Oauth2.0 补充

最新推荐文章于 2023-06-06 15:50:59 发布
最新推荐文章于 2023-06-06 15:50:59 发布
阅读量327 收藏
点赞数
分类专栏: Oauth2.0 文章标签: java 后端 spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40264499/article/details/126060339
版权

SecurityContextHolder

  • SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在 SecurityContextHolder 中。
  • SecurityContextHolder 默认使用 ThreadLocal 策略来存储认证信息。看到 ThreadLocal 也就意味着,这是一种与线程绑定的策略。
  • Spring Security 在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。但这一切的前提,是你在web场景下使用Spring Security。
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
	String username = ((UserDetails)principal).getUsername();
} else {
	String username = principal.toString();
}
  • getAuthentication()返回了认证信息,再次 getPrincipal() 返回了身份信息,
  • UserDetails便是Spring对身份信息封装的一个接口

Authentication

package org.springframework.security.core;// <1>

public interface Authentication extends Principal, Serializable { // <1>
    Collection<? extends GrantedAuthority> getAuthorities(); //权限信息列表,默认是GrantedAuthority接口的一些实现类,通常是代表权限信息的一系列字符串。

    Object getCredentials();//密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。

    Object getDetails();//细节信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值。

    Object getPrincipal();//最重要的身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中的常用接口之一。

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

AuthenticationManager

初次接触 Spring Security 的朋友相信会被AuthenticationManagerProviderManagerAuthenticationProvider …这么多相似的Spring认证类搞得晕头转向,但只要稍微梳理一下就可以理解清楚它们的联系和设计者的用意。

  • AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点,因为在实际需求中,我们可能会允许用户使用用户名+密码登录,同时允许用户使用邮箱+密码,手机号码+密码登录,甚至,可能允许用户使用指纹登录
  • 所以说 AuthenticationManager 一般不直接认证,AuthenticationManager接口的常用实现类 ProviderManager 内部会维护一个List<AuthenticationProvider>列表,存放多种认证方式,实际上这是委托者模式的应用(Delegate)。
  • 核心的认证入口始终只有一个:AuthenticationManager,不同的认证方式:用户名+密码(UsernamePasswordAuthenticationToken),邮箱+密码,手机号码+密码登录则对应了三个 AuthenticationProvider。
// 关键认证部分的ProviderManager源码如下:
public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

    // 维护一个AuthenticationProvider列表
    private List<AuthenticationProvider> providers = Collections.emptyList();
          
    public Authentication authenticate(Authentication authentication)
          throws AuthenticationException {
       Class<? extends Authentication> toTest = authentication.getClass();
       AuthenticationException lastException = null;
       Authentication result = null;

       // 依次认证
       for (AuthenticationProvider provider : getProviders()) {
          if (!provider.supports(toTest)) {
             continue;
          }
          try {
             result = provider.authenticate(authentication);

             if (result != null) {
                copyDetails(authentication, result);
                break;
             }
          }
          ...
          catch (AuthenticationException e) {
             lastException = e;
          }
       }
      // 如果有Authentication信息,则直接返回
      if (result != null) {
        if (eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
          //移除密码
          ((CredentialsContainer) result).eraseCredentials();
        }
        //发布登录成功事件
        eventPublisher.publishAuthenticationSuccess(result);
        return result;
	   }
	   ...
       //执行到此,说明没有认证成功,包装异常信息
       if (lastException == null) {
          lastException = new ProviderNotFoundException(messages.getMessage(
                "ProviderManager.providerNotFound",
                new Object[] { toTest.getName() },
                "No AuthenticationProvider found for {0}"));
       }
       prepareException(lastException, authentication);
       throw lastException;
    }
}
  • ProviderManager 中的List,会依照次序去认证,认证成功则立即返回,若认证失败则返回null,下一个AuthenticationProvider会继续尝试认证,如果所有认证器都无法认证成功,则ProviderManager 会抛出一个ProviderNotFoundException异常。

Spring Security是如何完成身份认证的?

  1. 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是 UsernamePasswordAuthenticationToken 这个实现类。
  2. AuthenticationManager 身份管理器负责验证这个Authentication
  3. 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。
  4. SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

Oauth2.0 常见异常

  • UsernameNotFoundException:用户名未找到。
  • BadCredentialsException:认证错误。可以用于密码错误、验证码错误等。
  • RememberMeAuthenticationException:记住我 认证错误。 在登录中常常有 记住我 选项,因为这个地方导致的错误。
  • AccountStatusException:用户账户状态异常。例如被封号之类的。
  • NonceExpiredException:Nonce过期异常。
  • AuthenticationCredentialsNotFoundException:SecurityContext中不存在Authentication异常。
  • AuthenticationServiceException:认证服务异常。可能是后端数据库之类的出现问题等等情况。
  • ProviderNotFoundException:Provider找不到异常。由ProviderManager抛出。
  • SessionAuthenticationException:会话认证异常。通常是因为同一个用户打开了多个会话。
  • InsufficientAuthenticationException:认证信息不足异常?可能是由于 记住我 选项引发的。

Oauth2.0 系列文章

以下是同步到语雀的、可读性好一点,CSDN 继续看的点专栏就好。
Oauth2.0 核心篇
Oauth2.0 安全性(以微信授权登陆为例)
Oauth2.0 认证服务器搭建
Oauth2.0 添加验证码登陆方式
Oauth2.0 资源服务器搭建
Oauth2.0 自定义响应值以及异常处理
Oauth2.0 补充

zhangyu丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Oauth2
分享身边生活经验blog
06-26 800
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token时需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
oauth0 oauth2_进行中的oauth 2 0
weixin_26748959的博客
09-01 921
oauth0 oauth2Access secure HTTP Services in Go在Go中访问安全的HTTP服务 OAuth 2.0 is how a third party application accesses user data in the cloud. The spec describes it this way: “The OAuth 2.0 authorization f...
Spring Security自定义认证异常和授权异常
程序三两行
07-27 4218
Spring security中默认提供的异常处理器不一定满足项目的需求,那这时一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常。
OAuth 2.0 构建微服务身份认证(二):java实现过程
awj321000的专栏
05-10 538
Spring Boot有了Spring Boot这样的神器,可以很简单的使用强大的Spring框架。你需要关心的事儿只是创建应用,不必再配置了,“Just run!”,这可是Josh Long每次演讲必说的,他的另一句必须说的就是“make jar not war”,这意味着,不用太关心是Tomcat还是Jetty或者Undertow了。专心解决逻辑问题,这当然是个好事儿,部署简单了很多。创建Sp...
SpringOauth2.0源码分析之ProviderManager(二)
有信仰的蜗牛
10-23 2883
1.概述 在SpringOauth2.0中,所有的认证服务,均通过ProviderManager认证管理中心进行认证。通过分析ProviderManager,可以理解SpringOauth2.0认证的细节。也是整个流程中最核心的环节之一。 2.ProviderManager 的类结构 ProviderManager 继承实现AuthenticationManager接口。 public class...
记录整合框架--自定义oauth2.0授权模式
qq_42977853的博客
08-17 247
1.自定义三个类 XxxAuthenticationProvider:完成认证和授权 XxxAuthenticationToken:构建未授权和已授权的token XxxTokenGranter:自定义模式,在配置文件中会加入到授权模式列表中,另外返回已授权的token 2.两个配置文件 SecurityConfig:实现XxxAuthenticationProvider的注入,否则ProviderManager无法选到,需要扩展的认证类型都可以在这里添加 TokenGranterConfig:在容器中添加
oauth2 通过SecurityContextHolder获取用户信息(二)
个人工作学习内容总结
04-06 2070
既上一篇获取用户信息,又找到了另一种获取用户信息的方法,在这做下介绍 本方法获取用户信息使用的是 token-info-uri user-info-uri方式移步 资源服务配置文件 当使用token-info-uri时,默认user-info-uri不生效,loadBalanced:集群配置 security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth1/users/cu
拦截器中解析OAuth2身份认证,保存用户信息至SecurityContextHolder当前线程
qq_42962779的博客
02-19 3880
1.首先定义拦截器,在前置拦截获取认证信息,取出UserDetails中保存的username,通过mapper接口查询数据库用户信息对象,保存至SecurityContextHolderd 当前线程,以便后续随时在程序中获取用户信息 package com.youdu.wuhan2020.config; import javax.servlet.http.HttpServletRequest;...
Php oauth2.0 原理,OAuth 2.0 协议原理与实现:TOKEN 生成算法
weixin_40003451的博客
03-19 525
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
OAuth 2.0详解
lvlei19911108的博客
05-07 423
概念:OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如基本消息,照片,联系人列表),而无需将用户名和密码提供给第三方应用。一、应用场景为了理解OAuth的适用场合,这里举一个使用第三方账户进行登录的例子。现在一般登陆都会采用第三方授权登陆,比较常见就是微信、qq、微博授权登陆。这里以微信授权登陆为例:现在我在未注册的情况下去访问A网站,A网站为了...
低代码如何构建支持OAuth2.0后端Web API
pythonxxoo的博客
07-14 245
OAuth 是一个安全协议,用于保护全球范围内大量且不断增长的Web API。它用于连接不同的网站,还支持原生应用和移动应用于云服务之间的连接,同时它也是各个领域标准协议中的安全层。(图片来源网络)接下来我们来仔细聊聊OAuth2.0是什么,有什么用处。再说OAuth2.0之前,我们先聊聊OAuth。大家可以把它理解为OpenID的补充,但是服务内容完全不同。OAuth允许用户授权第三方网站访问他们存储在其他网站服务器上的信息,而不需要分享他们的访问许可或他们数据的所有内容。OAuth2.0尽管是OAuth
基于Oauth2.0的单点登录—搭建认证服务器(四)
qq_39847635的博客
02-03 916
一. 安全相关配置 继承WebSecurityConfigurerAdapter,如下代码所示。 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { } (一). 用户信息配置 存储在内存中,有两种创建用户信息的方式: 分别创建用户的用户名、密码、角色等信息; 基于org.springframework.security.core.userdetails.User创建用户信息。 @Conf
OAuth 2.0 协议原理与实现:token 生成策略
chunqingtai2922的博客
06-22 1845
OAuth2.0 协议定义了授权详细流程,并最终以 token 的形式作为用户授权的凭证下发给客户端,客户端后续可以带着 token 去请求资源服务器,获取 token 权限范围内的用户资源。 对于 token 的描述,OAuth 2.0 协议只是一笔带过的说它是一个字符串,用于表示特定的权...
Spring Security OAuth2笔记系列】- Security控制授权- Spring Security源码解析
代码有毒的博客
08-31 1949
Spring Security源码解析 spring security的基本原理之前讲解过了。这章主要看后面两个: FilterSecurityInterceptor 决定该用户是否有权限访问指定的资源 ExceptionTranslationFilter 异常处理,如果不能访问,则处理FilterSecurityInterceptor中抛出的异常 AnonymousAuthen...
使用postman测试oauth2.0认证服务中出现OAuth出现Bad credentials
热门推荐
Kevinnsm的博客
10-30 1万+
使用OAuth中的密码模式老是出现Bad credentials 在SecurityConfig已经将BCryptPasswordEncoder注入到IOC容器中,所以数据库提供的密码必须是加密的。 再次发送请求即可成功!
AuthenticationException使用及所有子类
java牛牛的博客
02-15 2727
AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常 AccountStatusException:用户状态异常它包含如下子类 AccountExpiredException:账户过期 CredentialsExpiredException:证书过期 DisabledException:账户不可用 LockedException:账户锁定 Active...
Spring Security 的 AuthenticationException实现总结
与望
04-30 7189
引言 在Spring Security中,认证失败时会抛出 AuthenticationException异常,而 AuthenticationException 有些子类我们需要了解和记忆一下以便我们更好的使用。 需要注意的是 AuthenticationException 是运行时异常。 AuthenticationException子实现 UsernameNotFoundException...
Spring Security异常类记录
lao_hu_的博客
11-10 1494
1、Spring Security异常体系 Spirng Security中的异常共有两大类:AuthenticationException(认证异常)和AccessDeniedException(权限异常) 1.1、AuthenticationException(认证异常) AuthenticationException:认证异常的父类,抽象类 BadCredentialsException:登录凭证(密码)异常 InsufficientAuthenticationException:登陆凭证不够充
oauth2自定义授权认证模式
最新发布
weixin_45738731的博客
06-06 1485
4、认证服务配置中增加自定义的授权。2、自定义身份授权的Token。1、自定义授权码模式。
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值