java微服务 Spring Security+oauth2 对form提交 鉴权

于 2023-10-03 17:44:13 发布
阅读量219 收藏
点赞数
文章标签: java 微服务 spring
原文链接:https://www.cnblogs.com/forthelichking/p/11857843.html
版权
文章讲述了在微服务系统中使用OAuth2的Bearer方式进行鉴权时遇到的问题,即form提交导致无法正常鉴权。解决方案包括修改ueditor源码,增加额外参数传递access_token,并在后台过滤器和请求头处理中适应这种形式的提交。
摘要由CSDN通过智能技术生成

场景:微服务系统中使用oauth2 的 Bearer 方式鉴权,对于from提交的数据,无法鉴权,百度的富文本编辑器 ueditor 中上传图片都是使用form 伪ajax提交,导致401

因为from提交无法设置header

解决方式:

1、修改百度富文本编辑器的源码ueditor.all.min.js,在调用上传图片方法的时候,加入额外参数

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

/**

         * 获取服务器提交的额外参数列表

         * @command serverparam

         * @method queryCommandValue

         * @param { String } cmd 命令字符串

         * @example

         * ```javascript

         * editor.queryCommandValue( 'serverparam' ); //返回对象 {'key': 'value'}

         * ```

         */

        'serverparam': {

          execCommand: function (cmd, key, value) {

            if (key === undefined || key === null) { //不传参数,清空列表

              serverParam = {};

            else if (utils.isString(key)) { //传入键值

              if (value === undefined || value === null) {

                delete serverParam[key];

              else {

                serverParam[key] = value;

              }

            else if (utils.isObject(key)) { //传入对象,覆盖列表项

              utils.extend(serverParam, key, true);

            else if (utils.isFunction(key)) { //传入函数,添加列表项

              utils.extend(serverParam, key(), true);

            }

          },

          queryCommandValue: function () {

            if(!serverParam){

              serverParam={};

            }        //修改的地方

            var accessToken=JSON.parse(window.sessionStorage.getItem("pigx-access_token")).content;

            var token = accessToken || '';

            serverParam['_authorization']= token;

            serverParam['_domain']= window.location.host;

            console.log(serverParam)

            return serverParam || {};

          }

        }

 2、还有修改doAjax方法

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

function doAjax(url, ajaxOptions) {

      var xhr = creatAjaxRequest(),

        //是否超时

        timeIsOut = false,

        //默认参数

        defaultAjaxOptions = {

          method: "POST",

          timeout: 5000,

          async: true,

          data: {},//需要传递对象的话只能覆盖

          onsuccess: function () {

          },

          onerror: function () {

          }

        };

      if (typeof url === "object") {

        ajaxOptions = url;

        url = ajaxOptions.url;

      }

      if (!xhr || !url) return;

      var ajaxOpts = ajaxOptions ? utils.extend(defaultAjaxOptions, ajaxOptions) : defaultAjaxOptions;

      var submitStr = json2str(ajaxOpts);  // { name:"Jim",city:"Beijing" } --> "name=Jim&city=Beijing"

      //如果用户直接通过data参数传递json对象过来,则也要将此json对象转化为字符串

      if (!utils.isEmptyObject(ajaxOpts.data)) {

        submitStr += (submitStr ? "&" "") + json2str(ajaxOpts.data);

      }

      //超时检测

      var timerID = setTimeout(function () {

        if (xhr.readyState != 4) {

          timeIsOut = true;

          xhr.abort();

          clearTimeout(timerID);

        }

      }, ajaxOpts.timeout);

      var method = ajaxOpts.method.toUpperCase();

      var str = url + (url.indexOf("?") == -1 ? "?" "&") + (method == "POST" "" : submitStr + "&noCache=" + +new Date);

      xhr.open(method, str, ajaxOpts.async);

      xhr.onreadystatechange = function () {

        if (xhr.readyState == 4) {

          if (!timeIsOut && xhr.status == 200) {

            ajaxOpts.onsuccess(xhr);

          else {

            ajaxOpts.onerror(xhr);

          }

        }

      };    //修改的地方

      var accessToken=JSON.parse(window.sessionStorage.getItem("pigx-access_token")).content;

      var token = accessToken || '';

      xhr.setRequestHeader('Authorization''Bearer '+token);

      xhr.setRequestHeader('X-DOMAIN', window.location.host);

      if (method == "POST") {

        xhr.setRequestHeader('Content-Type''application/x-www-form-urlencoded');

        xhr.send(submitStr);

      else {

        xhr.send(null);

      }

    }

 3、修改复制的图片自动上传的方法

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

/**

   * @description

   * 1.拖放文件到编辑区域,自动上传并插入到选区

   * 2.插入粘贴板的图片,自动上传并插入到选区

   * @author Jinqn

   * @date 2013-10-14

   */

  UE.plugin.register('autoupload'function () {

    function sendAndInsertFile(file, editor) {

      var me = editor;

      //模拟数据

      var fieldName, urlPrefix, maxSize, allowFiles, actionUrl,

        loadingHtml, errorHandler, successHandler,

        filetype = /image\/\w+/i.test(file.type) ? 'image' 'file',

        loadingId = 'loading_' + (+new Date()).toString(36);

      fieldName = me.getOpt(filetype + 'FieldName');

      urlPrefix = me.getOpt(filetype + 'UrlPrefix');

      maxSize = me.getOpt(filetype + 'MaxSize');

      allowFiles = me.getOpt(filetype + 'AllowFiles');

      actionUrl = me.getActionUrl(me.getOpt(filetype + 'ActionName'));

      errorHandler = function (title) {

        var loader = me.document.getElementById(loadingId);

        loader && domUtils.remove(loader);

        me.fireEvent('showmessage', {

          'id': loadingId,

          'content': title,

          'type''error',

          'timeout': 4000

        });

      };

      if (filetype == 'image') {

        loadingHtml = '<img class="loadingclass" id="' + loadingId + '" src="' +

          me.options.themePath + me.options.theme +

          '/images/spacer.gif" title="' + (me.getLang('autoupload.loading') || '') + '" >';

        successHandler = function (data) {

          var link = urlPrefix + data.url,

            loader = me.document.getElementById(loadingId);

          if (loader) {

            loader.setAttribute('src', link);

            loader.setAttribute('_src', link);

            loader.setAttribute('title', data.title || '');

            loader.setAttribute('alt', data.original || '');

            loader.removeAttribute('id');

            domUtils.removeClasses(loader, 'loadingclass');

          }

        };

      else {

        loadingHtml = '<p>' +

          '<img class="loadingclass" id="' + loadingId + '" src="' +

          me.options.themePath + me.options.theme +

          '/images/spacer.gif" title="' + (me.getLang('autoupload.loading') || '') + '" >' +

          '</p>';

        successHandler = function (data) {

          var link = urlPrefix + data.url,

            loader = me.document.getElementById(loadingId);

          var rng = me.selection.getRange(),

            bk = rng.createBookmark();

          rng.selectNode(loader).select();

          me.execCommand('insertfile', {'url': link});

          rng.moveToBookmark(bk).select();

        };

      }

      /* 插入loading的占位符 */

      me.execCommand('inserthtml', loadingHtml);

      /* 判断后端配置是否没有加载成功 */

      if (!me.getOpt(filetype + 'ActionName')) {

        errorHandler(me.getLang('autoupload.errorLoadConfig'));

        return;

      }

      /* 判断文件大小是否超出限制 */

      if (file.size > maxSize) {

        errorHandler(me.getLang('autoupload.exceedSizeError'));

        return;

      }

      /* 判断文件格式是否超出允许 */

      var fileext = file.name ? file.name.substr(file.name.lastIndexOf('.')) : '';

      if ((fileext && filetype != 'image') || (allowFiles && (allowFiles.join('') + '.').indexOf(fileext.toLowerCase() + '.') == -1)) {

        errorHandler(me.getLang('autoupload.exceedTypeError'));

        return;

      }

      /* 创建Ajax并提交 */

      var xhr = new XMLHttpRequest(),

        fd = new FormData(),

        params = utils.serializeParam(me.queryCommandValue('serverparam')) || '',

        url = utils.formatUrl(actionUrl + (actionUrl.indexOf('?') == -1 ? '?' '&') + params);

      fd.append(fieldName, file, file.name || ('blob.' + file.type.substr('image/'.length)));

      fd.append('type''ajax');

      xhr.open("post", url, true);

      var accessToken=JSON.parse(window.sessionStorage.getItem("pigx-access_token")).content;

      var token = accessToken || '';

      xhr.setRequestHeader('Authorization''Bearer '+token);

      xhr.setRequestHeader('X-DOMAIN', window.location.host);

      xhr.setRequestHeader("X-Requested-With""XMLHttpRequest");

      xhr.addEventListener('load'function (e) {

        try {

          var json = (new Function("return " + utils.trim(e.target.response)))();

          if (json.state == 'SUCCESS' && json.url) {

            successHandler(json);

          else {

            errorHandler(json.state);

          }

        catch (er) {

          errorHandler(me.getLang('autoupload.loadError'));

        }

      });

      xhr.send(fd);

    }

  

4、在后台的过滤器中进行处理,针对接收到的额外参数,

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

@Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        //百度编辑器,上传图片时会使用form提交,无法设置header,so,修改如下代码

        if(((HttpServletRequest) request).getRequestURI().contains("ueditorConfig") && StringUtils.isNotBlank(request.getParameter("_authorization")))

        {

            HttpHeaderRequestWrapper httpHeaderRequestWrapper = new HttpHeaderRequestWrapper((HttpServletRequest) request

                    , request.getParameter("_authorization")

                    ,request.getParameter("_domain"));

            //this.setDomain(httpHeaderRequestWrapper, (HttpServletResponse) response);

            chain.doFilter(httpHeaderRequestWrapper, response);

        }

        else{

            //this.setDomain((HttpServletRequest)request,(HttpServletResponse)response);

            chain.doFilter(request,response);

        }

        //请求完成还原线程变量的值

        log.info("还原线程变量中的值");

        //HostThreadLocalConstant.getDomian().set("");

    }

  5、重写 getHeaders 方法

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

private static class HttpHeaderRequestWrapper extends HttpServletRequestWrapper{

        private final String domain;

        private final String authorization;

        public HttpHeaderRequestWrapper(HttpServletRequest request,String authorization,String domain) {

            super(request);

            this.domain=domain;

            this.authorization="Bearer "+authorization;

        }

        @Override

        public String getHeader(String name) {

            if (name!=null &&

                    name.equals("X-DOMAIN") &&

                    super.getHeader("X-DOMAIN")==null) {

                return domain;

            }else if (name!=null &&

                    name.equals("Authorization") &&

                    super.getHeader("Authorization")==null) {

                return authorization;

            }else {

                return super.getHeader(name);

            }

        }

        @Override

        public Enumeration<String> getHeaders(String name) {

            List<String> values = Collections.list(super.getHeaders(name));

            if (name!=null && name.equals("Authorization") ) {

                values.add(authorization);

            }

            return Collections.enumeration(values);

        }

    }

  

wangmj518
关注
oauth2 clientid作用_Oauth 2.0 授权机制
weixin_39785400的博客
11-26 4046
在了解 Oauth 2.0 之前,我们先看一下令牌和密码到底有什么关系,其实令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异:令牌是短期的,到期会自动失效,且用户自己无法修改;密码一般长期有效,用户不修改,就不会发生变化。令牌可以被数据的所有者撤销,会立即失效。令牌有权限范围(scope)对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。上...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
最新发布
2401_84008985的博客
04-18 398
金三银四到了,送上一个小福利!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!配置文件server:port: 1202自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
二、SpringSecurity+auth2.0系列(form 表单模式)
qq_38132995的博客
09-05 315
此模块基于模块一,读者可阅读本专栏 Form 表单模式 适合于传统模式项目 前端和后端都是我们java开发 修改配置完整代码如下 package com.thunisoft.spring_security.config; import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory; import org.springframework.boot.web.server.ErrorPage; import
认证中心(单点登陆)之SpringSecurity+OAuth2
hukehukehukehuke的博客
08-25 826
认证中心(单点登陆)之SpringSecurity+OAuth2
第二章 OAuth2.0规范(史上最详细解释)——客户端注册
后来者居上
12-14 1212
在开始协议前,客户端在授权服务器注册。客户端在授权服务器上注册所通过的方式超出了本规范,但典型的涉及到最终用户与HTML注册表单的交互。客户端注册不要求客户端与授权服务器之间的直接交互。在授权服务器支持时,注册可以依靠其他方式来建立信任关系并获取客户端的属性(如重定向URI、客户端类型)。例如,注册可以使用自发行或第三方发行声明或通过授权服务器使用信任通道执行客户端发现完成。
Spring Security Oauth2 授权码模式下 自定义登录、授权页面
HSJ0170的博客
06-18 1万+
一开始网上教程一堆,都是各抄各的,有的直接代码缺少,有的直接不可以用(MLGB的),于是乎去spring官网找找看,还真找到,最终自己配置搭建成功跑了一遍demo,美滋滋。一些HTML文件还是网上的,见谅~ 由于是springcloud项目(注册和配置中心是nacos),认证中心在auth模块,自己demo搭建测试直接在auth模块,没有走网关gateway sys_oauth_client_details表: CREATE TABLE `sys_oauth_client_details` ( `cli
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring SecurityOAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1767
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurityOauth2源码分析 我们先来看下通过Oauth2获取token的源码流程: 一、获取token的接口是/oauth/token,在TokenEndpoint类中 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
oauth2自定义返回值_【Spring Security + OAuth2 + JWT入门到实战】5. 自定义登录成功处理...
weixin_35773916的博客
02-08 673
简介实现登录成功读取系统配置返回JSON还是页面配置系统参数hk:security:browser:loginSucess: /index #登录成功跳转loginType: JSON #登录成功 失败返回值类型# loginPage: /demoLogin.html #登录页面改造BrowserProperties方法package com.spring.security.prope...
Spring Boot集成Ueditor富文本编辑器,实现图片上传,视频上传,返回内容功能并且通过OSS转换为链接并且解决Spring Security静态资源访问以及跨域问题
weixin_43404791的博客
03-09 808
ww
oauth2自定义登录和授权页面
一个正在崛起的小码农
12-26 2万+
文章目录介绍实现功能系统环境配置开发步骤引入jar包定义登录和授权页面定义一个关于登录和授权的控制器配置页面授权测试项目源码 介绍 在上一章节中,https://blog.csdn.net/baidu_34389984/article/details/85249733。我们是实现了简单的oauth2服务提供商。但还不能满足现实需要,在现实中,我们需要定制特质的登录和授权页面。下面将讲解如何自定义。...
Spring Security Oauth2 单点登录案例实现和执行流程剖析
朝雨忆轻尘
12-07 959
在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供...
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1397
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
spring security oauth2 allowFormAuthenticationForClients原理解析
weixin_34259559的博客
12-10 305
序 本文主要解析一下spring security oauth2中AuthorizationServerConfigurerAdapter的allowFormAuthenticationForClients的原理 allowFormAuthenticationForClients的作用 主要是让/oauth/token支持client_i...
微服务架构下的安全认证与鉴权
低代码开发,数据,中间件,企业架构原创技术分享
06-19 3012
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
OAuth2.0详解(授权模式篇)
热门推荐
breakloop
08-23 2万+
OAuth2.0有五种授权模式。(1)授权码模式(Authorization Code) (2)授权码简化模式(Implicit) (3)Pwd模式(Resource Owner Password Credentials) (4)Client模式(Client Credentials) (5)扩展模式(Extension)注:文中的client,可理解为浏览器或APP。但不论哪种模式,都是为
oauth2自定义登录页面
lixiang987654321的专栏
08-02 8741
OAuth2自定义登录页面 一、前言 继上一篇文章《OAuth2认证授权流程解析》,我们对OAuth2的4种认证模型的流程做了一一跟踪了解,我们知道当用户访问的资源需要认证之后,就会重定向到登录页面/login,此时就需要用户输入用户名和密码然后post方式提交到/login页面进行登录验证,如果验证通过则会跳转到原来的页面。 这里要说明的是OAuth2提供了默认的登录页面,当你访问资源需要认证时候,默认跳转到OAuth2的登录页面: 如果我们定义自己的页面,那么跳转后效果如下(虽然丑一点,不过您可以自己
手把手教你用Java实现一套简单的鉴权服务(SpringBoot,SSM)(万字长文)
发光如星
05-05 1万+
时遇JavaEE作业,题目要求写个简单web登录程序,按照老师的意思是用servlet、jsp和jdbc完成。本着要么不做,要做就要做好的原则,我开始着手完成此次作业(其实也是写实训作业的用户鉴权部分),而之前写项目的时候也有相关经验,这次正好能派上用场。
java 鉴权_我爱java系列之---【JWT实现微服务鉴权(一)】
weixin_36411269的博客
02-12 185
JWT介绍JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。{"typ":"JWT","alg":"HS256"}在头部指明了签名算法...
springboot整合springsecurity+oauth2.0实现token认证
07-08
-- Spring Security OAuth2 --> <groupId>org.springframework.boot <artifactId>spring-boot-starter-oauth2-client ``` 2. 配置Spring Security:创建一个继承自WebSecurityConfigurerAdapter的配置类,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值