Spring Security 源码分析十:初识 Spring Security OAuth2

最新推荐文章于 2023-07-15 11:44:22 发布
最新推荐文章于 2023-07-15 11:44:22 发布
阅读量253 收藏 1
点赞数
分类专栏: 安全框架 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42073629/article/details/106464754
版权

OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息。更多OAuth2请参考理解OAuth 2.0

1. 项目准备

  • 添加依赖
<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security.oauth</groupId>
			<artifactId>spring-security-oauth2</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
		</dependency>
  • 配置认证服务器 
@Configuration
@EnableAuthorizationServer//是的,没做,就这么一个注解
public class MerryyouAuthorizationServerConfig {

}
  • 配置资源服务器 
@Configuration
@EnableResourceServer//咦,没错还是一个注解
public class MerryyouResourceServerConfig {
}
  • 配置application.yml客户端信息(不配置的话,控制台会默认打印clientid和clietSecret) 
security:
  oauth2:
	client:
	  client-id: merryyou
	  client-secret: merryyou
  • 定义MyUserDetailsService
@Component
public class MyUserDetailsService implements UserDetailsService {

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));
	}
}
  • 添加测试类SecurityOauth2Test(用户名密码模式) 
@RunWith(SpringRunner.class)
@SpringBootTest
@Slf4j
public class SecurityOauth2Test {
	//端口
	final static long PORT = 9090;
	//clientId
	final static String CLIENT_ID = "merryyou";
	//clientSecret
	final static String CLIENT_SECRET = "merryyou";
	//用户名
	final static String USERNAME = "admin";
	//密码
	final static String PASSWORD = "123456";
	//获取accessToken得URI
	final static String TOKEN_REQUEST_URI = "http://localhost:"+PORT+"/oauth/token?grant_type=password&username=" + USERNAME + "&password=" + PASSWORD+"&scope=all";
	//获取用户信息得URL
	final static String USER_INFO_URI = "http://localhost:"+PORT+"/user";

	@Test
	public void getUserInfo() throws Exception{
		RestTemplate rest = new RestTemplate();
		HttpHeaders headers = new HttpHeaders();
		headers.add( "authorization", "Bearer " + getAccessToken() );
		HttpEntity<String> entity = new HttpEntity<String>(null, headers);
		// pay attention, if using get with headers, should use exchange instead of getForEntity / getForObject
		ResponseEntity<String> result = rest.exchange( USER_INFO_URI, HttpMethod.GET, entity, String.class, new Object[]{ null } );
		log.info("用户信息返回的结果={}",JsonUtil.toJson(result));
	}

	/**
	 * 获取accessToken
	 * @return
	 */
	private String getAccessToken(){
		RestTemplate rest = new RestTemplate();
		HttpHeaders headers = new HttpHeaders();
		headers.setContentType( MediaType.TEXT_PLAIN );
		headers.add("authorization", getBasicAuthHeader());
		HttpEntity<String> entity = new HttpEntity<String>(null, headers);
		ResponseEntity<OAuth2AccessToken> resp = rest.postForEntity( TOKEN_REQUEST_URI, entity, OAuth2AccessToken.class);
		if( !resp.getStatusCode().equals( HttpStatus.OK )){
			throw new RuntimeException( resp.toString() );
		}
		OAuth2AccessToken t = resp.getBody();
		log.info("accessToken={}",JsonUtil.toJson(t));
		log.info("the response, access_token: " + t.getValue() +"; token_type: " + t.getTokenType() +"; "
				+ "refresh_token: " + t.getRefreshToken() +"; expiration: " + t.getExpiresIn() +", expired when:" + t.getExpiration() );
		return t.getValue();

	}

	/**
	 * 构建header
	 * @return
	 */
	private String getBasicAuthHeader(){
		String auth = CLIENT_ID + ":" + CLIENT_SECRET;
		byte[] encodedAuth = Base64.encodeBase64(auth.getBytes());
		String authHeader = "Basic " + new String(encodedAuth);
		return authHeader;
	}
}

授权码模式效果如下:

授权链接: http://localhost:9090/oauth/authorize?response_type=code&client_id=merryyou&redirect_uri=http://merryyou.cn&scope=all

 

测试类打印accessToken信息

2018-01-20 18:16:49.900  INFO 16136 --- [           main] cn.merryyou.security.SecurityOauth2Test  : accessToken={
  "value": "8e5ea72c-d153-48f5-8ee7-9b5616fc43dc",
  "expiration": "Jan 21, 2018 6:10:25 AM",
  "tokenType": "bearer",
  "refreshToken": {
    "value": "7adfefec-c80c-4ff4-913c-4f161c47fbf1"
  },
  "scope": [
    "all"
  ],
  "additionalInformation": {}
}

2. spring security oauth2 登录核心源码

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-oatuh202.png

2.1 TokenEndpoint

//#1.处理/oauth/token请求
@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}
		//获取clientId
		String clientId = getClientId(principal);
		//获取第三方应用的详细配置信息
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);
		//使用第三方应用信息创建TokenRequest
		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
		//有没有传clientId
		if (clientId != null && !clientId.equals("")) {
			// Only validate the client details if a client authenticated during this
			// request.
			//与配置里面的是否匹配
			if (!clientId.equals(tokenRequest.getClientId())) {
				// double check to make sure that the client ID in the token request is the same as that in the
				// authenticated client
				throw new InvalidClientException("Given client ID does not match authenticated client");
			}
		}
		if (authenticatedClient != null) {
			//检查scope
			oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
		}
		//grant_type是否存在值,对应四种授权模式和刷新token
		if (!StringUtils.hasText(tokenRequest.getGrantType())) {
			throw new InvalidRequestException("Missing grant type");
		}
		//是否简化模式
		if (tokenRequest.getGrantType().equals("implicit")) {
			throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
		}
		//是否是授权码模式
		if (isAuthCodeRequest(parameters)) {
			// The scope was requested or determined during the authorization step
			if (!tokenRequest.getScope().isEmpty()) {
				logger.debug("Clearing scope of incoming token request");
				//如果是授权码模式scope设置为空,根据获取code时的scope设置
				tokenRequest.setScope(Collections.<String> emptySet());
			}
		}
		//是否刷新令牌
		if (isRefreshTokenRequest(parameters)) {
			// A refresh token has its own default scopes, so we should ignore any added by the factory here.
			//设置scope
			tokenRequest.setScope(OAuth2Utils.parseParameterList(parameters.get(OAuth2Utils.SCOPE)));
		}
		//获取OAuth2AccessToken
		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}

		return getResponse(token);

	}

2.1.1 ClientDetails

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-OAuth203.png

2.1.2 TokenRequest

spring-security-OAuth204.pnguploading.4e448015.gif转存失败重新上传取消https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-OAuth204.png

2.2 CompositeTokenGranter#grant

//四种授权模式+刷新令牌的模式根据grant_type判断
public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
	for (TokenGranter granter : tokenGranters) {
		OAuth2AccessToken grant = granter.grant(grantType, tokenRequest);
		if (grant!=null) {
			return grant;
		}
	}
	return null;
}

2.2.1 tokenGranters

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-OAuth204.png

2.3 AbstractTokenGranter#grant

public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		//判断当前的授权类型和传入的是否匹配
		if (!this.grantType.equals(grantType)) {
			return null;
		}
		//获取clientId
		String clientId = tokenRequest.getClientId();
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		//校验
		validateGrantType(grantType, client);
		
		logger.debug("Getting access token for: " + clientId);
		//产生令牌
		return getAccessToken(client, tokenRequest);

	}

2.4 AbstractTokenGranter#getAccessToken 

protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
		return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
	}

2.5 DefaultTokenServices#createAccessToken 

protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
		return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
	}

3. 代码下载

从我的 github 中下载,https://github.com/longfeizheng/security-oauth2

weixin_42073629
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
feign设置 header basicauth_踩了一个Spring Cloud Feign添加自定义Header的坑,分享给大家
weixin_39901558的博客
11-30 1354
需求背景需求背景最近有个需求,是对接某个运动APP的Api开放平台用户授权业务。文中以两个API为例:1、获取token场景:用户在授权⻚页⾯面点击授权后,⻚页⾯面会跳转到合作⽅方提供的redirect_url,合作⽅方通过跳转传回的code换取token,完成认证和授权。Header附加参数:Authorization:Basic base64(AppKey:AppSecret) `注意:Bas...
spring security 多个client id_spring-security 理解 笔记 介绍以及使用
weixin_42681774的博客
01-25 1892
本人经过2周的学习,成功搭建了认证服务器,资源服务器和客户端 。下面是本人对 oauth2的理解,以及spring-security的使用,如果理解错误的地方,还望指正。现在代码有点凌乱,过段时间会放到github上面的,本人会在代码中添加详细注释,供学习交流使用理解1.认证服务器  如抖音可以选择QQ或者微信登录,此时QQ或者微信就是认证服务器  1.认证::用户认证和客户端认证,只要用户或者客...
basic-auth的使用
qq_56303170的博客
04-15 1417
basic-auth的使用 basic-auth 会帮我们解析 http headerauthorization 内的值,这个值通常是使用 base64 加密的。 导入 const auth = require('basic-auth') 解析headerauthorization的值 let a = auth(ctx.request); 在 postman 中这样提交就可以被解析到 手动解析authorization const Koa = require('koa'); const app
SpringSecurity前后端分离Header中添加Authorization的设置以及跨域问题踩坑记录
qq_61887118的博客
05-01 5549
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现跨域问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了跨域问题,即使自己已经全局配置了跨域。
C#请求Post 方法
09-08 959
private string PostWebRequest(string postUrl, string paramData, Encoding dataEncode) { string ret = string.Empty; try { byte[] byteArray = dataEncode.GetBytes(paramData); //转化 Http.
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
基于Java的Spring Security OAuth2框架测试设计源码
最新发布
06-01
源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
basic-auth 使用教程
nullccc的博客
02-18 6572
本系列是我的常用 koa 中间件使用笔记,防止忘记使用方法而作记录 basic-auth 会帮我们解析 http headerauthorization 内的值,这个值通常是使用 base64 加密的。 使用方法 const Koa = require('koa'); const app = new Koa(); const auth = require('basic-auth') onerror(app, onerrorConf); app.use(async (ctx, n...
spring security 多个client id_Spring进阶案例之注解和IoC案例
weixin_39955829的博客
01-17 382
一、常见的注解分类及其作用从此前的基于xml的IoC开发案例和依赖注入案例中,我们可以将xml配置归纳为:<bean id="" class="" scope="" init-method = "" destroy-method = ""> <property name = "" value = "" | ref = ""></property> </...
postman在Header中添加 Authorization: Bearer {Token}
热门推荐
和光同尘的博客
11-05 7万+
Postman解决token传参问题
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2253
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
SpringSecurityOauth 简介
暴走猿人的博客
04-18 1076
TODO
Springsecurity普通登录认证和OAuth2产生token的认证流程
join_null的博客
08-10 5705
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用...
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8388
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2285
OAuth2根据授权码获取Token
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 2552
SpringOAuth2授权流程分析
spring-security-oauth2文档
03-26
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架中设置授权服务器和资源服务器的过程。Spring Security OAuth2 Boot提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值