Spring Security Oauth2 学习(客户端)

最新推荐文章于 2023-03-20 09:43:49 发布
最新推荐文章于 2023-03-20 09:43:49 发布
阅读量717 收藏
点赞数
分类专栏: spring security oauth2 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wf3155/article/details/105343768
版权

OAuth

OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据,关于Oauth2推荐阅读阮一峰的博客

简单总结起来,oauth2 可以分为授权服务器,资源服务器以及Oauth2客户端三部分(其中客户端部分就属于我们常规用来进行登陆的服务,授权服务器跟资源服务器也可以放到一起实现);
本文先介绍spring security Oauth 客户端,从一个github登陆的简单项目减少一下客户端大致的请求过程,后续的文章会介绍子单元服务器跟授权服务器。

一个简单的github登陆项目

项目链接

启动本项目访问localhost:8080/index.html 之后会要求登陆github并授权,授权后就可以看到登陆信息了。

启动项目后可以看到项目中有一些过滤器被加载:

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@5762658b, 
org.springframework.security.web.context.SecurityContextPersistenceFilter@2be95d31, 
org.springframework.security.web.header.HeaderWriterFilter@788ba63e, 
org.springframework.security.web.csrf.CsrfFilter@536d97f8, 
org.springframework.security.web.authentication.logout.LogoutFilter@2ab26378, 
org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter@54755dd9, 
org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter@7c3e4b1a, 
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@4d68b571, 
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@2629d5dc, 
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@2aa7399c, 
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@6c1cfa53, 
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2596d7f4, 
org.springframework.security.web.session.SessionManagementFilter@68ee3b6d, 
org.springframework.security.web.access.ExceptionTranslationFilter@3289079a, 
org.springframework.security.web.access.intercept.FilterSecurityInterceptor@3d19d85]

比前面文章分析的springsecurity过滤器链多了两个

OAuth2AuthorizationRequestRedirectFilter:根据提供请求重定向到第三方授权页过滤器。
OAuth2LoginAuthenticationFilter:登陆过滤器,处理第三方服务器回调请求

实现 Oauth2 登陆重点也就是在这两个过滤器上。

OAuth2AuthorizationRequestRedirectFilter

OAuth2AuthorizationRequestRedirectFilter 用于处理请求路径为/oauth2/authorization/{registrationId}的请求。

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {

		try {
			OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request);
			if (authorizationRequest != null) {
				// 重定向
				this.sendRedirectForAuthorization(request, response, authorizationRequest);
				return;
			}
		} catch (Exception failed) {
			this.unsuccessfulRedirectForAuthorization(request, response, failed);
			return;
		}

		try {
			filterChain.doFilter(request, response);
		} catch (IOException ex) {
			throw ex;
		} catch (Exception ex) {
			// Check to see if we need to handle ClientAuthorizationRequiredException
			Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);
			ClientAuthorizationRequiredException authzEx = (ClientAuthorizationRequiredException) this.throwableAnalyzer
				.getFirstThrowableOfType(ClientAuthorizationRequiredException.class, causeChain);
			if (authzEx != null) {
				try {
					OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request, authzEx.getClientRegistrationId());
					if (authorizationRequest == null) {
						throw authzEx;
					}
					this.sendRedirectForAuthorization(request, response, authorizationRequest);
					this.requestCache.saveRequest(request, response);
				} catch (Exception failed) {
					this.unsuccessfulRedirectForAuthorization(request, response, failed);
				}
				return;
			}

			if (ex instanceof ServletException) {
				throw (ServletException) ex;
			} else if (ex instanceof RuntimeException) {
				throw (RuntimeException) ex;
			} else {
				throw new RuntimeException(ex);
			}
		}
	}

这个过滤器的重点就在于

OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request);

这一句,获取重定向请求。详细代码如下:

@Override
	public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {
		String registrationId = this.resolveRegistrationId(request);
		String redirectUriAction = getAction(request, "login");
		return resolve(request, registrationId, redirectUriAction);
	}


private String resolveRegistrationId(HttpServletRequest request) {
		if (this.authorizationRequestMatcher.matches(request)) {
			return this.authorizationRequestMatcher
					.matcher(request).getVariables().get(REGISTRATION_ID_URI_VARIABLE_NAME);
		}
		return null;
	}


private OAuth2AuthorizationRequest resolve(HttpServletRequest request, String registrationId, String redirectUriAction) {
		if (registrationId == null) {
			return null;
		}

		// 根据 registrationId 获取 ClientRegistration
		ClientRegistration clientRegistration = this.clientRegistrationRepository.findByRegistrationId(registrationId);
		if (clientRegistration == null) {
			throw new IllegalArgumentException("Invalid Client Registration with Id: " + registrationId);
		}

		Map<String, Object> attributes = new HashMap<>();
		attributes.put(OAuth2ParameterNames.REGISTRATION_ID, clientRegistration.getRegistrationId());

		OAuth2AuthorizationRequest.Builder builder;
		if (AuthorizationGrantType.AUTHORIZATION_CODE.equals(clientRegistration.getAuthorizationGrantType())) {
		// 授权码模式
			builder = OAuth2AuthorizationRequest.authorizationCode();
			Map<String, Object> additionalParameters = new HashMap<>();
			if (!CollectionUtils.isEmpty(clientRegistration.getScopes()) &&
					clientRegistration.getScopes().contains(OidcScopes.OPENID)) {
				// Section 3.1.2.1 Authentication Request - https://openid.net/specs/openid-connect-core-1_0.html#AuthRequest
				// scope
				// 		REQUIRED. OpenID Connect requests MUST contain the "openid" scope value.
				addNonceParameters(attributes, additionalParameters);
			}
			if (ClientAuthenticationMethod.NONE.equals(clientRegistration.getClientAuthenticationMethod())) {
				addPkceParameters(attributes, additionalParameters);
			}
			builder.additionalParameters(additionalParameters);
		} else if (AuthorizationGrantType.IMPLICIT.equals(clientRegistration.getAuthorizationGrantType())) {
		// 隐式授权模式
			builder = OAuth2AuthorizationRequest.implicit();
		} else {
			throw new IllegalArgumentException("Invalid Authorization Grant Type ("  +
					clientRegistration.getAuthorizationGrantType().getValue() +
					") for Client Registration with Id: " + clientRegistration.getRegistrationId());
		}

		String redirectUriStr = expandRedirectUri(request, clientRegistration, redirectUriAction);

// 构建授权请求
		OAuth2AuthorizationRequest authorizationRequest = builder
				.clientId(clientRegistration.getClientId())
				.authorizationUri(clientRegistration.getProviderDetails().getAuthorizationUri())
				.redirectUri(redirectUriStr)
				.scopes(clientRegistration.getScopes())
				.state(this.stateGenerator.generateKey())
				.attributes(attributes)
				.build();

		return authorizationRequest;
	}

简单总结,OAuth2AuthorizationRequestRedirectFilter就是供请求重定向到第三方授权页。

OAuth2LoginAuthenticationFilter

OAuth2LoginAuthenticationFilter默认只处理由第三方重定向的路径为/login/oauth2/code/*形式的请求。过滤器中进行授权结果的解剖,在封装成为Authentication认证对象。


 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
 		// 获取参数
        MultiValueMap<String, String> params = OAuth2AuthorizationResponseUtils.toMultiMap(request.getParameterMap());
        if (!OAuth2AuthorizationResponseUtils.isAuthorizationResponse(params)) {
            OAuth2Error oauth2Error = new OAuth2Error("invalid_request");
            throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
        } else {
            OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestRepository.removeAuthorizationRequest(request, response);
            if (authorizationRequest == null) {
                OAuth2Error oauth2Error = new OAuth2Error("authorization_request_not_found");
                throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
            } else {
                String registrationId = (String)authorizationRequest.getAttribute("registration_id");
                ClientRegistration clientRegistration = this.clientRegistrationRepository.findByRegistrationId(registrationId);
                if (clientRegistration == null) {
                    OAuth2Error oauth2Error = new OAuth2Error("client_registration_not_found", "Client Registration not found with Id: " + registrationId, (String)null);
                    throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
                } else {
                    String redirectUri = UriComponentsBuilder.fromHttpUrl(UrlUtils.buildFullRequestUrl(request)).replaceQuery((String)null).build().toUriString();
                    // 构建授权结果
                    OAuth2AuthorizationResponse authorizationResponse = OAuth2AuthorizationResponseUtils.convert(params, redirectUri);
                    Object authenticationDetails = this.authenticationDetailsSource.buildDetails(request);
                    OAuth2LoginAuthenticationToken authenticationRequest = new OAuth2LoginAuthenticationToken(clientRegistration, new OAuth2AuthorizationExchange(authorizationRequest, authorizationResponse));
                    authenticationRequest.setDetails(authenticationDetails);
                    OAuth2LoginAuthenticationToken authenticationResult = (OAuth2LoginAuthenticationToken)this.getAuthenticationManager().authenticate(authenticationRequest);
                    OAuth2AuthenticationToken oauth2Authentication = new OAuth2AuthenticationToken(authenticationResult.getPrincipal(), authenticationResult.getAuthorities(), authenticationResult.getClientRegistration().getRegistrationId());
                    oauth2Authentication.setDetails(authenticationDetails);
                    OAuth2AuthorizedClient authorizedClient = new OAuth2AuthorizedClient(authenticationResult.getClientRegistration(), oauth2Authentication.getName(), authenticationResult.getAccessToken(), authenticationResult.getRefreshToken());
                    this.authorizedClientRepository.saveAuthorizedClient(authorizedClient, oauth2Authentication, request, response);
                    return oauth2Authentication;
                }
            }
        }
    }
司马老峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Oauth2.docx
06-27
这个是OAuth2.0的认证服务配置。主要有三点,第一是 客户端信息配置 ,也就是客户端需要有哪些条件才可以访问服务器,比如客户端id客户端密钥等,可以直接配置到内存中,也可以配置从数据库中读取;第二是 授权服务器端点配置 ,就是配置认证管理器,令牌存储方式等;第三个是 授权服务器的安全配置 ,就是配置访问的限制,比如限制校验令牌的配置等。
Spring Security oauth2
06-28
#OAuth2-Defender ##主要技术 Maven Spring Boot Spring Security Spring Security OAuth2.0 MySQL ##修改数据库配置 修改defender-oauth2-authorization\src\main\resources\application.properties中MySQL的主机配置 修改defender-oauth2-resource\src\main\resources\application.properties中MySQL的主机配置 ##初始化数据库 在MySQL客户端执行SQL脚本: defender-oauth2-authorization\doc\schema.sql defender-oauth2-authorization\doc\data.sql ##启动服务器 ###启动认证服务器 运行defender-oauth2-authorization模块下AuthorizationApplication类的main方法。 ###启动资源服务器 运行defender-oauth2-resource模块下ResourceApplication类的main方法。 ###启动客户端服务器 运行defender-oauth2-client模块下ClientApplication类的main方法。 ##访问客户端主页面 在浏览器访问:localhost:8882/defender,测试5中不同授权模式。 ##后期工作 支持缓存 添加Spring Security防御功能
okta-spring-boot-authz-server-example:Spring Security OAuth 2.0指南
01-31
Spring Security OAuth 2.0指南 本示例显示了如何使用Spring SecurityOAuth 2.0创建授权服务器。 请阅读获取指导教程,向您展示如何在此存储库中构建应用程序。 先决条件: 。 具有身份验证和用户管理API,可通过即时,可扩展的用户基础结构缩短开发时间。 Okta直观的API和专家支持使开发人员可以轻松地验证,管理和保护任何应用程序中的用户和角色。 入门 要安装此示例应用程序,请运行以下命令: git clone https://github.com/oktadeveloper/okta-spring-boot-authz-server-example.git cd okta-spring-boot-authz-server-example 创建一个Okta开发人员帐户 如果您没有,请。 完成设置过程后,登录到您的帐户并导航至Applications > Add Application 。 单击Web ,然后单击下一步。 在下一页上,为您的应用输入名称(例如,“ Okta OAuth客户端”),然后点击完成。 更新OktaOAuth
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
spring boot +spring Security+ jwt+oauth2.rar
06-13
下载可以直接运行。使用mysql保存数据。包括数据文件、测试过可以正常使用(API权限可控) 服务器端和客户端样例程序都有
7-OAuth2AuthorizationRequestRedirectFilter
码农小胖哥
03-16 2994
在3-OAuth2登录流程分析一文中我们分析定位到OAuth2AuthorizationRequestRedirectFilter是OAuth2授权环节中一个重要的过滤器,今天我们来研究一下它的细节部分。 OAuth2AuthorizationRequestRedirectFilter 该过滤器是Spring Security的内置过滤器,它负责将最终用户(End User)发起的请求/oauth2/authorization/gitee重定向到授权服务器的授权端点(authorization uri)来启
第16章 OAuth2AuthorizationRequestRedirectWebFilter源码解析
Shiro框架02
07-03 573
OAuth2AuthorizationRequestRedirectWebFilter 过滤器源码分析
SpringSecurity5-教程3-oauth2登录源码分析
zhouwenjun0820的博客
03-20 1755
spring-security
spring security oauth2.0搭建用户认证服务(四) - 实现第三方登录
u013911102的博客
09-14 2919
项目场景: 前面有说到登录的方式有用户名密码和手机验证码登录,最常用的还有第三方登录。第三方登录其实oauth已经有了很好的集成。 技术详解: 第三方登录的话,其实也是利用了oauth的相关思想。这里就已微信登录为例吧 从上面的流程图就可以看出,这其实就是oauth2的授权码模式,流程如下: 1.第三方应用请求登录,获取code 2.微信端返回code到回调地址 3.第三方应用根据code,获取token 4.第三方应用根据token获取用户信息 APP之前的第三方登录,是前端获取到了
为什么加载了两个OAuth2AuthorizationRequestRedirectFilter分析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-15 779
在前面的示例中,不知道你发现没有,打印出来的过滤器有重复的。这是为什么?带着问题,我们来分析一下源码。
Spring Security OAuth2.0笔记
hknaruto的专栏
11-20 1368
请求命中filter: spring-security-oauth2-client:5.3.5.RELEASE org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterCh.
异常:Handling ClientRegistrationException error: No client with requested id: null
coder1998的博客
06-09 4282
异常:Handling ClientRegistrationException error: No client with requested id: null 解决方案:传递参数的时候 传client_id
5 客户端认证 OAuth2ClientAuthenticationFilter
Markix的博客
09-01 3006
当访问 OAuth2 相关接口时,授权服务器需要进行客户端认证。Spring Authorization Server 支持如下五种客户端认证方式:client_secret_basic、client_secret_post、client_secret_jwt、private_key_jwt、none (public clients)。核心拦截器为 OAuth2ClientAuthenticationFilter
Spring Security(二)OAuth2认证详解
热门推荐
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Springboot整合第三方OAuth2登录详解及避坑
asoklove的专栏
05-18 9565
环境:springboot2.3.10.RELEASE + OAuth2 请先阅读《SpringBoot2 整合OAuth2实现统一认证》文章,本篇内容是调用之前写的一个OAuth2认证服务。 相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </depe.
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
乌龟的专栏
03-13 1014
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
Spring Security OAuth2登录
new_ord的博客
07-25 3809
OAuth 2.0 进行扩展,使得授权服务器和受保护资源发出的信息能够传达与用户以及他们的身份认证上下文有关的信息,我们就可以为客户端提供用于用户安全登录的所有信息。
oauth过滤login_SpringSecurity5 Oauth2.0 Login核心过滤器备忘录
weixin_34928063的博客
12-23 499
SecurityContextPersistenceFilter(安全上下文持久化)默认到Session里面搂数据,搂到数据再塞入SecurityContextHolder,此时SecurityContextHolder里面有数据,再调用filterchain内部的其他filter,其他filter也会处理这个SecurityContextHolder数据存入SecurityContextHold...
Spring Security 实战干货:OAuth2授权请求是如何构建并执行的
十指波课堂的博客
11-10 701
1. 前言在之前文章中我们找到了拦截 OAuth2 授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起 OAuth2 授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑给补上。2. sendRedirectForAut...
spring security oauth2专栏介绍
最新发布
05-31
Spring Security OAuth2 为开发人员提供了一组基本 API 和实现,帮助他们快速实现 OAuth2 服务器和客户端应用程序。此外,Spring Security OAuth2 还提供了许多配置选项,使其适应各种 OAuth2 认证场景,例如授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值