oauth2.0 /oauth/token 源码解析

最新推荐文章于 2024-08-22 15:45:45 发布
最新推荐文章于 2024-08-22 15:45:45 发布
阅读量5.3k 收藏 10
点赞数 2
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40293993/article/details/115519286
版权

请求/oauth/token
访问到org.springframework.security.oauth2.provider.endpoint.TokenEndpoint

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}

		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);

		if (clientId != null && !clientId.equals("")) {
			// Only validate the client details if a client authenticated during this
			// request.
			if (!clientId.equals(tokenRequest.getClientId())) {
				// double check to make sure that the client ID in the token request is the same as that in the
				// authenticated client
				throw new InvalidClientException("Given client ID does not match authenticated client");
			}
		}
		if (authenticatedClient != null) {
			oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
		}
		if (!StringUtils.hasText(tokenRequest.getGrantType())) {
			throw new InvalidRequestException("Missing grant type");
		}
		if (tokenRequest.getGrantType().equals("implicit")) {
			throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
		}

		if (isAuthCodeRequest(parameters)) {
			// The scope was requested or determined during the authorization step
			if (!tokenRequest.getScope().isEmpty()) {
				logger.debug("Clearing scope of incoming token request");
				tokenRequest.setScope(Collections.<String> emptySet());
			}
		}

		if (isRefreshTokenRequest(parameters)) {
			// A refresh token has its own default scopes, so we should ignore any added by the factory here.
			tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
		}

		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}

		return getResponse(token);

	}

前面是一堆验证,我也没深入了解

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

这一句就是获取OAuth2AccessToken 这个对象了
点到getTokenGranter()中看一下,进入到AbstractEndpoint,就是获取TokenGranter,那么找一下,在哪里set的这个对象

    public void setTokenGranter(TokenGranter tokenGranter) {
		this.tokenGranter = tokenGranter;
	}

	protected TokenGranter getTokenGranter() {
		return tokenGranter;
	}

点setTokenGranter,发现在 AuthorizationServerEndpointsConfiguration 这个类中用到了

    @Bean
	public AuthorizationEndpoint authorizationEndpoint() throws Exception {
		AuthorizationEndpoint authorizationEndpoint = new AuthorizationEndpoint();
		FrameworkEndpointHandlerMapping mapping = getEndpointsConfigurer().getFrameworkEndpointHandlerMapping();
		authorizationEndpoint.setUserApprovalPage(extractPath(mapping, "/oauth/confirm_access"));
		authorizationEndpoint.setProviderExceptionHandler(exceptionTranslator());
		authorizationEndpoint.setErrorPage(extractPath(mapping, "/oauth/error"));
		authorizationEndpoint.setTokenGranter(tokenGranter());
		authorizationEndpoint.setClientDetailsService(clientDetailsService);
		authorizationEndpoint.setAuthorizationCodeServices(authorizationCodeServices());
		authorizationEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		authorizationEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		authorizationEndpoint.setUserApprovalHandler(userApprovalHandler());
		authorizationEndpoint.setRedirectResolver(redirectResolver());
		return authorizationEndpoint;
	}

	@Bean
	public TokenEndpoint tokenEndpoint() throws Exception {
		TokenEndpoint tokenEndpoint = new TokenEndpoint();
		tokenEndpoint.setClientDetailsService(clientDetailsService);
		tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
		tokenEndpoint.setTokenGranter(tokenGranter());
		tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
		return tokenEndpoint;
	}
	private TokenGranter tokenGranter() throws Exception {
		return getEndpointsConfigurer().getTokenGranter();
	}


	public TokenGranter getTokenGranter() {
		return tokenGranter();
	}
    private TokenGranter tokenGranter() {
		if (tokenGranter == null) {
			tokenGranter = new TokenGranter() {
				private CompositeTokenGranter delegate;

				@Override
				public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
					if (delegate == null) {
						delegate = new CompositeTokenGranter(getDefaultTokenGranters());
					}
					return delegate.grant(grantType, tokenRequest);
				}
			};
		}
		return tokenGranter;
	}

这时候发现,实例化了一个CompositeTokenGranter,new CompositeTokenGranter(getDefaultTokenGranters());

	private List<TokenGranter> getDefaultTokenGranters() {
		ClientDetailsService clientDetails = clientDetailsService();
		AuthorizationServerTokenServices tokenServices = tokenServices();
		AuthorizationCodeServices authorizationCodeServices = authorizationCodeServices();
		OAuth2RequestFactory requestFactory = requestFactory();

		List<TokenGranter> tokenGranters = new ArrayList<TokenGranter>();
		tokenGranters.add(new AuthorizationCodeTokenGranter(tokenServices, authorizationCodeServices, clientDetails,
				requestFactory));
		tokenGranters.add(new RefreshTokenGranter(tokenServices, clientDetails, requestFactory));
		ImplicitTokenGranter implicit = new ImplicitTokenGranter(tokenServices, clientDetails, requestFactory);
		tokenGranters.add(implicit);
		tokenGranters.add(new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory));
		if (authenticationManager != null) {
			tokenGranters.add(new ResourceOwnerPasswordTokenGranter(authenticationManager, tokenServices,
					clientDetails, requestFactory));
		}
		return tokenGranters;
	}

new CompositeTokenGranter的时候,传参是一个List,add了五个对象类型
在这里插入图片描述
看一下这五个类和TokenGranter关系,都是继承了AbstractTokenGranter
grantType就是我们请求/oauth/token的参数,根据不同参数执行不同逻辑。
实例化CompositeTokenGranter之后,执行了grant方法

	//实例化CompositeTokenGranter方法
	public CompositeTokenGranter(List<TokenGranter> tokenGranters) {
		this.tokenGranters = new ArrayList<TokenGranter>(tokenGranters);
	}
   public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		for (TokenGranter granter : tokenGranters) {
			OAuth2AccessToken grant = granter.grant(grantType, tokenRequest);
			if (grant!=null) {
				return grant;
			}
		}
		return null;
	}

我们发现,tokenGranters就是刚才那五个类,for循环去执行每个类中的grant。
比如
传参 grantType=“client_credentials”,就会执行到ClientCredentialsTokenGranter类中的grant

    @Override
	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		OAuth2AccessToken token = super.grant(grantType, tokenRequest);
		if (token != null) {
			DefaultOAuth2AccessToken norefresh = new DefaultOAuth2AccessToken(token);
			// The spec says that client credentials should not be allowed to get a refresh token
			if (!allowRefresh) {
				norefresh.setRefreshToken(null);
			}
			token = norefresh;
		}
		return token;
	}

首先就会执行父类的grant方法
当然有些类(比如password的ResourceOwnerPasswordTokenGranter类)就没有重写父类的grant方法,这时候就会执行到父类(AbstractTokenGranter)的grant方法

父类AbstractTokenGranter中的grant方法

public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {

		if (!this.grantType.equals(grantType)) {
			return null;
		}
		
		String clientId = tokenRequest.getClientId();
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		validateGrantType(grantType, client);

		if (logger.isDebugEnabled()) {
			logger.debug("Getting access token for: " + clientId);
		}

		return getAccessToken(client, tokenRequest);

	}

这里面就有判断this.grantType是否等于请求中传参的grantType,this.grantType在实例化的时候就有赋值(ClientCredentialsTokenGranter构造方法中有super,父类也就赋值了)。如果为空,就继续前面的CompositeTokenGranter中的for循环。
不为空,验证client,grantType之后就是getAccessToken了
getAccessToken就会去判断是否存在accessToken,是否过期等等,也会发现refreshToken就是UUID,放入redis的话,key也是固定前缀,
RedisTokenStore中

private byte[] serializeKey(String object) {
		return serialize(prefix + object);
	}

object一般是access:token,但是这个serialize放了一个前缀prefix,可以初始化Bean,RedisTokenStore对该prefix赋值,我之前就是有的项目赋值了,有的没有,倒是token请求一直提示没有权限。
这时候就走完了整个流程,返回了accessToken这个对象
看代码会发现grantType=“client_credentials” 时,是没有返回 refreshToken的,加了一个判断

if (!allowRefresh) {
	 norefresh.setRefreshToken(null);
}

如果想返回该字段,可以赋值allowRefresh

没有太深入研究,如有错误,欢迎指出

oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4592
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
Oauth2源码剖析——密码式+数据库存储
a12638915的博客
07-17 287
authorities: 设置的role。user_name : 设置的用户名。client_id : 设置的。scope: 权限scope。
Spring OAuth2客户端身份验证源码解析
onePlus5T的博客
08-22 1132
本文介绍在spring oauth2.0客户端向授权服务发起token请求时,源码是如何向请求中添加客户端认证参数,来交由授权服务进行认证的
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 2478
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
oauth2.0的 /oauth/token是配制就有的吗?它会自动返回token吗?在哪里使用呢
mywaya2333的博客
03-02 1389
拿到 OAuth 2.0 的访问令牌(access token)后,客户端可以使用该令牌来访问受保护的资源服务器(Resource Server)。如果 OAuth 2.0 授权服务器支持多个资源服务器或者不同类型的资源,客户端可以使用同一个访问令牌来访问不同的资源,只要这些资源服务器都信任该授权服务器颁发的访问令牌。总之,访问令牌是客户端与资源服务器之间进行安全通信的重要凭证,用于证明客户端的身份并获取访问受保护资源的权限。资源服务器会验证访问令牌的有效性,并根据令牌中的权限信息来授权用户对资源的访问。
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1665
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
Springsecurity-oauth2之/oauth/token的处理
热门推荐
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
Php oauth2.0 原理,OAuth 2.0 协议原理与实现:TOKEN 生成算法
weixin_40003451的博客
03-19 551
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
OAuth2.0代码模拟实现
12-26
OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...
SpringOAuth2.0访问/oauth/token响应Invalid basic authentication token
程序员劝退师的博客
11-07 2134
这个问题其实不是我们代码的问题,是我们请求方式的问题,或者说是请求工具的问题,这段时间在学习OAuth2.0协议框架SpringOAuth2.0,在搭建认证服务器之后请求完/oauth/authorize之后得到code后就会请求/oauth/token来得到access_token等相关信息 在得到code之后我就使用postMan发送/oauth/authorize请求,设置了请求头Content-Type:application/x-www-form-urlencoded Authorization:
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
09-14
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/
基于go-oauth2/oauth2实现OAuth 2.0 授权码方式
蜗牛^_^的博客
01-20 9665
前言 本文基于go-oauth2/oauth2,参考go-oauth2/oauth2/example、go-oauth2/gin-server、llaoj/oauth2,结合beego框架实现OAuth 2.0授权码方式。 介绍 OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某网站上存储的资源(如邮箱、手机、头像等),而无需将用户名和密码提供给第三方应用。 OAuth2.0规定了四种授权方式,授权码、隐藏式、密码式、客户端凭证。本文主要讲解授权码方式的实现。可参考OAuth 2.0
OAuth2 源码分析(二.授权码模式源码
yrsg666的博客
07-03 432
https://blog.csdn.net/qq_30905661/article/details/82424552
Spring OAuth2.0客户端源码解析
最新发布
onePlus5T的博客
08-22 1289
介绍OAuth2.0授权码模式下Spring Boot OAuth2客户端的源码运行流程
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Spring cloud oauth2.0源码解析与实践Demo
wenzhen_csdn的博客
08-21 295
https://blog.csdn.net/j754379117/article/details/70176974
oauth2的token认证接口/oauth/token、/oauth/check_token、/oauth/authorize在哪个包里
Dream_it_possible!的博客
07-02 2万+
在org.springframework.security.oauth2.provider.endpoint里的TokenEndpoint类里 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.springframework.security.oauth2.provider.endpoint; import java.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值