它包含如下子类      AccountExpiredException 账户过期
Spring Security Oauth资源服务器并发情况获取用户信息错乱
爱上编程2705
02-29 1075
在该子类中,可以看出setAccessToken并没有做并发控制,简而言之是当A用户设置了token准备访问url获取用户信息时候,B用户进来修改了该值变为Btoken,然而A用户线程又获取到CPU,开始访问了url链接,拿着已被修改为B的token 值获取了 B的用户信息。当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。在这里出现并发问题的主要是在getmap这个函数。
Spring Security OAuth过期的解决方法
09-07
Spring Security OAuth过期问题解决方法 在Spring Security OAuth中,过期问题主要涉及OAuth2认证和授权流程的管理。OAuth2是一个开放标准,用于允许应用程序代表用户获取访问权限到受保护的资源,如API。随着...
spring security oauth2.0 (讲义+代码)
03-10
OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何利用Spring Security OAuth2.0 实现这一目标。 首先,OAuth2.0 有四个核心角色...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案,为开发者提供了全套的组件来支持OAuth2.0认证。然而,在开发过程中,我们会发现由于Spring Security OAuth2的组件特别全面,...
Spring Security OAuth2 实现登录互踢的示例代码
08-19
OAuth2 是一种身份验证协议,通过将客户端、资源服务器和授权服务器分离,实现了灵活的身份验证机制。Spring Security OAuth2 便是基于 OAuth2 协议的实现,提供了丰富的身份验证机制和授权机制。 在 Spring ...
整合Spring Security OAuth 踩坑记录
Warren Blog
04-04 550
整合Spring Security OAuth 踩坑记录 参考官方文档:https://docs.spring.io/spring-security/site/docs/5.3.2.BUILD-SNAPSHOT/reference/html5/#authentication-password-storage 问题: 系统报`Encoded password does not look like B...
springboot1.5.21的bug导致高并发场景下一个用户token解析成另一个用户
07-31 1861
SpringBoot bug在org.springframework.boot.autoconfigure.security.oauth2.resource.UserInfoTokenServices.java Line:144 private Map<String, Object> getMap(String path, String accessToken) { if (t...
Spring Cloud 随笔:记录在使用 OAuth2 遇到的巨坑
wanggxj的专栏
05-24 1310
原文连接: https://www.shangyang.me/2017/06/01/spring-cloud-oauth2-zuul-potholes/ 前言 根据当前的设计,打算将 Spring Boot 的 Authenticate (OAuth2) Server 配置到 ZUUL 中,通过 ZUUL 实现认证的负载均衡;看似顺理成章的东西,结果在实践过程中,踩到不少坑,也花费不少时间来整理,所以,打算专门写一篇博文来整理自己遇到的坑,以防以后踩到同样的坑,又耗费大量的时间和精力去模式; 本
Spring Security获取用户信息异常,多线程获取用户报错解决方式
最新发布
qingpark的博客
04-20 548
MODE_INHERITABLETHREADLOCAL工作模式,其存储载体为InheritableThreadLocal,InheritableThreadLocal继承ThreadLocal,多了一个特性,就是在创建子进程的时候,会自动的将父进程中的数据复制到子进程中去,实现了子进程能够获取父进程数据的功能。所以,如果使用的是Spring Security 5.0及以上版本,且需要在异步线程获取用户信息的时候,可以考虑修改SecurityContextHolder的默认策略。
资源服务器获取用户信息,spring – 如何从OAuth2授权服务器/用户端点获取自定义用户信息...
weixin_35861708的博客
08-05 1097
我有一个配置了@EnableResourceServer注释的资源服务器,它通过user-info-uri参数引用授权服务器,如下所示:security:oauth2:resource:user-info-uri: http://localhost:9001/user授权服务器/用户端点返回org.springframework.security.core.userdetails.User的扩展,...
修改spring-security-oauth2获取用户资源使用连接池
wangfenglei123456的博客
12-24 714
本文介绍使用spring-security-oauth2进行授权认证后,获取用户资源时,使用oauth2RestTemplate进行访问,没有使用连接池,进行优化。 设置连接池的代码 package org.springframework.security.oauth2.client.test; import org.springframework.beans.factory.ObjectProvider; import org.springframework.boot.autoco...
spring cloud oauth2 资源服务器配置
06-07 5126
user-info-uri 配置作用:security: oauth2: client: resource: user-info-uri: http://认证服务器的ip端口/user说明:spring在获得token后,必须要调用一下resource.userInfoUri里的接口,看看到底有没有返回值,也就是要验证一下token是不是正确的,这一步是它自动完成的...
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器资源服务器的过程。Spring Security OAuth2 Boot提供了一...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值