oauth2 java 客户端_Spring Security 实战干货:客户端OAuth2授权请求的入口

最新推荐文章于 2024-03-15 10:45:20 发布
最新推荐文章于 2024-03-15 10:45:20 发布
阅读量270 收藏
点赞数
文章标签: oauth2 java 客户端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42125770/article/details/114762134
版权

正版spring security实战编程与

54.9元

(需用券)

去购买 >

a558c348652cbcf13105633fc3598b19.png

f5b9560975c9f4b9ac40cefb80ea1fa9.png

1. 前言

在Spring Security 实战干货:OAuth2第三方授权初体验一文中我先对OAuth2.0涉及的一些常用概念进行介绍,然后直接通过一个DEMO来让大家切身感受了OAuth2.0第三方授权功能。今天我们来一步一步分析这其中的机制。

2. 抓住源头

http://localhost:8082/oauth2/authorization/gitee

上面这个请求URL是我们在上一篇文章中提到的客户端进行第三方认证操作的起点,默认格式为{baseUrl}/oauth2/authorization/{clientRegistrationId},其中clientRegistrationId代表着一个第三方标识,可以是微信、支付宝等开放平台,这里为gitee。用户点击了这个请求后就开始了授权之旅。假如大家都是从零开始的小白,肯定是要从这个入口来一步一步探寻其中的机制的。Spring Security一定是拦截到了/oauth2/authorization后才启用了OAuth2相关的处理逻辑。那就去抓住这个源头!从源码中搜索嘛!IDEA 快捷键CTRL SHIFT R 就可以全局搜索结果了。

f5be0640585b97b5c03d116e737aafc9.png

不出所料找到了三个地方,记下来一个一个看!

OAuth2AuthorizationRequestRedirectWebFilter

先来看第一个OAuth2AuthorizationRequestRedirectWebFilter,它实现了Spring Webflux的WebFilter接口,这显然是Webflux的东西,如果你用到Webflux的话这个会有用,但是不是现在我们用的。

DefaultOAuth2AuthorizationRequestResolver

第二个是干嘛的呢,从名称上看着是一个默认OAuth2授权请求解析器。有时候名称起的好就知道这个东西大致上干嘛的,不得不说优秀框架细节抓的很好。它实现了接口OAuth2AuthorizationRequestResolver:

public interface OAuth2AuthorizationRequestResolver {

/**

* 从HttpServletRequest对象中解析封装 OAuth2AuthorizationRequest

*/

OAuth2AuthorizationRequest resolve(HttpServletRequest request);

/**

* 从HttpServletRequest对象以及clientRegistrationId中解析封装 OAuth2AuthorizationRequest

*/

OAuth2AuthorizationRequest resolve(HttpServletRequest request, String clientRegistrationId);

}

也就是说当我们请求/oauth2/authorization时,DefaultOAuth2AuthorizationRequestResolver 会从/oauth2/authorization对应的HttpServletRequest中提取数据封装到OAuth2AuthorizationRequest请求对象中做进一步使用。

注意:/oauth2/authorization这个默认拦截标识也是可以自定义的。

OAuth2AuthorizationRequest

这里简单提一下OAuth2AuthorizationRequest 封装了我们上一文所描述的一些OAuth2相关概念参数,后续这个请求类我们会用到它。

public final class OAuth2AuthorizationRequest implements Serializable {

private static final long serialVersionUID = 520L;

private String authorizationUri;

private AuthorizationGrantType authorizationGrantType;

private OAuth2AuthorizationResponseType responseType;

private String clientId;

private String redirectUri;

private Set scopes;

private String state;

private Map additionalParameters;

private String authorizationRequestUri;

private Map attributes;

// 其它方法略

}

OAuth2AuthorizationRequestRedirectFilter

就剩下这个线索了,一看到它继承了OncePerRequestFilter我就知道肯定是他了。甚至它的成员变量包含了用来解析OAuth2请求的OAuth2AuthorizationRequestResolver。到这里我们的路子就走对了,开始分析这个过滤器,下面是其核心过滤逻辑,这就是我们想要知道的OAuth2授权请求是如何被拦截处理的逻辑。

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)

throws ServletException, IOException {

try {

OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request);

if (authorizationRequest != null) {

this.sendRedirectForAuthorization(request, response, authorizationRequest);

return;

}

} catch (Exception failed) {

this.unsuccessfulRedirectForAuthorization(request, response, failed);

return;

}

try {

filterChain.doFilter(request, response);

} catch (IOException ex) {

throw ex;

} catch (Exception ex) {

// Check to see if we need to handle ClientAuthorizationRequiredException

Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);

ClientAuthorizationRequiredException authzEx = (ClientAuthorizationRequiredException) this.throwableAnalyzer

.getFirstThrowableOfType(ClientAuthorizationRequiredException.class, causeChain);

if (authzEx != null) {

try {

OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request, authzEx.getClientRegistrationId());

if (authorizationRequest == null) {

throw authzEx;

}

this.sendRedirectForAuthorization(request, response, authorizationRequest);

this.requestCache.saveRequest(request, response);

} catch (Exception failed) {

this.unsuccessfulRedirectForAuthorization(request, response, failed);

}

return;

}

if (ex instanceof ServletException) {

throw (ServletException) ex;

} else if (ex instanceof RuntimeException) {

throw (RuntimeException) ex;

} else {

throw new RuntimeException(ex);

}

}

}

doFilterInternal对应的流程如下:

fb2ed7db58518cacd34f3817a438de5d.png

根据这个流程,如果要搞清楚Spring Security OAuth2是如何重定向到第三方的话就要深入研究sendRedirectForAuthorization方法,基于篇幅原因我会在下一篇进行分析。

3. 总结

今天我们从源头一步一步找到OAuth2授权的处理入口,并初步分析了几个关键组件的作用以及核心拦截器的拦截逻辑。后续我们将层层深入循序渐进地搞清楚其运作流程,不要走开,锁定:码农小胖哥 循序渐进学习Spring Security OAuth2 。

关注公众号:Felordcn 获取更多资讯

个人博客:https://felord.cn

java 11官方入门(第8版)教材

79.84元

包邮

(需用券)

去购买 >

f0f3f55624fb396b1764d42d6df88864.png

文清的男友
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
Spring SecurityOAuth2 授权许可
深圳市多克创新科技有限公司
10-21 489
Spring SecurityOAuth2 授权许可
Java 使用HTTP请求直接获取oauth2.0的token,code
最新发布
2301_76307772的博客
03-15 363
这里需要发送三次http请求,有的应该两次就行,两次的我没写明白,用的时HuTool的工具。hutool的body不用解析,直接就能用。下面时生成token的。
SpringSecurityOAuth2-微信授权登录
张氏小毛驴的博客
07-03 3041
这一篇主要是介绍了对于微信的第三方登录自定义,讲的可能比较乱,还是得结合源码理解理解,我只想把思路和为什么尽量都分享清楚,当然这只是测试,真正的支持微信第三方还得需要在微信登记公众号等操作,那些是需要认证啥的,我们当前学习的话目前的已经足够了。最后为把代码都上传到Github了,如果觉得有用,帮帮忙点个Start。我的Github。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1 完整详细 pdf无障碍阅读,代码完整可复制
springboot-security-oauth2:SpringBoot集成Spring SecurityOAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2 此SpringBoot项目集成Spring SecurityOAuth2实现资源访问授权认证。 支持client credentials、password、authorization code认证模式。 项目默认最为复杂的authorization code授权码认证模式,已经实现自定义登录页、授权页、错误页,以及第三方用户登录。 1.支持/oauth/authorize,/oauth/token,/oauth/refresh_token,/oauth/error; 2.用户认证的accessToken使用RedisTokenStore保存在Redis中(但是代码也已经支持JDBC持久化存储Token,目前处于注释状态)。 注:如果需要使用JDBCTokenStore可以使用一下SQL语句创建响应的数据表: USE `iot_boss
Spring Security 实战干货客户端OAuth2授权请求入口在哪里
码农小胖哥
11-07 1999
1. 前言在Spring Security 实战干货OAuth2 第三方授权初体验一文中我先对 OAuth2.0 涉及的一些常用概念进行介绍,然后直接通过一个 DEMO 来让大家切身感...
Spring Cloud Gateway作为OAuth2 Client
罗小爬的技术宝书
06-22 2564
本文主要介绍了Spring Cloud Gateway作为OAuth2 Client的设计方案、适用场景以及集成过程中遇到的问题及解决方案,文末附有具体示例代码仓库地址。
Spring Security】使用 OncePerRequestFilter 过滤器校验登录过期、请求日志等操作
杜小舟的博客
08-31 2981
是一个过滤器,每个请求都会执行一次;一般开发中主要是做检查是否已登录、Token是否过期和授权等操作,而每个操作都是一个过滤器,下面演示一下。
2、oauth2授权
u012153127的博客
07-03 472
这篇文章我们来简单介绍下如何使用oauth授权接口。oauth2为我们提供了认证服务和资源服务,认证服务需要引入@EnableAuthorizationServer来开启,资源服务需要引入 @EnableResourceServer来开启。 oauth2的授权接口是oauth/token,通过TokenEndpoint暴露该接口,而TokenEndpoint是通过注解@EnableAuthorizationServer引入的。下面我们通过一个简单的示例来了解一下oauth2的认证过程 1、引入依赖
spring security oauth2 认证入口
feng2036的博客
06-19 883
包名:org.springframework.security.oauth2.provider.endpoint 类名:TokenEndpoint
spring-security-mybatis-demo-master.zip_DEMO_OAuth_oauth2_spring
09-20
springcloud oauth2.0
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用...
Spring Cloud Open Feign系列【23】OAuth2FeignRequestInterceptor、BasicAuthRequestInterceptor拦截器解析
记录知识、锤炼自我
04-29 2588
有道无术,术尚可求,有术无道,止于术。 资料整理来自网络 文章目录BasicAuthRequestInterceptorBasic 认证使用案例 BasicAuthRequestInterceptor BasicAuthRequestInterceptor翻译过来就是 Basic 认证请求拦截器。 Basic 认证 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 比如Security 就.
Spring Security实战干货:集成微信公众号OAuth2.0授权
码农小胖哥
08-14 1320
微信生态提供了微信支付、微信优惠券、微信H5红包、微信红包封面等等促销工具来帮助我们的应用拉新保活。但是这些福利要想正确地发放到用户的手里就必须拿到用户特定的(微信应用)微信标识openi...
OAuth2.0入门(二)—— spring-security-oauth2入门例子JDBC存储(超详细版)上篇
qq_37771475的博客
12-24 3085
前言:本文是OAuth2.0实践篇,阅读之前需要先掌握OAuth2.0基本原理,原理介绍见:OAuth2.0入门(一)—— 基本概念详解和图文并茂讲解四种授权类型 本章将采用微服务架构方式,将OAuth2-Demo拆分成三个模块:oauth2-authentication-server(作为授权认证中心)、oauth2-resource-server(作为资源服务器)、...
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
oauth2的token认证接口/oauth/token、/oauth/check_token、/oauth/authorize在哪个包里
热门推荐
Dream_it_possible!的博客
07-02 2万+
在org.springframework.security.oauth2.provider.endpoint里的TokenEndpoint类里 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.springframework.security.oauth2.provider.endpoint; import java.
Spring Security OAuth2登录
new_ord的博客
07-25 3809
OAuth 2.0 进行扩展,使得授权服务器和受保护资源发出的信息能够传达与用户以及他们的身份认证上下文有关的信息,我们就可以为客户端提供用于用户安全登录的所有信息。
jwt需要存redis吗_Spring Cloud SecurityOauth2结合JWT使用
06-09
JWT本身不需要存储在Redis中,但是在使用Spring Cloud SecurityOAuth2结合JWT时,可能需要将JWT存储在Redis中以实现分布式环境下的用户认证和授权。具体来说,可以将JWT存储在Redis中,并使用Redis作为Token存储库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值