Spring OAuth2 源码分析

最新推荐文章于 2024-04-18 06:00:27 发布
最新推荐文章于 2024-04-18 06:00:27 发布
阅读量589 收藏 1
点赞数
分类专栏: OAuth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38937840/article/details/110423751
版权

微信技术交流群

添加小编微信:372787553,备注进群

OAuth2 内置断点生成Token源码解析

在我们现实的开发者,当我们使用oauth的时候,当需要生成token时,
只需要去调用/oauth/token,但是他具体做了什么?就可以实现今天我们就来一探究竟

TokenEndpoint

不难看出最终调用的时TokenEndpoint这个类,那么我们来分析学习一下这个类

首先映入眼帘的时@FrameworkEndpoint,@FrameworkEndpoint@Controller的同义词,
但仅用于框架提供的端点(因此它永远不会与用@Controller定义的用户自己的端点冲突)

框架为我们提供了POSTGET请求,但最终走的都是POST请求

@FrameworkEndpoint
public class TokenEndpoint extends AbstractEndpoint {
    // 以下是核心部分代码...
    @RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
    public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
 
        if (!(principal instanceof Authentication)) {
            throw new InsufficientAuthenticationException(
                    "There is no client authentication. Try adding an appropriate authentication filter.");
        }
 
        // 1. 从 principal 中获取 clientId, 进而 load client 信息
        String clientId = getClientId(principal);
        ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);
 
        // 2. 从 parameters 中拿 clientId、scope、grantType 组装 TokenRequest
        TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
 
        // 3. 校验 client 信息
        if (clientId != null && !clientId.equals("")) {
            if (!clientId.equals(tokenRequest.getClientId())) {
                // 双重校验: 确保从 principal 拿到的 client 信息与根据 parameters 得到的 client 信息一致
                throw new InvalidClientException("Given client ID does not match authenticated client");
            }
        }
        if (authenticatedClient != null) {
            oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
        }
 
        // 4. 根据 grantType 设置 TokenRequest 的 scope。
        // 授权类型有: password 模式、authorization_code 模式、refresh_token 模式、client_credentials 模式、implicit 模式
        if (!StringUtils.hasText(tokenRequest.getGrantType())) {
            throw new InvalidRequestException("Missing grant type");
        }
        if (tokenRequest.getGrantType().equals("implicit")) {
            throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
        }
 
        // 如果是授权码模式, 则清空 scope。 因为授权请求过程会确定 scope, 所以没必要传
        if (isAuthCodeRequest(parameters)) {
            if (!tokenRequest.getScope().isEmpty()) {
                logger.debug("Clearing scope of incoming token request");
                tokenRequest.setScope(Collections.<String> emptySet());
            }
        }
 
        // 如果是刷新 Token 模式, 解析并设置 scope
        if (isRefreshTokenRequest(parameters)) {
            tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
        }
 
        // 5. 通过令牌授予者获取 token
        OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
        if (token == null) {
            throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
        }
 
        return getResponse(token);
    }
    // ...
}

这里我们来看一下生成token的逻辑,也就是OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
这段代码,调用的时 AbstractTokenGranter

public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		if (!this.grantType.equals(grantType)) {
			return null;
		}
		String clientId = tokenRequest.getClientId();
        // loadClientByClientId, 这里我们是可以自定的
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		validateGrantType(grantType, client);

		if (logger.isDebugEnabled()) {
			logger.debug("Getting access token for: " + clientId);
		}
		return getAccessToken(client, tokenRequest);
	}

protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
	return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
}

getOAuth2Authentication 有三种方式的实现

## 授权码模式
AuthorizationCodeTokenGranter
## 简单模式
ImplicitTokenGranter
## 密码模式
ResourceOwnerPasswordTokenGranter

密码模式下生成Token

	@Override
	protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

		Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
		String username = parameters.get("username");
		String password = parameters.get("password");
		// 删除密码,方式上下文密码泄露
		parameters.remove("password");

		Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
		((AbstractAuthenticationToken) userAuth).setDetails(parameters);
		try {
			userAuth = authenticationManager.authenticate(userAuth);
		}
		catch (AccountStatusException ase) {
			//covers expired, locked, disabled cases (mentioned in section 5.2, draft 31)
			throw new InvalidGrantException(ase.getMessage());
		}
		catch (BadCredentialsException e) {
			// If the username/password are wrong the spec says we should send 400/invalid grant
			throw new InvalidGrantException(e.getMessage());
		}
		if (userAuth == null || !userAuth.isAuthenticated()) {
			throw new InvalidGrantException("Could not authenticate user: " + username);
		}
		
		OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);		
		return new OAuth2Authentication(storedOAuth2Request, userAuth);
	}

OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
最终调用的是TokenRequest

	public OAuth2Request createOAuth2Request(ClientDetails client) {
		Map<String, String> requestParameters = getRequestParameters();
		HashMap<String, String> modifiable = new HashMap<String, String>(requestParameters);
		// Remove password if present to prevent leaks
		modifiable.remove("password");
		modifiable.remove("client_secret");
		// Add grant type so it can be retrieved from OAuth2Request
		modifiable.put("grant_type", grantType);
		return new OAuth2Request(modifiable, client.getClientId(), client.getAuthorities(), true, this.getScope(),
				client.getResourceIds(), null, null, null);
	}

我们知道了密码模式下的createOAuth2Request,这是我们在回到createAccessToken,他最终调用的是DefaultTokenServices的方法,

	@Transactional
	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {
        // 这里有多种实现方式,详细见下图
		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
		OAuth2RefreshToken refreshToken = null;
		if (existingAccessToken != null) {
			if (existingAccessToken.isExpired()) {
				if (existingAccessToken.getRefreshToken() != null) {
					refreshToken = existingAccessToken.getRefreshToken();
					// 这里是是删除token,会根据您所选择的TokenStore进行选择
                    //如: JDBC 最终执行的是 delete from oauth_access_token where token_id = ?
                    // Redis 则会 拼接上系统默认的前缀,在进行删除,如果您重写了redisTokenStore,会带上您自定义的前缀
					tokenStore.removeRefreshToken(refreshToken);
				}
				tokenStore.removeAccessToken(existingAccessToken);
			}
			else {
				// 重新存储访问令牌,以防身份验证发生更改
                // 如: JDBC 最终执行的是
                // insert into oauth_access_token 
                //      (token_id, token, authentication_id, user_name, client_id, authentication, refresh_token) 
                //  values (?, ?, ?, ?, ?, ?, ?)    
                //  Redis 则会 拼接上系统默认的前缀,进行序列化的一系列操作
				tokenStore.storeAccessToken(existingAccessToken, authentication);
				return existingAccessToken;
			}
		}

		// 刷新令牌,客户端可能错油refresh_token ,
        // 仅在没有与过期访问令牌关联的现有刷新令牌的情况下创建新的刷新令牌。
        // 客户端可能持有现有的刷新令牌,因此在旧的访问令牌过期的情况下我们会重新使用它。
		if (refreshToken == null) {
            // 本质其实就是 生成一个UUID ,做了一些关于时间的设置
			refreshToken = createRefreshToken(authentication);
		}
		// 刷新令牌时以过期,这是需要重新生成token
		else if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
			ExpiringOAuth2RefreshToken expiring = (ExpiringOAuth2RefreshToken) refreshToken;
			if (System.currentTimeMillis() > expiring.getExpiration().getTime()) {
                // 同上
				refreshToken = createRefreshToken(authentication);
			}
		}
        // 通过 DefaultOAuth2AccessToken 进行生成Token,但是 这是一个默认的信息,如果您想要一些额外的信息,
        // 需要自定义时,我们需要重写 TokenEnhancerChain 或者 JwtAccessTokenConverter 的方法 示例我会放在下边
		OAuth2AccessToken accessToken = createAccessToken(authentication, refreshToken);
        // 将生成的token进行持久化,与之前选择的 tokenStore有关
		tokenStore.storeAccessToken(accessToken, authentication);
		// 方式被修改
		refreshToken = accessToken.getRefreshToken();
		if (refreshToken != null) {
			tokenStore.storeRefreshToken(refreshToken, authentication);
		}
		return accessToken;

	}

tokenStore 的多种实现方式
在这里插入图片描述

  • MyTokenEnhancerChain
public class MyTokenEnhancerChain extends TokenEnhancerChain {

    /**
     * 生成token
     *
     * @param accessToken
     * @param authentication
     * @return
     */
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        DefaultOAuth2AccessToken defaultOAuth2AccessToken = new DefaultOAuth2AccessToken(accessToken);
        final Map<String, Object> additionalInfo = new HashMap<>(8);
        if (!authentication.isClientOnly()) {
            if (authentication.getPrincipal() != null && authentication.getPrincipal() instanceof BaseUserDetails) {
                // 设置额外用户信息
                BaseUser  baseUser = ((BaseUser) authentication.getPrincipal());
                additionalInfo.put("id", baseUser.getUserId());
                additionalInfo.put("email", baseUser.getEmail());
                additionalInfo.put("nick_name", baseUser.getNickName());
            }
        }
        defaultOAuth2AccessToken.setAdditionalInformation(additionalInfo);
        return super.enhance(defaultOAuth2AccessToken, authentication);
    }
}
  • MyJwtAccessTokenConverter
public class BaseJwtAccessTokenEnhancer extends JwtAccessTokenConverter {

    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        DefaultOAuth2AccessToken defaultOAuth2AccessToken = new DefaultOAuth2AccessToken(accessToken);
        if (authentication.getPrincipal() != null && authentication.getPrincipal() instanceof BaseUserDetails) {
            // 设置额外用户信息
            BaseUser  baseUser = ((BaseUser) authentication.getPrincipal());
            additionalInfo.put("id", baseUser.getUserId());
            additionalInfo.put("email", baseUser.getEmail());
            additionalInfo.put("nick_name", baseUser.getNickName());
        }
        return super.enhance(defaultOAuth2AccessToken, authentication);
    }

    @Override
    public OAuth2AccessToken extractAccessToken(String value, Map<String, ?> map) {
        return super.extractAccessToken(value, map);
    }
}

授权码模式下生成Token

	@Override
	protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
		Map<String, String> parameters = tokenRequest.getRequestParameters();
		String authorizationCode = parameters.get("code");
		String redirectUri = parameters.get(OAuth2Utils.REDIRECT_URI);
		if (authorizationCode == null) {
			throw new InvalidRequestException("An authorization code must be supplied.");
		}
        // 这里会将持久化的code进行删除
		OAuth2Authentication storedAuth = authorizationCodeServices.consumeAuthorizationCode(authorizationCode);
		if (storedAuth == null) {
			throw new InvalidGrantException("Invalid authorization code: " + authorizationCode);
		}
		OAuth2Request pendingOAuth2Request = storedAuth.getOAuth2Request();
		// https://jira.springsource.org/browse/SECOAUTH-333
		// This might be null, if the authorization was done without the redirect_uri parameter
		String redirectUriApprovalParameter = pendingOAuth2Request.getRequestParameters().get(
				OAuth2Utils.REDIRECT_URI);

		if ((redirectUri != null || redirectUriApprovalParameter != null)
				&& !pendingOAuth2Request.getRedirectUri().equals(redirectUri)) {
			throw new RedirectMismatchException("Redirect URI mismatch.");
		}
		String pendingClientId = pendingOAuth2Request.getClientId();
		String clientId = tokenRequest.getClientId();
		if (clientId != null && !clientId.equals(pendingClientId)) {
			throw new InvalidClientException("Client ID mismatch");
		}
		Map<String, String> combinedParameters = new HashMap<String, String>(pendingOAuth2Request
				.getRequestParameters());
		// 合并最后添加新参数的参数,以便在发生任何碰撞时替代这些参数
		combinedParameters.putAll(parameters);
		
		// Make a new stored request with the combined parameters
		OAuth2Request finalStoredOAuth2Request = pendingOAuth2Request.createOAuth2Request(combinedParameters);
		
		Authentication userAuth = storedAuth.getUserAuthentication();
		
		return new OAuth2Authentication(finalStoredOAuth2Request, userAuth);

	}

如何让生成token,与上面的过程是一样的

小杨同学~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。
Spring Security Oauth2中踩坑记录
love8525的专栏
06-14 477
1.405方法不支持 端点上使用了@RestController 未使用@FrameworkEndpoint
spring security-源码流程分析(五)-oauth默认请求地址(/oauth/token)是如何生效的?
luoxiaomei999的博客
04-06 4565
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、@FrameworkEndpoint注解的作用 1、在之前的文章中我们看到AuthorizationServerEndpointsConfiguration配置中配置了AuthorizationEndpoint和TokenEndpoint等,他们都是继承自AbstractEndpoint 2、Author.
Spring Boot整合OAuth2,附详细注释
最新发布
2401_84010865的博客
04-18 1112
**授权服务器配置@author 向振华*/@Autowired@Autowired@Autowired@Autowired/**配置令牌端点(内置的/oauth/* 接口)的安全约束*/@Overridesecurity// 允许访问/oauth/token授权接口// 开启/oauth/check_token访问/**配置客户端详情*/@Override// 读DB客户端详情// 客户端详情配置。
SpringSpring开发技巧收集
kaige8312的博客
12-27 722
1. @FrameworkEndpoint 该注解只用于框架提供端点,语义和 Controller 注解一致, 如果使用Controller提供了和FrameworkEndpoint标识的相同路径,@FrameworkEndpoint注解的类则不生效; 一般的场景用于:覆盖框架默认提供的端点; 2.BeanPostProcessor 初始化钩子方法 org.springframewor...
@frameworkendpoint 的作用
chinassj的博客
07-23 9819
路径:org.springframework.security.oauth2.provider.endpoint @Controller的同义词,但仅用于框架提供的端点(因此它永远不会与用@Controller定义的用户自己的端点冲突)。 与@RequestMapping和所有其他@Controller功能一起使用(and match with a FrameworkEndpointHandl...
@frameworkendpoint @SessionAttributes
m0_37732829的博客
07-17 623
org.springframework.security.oauth2.provider.endpoint.FrameworkEndpoint package org.springframework.security.oauth2.provider.endpoint; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.Retentio.
springSecurity及springOAuth2源码解析
weixin_39538035的博客
10-25 2437
springSecurity及springOAuth2登录认证接口源码解析
Spring security oauth源码
10-28
总之,Spring Security OAuth源码提供了一个深入了解OAuth 2.0协议及其在Spring生态系统中实现的绝佳机会。通过研究Sparklr2和Tonr2这两个示例应用,开发者可以更好地掌握OAuth的实践应用,并提升在构建安全Web服务...
基于数据库实现的Spring Cloud OAuth2案例源码
01-20
通过学习和分析这个案例源码,你可以深入理解Spring Cloud OAuth2如何与数据库结合工作,以及如何在实际项目中实现安全的微服务架构。此外,它还能帮助你掌握OAuth2授权流程的细节,增强你在Web安全领域的知识和实践...
spring cloud oauth2
10-19
Spring Cloud OAuth2 是一个基于 Spring Boot 和 Spring Security 的 OAuth2 实现,用于为微服务架构提供安全认证和授权服务。OAuth2 是一个开放标准,它允许用户授权第三方应用访问其私有资源,而无需分享用户名和...
spring oauth2.0
05-01
这篇博客将深入探讨Spring OAuth2.0的核心概念、实现流程以及如何通过源码分析增强理解。 OAuth2.0协议主要包含四个角色:资源所有者(Resource Owner)、客户端(Client)、认证服务器(Authorization Server)和...
spring security oauth2 中两个endpoint的注入来源
a469517790的博客
07-06 4650
公司项目使用xml配置的方式整合oauth2,在阅读源码,跟踪整个授权跟获取令牌的过程中,对比xml的配置文件,并没有找到有配置配了两个endpoint的注入:TokenEndpoint 和AuthorizationEndpoint。这两个类分别对应我们oauth2中两个重要的请求:/oauth/token 和/oauth/authorize。我们oauth的功能都围绕着这个给url展开,这里...
Oauth2之AuthorizationEndpoint源码
面朝大海,春暖花开
09-05 4834
AuthorizationEndpoint源码 @FrameworkEndpoint @SessionAttributes(&quot;authorizationRequest&quot;) public class AuthorizationEndpoint extends AbstractEndpoint { //omitted... @RequestMapping(value = &quot;/oa...
Spring Security Oauth2之获取token流程分析
clyu的博客
01-10 7300
前言 本文主要研究Spring Security Oauth2 token获取流程,token的获取方式有5种,其中授权模式最复杂,故本文以授权模式为基准研究token的获取,废话不多说,先上一张核心源码流程图! TokenEndpoint: 是入口controller,也就是我们请求/oauth/token返回token的接口 ClientDetailsService: 这个就有点类似SpringSecurity中的UserDetailsService,UserDetailsService是读取用户信息
(三) Spring Security Oauth2.0 源码分析--认证中心全流程分析
Instanceztt的博客
12-05 2136
的认证中心可以简单的理解为是对Spring Security的加强,也是通过(其原理可参考前面的Security源码分析)对客户端进行校验后在达到自定义token颁发站点,进行token的颁发,具体流程如下: 通过前面的文章分析,我们知道SpeingSecurity通过FilterChainProxy来完成相应的校验,我们断点看看他经历了那些校验 我们主要观察的是ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilte这两个过滤器,里面的其他
Spring-Security-OAuth2架构及源码浅析
Galaxy_0的博客
01-13 914
Spring-Security-OAuth2架构及源码浅析
SpringSecurityOAuth2授权流程源码分析(自定义验证码模式)
程序员劝退师的博客
09-06 1776
前言 周末闲来无事,谢谢自己的项目,然后想把老的授权模式改造一下,老的是基于SpringSecurity的实现,想升级为SpringSecurity OAuth2模式,于是看了下之前搭建的SpringSecurity OAuth2的框架,代码嫁接进来基本上是没问题的,嫁接进来后满足SpringSecurity OAuth2默认提供的5种授权模式,然后外加一套自定义账号密码登录模式(原有的一套账号密码模式用作Admin管理后台系统登录,这一套自定义的用于客户端的账号密码登录)、验证码登录模式,看了之前写的文章
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
乌龟的专栏
03-13 1086
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小杨同学~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值