Spring Security Oauth2 自定义DingTalkAuthenticationFilter登录钉钉小程序(以及登录 配置之后不生效 的问题)

最新推荐文章于 2023-04-04 22:50:00 发布
最新推荐文章于 2023-04-04 22:50:00 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: Oauth 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43803409/article/details/108584140
版权

Spring Security Oauth2 自定义DingTalkAuthenticationFilter登录钉钉小程序(以及登录 配置之后不生效 的问题)

问题

公司自研项目 做一个钉钉的小程序 。项目安全框架是Spring Security Oauth2 ,钉钉小程序通过授权码在登录本地项目时,遇到的问题,自定义的DingTalkAuthenticationFilter 配置的拦截路径"/dingtalk/token" 无法拦截

解决过程

追溯代码

/auth/token 的账号密码登录模式是能够正常拿到token的
/dingtalk/token 直接报401

package com.sinoecare.tms.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Lazy;
import org.springframework.context.annotation.Primary;
import org.springframework.core.annotation.Order;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.factory.PasswordEncoderFactories;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.sinoecare.tms.config.dingtalk.DingTalkSecurityConfigurer;
import com.sinoecare.tms.constant.SecurityConstants;
import com.sinoecare.tms.handler.MobileLoginFailureHandler;
import com.sinoecare.tms.handler.MobileLoginSuccessHandler;
import com.sinoecare.tms.service.DtalkUserService;
import com.sinoecare.tms.util.DingUtil;

import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;

/**
 * @author liushiwei
 * @date 2019/2/1
 * 认证相关配置
 */
@Primary
@Order(1)
@Configuration
@Slf4j
@EnableWebSecurity
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
    @Autowired
    private ObjectMapper objectMapper;
    @Autowired
    private ClientDetailsService clientDetailsService;
    @Lazy
    @Autowired
    private AuthorizationServerTokenServices defaultAuthorizationServerTokenServices;

    @Autowired
    private DtalkUserService tUserService;
    @Autowired
    private DingUtil dingUtil;
    @Autowired
    private AuthenticationSuccessHandler mobileLoginSuccessHandler;
    @Autowired
    private AuthenticationFailureHandler mobileLoginFailureHandler;

    @Override
    @SneakyThrows
    protected void configure(HttpSecurity http) {
        log.info("初始化auth");
        http
                .antMatcher(SecurityConstants.DINGTALK_CON_TOKEN_URL)
                .authorizeRequests()
                .antMatchers(
                        "/actuator/**",
                        "/token/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable();
        http.apply(dingTalkSecurityConfigurer());
    }

    @Bean
    @Override
    @SneakyThrows
    public AuthenticationManager authenticationManagerBean() {
        return super.authenticationManagerBean();
    }

    @Bean
    public AuthenticationSuccessHandler mobileLoginSuccessHandler() {
        return MobileLoginSuccessHandler.builder()
                .objectMapper(objectMapper)
                .clientDetailsService(clientDetailsService)
                .passwordEncoder(passwordEncoder())
                .defaultAuthorizationServerTokenServices(defaultAuthorizationServerTokenServices).build();
    }

    @Bean
    public AuthenticationFailureHandler mobileLoginFailureHandler() {
        return MobileLoginFailureHandler.builder().build();
    }


    @Bean
    DingTalkSecurityConfigurer dingTalkSecurityConfigurer() {
        DingTalkSecurityConfigurer configurer = new DingTalkSecurityConfigurer(dingUtil, tUserService, mobileLoginSuccessHandler, mobileLoginFailureHandler);
        return configurer;
    }

    /**
     * https://spring.io/blog/2017/11/01/spring-security-5-0-0-rc1-released#password-storage-updated
     * Encoded password does not look like BCrypt
     *
     * @return PasswordEncoder
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

}

在这里插入图片描述

WebSecurityConfigurer extends WebSecurityConfigurerAdapter 是配置security的初始化

1.通过在 configure(HttpSecurity http){} 方法中

http.apply(dingTalkSecurityConfigurer());

2.将dingTalk相应的配置dingTalkSecurityConfigurer初始化到 HttpSecurity中

    @Bean
    DingTalkSecurityConfigurer dingTalkSecurityConfigurer() {
        DingTalkSecurityConfigurer configurer = new DingTalkSecurityConfigurer(dingUtil, tUserService, mobileLoginSuccessHandler, mobileLoginFailureHandler);
        return configurer;
    }

3.dingTalkAuthenticationProvider带入 DtalkUserService dtalkUserService
4.dingTalkSecurityConfigurer的configure(HttpSecurity http)方法中DingTalkAuthenticationFilter配置到filterChain中并加入dingTalkAuthenticationProvider

 http.authenticationProvider(dingTalkAuthenticationProvider)
                .addFilterAfter(dingTalkAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

DingTalkSecurityConfigurer

package com.sinoecare.tms.config.dingtalk;

import com.sinoecare.tms.filter.DingTalkAuthenticationFilter;
import com.sinoecare.tms.service.DtalkUserService;
import com.sinoecare.tms.util.DingUtil;
import lombok.AllArgsConstructor;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.SecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.DefaultSecurityFilterChain;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@AllArgsConstructor
public class DingTalkSecurityConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    private final DingUtil dingUtil;
    private final DtalkUserService dtalkUserService;
    private final AuthenticationSuccessHandler mobileLoginSuccessHandler;
    private final AuthenticationFailureHandler mobileLoginFailureHandler;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        DingTalkAuthenticationFilter dingTalkAuthenticationFilter = new DingTalkAuthenticationFilter(dingUtil);
        dingTalkAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class));
        dingTalkAuthenticationFilter.setAuthenticationSuccessHandler(mobileLoginSuccessHandler);
        dingTalkAuthenticationFilter.setAuthenticationFailureHandler(mobileLoginFailureHandler);
        DingTalkAuthenticationProvider dingTalkAuthenticationProvider = new DingTalkAuthenticationProvider();
        dingTalkAuthenticationProvider.setDtalkUserService(dtalkUserService);
        http.authenticationProvider(dingTalkAuthenticationProvider)
                .addFilterAfter(dingTalkAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

在这里插入图片描述

DingTalkAuthenticationProvider

package com.sinoecare.tms.config.dingtalk;

import java.time.LocalDateTime;

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;

import com.sinoecare.tms.bean.DtalkUser;
import com.sinoecare.tms.bean.VillcloudUser;
import com.sinoecare.tms.constant.SecurityConstants;
import com.sinoecare.tms.service.DtalkUserService;

import cn.hutool.core.collection.CollUtil;


public class DingTalkAuthenticationProvider implements AuthenticationProvider {

    private DtalkUserService dtalkUserService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        DingTalkAuthenticationToken dingTalkAuthenticationToken = (DingTalkAuthenticationToken) authentication;
        DtalkUser user = dtalkUserService.getTUserByDDId((String) dingTalkAuthenticationToken.getPrincipal());

		/*
		(String username, String id, String areaId, String avatar, String phone, String password,
						 boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, String unitId,
						 Collection<? extends GrantedAuthority> authorities, String client, String realName, LocalDateTime lastLoginTime,
						 String unitName,String roleId)
		* */
        VillcloudUser user1 = new VillcloudUser(user.getName(), user.getId(), null, user.getAvatar(), user.getPhone(),
                SecurityConstants.WECHAT_CON_PWD, true, true, true, true, null,
                CollUtil.newArrayList(), null, user.getName(), LocalDateTime.now(), null, null);
        if (user == null) {
            throw new InternalAuthenticationServiceException("dingUserID不存在:" + dingTalkAuthenticationToken.getPrincipal());
        }
        DingTalkAuthenticationToken authenticationToken = new DingTalkAuthenticationToken(user1, null);
        authenticationToken.setDetails(dingTalkAuthenticationToken.getDetails());
        return authenticationToken;
    }


    @Override
    public boolean supports(Class<?> authentication) {
        return DingTalkAuthenticationToken.class.isAssignableFrom(authentication);
    }

    public DtalkUserService getDtalkUserService() {
        return dtalkUserService;
    }

    public void setDtalkUserService(DtalkUserService dtalkUserService) {
        this.dtalkUserService = dtalkUserService;
    }
}

在这里插入图片描述

DingTalkAuthenticationToken

package com.sinoecare.tms.config.dingtalk;

import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.SpringSecurityCoreVersion;

import java.util.Collection;

public class DingTalkAuthenticationToken extends AbstractAuthenticationToken {
	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

	private final Object principal;


	public DingTalkAuthenticationToken(String openId) {
		super(null);
		this.principal = openId;
		setAuthenticated(false);
	}

	public DingTalkAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		super.setAuthenticated(true);
	}

	@Override
	public Object getCredentials() {
		return null;
	}

	@Override
	public Object getPrincipal() {
		return this.principal;
	}

	@Override
	public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }

}

问题 filter 配置的路径SecurityConstants.DINGTALK_CON_TOKEN_URL 无法拦截到直接401

追溯代码 FilterChainProxy

	private List<Filter> getFilters(HttpServletRequest request) {
		for (SecurityFilterChain chain : filterChains) {
			if (chain.matches(request)) {
				return chain.getFilters();
			}
		}

		return null;
	}

SecurityFilterChain 中有三条FilterChain 三个过滤连中的二条的过滤条件 百分百匹配所有路径url 所有 匹配在第三条过滤链中的过滤条件 /dingtalk/token 无法生效

解决方法

给 WebSecurityConfigurer 配置加上注解 @Order(1) 使/dingtalk/token的FilterChain 优先级提高路径就会优先匹配,就能顺利进入DingTalkAuthenticationFilter ,问题解决

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

city324
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring GateWay OAuth2ResourceServer 配置ServerHttpSecurity中的hasRole 无效的问题
Sober的博客
03-25 1万+
文章目录问题解决方案JwtGrantedAuthoritiesConverter源码 问题 原因来自于ServerHttpSecurity.OAuth2ResourceServerSpec.JwtSpec中默认的ReactiveAuthenticationManager没有将jwt中authorities 的负载部分当做Authentication的权限。 简而言之,我们需要把jwt 的Claim...
Spring Security实战(九)—— 使用Spring Security OAuth实现OAuth对接
weixin_49561506的博客
04-25 2458
介绍OAuth2.0,并使用Spring Security OAuth实现GitHub快捷登录
Oauth2配置permitAll()无效 小坑
一颗小陨石的博客
12-24 4631
@Override public void configure(HttpSecurity http) throws Exception { //所有请求必须认证通过 http.authorizeRequests() //下边的路径放行 .antMatchers(..... "/web/member/member-register" .
Spring Boot 接入钉钉扫码登录
BASK2311的博客
12-15 3598
也可以自己去使用 natApp,其实无所谓使用什么,只要钉钉能请求到你的服务就行!5、在回调方法中根据用户的openId去自己系统的用户表中查询是否存在对应的用户。3、单击立即登录,触发请求设置的第三方网站的回调域名,钉钉在url返回authCode。使用该接口的好处就是可以省略获取 access_token 的步骤,调用该接口,会302跳转到指定的。4、在回调方法中根据code和accessToken获取用户信息(重点是用户的openId)4、 在弹出的页面中填写基本信息,然后单击确定创建。
SpringBoot + Spring Security 多认证源(钉钉,账密)
mouxiaoshi的博客
02-04 1802
业务需求 1.Springboot +Spring Security权限框架 2.前后端分离返回json数据,而不有后端重定向 3.可使用钉钉登陆(钉钉app企业应用)+账号密码登陆
钉钉播报
Harlans_Charming的博客
04-16 255
package pers.niaonao.dingtalkrobot.util; import com.dingtalk.api.DefaultDingTalkClient; import com.dingtalk.api.DingTalkClient; import com.dingtalk.api.request.OapiRobotSendRequest ; import com.dingtalk.api.response.OapiRobotSendResponse; import com.taob
spring security oauth2
01-10
Spring Security OAuth2 是一个强大的框架,用于为基于Spring的应用程序提供认证和授权功能。这个框架是Spring Security的扩展,专门设计来处理OAuth2协议,它允许开发者安全地开放应用程序的API,同时保护用户数据...
模拟OAuth2 单点登录
09-05
理解并实现OAuth2和SSO的Java代码涉及到大量的配置和编码工作,包括Spring Security配置OAuth2的流程控制、JWT的生成和验证等。在实际开发中,需要对这些概念有深入的理解,才能确保系统的安全性和可靠性。通过...
SpringBootspring security的结合的示例
08-27
虽然这个例子仅展示了基础的配置,但Spring Security的强大之处在于其丰富的功能和高度的灵活性,可以应对复杂的安全需求,包括记住我功能、基于Token的身份验证、OAuth2集成、自定义过滤器链等。因此,无论你是新手...
SpringSecurity源码
05-29
7. **OAuth2支持**:SpringSecurity还支持OAuth2协议,提供了一种安全的第三方应用访问资源的方式。 8. **Remember-Me服务**:允许用户在一段时间内无须再次输入登录凭据,提高用户体验。 9. **自定义扩展**:...
Spring Security的例子
01-13
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护Java应用程序。这个框架提供了全面的安全解决方案,包括Web安全、方法级访问控制、密码管理以及会话管理。在这个"Spring Security的...
OAuth2.0的大致理解及QQ和钉钉第三方登录的实现
Fishermen_sail的博客
04-04 1469
OAuth2.0非常复杂,有很多的内容,我觉得这个偏向于安全领域,所以我作为一个后端就做一个简单的了解,不会深入,主要还是体现QQ的第三方登录的实现。具体在说明一下。这里对应的就是网站地址,你要给负责审核人员看这个。点击“QQ登录”后,跳出QQ登录页面(在没有通过审核时,这里不会出现二维码,会出现一串字,大概是说没有通过审核)(怎么跳到这里下面会写)。只有这样,QQ管理员才会通过你的审核,才能之后出现这个能扫码的东西。申请接入,获取appid和apikey;
Oauth2授权模式password单一账号并发问题
程序员的蜕变
11-06 1万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里以跳转到教程。 使用场景: app程序为提高安全性,使用oauth2进行授权,授权方式采用password方式,IOS和Android在获取token时使用同一个用户名/密码(未加密)。 存在问题: app与本...
spring security permitAll不生效
日光之下的博客
06-26 5826
0 环境 系统:win10 编辑器:IDEA 1 问题描述 1 部分代码 securityConfig http http // 拦截请求,创建了FilterSecurityInterceptor拦截器 .authorizeRequests() // 允许 // "/login", // "/logout",
关于jwt token失效的坑.
热门推荐
叶叶叶叶大爷的博客
05-23 4万+
最近项目中使用jwt token作为客户端发送请求的验证,自己一直没有深入研究源码,造成了修改用户的手机号后导致token失效.前端无法进行二次请求,每次请求都是401未授权,一开始以为是token过期,后来查看源码发现是生成token的时候用了手机号这个字段.    分析401错误有2类,一类是未经授权(未登录)发送请求,过滤器会将其过滤掉;第二类是token失效,token失效有token过期...
java按钮点击无反应,javaOAuth2:确认批准不起作用,即使单击“批准”按钮也会拒绝...
weixin_39956451的博客
03-15 185
我使用Spring集成的Oauth2创建了一个应用程序.我有自己的自定义登录和授权模板.成功通过身份验证后,它会重定向到授权.html,要求用户批准.问题是当我点击甚至批准或拒绝按钮操作总是拒绝,如下表所示另外,我们如何使用oauth2启用基于REST的身份验证和授权.我尝试禁用csrf以使用户能够进行身份验证和授权,但仍然无法正常工作.任何人都可以帮我这个.您可以从here下载并查看完整申请表(...
PreAuthorize 拦截无效 不起作用
奇异天马的魔法书
10-21 3018
@PreAuthorize不起作用 解决:将security:global-method-securitySpringSecurity.xml中转移到SpringMVC.xml配置文件中即可解决 &amp;lt;security:global-method-security pre-post-annotations=“enabled” jsr250-annotations=“enabled” secur...
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制
Little_fxc的博客
06-18 1万+
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
OAUTH钉钉第三方授权登录
m0_37322399的博客
04-21 8598
文章目录OAUTH钉钉第三方授权登录前期用到的工具获取access_token请求地址请求方法响应扫码 / 使用账号密码 -- 获取 临时 code参数重要说明直接访问 扫码登录使用账号密码登录第三方网站根据 sns 临时授权码获取用户信息前置条件请求地址响应golang 具体操作和逻辑根据 unionid 获取用户 userid请求地址请求方法根据userid 获取 用户详情请求地址请求方法获取部门列表请求地址请求方法响应获取部门用户 userid 列表请求地址请求方法响应 OAUTH钉钉第三方授权登
spring security oauth2 自定义响应数据结构
最新发布
09-03
Spring Security OAuth2 中,可以通过自定义响应数据结构来返回自定义的错误信息或认证成功后的信息。 首先,在Spring Security自定义授权服务器,可以继承DefaultTokenServices类并重写createAccessToken方法,在方法中自定义响应数据结构。在这个方法中,可以使用TokenEnhancer来扩展响应数据结构,例如添加自定义的字段。 然后,在使用Spring Security OAuth2时,可以通过配置TokenEnhancer来使用自定义的响应数据结构。可以创建一个类,实现TokenEnhancer接口,并重写enhance方法,在方法中给Token增加自定义的字段或修改响应数据结构。 在OAuth2配置类中配置TokenEnhancer,使用自定义的TokenEnhancer来增强token的生成过程。可以使用DefaultAccessTokenConverter类来转换token和认证信息之间的映射关系。 接下来,可以在需要的地方通过SecurityContextHolder获取认证信息,并使用自定义的响应数据进行响应。 总结来说,要自定义Spring Security OAuth2的响应数据结构,可以通过扩展DefaultTokenServices类来自定义响应数据结构,通过实现TokenEnhancer接口和配置TokenEnhancer来进行响应数据的扩展和修改,最后通过SecurityContextHolder获取认证信息并使用自定义的响应数据进行响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值