Spring Security OAuth2 源码分析1 - TokenEndpoint

最新推荐文章于 2024-07-16 16:28:51 发布
最新推荐文章于 2024-07-16 16:28:51 发布
阅读量124 收藏
点赞数
文章标签: java
原文链接:https://juejin.im/post/5bb048acf265da0acb13a3e8
版权

通过请求 oauth/token 来获取 token。大致为以下流程:

  1. 从 principal 中获取 clientId, 进而装载 ClientDetails
  2. 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest
  3. 校验 Client 信息。
  4. 根据 grantType 设置 TokenRequest 的 scope。
  5. 通过令牌授予者获取 Token

下面我们通过源码来学习整个流程。

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {
	// 以下是核心部分代码...
	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}

		// 1. 从 principal 中获取 clientId, 进而 load client 信息
		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		// 2. 从 parameters 中拿 clientId、scope、grantType 组装 TokenRequest
		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);

		// 3. 校验 client 信息
		if (clientId != null && !clientId.equals("")) {
			if (!clientId.equals(tokenRequest.getClientId())) {
				// 双重校验: 确保从 principal 拿到的 client 信息与根据 parameters 得到的 client 信息一致
				throw new InvalidClientException("Given client ID does not match authenticated client");
			}
		}
		if (authenticatedClient != null) {
			oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
		}

		// 4. 根据 grantType 设置 TokenRequest 的 scope。
		// 授权类型有: password 模式、authorization_code 模式、refresh_token 模式、client_credentials 模式、implicit 模式
		if (!StringUtils.hasText(tokenRequest.getGrantType())) {
			throw new InvalidRequestException("Missing grant type");
		}
		if (tokenRequest.getGrantType().equals("implicit")) {
			throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
		}

		// 如果是授权码模式, 则清空 scope。 因为授权请求过程会确定 scope, 所以没必要传
		if (isAuthCodeRequest(parameters)) {
			if (!tokenRequest.getScope().isEmpty()) {
				logger.debug("Clearing scope of incoming token request");
				tokenRequest.setScope(Collections.<String> emptySet());
			}
		}

		// 如果是刷新 Token 模式, 解析并设置 scope
		if (isRefreshTokenRequest(parameters)) {
			tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
		}

		// 5. 通过令牌授予者获取 token
		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}

		return getResponse(token);
	}
	// ...
}
复制代码

该系列文章:

Spring Security OAuth2 源码分析1 - TokenEndpoint

Spring Security OAuth2 源码分析2 - TokenGranter

// 持续更新中...

转载于:https://juejin.im/post/5bb048acf265da0acb13a3e8

weixin_34357887
关注
oauth2 spring-authorization-server自定义资源拥有者凭据许可模式
tof
04-19 1789
1.版本 spring-authorization-server 0.2.3 spring-boot 2.6.6 2.概述 spring-authorization-server中实现的oauth2标准中已经不支持自定义资源拥有者模式,但是项目从之前spring-seucirty-oauth2内置的升级到最新的授权服务器或者需要资源拥有者模式,就不要扩展 3.分析 官方源码的测试代码中给的示例初始化spring security的安全配置基本如下 protected void config
Spring Security OAuth核心源码分析
NullPointerException的博客
03-30 620
流程图 ※:绿色的方块代表实体类;蓝色的方块代表接口(下方括号中的名称表示实际调用的实现类); 流程介绍 step1:客户端发起获取令牌的请求:/oauth/token; step2:TokenEndpoint是整个流程的入口,可理解为一个controller,用来处理获取令牌的请求即:/oauth/token请求; step3:ClientDetailService用来读取请求中client...
oauth2-token-endpoint-handler:用于自定义授权服务器的OAuth2令牌端点处理程序
05-10
基岩OAuth2令牌请求处理程序(@ digitalbazaar / oauth2-token-endpoint-handler) 用于自定义授权服务器的OAuth2令牌端点处理程序。 目录 背景 局限性/设计约束: 仅支持client_credentials授予。 仅支持client_secret_post端点身份验证方法。 不支持刷新令牌(客户端可以在原始访问令牌过期后再次执行令牌交换)。 灵感来源: 和 相关规格: OAuth 2.0的资源指标 安全 待定 安装 必须安装Node.js 12+。 要在本地安装(用于开发): git clone https://github.com/digitalbazaar/oauth2-token-endpoint-handler.git cd oauth2-token-endpoint-handler npm install
Spring Security OAuth2 源码分析(一) TokenEndpoint
咖啡的博客
03-20 2005
通过请求 oauth/token 来获取 token。大致为以下流程: 从 principal 中获取 clientId, 进而装载 ClientDetails 。 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest。 校验 Client 信息。 根据 grantType 设置 TokenRequest 的 scope。 ...
Spring Security Oauth2源码分析
最新发布
小小本科生
07-16 991
1、用户发起了一个未经身份验证的请求。2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
乌龟的专栏
07-02 1439
  在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spring boot 2.x Spring Security 5.x   在解析Spring Security Oauth2 源码前,我们先看下Spring S..
SpringSecurity OAuth2 获取Token端点TokenEndpointToken授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1776
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurityOauth2源码分析 我们先来看下通过Oauth2获取token源码流程: 一、获取token的接口是/oauth/token,在TokenEndpoint类中 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
Spring Security Oauth2关于自定义登录的几种解决方案(二)
小丑竟是我自己
12-31 3687
Spring Security Oauth2关于自定义登录的几种解决方案(二) 上一篇文章,通过简单的方式进行自定义用户登录授权的动作,投机取巧使用了他的内部循环处理机制,完成了我们所需要的功能,本篇将介绍一下自定义模式的登录方式(例如:原始oauth2自带的密码模式,授权码模式,简单模式,客户端模式)。最终其实我们还是采用了密码模式的思路。 ...
Spring Boot2.x如何自定义Endpoint
08-24
主要介绍了Spring Boot2.x如何自定义Endpoint,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring cloud security oauth2 自定义token返回数据结构
jiejiegua的博客
10-21 2167
1、前后端,微服务给予security oauth2的认证token 授权 默认返回数据结构是 但是我们希望的时候有统一的返回数据格式 查看源码 可以找到 postAccessToken里面处理的数据返回 所以使用 @Around 注解 拦截请求改变返回值 具体代码如下。 @Component @Aspect @Slf4j public class AuthAspectAround { @Around("execution(* org.springframework...
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 2864
在上篇文章我们分析token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 三 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
spring security oauth2 中两个endpoint的注入来源
a469517790的博客
07-06 4697
公司项目使用xml配置的方式整合oauth2,在阅读源码,跟踪整个授权跟获取令牌的过程中,对比xml的配置文件,并没有找到有配置配了两个endpoint的注入:TokenEndpoint 和AuthorizationEndpoint。这两个类分别对应我们oauth2中两个重要的请求:/oauth/token 和/oauth/authorize。我们oauth的功能都围绕着这个给url展开,这里...
Springsecurity普通登录认证和OAuth2产生token的认证流程
join_null的博客
08-10 5757
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用...
Spring Security Oauth2认证源码解析
alan_liuyue的博客
08-17 2505
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较多的源码,非关键性代码以…代替。 准备工作 首先开启debug信息: logging: level: org.springframework: DEBUG 可以完整的看到内部的运转流程。 client模式稍微简单一些,使用client模式获取tokenhttp://localhost:808...
深入解析SpringSecurity OAuth2.0源码及其应用
了解这些基本概念和组件后,我们可以通过分析源码来深入理解 Spring Security OAuth2.0 的工作原理。源码中会包含大量关于如何初始化和配置 OAuth2.0 认证服务器和资源服务器的细节,以及如何处理不同的授权流程。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值