Spring Security OAUTH2 获取用户信息

最新推荐文章于 2024-02-01 23:02:12 发布
最新推荐文章于 2024-02-01 23:02:12 发布
阅读量8.5k 收藏 1
点赞数
分类专栏: spring security

Spring Security OAUTH2 获取用户信息

1.user-info-uri 与 token-info-uri

作用:二者皆是为了check token,并且顺带返回了用户信息。配置信息位置在资源服务器上。

解释:下面代码列举的都是token-info-uri,user-info-uri不解释。user-info-uri原理是在授权服务器认证后将认证信息Principal通过形参绑定的方法通过URL的方式获取用户信息。当然它也有配套的UserInfoTokenService等等,我没有研究,不过流程大概跟token-info-uri差不多。

  1. server:

  2. port: 9007

  3. security:

  4. oauth2:

  5. client:

  6. clientId: resource1

  7. clientSecret: secret

  8. userAuthorizationUri: http://localhost:9005/oauth/authorize

  9. grant-type: password

  10. scope: read

  11. access-token-uri: http://localhost:9005/oauth/token

  12.  

  13. resource:

  14. token-info-uri: http://localhost:9005/oauth/check_token

  15. user-info-uri: http://localhost:9005/user

  16. authorization:

  17. check-token-access: http://localhost:9005/oauth/check_token

  18.  

  19. # resource:

  20. # jwt:

  21. # key-uri: http://localhost:9005/oauth/token_key

  22. basic:

  23. enabled: false

下面内容默认已经自定义了UserDetail的实现,我们从开始向授权服务器验证token开始分析源码

从RemoteTokenService发起验证请求,可以看到是通过restTemplate发起请求的,并且返回map类型的响应结果

 

  1. public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException {

  2. MultiValueMap<String, String> formData = new LinkedMultiValueMap();

  3. formData.add(this.tokenName, accessToken);

  4. HttpHeaders headers = new HttpHeaders();

  5. headers.set("Authorization", this.getAuthorizationHeader(this.clientId, this.clientSecret));

  6. Map<String, Object> map = this.postForMap(this.checkTokenEndpointUrl, formData, headers);

  7. if (map.containsKey("error")) {

  8. this.logger.debug("check_token returned error: " + map.get("error"));

  9. throw new InvalidTokenException(accessToken);

  10. } else {

  11. Assert.state(map.containsKey("client_id"), "Client id must be present in response from auth server");

  12. return this.tokenConverter.extractAuthentication(map);

  13. }

  14. }

 

  1. public class RemoteTokenServices implements ResourceServerTokenServices {

  2.  

  3. ......

  4.  

  5. private Map<String, Object> postForMap(String path, MultiValueMap<String, String> formData, HttpHeaders headers) {

  6. if (headers.getContentType() == null) {

  7. headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);

  8. }

  9.  

  10. Map map = (Map)this.restTemplate.exchange(path, HttpMethod.POST, new HttpEntity(formData, headers), Map.class, new Object[0]).getBody();

  11. return map;

  12. }

  13. }

接着我们会到达check_token端点,可以看到通过loadAuthentication将token转化成OAuth2Authentication。然后再通过convertAccessToken转换我们需要返回的信息

 

  1. @RequestMapping({"/oauth/check_token"})

  2. @ResponseBody

  3. public Map<String, ?> checkToken(@RequestParam("token") String value) {

  4. OAuth2AccessToken token = this.resourceServerTokenServices.readAccessToken(value);

  5. if (token == null) {

  6. throw new InvalidTokenException("Token was not recognised");

  7. } else if (token.isExpired()) {

  8. throw new InvalidTokenException("Token has expired");

  9. } else {

  10. OAuth2Authentication authentication = this.resourceServerTokenServices.loadAuthentication(token.getValue());

  11. Map<String, ?> response = this.accessTokenConverter.convertAccessToken(token, authentication);

  12. return response;

  13. }

  14. }

通过将token作为key从redis取出value,然后反序列化出来认证对象

 

  1. public OAuth2AccessToken readAccessToken(String tokenValue) {

  2. byte[] key = this.serializeKey("access:" + tokenValue);

  3. byte[] bytes = null;

  4. RedisConnection conn = this.getConnection();

  5.  

  6. byte[] bytes;

  7. try {

  8. bytes = conn.get(key);

  9. } finally {

  10. conn.close();

  11. }

  12.  

  13. OAuth2AccessToken var5 = this.deserializeAccessToken(bytes);

  14. return var5;

  15. }

 通过转换器挑选需要返回的数据信息

 

  1. public Map<String, ?> convertAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {

  2. Map<String, Object> response = new HashMap();

  3. OAuth2Request clientToken = authentication.getOAuth2Request();

  4. if (!authentication.isClientOnly()) {

  5. response.putAll(this.userTokenConverter.convertUserAuthentication(authentication.getUserAuthentication()));

  6. } else if (clientToken.getAuthorities() != null && !clientToken.getAuthorities().isEmpty()) {

  7. response.put("authorities", AuthorityUtils.authorityListToSet(clientToken.getAuthorities()));

  8. }

  9.  

  10. if (token.getScope() != null) {

  11. response.put("scope", token.getScope());

  12. }

  13.  

  14. if (token.getAdditionalInformation().containsKey("jti")) {

  15. response.put("jti", token.getAdditionalInformation().get("jti"));

  16. }

  17.  

  18. if (token.getExpiration() != null) {

  19. response.put("exp", token.getExpiration().getTime() / 1000L);

  20. }

  21.  

  22. if (this.includeGrantType && authentication.getOAuth2Request().getGrantType() != null) {

  23. response.put("grant_type", authentication.getOAuth2Request().getGrantType());

  24. }

  25.  

  26. response.putAll(token.getAdditionalInformation());

  27. response.put("client_id", clientToken.getClientId());

  28. if (clientToken.getResourceIds() != null && !clientToken.getResourceIds().isEmpty()) {

  29. response.put("aud", clientToken.getResourceIds());

  30. }

  31.  

  32. return response;

  33. }

从默认的实现类可以看出,只会将认证的用户名name返回到资源服务器,我们如果想要所有信息,最好是重构此方法。当然这个前提是我们在使用token-info-uri 

 

  1. public class DefaultUserAuthenticationConverter implements UserAuthenticationConverter {

  2. private Collection<? extends GrantedAuthority> defaultAuthorities;

  3. private UserDetailsService userDetailsService;

  4.  

  5. public DefaultUserAuthenticationConverter() {

  6. }

  7.  

  8. public void setUserDetailsService(UserDetailsService userDetailsService) {

  9. this.userDetailsService = userDetailsService;

  10. }

  11.  

  12. public void setDefaultAuthorities(String[] defaultAuthorities) {

  13. this.defaultAuthorities = AuthorityUtils.commaSeparatedStringToAuthorityList(StringUtils.arrayToCommaDelimitedString(defaultAuthorities));

  14. }

  15.  

  16. public Map<String, ?> convertUserAuthentication(Authentication authentication) {

  17. Map<String, Object> response = new LinkedHashMap();

  18. response.put("user_name", authentication.getName());

  19. if (authentication.getAuthorities() != null && !authentication.getAuthorities().isEmpty()) {

  20. response.put("authorities", AuthorityUtils.authorityListToSet(authentication.getAuthorities()));

  21. }

  22.  

  23. return response;

  24. }

开始重写 DefaultUserAuthenticationConverter的convertUserAuthentication方法,将所有授权信息都返回到资源服务器

 

  1. @Service

  2. public class MyUserAuthenticationConverter extends DefaultUserAuthenticationConverter {

  3.  

  4. @Override

  5. public Map<String, ?> convertUserAuthentication(Authentication authentication) {

  6. Map<String, Object> response = new LinkedHashMap();

  7. response.put("user_name", authentication);

  8. return response;

  9. }

  10. }

在授权服务器的配置类上,我们把重写的认证转换器设置到配置类上,由于看到源代码只有accessTokenConverter方法,可以得知需要替换整个DefaultAccessTokenConverter,而在DefaultAccessTokenConverter里面我们可以把我们刚刚重构的DefaultUserAuthenticationConverter设置进去。

 

  1. @Override

  2. public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {

  3. Collection<TokenEnhancer> tokenEnhancers = applicationContext.getBeansOfType(TokenEnhancer.class).values();

  4. TokenEnhancerChain tokenEnhancerChain=new TokenEnhancerChain();

  5. tokenEnhancerChain.setTokenEnhancers(new ArrayList<>(tokenEnhancers));

  6. DefaultTokenServices defaultTokenServices = new DefaultTokenServices();

  7. defaultTokenServices.setReuseRefreshToken(isReuseRefreshToken);

  8. defaultTokenServices.setSupportRefreshToken(isSupportRefreshToken);

  9. defaultTokenServices.setTokenStore(tokenStore);

  10. defaultTokenServices.setAccessTokenValiditySeconds(accessTokenValiditySeconds);

  11. defaultTokenServices.setRefreshTokenValiditySeconds(refreshTokenValiditySeconds);

  12. defaultTokenServices.setTokenEnhancer(tokenEnhancerChain);

  13. //若通过 JDBC 存储令牌

  14. if (Objects.nonNull(jdbcClientDetailsService)){

  15. defaultTokenServices.setClientDetailsService(jdbcClientDetailsService);

  16. }

  17. DefaultAccessTokenConverter defaultAccessTokenConverter=new DefaultAccessTokenConverter();

  18. defaultAccessTokenConverter.setUserTokenConverter(new MyUserAuthenticationConverter());

  19. endpoints

  20. .authenticationManager(authenticationManager)

  21. .userDetailsService(userDetailsService)

  22. .accessTokenConverter(defaultAccessTokenConverter)

  23. .tokenServices(defaultTokenServices);

  24. }

当授权服务器响应完毕,我们重新回到资源发武器发起check token请求的函数那里,可以看到当拿到map后,开始用资源服务器也就是本引用中的tokenConverte进行数据的处理

 

  1. public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException {

  2. MultiValueMap<String, String> formData = new LinkedMultiValueMap();

  3. formData.add(this.tokenName, accessToken);

  4. HttpHeaders headers = new HttpHeaders();

  5. headers.set("Authorization", this.getAuthorizationHeader(this.clientId, this.clientSecret));

  6. Map<String, Object> map = this.postForMap(this.checkTokenEndpointUrl, formData, headers);

  7. if (map.containsKey("error")) {

  8. this.logger.debug("check_token returned error: " + map.get("error"));

  9. throw new InvalidTokenException(accessToken);

  10. } else {

  11. Assert.state(map.containsKey("client_id"), "Client id must be present in response from auth server");

  12. return this.tokenConverter.extractAuthentication(map);

  13. }

  14. }

 我们查看DefaultAcessTokenConverter类中的extractAuthentication方法,发现了核心方法在DefaultUserAccessTokenConcerter中的extractAuthentication方法。

 

  1. public OAuth2Authentication extractAuthentication(Map<String, ?> map) {

  2. Map<String, String> parameters = new HashMap();

  3. Set<String> scope = this.extractScope(map);

  4. Authentication user = this.userTokenConverter.extractAuthentication(map);

  5. String clientId = (String)map.get("client_id");

  6. parameters.put("client_id", clientId);

  7. if (this.includeGrantType && map.containsKey("grant_type")) {

  8. parameters.put("grant_type", (String)map.get("grant_type"));

  9. }

  10.  

  11. Set<String> resourceIds = new LinkedHashSet((Collection)(map.containsKey("aud") ? this.getAudience(map) : Collections.emptySet()));

  12. Collection<? extends GrantedAuthority> authorities = null;

  13. if (user == null && map.containsKey("authorities")) {

  14. String[] roles = (String[])((Collection)map.get("authorities")).toArray(new String[0]);

  15. authorities = AuthorityUtils.createAuthorityList(roles);

  16. }

  17.  

  18. OAuth2Request request = new OAuth2Request(parameters, clientId, authorities, true, scope, resourceIds, (String)null, (Set)null, (Map)null);

  19. return new OAuth2Authentication(request, user);

  20. }

从这个方法可以看出,将user_name对象取出value作为principal。从这里我们也不难想到,要想拿所有的用户信息有两种解决方法。第一种就是从资源服务器那里重写Conveter方法,将所有数据返回。并直接用user_name当成key名,资源服务器无需修改。第二种方法就是不修改授权服务器,而是在资源服务器这里配置好UserDetailsService类,通过user_name从数据库加载信息,如果不配置,那么将不执行这段代码。但是我认为最好是不要采用第二种方法,让授权服务器管理认证和授权即可,不要把资源服务器也牵扯到这上面。让资源服务器保持单一性。 

 

  1. public Authentication extractAuthentication(Map<String, ?> map) {

  2. if (map.containsKey("user_name")) {

  3. Object principal = map.get("user_name");

  4. Collection<? extends GrantedAuthority> authorities = this.getAuthorities(map);

  5. if (this.userDetailsService != null) {

  6. UserDetails user = this.userDetailsService.loadUserByUsername((String)map.get("user_name"));

  7. authorities = user.getAuthorities();

  8. principal = user;

  9. }

  10.  

  11. return new UsernamePasswordAuthenticationToken(principal, "N/A", authorities);

  12. } else {

  13. return null;

  14. }

  15. }

最后查看资源服务器上获取到的认证信息。当然需要返回什么信息自己可以在授权服务端自行定义,本处就不一一列举了。

直接在形参上 绑定Principal是因为当返回map的时候我们也可以看到会调用TokenConveter的方法进行参数的转化,所以最后返回的信息是一个Authentication,而它的顶级接口就是Principal.所以我们可以通过自动绑定的方式拿到用户信息。

GavinYCF
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-oauth2-2.3.5.RELEASE.pom; 包含翻译后的API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security.oauth:spring-security-oauth2:2.3.5.RELEASE; 标签:springsecurityspringframework、oauth2、oauth、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代
2022升级 Spring Security+OAuth2 精讲视频教程
10-25
2022升级 Spring Security+OAuth2 精讲视频教程,一共11章
Spring security oauth2获取当前登录用户-模拟微信登录
最新发布
zsjsdsg666的博客
02-01 1526
spring security oauth2 模拟微信登陆
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring oauth2获取当前登录用户信息.docx
07-10
使用spring oauth2框架做授权鉴定。想获取当前用户信息怎么办? 我们知道spring oauth2是基于spring security的实现的。 spring security可以通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取到当前用户信息。 而spring oauth2通过SecurityContextHolder.getContext().getAuthentication().getPrincipal()却只能拿到当前用户的用户名。 然而实际开发过程中,我们较常用到的大部分都是用户的id。 那么怎么通过配置获取当前用户的信息呢?
OAuth2接入第三方认证平台实战(登录,注销,当前用户,自定义异常,白名单)
人生智慧的博客
03-14 6266
1 演示 先演示一波 (1)不携带token访问资源 (2)登录 (3)携带token访问资源 (4)注销 (5)注销后访问资源 (6)登录后再次访问资源 演示完毕,开始讲解 2 授权模式选择 本项目选择密码模式,原因如下, 同一个企业内部的不同产品要使用本企业的 oAuth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8021
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
oauth2 通过SecurityContextHolder获取用户信息(二)
个人工作学习内容总结
04-06 1958
既上一篇获取用户信息,又找到了另一种获取用户信息的方法,在这做下介绍 本方法获取用户信息使用的是 token-info-uri user-info-uri方式移步 资源服务配置文件 当使用token-info-uri时,默认user-info-uri不生效,loadBalanced:集群配置 security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth1/users/cu
授权服务器与资源服务器分离-资源服务器验证token是否合法(六)
FAIRYTAIL的博客
08-28 3772
资源服务器校验token的方式
oauth2 通过SecurityContextHolder获取用户信息
个人工作学习内容总结
03-25 3963
最近在写oauth2项目,权限模块和资源模块是分离的。在这里获取用户信息的时候出了问题,只能获取username 。在陷入困境的时候使用token-info-uri验证直接解析失败。最后通过debug一步一步强推到了解决办法。 这里资源服务器用的验证路径是user-info-uri security: oauth2: resource: loadBalanced: true user-info-uri: http://service-auth/users/current
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring cloud oauth2 资源服务器配置
06-07 5060
user-info-uri 配置作用:security: oauth2: client: resource: user-info-uri: http://认证服务器的ip端口/user说明:spring在获得token后,必须要调用一下resource.userInfoUri里的接口,看看到底有没有返回值,也就是要验证一下token是不是正确的,这一步是它自动完成的...
资源服务器获取用户信息,spring – 如何从OAuth2授权服务器/用户端点获取自定义用户信息...
weixin_35861708的博客
08-05 1074
我有一个配置了@EnableResourceServer注释的资源服务器,它通过user-info-uri参数引用授权服务器,如下所示:security:oauth2:resource:user-info-uri: http://localhost:9001/user授权服务器/用户端点返回org.springframework.security.core.userdetails.User的扩展,...
Spring cloud(七)安全(Spring Security+Oauth2)
weixin_45040801的博客
12-09 498
一、环境 jdk:13 spring cloud:Greenwich.RELEASE spring boot:2.1.0.RELEASE spring-cloud-starter-feign:2.0.0.M2 eurekaServer: 前面提到用于服务注册 eurekaClient: 前面提到用于提供服务 configServer: 前面提到用于提供分布式配置服务 serviceConsumer...
SpringBoot OAuth2.0认证管理流程详解
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
千云物流-基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。
热门推荐
Hello Word
05-30 3万+
基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。 在接到需求要做SPA方式的单点登录的需求,发现好多的坑,之前我们接触的只是浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结...
springboot 整合oauth2实现自定义登录
htf_520306的博客
08-08 465
OAuth2是一种用于授权的开放标准,它允许第三方应用程序访问特定的用户信息,而不需要访问用户的凭据。在上面的代码中,我们通过@Value注解读取了application.properties文件中的配置信息,并创建了OAuth2ProtectedResourceDetails和OAuth2RestTemplate类的实例。在你的Spring Boot应用程序中,创建一个OAuth2客户端配置类,用于配置OAuth2客户端。现在,你可以在你的应用程序中使用OAuth2了。
Spring Security OAuth2 自定义用户校验
08-12
Spring Security OAuth2提供了多种方式来进行自定义用户校验。引用中提到了一个关键类DefaultWebResponseExceptionTranslator,它实现了WebResponseExceptionTranslator<OAuth2Exception>接口,用于将异常类统一转换成OAuth2Exception,从而借助HttpMesssageConverters来将OAuth2Exception异常转换成错误响应的格式。这个类可以在异常处理中起到关键作用。 另外,Spring Security OAuth2还提供了AuthenticationManager来处理用户认证。在AuthorizationServerSecurityConfigurer中,可以通过HttpSecurityBuilder.getSharedObject方法获取到AuthenticationManager的实例。但在进行AuthorizationServerConfigurerAdapter的配置时,这个共享对象还未被设定,需要自定义ClientCredentialsTokenEndpointFilter并重写其中的getAuthenticationManager方法来获取AuthenticationManager的实例。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [spring security oauth:自定义异常处理(授权服务)](https://blog.csdn.net/qq_43878324/article/details/123142025)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [【Spring Security Oauth2】构建授权服务器(五):自定义(用户登录)认证策略](https://blog.csdn.net/apple_csdn/article/details/123389101)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值