Spring Security Oauth2之获取token流程分析

最新推荐文章于 2024-03-05 18:43:06 发布
最新推荐文章于 2024-03-05 18:43:06 发布
阅读量7.1k 收藏 14
点赞数 2
分类专栏: Spring Security Oauth2 文章标签: spring http java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/122389002
版权
前言

本文主要研究Spring Security Oauth2 token获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图!
>获取token路径
TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口

ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息的,而
ClientDetailsService则是读取客户端信息的,也就是根据我们发送/oauth/token请求是存放在Authorization中的username和password,注意这个不是用户的,而是客户端的端点信息

ClientDetails: 这个就是用来存储ClientDetailsService查询到的客户端信息的

TokenRequest: 这也是用来封装请求中的一些其他信息如grant_type、client_id等,同时也会将ClientDetails放入到这里面

TokenGrande: 这个接口封装的就是SpringSecurityOAuth2提供的5中默认授权模式,这个接口中会根据传入的grant_type执行不同的授权逻辑,这里不管走那种授权模式,都会产生两个对象OAuth2Request和Authentication,最终这两个对象会组合为OAuth2Authentication

OAuth2Request: 这个就是将ClientDetails和TokenRequest的信息做一个整合

Authentication: 这个就是存储当前授权登录的用户信息,实际上也就是从UserDetailsService中得到的用户信息

OAuth2Authentication: 这个对象就是将当前授权登录的用户信息,当前授权的是那个客户端信息,还有授权模式是什么,还有一些授权中的其他参数,最终这些数据都会被封装在这个对象中

AuthorizationServerTokenServices: 这个接口实际上就是使用组装好的OAuth2Authentication按照TokenEnhance生成策略生成Token,按照TokenStore存储方式存储Token

OAuth2AccessToken: 这个就是最终返回去的Token信息

在这里插入图片描述

一、TokenEndpoint
1.1 TokenEndpoint属性
@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {

	private OAuth2RequestValidator oAuth2RequestValidator = new DefaultOAuth2RequestValidator();

	private Set<HttpMethod> allowedRequestMethods = new HashSet<HttpMethod>(Arrays.asList(HttpMethod.POST));

	private WebResponseExceptionTranslator<OAuth2Exception> providerExceptionHandler = new DefaultWebResponseExceptionTranslator();

	private TokenGranter tokenGranter;

	private ClientDetailsService clientDetailsService;

	private OAuth2RequestFactory oAuth2RequestFactory;

	private OAuth2RequestFactory defaultOAuth2RequestFactory;
}
1.2 TokenEndpoint的初始化

TokenEndpoint的初始化发生在配置类AuthorizationServerEndpointsConfiguration中,他是由注解@EnableAuthorizationServer导入的

@Configuration
@Import(TokenKeyEndpointRegistrar.class)
public class AuthorizationServerEndpointsConfiguration {

	private AuthorizationServerEndpointsConfigurer endpoints = new AuthorizationServerEndpointsConfigurer();

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private List<AuthorizationServerConfigurer> configurers = Collections.emptyList();

	@Bean
	public TokenEndpoint tokenEndpoint() throws Exception {
		TokenEndpoint tokenEndpoint = new TokenEndpoint();
		tokenEndpoint.setClientDetailsService(clientDetailsService);//直接注入
		tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());
		tokenEndpoint.setTokenGranter(tokenGranter());
		tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());
		tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());
		tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());
		return tokenEndpoint;
	}
1.3 postAccessToken

因为获取token的url是/oauth/token,所以他会进入下面的代码

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {

	private OAuth2RequestValidator oAuth2RequestValidator = new DefaultOAuth2RequestValidator();

	private Set<HttpMethod> allowedRequestMethods = new HashSet<HttpMethod>(Arrays.asList(HttpMethod.POST));


	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
        
        //接口必须进行了身份认证
		if (!(principal instanceof Authentication)) {throw new InsufficientAuthenticationException("");}
        
        //从请求头中取出clientId
		String clientId = getClientId(principal);
		//通过ClientDetailsService读取数据库端点信息
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);
        //封装端点信息+请求其他参数
		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);

		if (clientId != null && !clientId.equals("")) {
			// Only validate the client details if a client authenticated during this
			// request.
			if (!clientId.equals(tokenRequest.getClientId())) {
				// double check to make sure that the client ID in the token request is the same as that in the
				// authenticated client
				throw new InvalidClientException("Given client ID does not match authenticated client");
			}
		}
		if (authenticatedClient != null) {
			oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
		}
		if (!StringUtils.hasText(tokenRequest.getGrantType())) {
			throw new InvalidRequestException("Missing grant type");
		}
		if (tokenRequest.getGrantType().equals("implicit")) {
			throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
		}

		if (isAuthCodeRequest(parameters)) {
			// 在授权步骤中请求或确定了范围
			if (!tokenRequest.getScope().isEmpty()) {
				tokenRequest.setScope(Collections.<String> emptySet());
			}
		}

		if (isRefreshTokenRequest(parameters)) {
			// 刷新令牌有其自己的默认作用域,因此我们应该忽略工厂在此处添加的任何标记。
			tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
		}
        //核心方法:获取token,并把它装配到OAuth2AccessToken中
		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}
		return getResponse(token);
	}
}
这是一条海鱼
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 token权限隔离实例解析
08-25
主要介绍了Spring Security OAuth2 token权限隔离实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security OAuth过期的解决方法
09-07
主要介绍了Spring Security OAuth过期的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Google OAuth2.0获取授权信息返回的id_token如何解析
最新发布
我的博客
03-05 577
Google OAuth2.0获取授权信息返回的id_token如何解析?
更改tokenendpoint中默认的url
qq_43184345的博客
09-08 2019
更改tokenendpoint中默认的url 一、首先自己写个类AuthServerConfig去继承AuthorizationServerConfigurerAdapter类 二、复写方法configure(AuthorizationServerEndpointsConfigurer endpoints) 三、在方法中设置endpoints.pathMapping("/oauth/authorize", urlPrefix+"/oauth/authorize"),前一个路径为默认路径,后一个为你希望替换的
security-oauth2(token解密过程)
qq_33421961的博客
11-10 3965
整体介绍 security-oauth2 提供了一些默认的过滤器链,每个过滤器链里面都有多个过滤器,每个过滤器链里面都有一个匹配器,并且每个过滤器链中都有多个过滤器,当业务接口请求到后端的时候,在请求到达目标接口之前,会被过滤器链代理拦截下来,然后循环过滤器器链,利用过滤器链本身的匹配器对请求进行匹配,如果匹配通过,则进入到过滤器链中,然后循环执行过滤器链中所有的过滤器,在这些过滤器中,会对请求头信息中的token进行校验,如果全部校验通过,请求才会调用到最初的目标接口,否则就终止请求的执行,并抛错错误码
Spring Security Oauth2 认证(获取token/刷新token流程(password模式)
killerover84的专栏-----天下
11-13 2524
Spring Security Oauth2 认证(获取token/刷新token流程(password模式) 2018年05月11日 23:05:31 昵称2018 阅读数:9641 标签: Spring Security Oauth2认证流程/oauth/token认证流程refresh token流程Spring Security Oauth2认证源码分析Spring Securi...
详解OAuth2 Token 一定要放在请求头中吗
08-18
主要介绍了详解OAuth2 Token 一定要放在请求头中吗,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity+Oauth2+Token
m0_46708637的博客
06-12 590
SpringSecurity 核心功能 认证 授权 攻击防护(防止伪造身份) SpringSecurity的核心是一组过滤器链,项目启动后会自动配置。最核心的是Basic Authentication Filter用于认证用户身份,是一个在框架中一种过滤处理的认证方式。 以上绿色过滤器可以配置是否生效,其他的不可配置。 Oauth2 Oauth Oauth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分析他们数
Spring Cloud OAuth 微服务内部Token传递的源码实现解析
weixin_33858485的博客
04-20 433
背景分析1.客户端携带认证中心发放的token,请求资源服务器A2.客户端携带令牌直接访问资源服务器,资源服务器通过对token 的校验 判断用户的合法性,并保存到上下文中3.A服务接口接收到请求,需要通过Feign或者其他RPC框架调用B服务来组装返回数据本文主要来探讨第三部 A --> B ,token 自定维护的源码实现如何实现token 传递配置OAuth2F...
获取token(/oauth/token
热门推荐
trusause的博客
10-08 2万+
1、入口方法(spring-security-oauth2-2.0.14.RELEASE-sources.jar) @FrameworkEndpoint public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", method=RequestMethod.P...
OAuth2四种授权登录之密码模式获取TOKEN
GinChou的萌新博客
09-03 1万+
学习地址: https://www.majiaxueyuan.com/uc/play/65 目录 1.简介 2.Oauth2角色划分 3.OAuth2为我们提供了四种授权方式 4.密码获取TOKEN方式 5.测试 1.简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth 个性化token的使用
08-26
主要介绍了Spring Security OAuth 个性化token的使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
扩展SpringSecurity OAuth Server以支持多种登录方式,如短信、社交媒体或第三方token
nullpointer2008的专栏
12-02 1032
类似的介绍有不少,这里总结一下,作为备忘,也从不同的角度进行描述一下,以共用得着的同学参考。 框架原有登录、token生成过程 client(app,网页等)发出post 请求,到auth server 的/oauth/token 端点,对应org.springframework.security.oauth2.provider.endpoint.TokenEndpoint类中的postAccessToken()方法; 被ClientCredentialTokenEndpointFilter拦截处理.
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 4545
使用oauth2生成 token流程+续命
Spring Security OAuth 2.0 发放令牌接口地址自定义
冷冷的博客
05-08 1888
OAuth 2.0 如何获取令牌 以密码模式为例,获取 Token curl --location --request POST 'http://oauth-server/oauth/token' \ --header 'Authorization: Basic dGVzdDp0ZXN0' \ --data-urlencode 'username=adm...
Spring Security OAuth2 源码分析(一) TokenEndpoint
咖啡的博客
03-20 1968
通过请求 oauth/token获取 token。大致为以下流程: 从 principal 中获取 clientId, 进而装载 ClientDetails 。 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest。 校验 Client 信息。 根据 grantType 设置 TokenRequest 的 scope。 ...
Spring security oauth2 Authorization Server Token增强
06-03
Spring Security OAuth2 Authorization Server可以通过Token增强器(Token Enhancer)来为授权后返回的Access Token添加额外的信息。Token增强器是一个接口,它接收一个Access Token并返回一个增强后的Access Token。在Authorization Server配置类中,可以通过调用tokenEnhancer()方法来设置Token增强器,示例代码如下: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Bean public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("123456"); return converter; } @Bean public TokenEnhancer tokenEnhancer() { return new CustomTokenEnhancer(); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(userDetailsService) .tokenStore(tokenStore()) .accessTokenConverter(accessTokenConverter()) .tokenEnhancer(tokenEnhancer()); } @Override public void configure(AuthorizationServerSecurityConfigurer oauthServer) throws Exception { oauthServer.tokenKeyAccess("permitAll()") .checkTokenAccess("isAuthenticated()") .allowFormAuthenticationForClients(); } } ``` 在上面的代码中,CustomTokenEnhancer是一个自定义的Token增强器,它可以在Access Token中添加额外的信息。示例代码如下: ```java public class CustomTokenEnhancer implements TokenEnhancer { @Override public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) { Map<String, Object> additionalInfo = new HashMap<>(); additionalInfo.put("organization", authentication.getName() + "@test.com"); ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo); return accessToken; } } ``` 在上面的代码中,我们向Access Token中添加了一个名为“organization”的信息,它的值为当前用户的用户名加上@test.com。这种方式可以为Access Token添加任何我们需要的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值