spring security oauth2.0 根据token信息获取用户信息

最新推荐文章于 2024-08-18 21:05:32 发布
最新推荐文章于 2024-08-18 21:05:32 发布
阅读量1.4w 收藏 19
点赞数 3
分类专栏: 项目搭建 文章标签: java spring oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013911102/article/details/108577768
版权

项目场景:

既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢?

技术详解:

spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧.

OAuth2AuthenticationProcessingFilter.java
public class OAuth2AuthenticationProcessingFilter implements Filter, InitializingBean {
    
    
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {

		final boolean debug = logger.isDebugEnabled();
		final HttpServletRequest request = (HttpServletRequest) req;
		final HttpServletResponse response = (HttpServletResponse) res;

		try {

			Authentication authentication = tokenExtractor.extract(request);
			
			if (authentication == null) {
				if (stateless && isAuthenticated()) {
					if (debug) {
						logger.debug("Clearing security context.");
					}
					SecurityContextHolder.clearContext();
				}
				if (debug) {
					logger.debug("No token in request, will continue chain.");
				}
			}
			else {
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, authentication.getPrincipal());
				if (authentication instanceof AbstractAuthenticationToken) {
					AbstractAuthenticationToken needsDetails = (AbstractAuthenticationToken) authentication;
					needsDetails.setDetails(authenticationDetailsSource.buildDetails(request));
				}
				Authentication authResult = authenticationManager.authenticate(authentication);

				if (debug) {
					logger.debug("Authentication success: " + authResult);
				}

				eventPublisher.publishAuthenticationSuccess(authResult);
				SecurityContextHolder.getContext().setAuthentication(authResult);

			}
		}
		catch (OAuth2Exception failed) {
			SecurityContextHolder.clearContext();

			if (debug) {
				logger.debug("Authentication request failed: " + failed);
			}
			eventPublisher.publishAuthenticationFailure(new BadCredentialsException(failed.getMessage(), failed),
					new PreAuthenticatedAuthenticationToken("access-token", "N/A"));

			authenticationEntryPoint.commence(request, response,
					new InsufficientAuthenticationException(failed.getMessage(), failed));

			return;
		}

		chain.doFilter(request, response);
	}
    
}

内部的逻辑可以细分为以下几个步骤:

第一步:获取token的信息

第二步:如果获取token结果为null,哪么就清空security context

第三步:根据token信息获取到对应的用户信息

第四步:如果执行异常,哪么就抛出异常

我们现在来每一步进行分析,首先是获取token信息。 

获取token信息主要使用tokenExtractor,而这里我们使用BearerTokenExtractor即可。我们先看看BearerTokenExtractor内部是如何操作的吧。

BearerTokenExtractor.java
public class BearerTokenExtractor implements TokenExtractor {

	private final static Log logger = LogFactory.getLog(BearerTokenExtractor.class);

	@Override
	public Authentication extract(HttpServletRequest request) {
		String tokenValue = extractToken(request);
		if (tokenValue != null) {
			PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(tokenValue, "");
			return authentication;
		}
		return null;
	}

	protected String extractToken(HttpServletRequest request) {
		// first check the header...
		String token = extractHeaderToken(request);

		// bearer type allows a request parameter as well
		if (token == null) {
			logger.debug("Token not found in headers. Trying request parameters.");
			token = request.getParameter(OAuth2AccessToken.ACCESS_TOKEN);
			if (token == null) {
				logger.debug("Token not found in request parameters.  Not an OAuth2 request.");
			}
			else {
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, OAuth2AccessToken.BEARER_TYPE);
			}
		}

		return token;
	}

	/**
	 * Extract the OAuth bearer token from a header.
	 * 
	 * @param request The request.
	 * @return The token, or null if no OAuth authorization header was supplied.
	 */
	protected String extractHeaderToken(HttpServletRequest request) {
		Enumeration<String> headers = request.getHeaders("Authorization");
		while (headers.hasMoreElements()) { // typically there is only one (most servers enforce that)
			String value = headers.nextElement();
			if ((value.toLowerCase().startsWith(OAuth2AccessToken.BEARER_TYPE.toLowerCase()))) {
				String authHeaderValue = value.substring(OAuth2AccessToken.BEARER_TYPE.length()).trim();
				// Add this here for the auth details later. Would be better to change the signature of this method.
				request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE,
						value.substring(0, OAuth2AccessToken.BEARER_TYPE.length()).trim());
				int commaIndex = authHeaderValue.indexOf(',');
				if (commaIndex > 0) {
					authHeaderValue = authHeaderValue.substring(0, commaIndex);
				}
				return authHeaderValue;
			}
		}

		return null;
	}

}

 BearerTokenExtractor获取token的逻辑其实很简单,首先根据请求头header里面的Authorization,然后再根据Bearer的编码方式进行解码,获取到token信息,如果没有获取到哪么再根据请求地址上是否存在access_token这个参数。因此如果请求的时候可以有两种方式携带token,一种是请求头Authorization,另外一种是请求url携带access_token。

第二步:将token信息封装成PreAuthenticatedAuthenticationToken

第三步:认证PreAuthenticatedAuthenticationToken

认证的过程中,就需要使用authenticationManager,而这里使用的并不是ProviderManager而是OAuth2AuthenticationManager,我们现在看看OAuth2AuthenticationManager里面到底做了什么吧

public class OAuth2AuthenticationManager implements AuthenticationManager, InitializingBean {

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

		if (authentication == null) {
			throw new InvalidTokenException("Invalid token (token not found)");
		}
		String token = (String) authentication.getPrincipal();
		OAuth2Authentication auth = tokenServices.loadAuthentication(token);
		if (auth == null) {
			throw new InvalidTokenException("Invalid token: " + token);
		}

		Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
		if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
			throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
		}

		checkClientDetails(auth);

		if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
			OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
			// Guard against a cached copy of the same details
			if (!details.equals(auth.getDetails())) {
				// Preserve the authentication details from the one loaded by token services
				details.setDecodedDetails(auth.getDetails());
			}
		}
		auth.setDetails(authentication.getDetails());
		auth.setAuthenticated(true);
		return auth;

	}

}

可以从源码里面看到,正在根据token信息获取用户信息主要是ResourceServerTokenServices,而ResourceServerTokenServices也是一个接口,主要有多个实现类,分别是

DefaultTokenServices:默认实现,主要是从TokenStore获取到对应的用户信息

RemoteTokenServices:主要是资源服使用,资源服务通过HTTP请求授权服,然后根据授权服务获取到对应的用户信息

UserInfoTokenServices:作用和 RemoteTokenServices差不多,只不过请求的地址是userInfoEndpointUrl

SpringSocialTokenServices:老实说,这个我不知道是干嘛的....囧

然后在OAuth2AuthenticationManager使用的是DefaultTokenServices,我们这回就看看DefaultTokenServices是做了什么吧。

DefaultTokenServices.java
public class DefaultTokenServices implements AuthorizationServerTokenServices, ResourceServerTokenServices,
		ConsumerTokenServices, InitializingBean {

    public OAuth2Authentication loadAuthentication(String accessTokenValue) throws AuthenticationException,
			InvalidTokenException {
		OAuth2AccessToken accessToken = tokenStore.readAccessToken(accessTokenValue);
		if (accessToken == null) {
			throw new InvalidTokenException("Invalid access token: " + accessTokenValue);
		}
		else if (accessToken.isExpired()) {
			tokenStore.removeAccessToken(accessToken);
			throw new InvalidTokenException("Access token expired: " + accessTokenValue);
		}

		OAuth2Authentication result = tokenStore.readAuthentication(accessToken);
		if (result == null) {
			// in case of race condition
			throw new InvalidTokenException("Invalid access token: " + accessTokenValue);
		}
		if (clientDetailsService != null) {
			String clientId = result.getOAuth2Request().getClientId();
			try {
				clientDetailsService.loadClientByClientId(clientId);
			}
			catch (ClientRegistrationException e) {
				throw new InvalidTokenException("Client not valid: " + clientId, e);
			}
		}
		return result;
	}
    
}

从代码里面就可以看出来,DefaultTokenServices主要使用的也是TokenStore,而TokenStore也是一个接口,这里包含了多个实现类,具体如下:

InMemoryTokenStore:基于内存存储,默认是基于内存存储

JdbcTokenStore:基于数据库存储

JwtTokenStore:jwt,主要是通过加密解密的方式来解析token信息

RedisTokenStore:基于redis存储

这里就不一一描述了,感兴趣的可以自己去看看。好的,言归正传我们假设已经根据token信息获取到了用户信息,然后再根据源码我们就知道如果获取了用户信息

第四步:将内容放到SecurityContext

代码如下SecurityContextHolder.getContext().setAuthentication(authResult);

第五步:捕获异常OAuth2AuthenticationEntryPoint

这里也可以自定义捕获异常,然后再根据异常信息返回对应的结果信息。

后记:

综上所述,spring security oauth校验token信息是否有效,核心点就是OAuth2AuthenticationProcessingFilter,如果感兴趣的话可以仔细去看看。

一入红尘多少事
关注
专栏目录
SpringCloud+SpringBoot+SSO单点登录之OAuth2.0 根据token获取用户信息(4)
m0_46411169的博客
06-10 1402
上一篇我根据框架中OAuth2.0的使用总结,画了SSO单点登录之OAuth2.0 登出流程,今天我们看一下根据用户token获取yoghurt信息的流程: Java代码 /** * 根据token获取用户信息 * @param accessToken * @return * @throws Exception */ @RequestMapping(value = "/user/token/{accesstoken}", method = RequestMethod.G
Oauth2获取用户基本信息JAVA
08-07
微信基于Oauth2获取用户基本信息,保证可用。
SpringSpring Security 获取当前用户
最新发布
qq_16153555的博客
08-18 148
【代码】【SpringSpring Security 获取当前用户。
Java Spring Security OAuth2.0 通过token 获取用户信息(ID)
xiaobai_notexc的博客
05-25 4293
解密token获取用户信息
微信公众平台开发(71)OAuth2.0网页授权
weixin_33762321的博客
11-09 950
微信公众平台开发 OAuth2.0网页授权认证 网页授权获取用户基本信息 作者:方倍工作室   微信公众平台最近新推出微信认证,认证后可以获得高级接口权限,其中一个是OAuth2.0网页授权,很多朋友在使用这个的时候失败了或者无法理解其内容,希望我出个教程详细讲解一下,于是便有了这篇文章。   一、什么是OAuth2.0 官方网站:http://oauth.net/   http://oa...
Security oauth2 通过 token 验证token获取用户信息
fengxing_2的专栏
07-08 6020
1、注入 tokenStore @Autowired private RedisTokenStore tokenStore; // 通过token值进行验证 OAuth2AccessToken oAuth2AccessToken = tokenStore.readAccessToken(token); if (null != oAuth2AccessToken) { OAuth2Authentication auth2Authentication = tokenStore.readAut
Spring通过token获取登录用户信息的方式及优化
qq_30166465的博客
04-28 432
问题:当请求的header里携带token时,如何直接通过token获取到当前登录用户的信息
spring security oauth2.0 (讲义+代码)
03-10
例如,`/oauth/authorize` 端点用于用户登录并授权,`/oauth/token` 端点用于客户端获取访问令牌。 接下来,我们关注客户端注册。客户端需要在授权服务器上注册,声明其ID、秘密、授权类型、回调URL等信息Spring ...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1008
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
根据OAuth2 0获取微信用户信息 C#
06-21
利用微信OAuth2.0获取微信用户信息源码
使用spring oauth2框架获取当前登录用户信息的实现代码
08-18
主要介绍了使用spring oauth2框架获取当前登录用户信息的实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1556
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
利用OAuth2.0获取微信用户基本信息
chailihua0826的博客
01-30 275
作者好认真 转载:https://www.cnblogs.com/0201zcr/p/5131602.html
PHP---微信OAuth2.0网页授权获取用户信息
smile的博客
01-03 4483
本人最近做了微信网页授权开发,其中走了很多弯路,遇到的问题也很多,我把我的开发步骤和问题写出来,以供参考. 一、开发前准备 ①获取到网页授权的接口权限 1、获得此接口的条件为:微信公众号的类型必须为服务号,服务号必须通过微信认证 2、登录微信公众平台后,到开发 - 接口权限 - 网页服务 - 网页帐号 - 网页授权,看是否已经获取到网页授权接口权限,下图是已经获取网页授权的接口权限的示
认识 OAuth 2.0-授权码模式获取 GitHub 上的用户信息
恋上、小幸福的博客
02-24 1207
OAuth 2.0 是一种用于授权的协议,它允许应用程序代表用户在第三方服务上获取资源。OAuth 2.0 的核心思想是允许用户授权某个应用程序访问他们在其他服务上的资源,而不需要将他们的用户名和密码提供给应用程序。下面是 OAuth 2.0 的详细说明和使用方法。
OAuth2.0网页授权】根据access_token和openId获取用户基本信息(Senparc.Weixin.MP.dll)
wei_jie_zhang的专栏
11-15 7556
OAuthUserInfo userInfo = OAuthApi.GetUserInfo(access_token, openId); if (userInfo != null) { string nickname = userInfo.nickname; //用户昵称 int
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值