关于Security oauth2 +Sso整合出现的问题

已于 2022-05-16 20:16:43 修改
阅读量740 收藏
点赞数 1
分类专栏: Spring Security 文章标签: 服务器 http 运维
于 2022-05-09 10:17:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waooi/article/details/124660196
版权

当搭建好security授权服务器,资源服务器,和单点登录客户端的时候,挺开心的,基本上都是使用注解写的,也没啥多大的变动.

但是在我使用ResponseBodyAdvice包装类统一返回响应请求的时候,问题就来了,再进行统一包装的时候也会将通过授权后返回的token信息进行包装,可是当客户端对返回的response进行解析的时候死活解析不出来,会把返回的信息全部放入到增强内容additionallnformation当中

这就令我很苦恼,也算没吃透security就开始写带来的问题,找了很多方法,但是都没啥意义.

主要我的客户端是使用security提供的默认的配置,都不好进行改动,而自己又不想去另写客户端(这样还要去写单点登录).

解决的方法其实也有

1.配置security中的响应请求进行重写,然后放入到security config配置中(写了,但由于是使用默认配置,报错了 bean冲突)

2.删掉统一包装方法(暂时使用,因为反正是授权,不包装也可以)

3.跟1其实差不多,别使用默认的注解配置,自己去配置客户端,写sso代码,这样就不用局限于默认框架的拘束之下了.

Security身份认证顺序问题

另一个问题,当用户被封禁后isEnabled()方法为false的时候,用户isAccountNonLocked()同时被触发时,这里就会提前返回用户账户被锁定,源码中首先校验的是是否锁定,在AbstractUserDetailsAuthenticationProvider类中有默认的校验方案

 这就会让用户接受到不正确的信息,而这正是默认实现的DaoAuthenticationProvider实现的校验策略,所以我们要用自己的AuthenticationProvider,并且去自己实现用户身份校验.

AuthenticationSuccessEvent无法监听问题

今天又遇到一个问题,监听类收不到广播类推送的登录成功消息,先放出代码.

/**
 * 用户登录事件监听
 * 如果用户登录成功则在日志进行记录
 * 并且发送邮件告知用户登录,以及登录位置
 * 提醒end user账号被登录
 */
@Component
public class UserLoginListener {

    @Autowired
    private HttpServletRequest request;

    @Autowired
    private EmailUtil emailUtil;

    @EventListener(AuthenticationSuccessEvent.class)
    public void userLoginSuccessfulOnApplicationEvent(AuthenticationSuccessEvent event) throws MessagingException {

        //根据访问的请求ip查找用户的位置
        //http://whois.pconline.com.cn/?ip=123.91.217.123查询IP地址的地理位置
        String url = "http://whois.pconline.com.cn/?ip=" + this.getIpAddress();
        String result = this.getResult(url);

        int data = result.indexOf("位置:");
        int first = data + 3;
        int last = data + 20;
        String geographicLocation = result.substring(first, last).trim();
        System.out.println(geographicLocation);

        //拿到登录的用户信息
        Authentication authentication = event.getAuthentication();
        Object principal = authentication.getPrincipal();
        String userName = authentication.getName();

        String userEmail = null;

        //获取电子邮箱
        if (principal instanceof User) {
            User user = (User) principal;
            userEmail = user.getEmail();
        }

        String userRole = null;

        String bodyMessage = authentication.getName() + "  您好,您刚刚在  " + geographicLocation + "\n登录,如果这不是您" +
                "本人进行的操作,请赶紧修改密码或者冻结账号";

        Set<String> authorizeds = AuthorityUtils.authorityListToSet(authentication.getAuthorities());
        for (String authorized : authorizeds) {
            if (authorized.equals("normal")) {
                userRole = "尊敬的用户   ";
                break;
            } else if (authorized.equals("root")) {
                userRole = "超级管理员管理员SAMA   ";
            } else if (authorized.equals("admin")) {
                userRole = "管理员SAMA   ";
            } else if (authorized.equals("CLIENT")) {
                userRole = "Sso客户端信息   \n";
                bodyMessage = authentication.getName() + "--> 服务器启动了,Sso客户端正在上线中";
            }
        }

        //邮件的提示信息
        String emailMessage = userRole + bodyMessage;
        String email = userEmail;
        //发送邮件
        Thread thread = new Thread(() -> emailUtil.loginUpEmail(userName, emailMessage, email));
        thread.start();

    }

监听的是AuthenticationSuccessEvent这个类,这个类很有意思,它的推送是由ProviderManager验证成功后推送的,之前修改了AuthenticationProvider,也没出现什么问题,但是今天使用的时候就开始整活,死活都监听不到消息,估计就是没推送,换其他事件都能监听到,直接打断点到ProviderManager,可以看到.

 private AuthenticationEventPublisher eventPublisher;

...............

if (result == null && this.parent != null) {
            try {
                parentResult = this.parent.authenticate(authentication);
                result = parentResult;
            } catch (ProviderNotFoundException var12) {
            } catch (AuthenticationException var13) {
                parentException = var13;
                lastException = var13;
            }
        }

        if (result != null) {
            if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
                ((CredentialsContainer)result).eraseCredentials();
            }

            if (parentResult == null) {
                this.eventPublisher.publishAuthenticationSuccess(result);
            }

            return result;


//Manager自己实现的推送方法
 private static final class NullEventPublisher implements AuthenticationEventPublisher {
        private NullEventPublisher() {
        }

        public void publishAuthenticationFailure(AuthenticationException exception, Authentication authentication) {
        }

        public void publishAuthenticationSuccess(Authentication authentication) {
        }
    }

看完就明白了,啥玩意,搞个空的等于就推了空气,所以只需要自己在验证成功后自己手工去推一下就好了.

**
 * 自定义认证条件
 */
@Component
public class UserAuthenticationProvider implements AuthenticationProvider, MessageSourceAware {

    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    protected final Log logger = LogFactory.getLog(this.getClass());

    @Autowired
    private UserService authUserDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private ApplicationEventPublisher publisher;

    /**
     * @Description 认证处理,返回一个Authentication的实现类则代表认证成功,返回null则代表认证失败
     * @Date 2019/7/5 15:19
     * @Version 1.0
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        //判断访问权限是否为空
        if (authentication.getCredentials() == null) {
            this.logger.debug("Failed to authenticate since no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }


        String presentedPassword = authentication.getCredentials().toString();
        //创建UserDetails类
        UserDetails user = authUserDetailsService.loadUserByUsername(authentication.getName());

        //判断密码是否正确,如果不正确则抛出异常
        if (!this.passwordEncoder.matches(presentedPassword, user.getPassword())) {
            this.logger.debug("Failed to authenticate since password does not match stored value");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }

        //判断用户身份
        if (!user.isEnabled()) {
            this.logger.debug("Failed to authenticate since user account is disabled");
            throw new DisabledException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.disabled", "User is disabled"));
        } else if (!user.isAccountNonLocked()) {
            this.logger.debug("Failed to authenticate since user account is locked");
            throw new LockedException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.locked", "User account is locked"));
        } else if (!user.isAccountNonExpired()) {
            this.logger.debug("Failed to authenticate since user account has expired");
            throw new AccountExpiredException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.expired", "User account has expired"));
        }

        //获取用户权限信息
        Collection<? extends GrantedAuthority> authorities = user.getAuthorities();

        /**
         * 一定要记住,如果没收到消息,就要自己实现,因为在ProviderManager里面它不会给你实现,而是使用
         * 自己空的方法去发布,等于放了个屁,然后就接收不到验证成功的信息,所以要自己实现一个
         */
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user, presentedPassword, authorities);
        publisher.publishEvent(new AuthenticationSuccessEvent(usernamePasswordAuthenticationToken));
        return usernamePasswordAuthenticationToken;
    }

    /**
     * @Description 如果该AuthenticationProvider支持传入的Authentication对象,则返回true
     * @Date 2019/7/5 15:18
     * @Version 1.0
     */
    @Override
    public boolean supports(Class<?> aClass) {
        return aClass.equals(UsernamePasswordAuthenticationToken.class);
    }

    @Override
    public void setMessageSource(MessageSource messageSource) {
        this.messages = new MessageSourceAccessor(messageSource);
    }


}

而且要注意,它接收的参数是Authentication authentication,可别直接就把一开始拿到的就放进去,那个只是身份验证,不能直接传进去,否则只能拿到账号和密码,必须要创建一个包装的方法,同时将其他的信息放入.

VermouthSp
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity+OAuth2实现单点登录SSO(详细教程+源码)
空夜's Blog
10-24 1万+
文章目录一、父级项目sso-oauth2-demo二、授权服务器auth-server三、客户端应用client-a与client-b四、启动与测试 本节源码在https://github.com/laolunsi/spring-boot-examples/tree/master/04-sso-oauth2-demo上,请放心食用 本节利用Spring Security Oauth2实现Spri...
关于 Spring Security OAuth2 中 CORS 跨域问题
weixin_34220623的博客
09-27 2537
CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了 AJAX 只能同源使用的限制(跨域资源共享 CORS 详解)。 解决 CORS 跨域方法大致有如下几类: 使用 Nginx 代理配置转发请求。 在 Zuul (配置允许敏感头信息等) 或  Spr...
SSO单点登陆经验总结(oauth2+springsecurity+jwt)
weixin_64742764的博客
05-17 776
单点登录,英文是 Single Sign On(缩写为SSO)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。 单点登陆系统解决方案设计 父工程 创建聚合工程父工程添加依赖如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns..
Spring Security OAuth2 中 CORS 跨域问题
windows_2006的专栏
07-05 3809
错误情况 项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误,导致前端程序无法正常的处理 401 相应 。对于spring secu...
springboot集成springSecurity(总结篇)
qqzhengwei的专栏
02-25 948
SpringSecurity核心是什么? 过滤器链 有哪些组件? AuthenticationManager 认证管理器(所有的认证都是他负责完成)【注意它是一个接口,一般使用实现类是ProviderManager】 认证 SpringSecurity底层认证默认是通过UsernamePasswordAuthenticationFilter进行处理的 什么叫认证? 如何认证? 1、UsernamePasswordAuthenticationFilter 通过这...
SpringSecurity+OAuth2+SSO.pptx
05-30
但是在搞一段时间啊后发现自己越走越黑,越走越远,总结下来自己对协议理解还是不够透彻,对之前理解的前后端分离的SSO还是止步于session的交互方式。在涉及到多个域之间换取token还是有一些问题
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
OAuth2+ SSO实现单点登录
07-18
OAuth2+ SSO实现单点登录,包括源码 看别人写的代码好像很简单似,到自己写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让...
springsecurity整合oauth2
qq_21277357的博客
01-07 2052
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权中心Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
spring 登录提示 Bad credentials
weixin_30894583的博客
05-22 1024
spring 日志输出:Authentication failed: password does not match stored value in spring security 3.2,检查密码发现mysql数据库中的密码字段里多了一个换行(找了几个小时啦)。 转载于:https://www.cnblogs.com/liughost/p/4522685.html...
SpringSecurity 免密登录方法
最新发布
weixin_38982591的博客
01-29 1716
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
Spring Security CredentialsExpiredException: User credentials have expired问题解决
旭东怪的博客
03-30 2956
问题描述: org.springframework.security.authentication.CredentialsExpiredException: User credentials have expired 问题分析: 1、实现了UserDetails类的isCredentialsNonExpired方法,但是返回了false,代表密码已经过期了。 /** * 密码没有过期状态(true密码没有过期,false密码已经过期) * @return */
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5050
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1356
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践
Vermont_的博客
05-05 937
基于Spring Security Oauth2的SSO单点登录+JWT权限控制实践 理论知识 在此之前需要学习和了解一些前置知识包括: Spring Security:基于 Spring实现的 Web系统的认证和权限模块 OAuth2:一个关于授权(authorization)的开放网络标准 单点登录 (SSO):在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 JWT:在网络应用间传递信息的一种基于 JSON的开放标准((RFC 7519),用于作为JSON对象在不同系统之间进行安
SpringBoot Security用户认证成功或失败监听处理
花开半夏 · 流年似水
12-09 2634
Spring boot Security 用户认证成功失败事件监听器 ApplicationEvent以及Listener是Spring为我们提供的一个事件监听、订阅的实现,内部实现原理是观察者设计模式,设计初衷也是为了系统业务逻辑之间的解精,提高可扩展性以及可维护性。事件发布者并不需要考虑谁去监听,监听具体的实现内容是什么,发布者的工作只是为了发布事件而已。 一、@EventListener注解方式 注解方式比较简单不需要实现任何接口,代码如下: import org.springframework.co
全网最详解Spring Security登录原理(带你看源代码)
OuKman的博客
02-15 6868
根据上图所示配置了所有的请求都需要身份认证,那么,此拦截器就会检测当前请求是否经过了绿色过滤器的认证,即检查标记,实际上,这一段配置可以写的非常复杂,比如可以配置某类请求只有VIP用户才允许访问等,这些配置都会被拦截器读取,拦截器会根据这些配置做判断。如果判断通过,那么访问到具体API,如果不过,根据不过的原因,会抛出不同的异常。 比如在当前配置中,配置了所有请求都需要身份认证,那么,如果当前请求没有认证,拦截器就会抛出一个用户没有经过身份认证异常。如果配置文件中配置了当前请求只有VIP用户才能访问,而..
spring security 一个验证码登录例子
热门推荐
ry的专栏
07-11 2万+
看完shiro,在看spring security感觉快了很多,最开始看spring security的时候,非常晕,看完我觉得spring security做了太多事,以至于程序员都不知道,是怎么实现的,这样的 后果就是 当出现错误,或者需要修改的时候感觉无从下手。 个人理解,若有错误,请指正。 spring security跟shiro类似,都是使用过滤器来认证和授权,不同的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值