Oauth2之AuthorizationEndpoint源码

最新推荐文章于 2024-05-27 18:00:54 发布
最新推荐文章于 2024-05-27 18:00:54 发布
阅读量4.8k 收藏 3
点赞数 1
分类专栏: oauth2

AuthorizationEndpoint源码

这里写图片描述

@FrameworkEndpoint
@SessionAttributes("authorizationRequest")
public class AuthorizationEndpoint extends AbstractEndpoint {

  //omitted...

    @RequestMapping(value = "/oauth/authorize")
    public ModelAndView authorize(Map<String, Object> model, @RequestParam Map<String, String> parameters,
            SessionStatus sessionStatus, Principal principal) {

        // Pull out the authorization request first, using the OAuth2RequestFactory. All further logic should
        // query off of the authorization request instead of referring back to the parameters map. The contents of the
        // parameters map will be stored without change in the AuthorizationRequest object once it is created.
        // 通过Oauth2RequestFactory构建AuthorizationRequest
        AuthorizationRequest authorizationRequest = getOAuth2RequestFactory().createAuthorizationRequest(parameters);

        Set<String> responseTypes = authorizationRequest.getResponseTypes();

    ///oauth/authorize这个请求只支持授权码code模式和Implicit隐式模式
        if (!responseTypes.contains("token") && !responseTypes.contains("code")) {
            throw new UnsupportedResponseTypeException("Unsupported response types: " + responseTypes);
        }

        if (authorizationRequest.getClientId() == null) {
            throw new InvalidClientException("A client id must be provided");
        }

        try {
      //Oauth2授权的第一步就是要确保用户是否已经登陆,然后才会
      //这里体现的是SecurityContext中是否包涵了已经授权的Authentication身份
            if (!(principal instanceof Authentication) || !((Authentication) principal).isAuthenticated()) {
                throw new InsufficientAuthenticationException(
                        "User must be authenticated with Spring Security before authorization can be completed.");
            }
      //通过ClientDetailsService检索ClientDetails
            ClientDetails client = getClientDetailsService().loadClientByClientId(authorizationRequest.getClientId());

            // The resolved redirect URI is either the redirect_uri from the parameters or the one from
            // clientDetails. Either way we need to store it on the AuthorizationRequest.
            String redirectUriParameter = authorizationRequest.getRequestParameters().get(OAuth2Utils.REDIRECT_URI);
            String resolvedRedirect = redirectResolver.resolveRedirect(redirectUriParameter, client);
      //确保requst中有重定向redirect_uri
            if (!StringUtils.hasText(resolvedRedirect)) {
                throw new RedirectMismatchException(
                        "A redirectUri must be either supplied or preconfigured in the ClientDetails");
            }
            authorizationRequest.setRedirectUri(resolvedRedirect);

            // We intentionally only validate the parameters requested by the client (ignoring any data that may have
            // been added to the request by the manager).
            // 校验client请求的是一组有效的scope,通过比对表oauth_client_details
            oauth2RequestValidator.validateScope(authorizationRequest, client);

            // Some systems may allow for approval decisions to be remembered or approved by default. Check for
            // such logic here, and set the approved flag on the authorization request accordingly.
            //预同意处理(ApprovalStoreUserApprovalHandler)
            //1. 校验所有的scope是否已经全部是自动同意授权,如果全部自动授权同意,则设置authorizationRequest
            //中属性approved为true,否则走2
            //2. 查询client_id下所有oauth_approvals,校验在有效时间内Scope授权的情况,如果在有效时间内Scope授权全部同意,
            //则设置authorizationRequest中属性approved为true,否则为false
            authorizationRequest = userApprovalHandler.checkForPreApproval(authorizationRequest,
                    (Authentication) principal);
            // TODO: is this call necessary?
            // 这个步骤是不是多余的??
            boolean approved = userApprovalHandler.isApproved(authorizationRequest, (Authentication) principal);
            authorizationRequest.setApproved(approved);

            // Validation is all done, so we can check for auto approval...
            // 如果预授权结果是同意,直接将code重定向到redirect_uri
            if (authorizationRequest.isApproved()) {
                if (responseTypes.contains("token")) {
                    return getImplicitGrantResponse(authorizationRequest);
                }
                if (responseTypes.contains("code")) {
                    return new ModelAndView(getAuthorizationCodeResponse(authorizationRequest,
                            (Authentication) principal));
                }
            }

            // Place auth request into the model so that it is stored in the session
            // for approveOrDeny to use. That way we make sure that auth request comes from the session,
            // so any auth request parameters passed to approveOrDeny will be ignored and retrieved from the session.
            model.put("authorizationRequest", authorizationRequest);
      //否则跳转到授权页面
      //授权页面是由WhitelabelApprovalEndpoint类生成的
            return getUserApprovalPageResponse(model, authorizationRequest, (Authentication) principal);

        }
        catch (RuntimeException e) {
            sessionStatus.setComplete();
            throw e;
        }

    }
//omitted...
}

AuthorizationEndpoint中采用两种常用的UserApprovalHandler策略,一种是细精粒度的基于Scope的ApprovalStoreUserApprovalHandler,一种是粗粒度的基于token的TokenStoreUserApprovalHandler。两种策略不同之处就是在授权页面上,基于Scope的ApprovalStoreUserApprovalHandler策略需要为每一个Scope授权同意,而粗粒度的基于token的TokenStoreUserApprovalHandler因为是基于token的,所以体现在页面上的只有一个同意或者拒绝的按钮来表示是否对用户的操作进行授权

重生之我是一名程序员
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-oauth2源码
06-30
OAuth2是一个授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而OpenID Connect则是在OAuth2之上添加身份验证层。下面将详细探讨Spring Security OAuth2的核心概念、工作流程以及关键组件。 1. **...
spring security-源码流程分析(五)-oauth默认请求地址(/oauth/token)是如何生效的?
luoxiaomei999的博客
04-06 4565
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、@FrameworkEndpoint注解的作用 1、在之前的文章中我们看到AuthorizationServerEndpointsConfiguration配置中配置了AuthorizationEndpoint和TokenEndpoint等,他们都是继承自AbstractEndpoint 2、Author.
《Spring》Spring开发技巧收集
kaige8312的博客
12-27 722
1. @FrameworkEndpoint 该注解只用于框架提供端点,语义和 Controller 注解一致, 如果使用Controller提供了和FrameworkEndpoint标识的相同路径,@FrameworkEndpoint注解的类则不生效; 一般的场景用于:覆盖框架默认提供的端点; 2.BeanPostProcessor 初始化钩子方法 org.springframewor...
spring-authorization-server(3)--authorization_code模式实现流程
最新发布
qq_16033193的博客
05-27 618
判断能否处理是通过provider.supports(toTest)这个来判断的,以OAuth2AuthorizationCodeAuthenticationProvider为例,其实就是看看传入的authentication类型是不是该provider处理的类型,也就是说OAuth2AuthorizationCodeAuthenticationProvider只处理子类为OAuth2AuthorizationCodeAuthenticationToken类型的authentication。
SpringSecurity OAuth2授权端点AuthorizationEndpoint、授权码AuthorizationCodeServices 详解
向心行者
01-09 7093
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时了解"/oauth/authorize"授权接口在AuthorizationEndpoint类中定义。这一节,我们将详细分析AuthorizationEndpoint类的实现。 2、AbstractEndpoint抽象类   AuthorizationEndpoint授权端点继承自AbstractEndpoint抽象类,这里我们先分析一下AbstractEndpoint抽象类的实现逻辑。   AbstractEnd
@frameworkendpoint 的作用
chinassj的博客
07-23 9819
路径:org.springframework.security.oauth2.provider.endpoint @Controller的同义词,但仅用于框架提供的端点(因此它永远不会与用@Controller定义的用户自己的端点冲突)。 与@RequestMapping和所有其他@Controller功能一起使用(and match with a FrameworkEndpointHandl...
@frameworkendpoint @SessionAttributes
m0_37732829的博客
07-17 623
org.springframework.security.oauth2.provider.endpoint.FrameworkEndpoint package org.springframework.security.oauth2.provider.endpoint; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.Retentio.
Spring Cloud之OAuth2
04-25
1. **OAuth2 核心类**:研究 AuthorizationEndpoint、TokenEndpoint 等关键类的作用。 2. **令牌存储**:了解不同类型的令牌存储策略,如内存、数据库或 Redis。 3. **认证流程**:通过跟踪代码理解授权码、访问令牌...
spring-security-oauth的实现源码
04-11
客户端实现通常涉及配置`OAuth2ClientContext`和`OAuth2RestTemplate`,它们负责获取访问令牌并将其用于向受保护资源发送请求。`OAuth2ProtectedResourceDetails`对象包含了关于客户端的身份和授权服务器的信息。 ...
spring oauth2.0
04-30
源码阅读可以帮助开发者更好地定制和优化自己的OAuth2系统,了解内部的工作机制,例如如何处理授权流、令牌存储和验证等。 "工具"可能意味着实现OAuth2时会用到的各种工具或辅助库,如数据库(用于存储令牌和客户端...
SpringSecurity OAuth2之授权码获取流程分析
clyu的博客
01-10 4498
前言 本文主要从AuthorizationEndpoint的初始化和其authorize方法等方面进行授权码获取流程分析 一、AuthorizationEndpoint的初始化 AuthorizationEndpoint是授权码处理端点 AuthorizationEndpoint的初始化方式在注解@EnableAuthorizationServer引入的配置类AuthorizationServerEndpointsConfiguration中。 @Configuration @Import(TokenK
IdentityServer4专题之四:Authorization Endpoint、Token Endpoint、scope、Access Token和Refresh Token、授权服务器发生错误...
weixin_30810239的博客
05-15 641
1.Authorization Endpoint 它是与用户交互的端点,用户在此进行为客户端应用授权的操作,即authorization grant 2.Token Endpoint 端点,就是一个web服务,一个路径,一个uri。客户端应用向Token端点展示它的权限,即展示authrization grant或者refresh token,来获取access token.除了implic...
Spring OAuth2 源码分析
杨海吉
12-01 589
微信技术交流群 添加小编微信:372787553,备注进群 OAuth2 内置断点生成Token源码解析 在我们现实的开发者,当我们使用oauth的时候,当需要生成token时, 只需要去调用/oauth/token,但是他具体做了什么?就可以实现今天我们就来一探究竟 TokenEndpoint 不难看出最终调用的时TokenEndpoint这个类,那么我们来分析学习一下这个类 首先映入眼帘的时@FrameworkEndpoint,@FrameworkEndpoint与@Controller的同义词, 但仅
spring security oauth2 中两个endpoint的注入来源
a469517790的博客
07-06 4650
公司项目使用xml配置的方式整合oauth2,在阅读源码,跟踪整个授权跟获取令牌的过程中,对比xml的配置文件,并没有找到有配置配了两个endpoint的注入:TokenEndpointAuthorizationEndpoint。这两个类分别对应我们oauth2中两个重要的请求:/oauth/token 和/oauth/authorize。我们oauth的功能都围绕着这个给url展开,这里...
Spring Security Oauth2之获取token流程分析
clyu的博客
01-10 7300
前言 本文主要研究Spring Security Oauth2 token获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图! TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口 ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息
Spring Authorization Server 系列(二)获取授权码
冰糖的博客
05-28 1507
Spring Authorization Server 是基于 OAuth2.1 和 OIDC 1.0 的。只有 授权码,刷新token,客户端模式。
Spring Security 源码解读:OAuth2 Authorization Server
weixin_41866717的博客
02-15 2837
Spring Authorization Server刚发展不久,还没有springboot版本,而Resource Server有,但是两个底层很多不兼容,会重复引入不同版本的jar包。这里我将AuthorizationServer和ResourceServer分开实现,但是都用的是spring-security的依赖:
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4723
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
springboot security oauth2 源码
06-12
Spring Security OAuth2 的授权服务器源码主要包括以下几个模块: 1. oauth2-core:包括 OAuth2 协议的核心实现,如授权码、令牌等的生成和验证。 2. oauth2-jwt:包括 JWT 令牌的生成和解析。 3. oauth2-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值