看下源码修下 SpringSecurityOAuth2 的bug,解决令牌检查端点未实现 OAuth2 规范带来的坑: ResourceServer introspect 错误
最近在自己搭一个使用 SpringSecutiryOAuth2 的认证服务器, 这里的接口基于 SpringMVC, 而资源服务器是 SpringCloudGateway 建立的网关层,实现是 WebFlux。
目的是为了在网关层做所有的鉴权操作。 其实一切都还好,ajax 登陆、OAuth2密码模式的 token 获取、token刷新等 都有序进行中。
认证的整个流程都没发现问题,可是一到鉴权的阶段就不对劲了。
主要就是令牌内省失败,正常的令牌没问题,但是令牌如果一过期/或者是错误的令牌, 直接就报错了。这我就觉得很不对劲。
问题是我想了想 无论是 AuthorizationServer 还是 ResourceServer , 我都没有对具体认证流程作出改动。仅仅实现了 SpringSecurity 提供的拓展点。比如 Token存储、Client存储、token 的附加信息、权限查询 之类的。
那这就不应该啊?? 我这用的你默认的实现,怎么还能有问题呢?
而又由于网关层 也就是OAuth2 ResourceServer 他是一个 WebFlux 搭建的web服务, 这个东西调试是真的不好调,里面大量的 lambda 和异步看的我头都要炸了。
不过又还能怎么办呢? ResourceServer/ AuthorizationServer 源码看看看看他丫的。 Debug日志开他丫的。
可是看他这个 WebFlux 下的鉴权源码真的很痛苦。 所以我具体详细的 Debug 流程就不细说了。
ResourceServer introspect
首先就是看 ResourceServer 的令牌内省(introspect) 也就是检查令牌的机制流程
具体触发时机为: 一个客户端试图来请求 ResourceServer 受保护的资源时、若是携带了 Authorization 请求头( Bearer ) 时则会触发令牌内省
最终我找到了处理token 鉴权具体类,就是它: NimbusReactiveOpaqueTokenIntrospector
这里贴一段 WebFlux 作为资源服务器处理 token 鉴权的流程源码。
Gateway的过滤器会提取出 Bearer Token 然后调用此方法。每个流程都写了注释, 还是很清晰的。
1
2
3
4
5
6
7
8
9
10
11
12@Override
publicMonointrospect(Stringtoken){
returnMono.just(token)
.flatMap(this::makeRequest)//携带token请求 AuthorizationServer
.flatMap(this::adaptToNimbusResponse)//检查Http响应正确性 (看是不是200)
.map(this::parseNimbusResponse)//封装Http响应为Token内省响应
.map(this::castToNimbusSuccess)//检查Token内省响应正确性
.doOnNext(response->validate(token,response))//效验返回值 (active == true?)
.map(this::convertClaimsSet)//解析返回值中携带的信息,封装成认证对象
.onErrorMap(e->!(einstanceofOAuth2IntrospectionException),this::onError);
}
NimbusReactiveOpaqueTokenIntrospector 这个类里面所有的源码我都看了一边、并没有发现有什么问题。
只是对于异常处理我有点不满, 因为如果出现了异常,我作为请求资源服务的客户端看到的响应是一片空白的, 具体错误信息都放在了Response Header 里,这个我觉得不太好。到时候把他覆盖掉给他改了。
然后源码没看出什么花来,那就打断点看看,
结果在检查Http响应正确性的方