oauth2.0 /oauth/token 源码解析

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量5.2k 收藏 10
点赞数 2
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40293993/article/details/115519286
版权

请求/oauth/token
访问到org.springframework.security.oauth2.provider.endpoint.TokenEndpoint

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}

		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);

		if (clientId != null && !clientId.equals("")) {
			// Only validate the client details if a client authenticated during this
			// request.
			if (!clientId.equals(tokenRequest.getClientId())) {
				// double check to make sure that the client ID in the token request is the same as that in the
				// authenticated client
				throw new InvalidClientException("Given client ID does not match authenticated client");
			}
		}
		if (authenticatedClient != null) {
			oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
		}
		if (!StringUtils.hasText(tokenRequest.getGrantType())) {
			throw new InvalidRequestException("Missing grant type");
		}
		if (tokenRequest.getGrantType().equals("implicit")) {
			throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
		}

		if (isAuthCodeRequest(parameters)) {
			// The scope was requested or determined during the authorization step
			if (!tokenRequest.getScope().isEmpty()) {
				logger.debug("Clearing scope of incoming token request");
				tokenRequest.setScope(Collections.<String> emptySet());
			}
		}

		if (isRefreshTokenRequest(parameters)) {
			// A refresh token has its own default scopes, so we should ignore any added by the factory here.
			tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
		}

		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}

		return getResponse(token);

	}

前面是一堆验证,我也没深入了解

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

这一句就是获取OAuth2AccessToken 这个对象了
点到getTokenGranter()中看一下,进入到AbstractEndpoint,就是获取TokenGranter,那么找一下,在哪里set的这个对象

    public void setTokenGranter(TokenGranter tokenGranter) {
		this.tokenGranter = tokenGranter;
	}

	protected TokenGranter getTokenGranter() {
		return tokenGranter;
	}

点setTokenGranter,发现在 AuthorizationServerEndpointsConfiguration 这个类中用到了

    @Bean
	public AuthorizationEndpoint authorizationEndpoint() throws Exception {
		AuthorizationEndpoint authorizationEndpoint = new AuthorizationEndpoint();
		FrameworkEndpointHandlerMapping mapping = getEndpointsConfigurer().getFrameworkEndpointHandlerMapping();
		authorizationEndpoint.setUserApprovalPage(extractPath(mapping, "/oauth/confirm_access"));
		authorizationEndpoint.setProviderExceptionHandler(exceptionTranslator());
		authorizationEndpoint.setErrorPage(extractPath(mapping, "/oauth/error"));
		authorizationEndpoint.setTokenGranter(tokenGranter());
		authorizationEndpoint.setClientDetailsService(clientDetailsService);
		authorizationEndpoint.setAuthorizationCodeServices(authorizationCodeServices());
		authorizationEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		authorizationEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		authorizationEndpoint.setUserApprovalHandler(userApprovalHandler());
		authorizationEndpoint.setRedirectResolver(redirectResolver());
		return authorizationEndpoint;
	}

	@Bean
	public TokenEndpoint tokenEndpoint() throws Exception {
		TokenEndpoint tokenEndpoint = new TokenEndpoint();
		tokenEndpoint.setClientDetailsService(clientDetailsService);
		tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
		tokenEndpoint.setTokenGranter(tokenGranter());
		tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
		return tokenEndpoint;
	}
	private TokenGranter tokenGranter() throws Exception {
		return getEndpointsConfigurer().getTokenGranter();
	}


	public TokenGranter getTokenGranter() {
		return tokenGranter();
	}
    private TokenGranter tokenGranter() {
		if (tokenGranter == null) {
			tokenGranter = new TokenGranter() {
				private CompositeTokenGranter delegate;

				@Override
				public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
					if (delegate == null) {
						delegate = new CompositeTokenGranter(getDefaultTokenGranters());
					}
					return delegate.grant(grantType, tokenRequest);
				}
			};
		}
		return tokenGranter;
	}

这时候发现,实例化了一个CompositeTokenGranter,new CompositeTokenGranter(getDefaultTokenGranters());

	private List<TokenGranter> getDefaultTokenGranters() {
		ClientDetailsService clientDetails = clientDetailsService();
		AuthorizationServerTokenServices tokenServices = tokenServices();
		AuthorizationCodeServices authorizationCodeServices = authorizationCodeServices();
		OAuth2RequestFactory requestFactory = requestFactory();

		List<TokenGranter> tokenGranters = new ArrayList<TokenGranter>();
		tokenGranters.add(new AuthorizationCodeTokenGranter(tokenServices, authorizationCodeServices, clientDetails,
				requestFactory));
		tokenGranters.add(new RefreshTokenGranter(tokenServices, clientDetails, requestFactory));
		ImplicitTokenGranter implicit = new ImplicitTokenGranter(tokenServices, clientDetails, requestFactory);
		tokenGranters.add(implicit);
		tokenGranters.add(new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory));
		if (authenticationManager != null) {
			tokenGranters.add(new ResourceOwnerPasswordTokenGranter(authenticationManager, tokenServices,
					clientDetails, requestFactory));
		}
		return tokenGranters;
	}

new CompositeTokenGranter的时候,传参是一个List,add了五个对象类型
在这里插入图片描述
看一下这五个类和TokenGranter关系,都是继承了AbstractTokenGranter
grantType就是我们请求/oauth/token的参数,根据不同参数执行不同逻辑。
实例化CompositeTokenGranter之后,执行了grant方法

	//实例化CompositeTokenGranter方法
	public CompositeTokenGranter(List<TokenGranter> tokenGranters) {
		this.tokenGranters = new ArrayList<TokenGranter>(tokenGranters);
	}
   public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		for (TokenGranter granter : tokenGranters) {
			OAuth2AccessToken grant = granter.grant(grantType, tokenRequest);
			if (grant!=null) {
				return grant;
			}
		}
		return null;
	}

我们发现,tokenGranters就是刚才那五个类,for循环去执行每个类中的grant。
比如
传参 grantType=“client_credentials”,就会执行到ClientCredentialsTokenGranter类中的grant

    @Override
	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		OAuth2AccessToken token = super.grant(grantType, tokenRequest);
		if (token != null) {
			DefaultOAuth2AccessToken norefresh = new DefaultOAuth2AccessToken(token);
			// The spec says that client credentials should not be allowed to get a refresh token
			if (!allowRefresh) {
				norefresh.setRefreshToken(null);
			}
			token = norefresh;
		}
		return token;
	}

首先就会执行父类的grant方法
当然有些类(比如password的ResourceOwnerPasswordTokenGranter类)就没有重写父类的grant方法,这时候就会执行到父类(AbstractTokenGranter)的grant方法

父类AbstractTokenGranter中的grant方法

public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {

		if (!this.grantType.equals(grantType)) {
			return null;
		}
		
		String clientId = tokenRequest.getClientId();
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		validateGrantType(grantType, client);

		if (logger.isDebugEnabled()) {
			logger.debug("Getting access token for: " + clientId);
		}

		return getAccessToken(client, tokenRequest);

	}

这里面就有判断this.grantType是否等于请求中传参的grantType,this.grantType在实例化的时候就有赋值(ClientCredentialsTokenGranter构造方法中有super,父类也就赋值了)。如果为空,就继续前面的CompositeTokenGranter中的for循环。
不为空,验证client,grantType之后就是getAccessToken了
getAccessToken就会去判断是否存在accessToken,是否过期等等,也会发现refreshToken就是UUID,放入redis的话,key也是固定前缀,
RedisTokenStore中

private byte[] serializeKey(String object) {
		return serialize(prefix + object);
	}

object一般是access:token,但是这个serialize放了一个前缀prefix,可以初始化Bean,RedisTokenStore对该prefix赋值,我之前就是有的项目赋值了,有的没有,倒是token请求一直提示没有权限。
这时候就走完了整个流程,返回了accessToken这个对象
看代码会发现grantType=“client_credentials” 时,是没有返回 refreshToken的,加了一个判断

if (!allowRefresh) {
	 norefresh.setRefreshToken(null);
}

如果想返回该字段,可以赋值allowRefresh

没有太深入研究,如有错误,欢迎指出

qq_40293993
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springsecurity-oauth2之/oauth/token的处理
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
oauth2.0鉴权,登录访问 “/oauth/token”,请求头Authorization(basicToken)如何取值???
君临天下tjm的博客
06-30 4773
springcloud项目通常使用oauth2.0做鉴权管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
OAuth2.0 token的自动续期问题
xiao_ying_bo_ke的博客
05-27 1018
OAuth2.0token自动续期源码分析及实现
oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4440
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
Spring Security请求oauth/token接口报401 Unauthorized
qiujing0907的博客
01-04 8797
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom中依赖版本升级,导致这个密码编码器在高版本中发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security中过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数中的凭证,与抽象类中获取的凭证信息是否一样。
Spring Security oauth2(二)使用get方式请求oauth2默认的认证接口/oauth/token
歪桃的博客
11-23 1万+
在我们上篇文章中,我们作为快速入门 pring Security oauth2(一)快速入门,搭建授权服务器 讲了4中授权模式,接下来的篇章中,我们将会逐步的去一个一个问题解决,并且去扩展 接下来我们将要解决的第一个问题,就是关于于oauth2默认的认证接口。 1.观察oauth2认证接口地址 观察我们的每一种授权模式的请求地址。我们不难发现,请求地址就是如下两个。 授权码模式,我们请求了如下地址 http://127.0.0.1:8080/oauth/authorize http://127.0.0.1:
Springsecurity普通登录认证和OAuth2产生token的认证流程
join_null的博客
08-10 5720
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用...
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 1669
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象。new ShopifyToken(options) 创建一个新的ShopifyToken实例。争论options一个普通JavaScript对象,例如{ apiKey: ...
oauth2.0.zip_oauth2.0
09-20
OAuth 2.0还涉及到刷新令牌(Refresh Token)的概念,当访问令牌过期时,客户端可以使用刷新令牌获取新的访问令牌,无需再次让用户进行身份验证。 为了确保安全性,OAuth 2.0规定了各种安全最佳实践,比如使用HTTPS...
使用Springboot搭建OAuth2.0 Server的方法示例
08-27
在编写 OAuth2.0 Server 的代码时,需要实现授权服务提供方(Authorization Server)的逻辑,包括客户端注册、授权码授权、token 生成和验证等步骤。 使用 Springboot 搭建 OAuth2.0 Server 需要了解 OAuth2.0 的...
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
09-14
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
完整Oauth 2.0实现实例
03-06
OAuth 2.0 是一种广泛使用的授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:...
security-oauth2(token解密过程)
qq_33421961的博客
11-10 4036
整体介绍 security-oauth2 提供了一些默认的过滤器链,每个过滤器链里面都有多个过滤器,每个过滤器链里面都有一个匹配器,并且每个过滤器链中都有多个过滤器,当业务接口请求到后端的时候,在请求到达目标接口之前,会被过滤器链代理拦截下来,然后循环过滤器器链,利用过滤器链本身的匹配器对请求进行匹配,如果匹配通过,则进入到过滤器链中,然后循环执行过滤器链中所有的过滤器,在这些过滤器中,会对请求头信息中的token进行校验,如果全部校验通过,请求才会调用到最初的目标接口,否则就终止请求的执行,并抛错错误码
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2309
OAuth2根据授权码获取Token
OAuth2.0的四种授权方式
Zany540817349的博客
06-10 2954
简介 OAuth2.0是一种授权机制,主要核心是向第三方应用颁发令牌(token)。有四种授权方式:授权码,隐藏式,密码式,凭证式。 一. 授权码 指先向第三方应用申请一个授权码,然后再用该码获取令牌。 该方式最常用也最安全,适用于有后端的应用。授权码通过前端获取传送,后端获取存储令牌,并且与第三方的通信都通过后端完成。这样可以避免令牌泄露。 典型应用:第三方登录 1.应用A跳转到第三方应用B,B应用要求用户登录,并且询问是否授权给A应用,同意后,跳回A指定的回调地址,同时传回授权码。 //A应用跳转B应用
SpringOauth2.0源码分析之获取access_token(四)
有信仰的蜗牛
10-25 7298
1.概述 前面三个章节叙述了用户名密码认证方式中客户端用户名密码认证细节。 SpringOauth2.0源码分析之认证流程分析(一) SpringOauth2.0源码分析之 ProviderManager(二) SpringOauth2.0源码分析之客户端认证(三) 本章节主要深入分析access_token的实现细节。整个流程实现细节如下: 整个流程中主要核心分为三大块: 用户的用户名密...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
https://openapi.baidu.com/oauth/2.0/token?grant_type=client_credentials&client_id=Va5yQRHl********LT0
最新发布
06-29
你提到的是百度OpenAPI的OAuth 2.0令牌获取链接。这个链接用于通过客户端凭证(client credentials)方式获取访问授权。具体步骤如下: 1. **Client Credentials Grant**: 如果你有一个注册并配置过的百度开发者账号,`client_id`和`client_secret`是用于身份验证的密钥对。使用这两个值发起一个GET请求到该链接,不需要用户交互,适用于服务端与API直接通信的场景。 2. **参数说明**: - `grant_type`: 通常设置为`client_credentials`,表示使用客户端凭据而非用户密码来获取令牌。 - `client_id`: 你的应用的唯一标识符。 - `client_secret`: 应用的私有密钥,用于加密请求数据。 3. **请求示例**: 使用curl命令行工具进行请求示例如下: ```shell curl -X GET "https://openapi.baidu.com/oauth/2.0/token?grant_type=client_credentials&client_id=Va5yQRHl********LT0" -d "client_secret=your_client_secret" ``` 注意替换`your_client_secret`为你实际的密钥。 4. **响应**: 请求成功后,服务器会返回一个JSON对象,包含访问令牌(`access_token`)和其他相关信息,如刷新令牌(`refresh_token`)和过期时间(`expires_in`)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值