[總結]spring security oauth2認證回執源碼分析

原創 飞跃球门 2020-02-22 07:27

目錄

1.回執

回執版本一(默認)

回執版本二

2.回執DefaultOAuth2AccessToken類圖

3.請求/oauth/token流程

3.1.CompositeTokenGranter.grant

3.1.1根據前端傳參的grantType,匹配數組tokenGranters中的對應類型

3.1.2.validateGrantType看ClientDetails是否有對應的grantType的權限

3.1.3.獲取用戶token

3.2.返回token

4.兩個版本回執的原因

4.1.OAuth2AccessToken的序列化方式有兩種

4.2.版本1回執OAuth2AccessTokenJackson2Serializer

4.3.版本2回執OAuth2AccessTokenJackson1Serializer

4.4.回執版本變化的原因

4.5.fastJSON使用默認回執數據結構

 

 

1.回執

回執版本一(默認)

* {
*     "access_token": "eeff86b8-66d5-428c-9c2b-9d1cce4d502a",
*     "token_type": "bearer",
*     "refresh_token": "7cc00001-ba52-473f-9c49-ee63f2ca1a0c",
*     "expires_in": 1799,
*     "scope": "read write trust"
* }

回執版本二

DefaultOAuth2AccessToken

* {
*  "additionalInformation": {},
*  "expiration": "2020-01-13 16:52:45",
*  "expired": false,
*  "expiresIn": 1598,
*  "refreshToken": {
*     "expiration": "2020-01-13 17:22:45",
*     "value": "a8ddb0a0-5872-4b70-aa12-3f0a4c4e9247"
*        },
*  "scope": [
*     "read",
*     "write",
*     "trust"
*  ],
*  "tokenType": "bearer",
*  "value": "2b576b11-cad8-4756-89e6-7090023407b2"
*}

2.回執DefaultOAuth2AccessToken類圖

 

 

 

3.請求/oauth/token流程

3.1.CompositeTokenGranter.grant

 

3.1.1根據前端傳參的grantType,匹配數組tokenGranters中的對應類型

 

 

 

granter.grant()方法如果grantType不匹配,就直接返回null。如果匹配就validateGrantType

 

3.1.2.validateGrantType看ClientDetails是否有對應的grantType的權限

 

 

這個set的值,是我們根據用戶去在數據庫保存的。

 

 

3.1.3.獲取用戶token

 

 

先從tokenStore獲取有沒有token,如果token存在,則校驗是否過期,過期了則先清除刷新token,再清除該token。

 

有5種getAccessToken方式,我們如果用的是數據庫,就是JdbcTokenStore

如果沒有已經存在的token,則新建

 

 

 

新建的token類型正是DefaultOAuth2AccessToken

 

3.2.返回token

返回結果會通過通用的項目的WebMvcConfigurerAdapter進行序列化(因爲實際上也是http請求的回執)

 

 

4.兩個版本回執的原因

4.1.OAuth2AccessToken的序列化方式有兩種

OAuth2AccessTokenJackson1Serializer

OAuth2AccessTokenJackson2Serializer

 

4.2.版本1回執OAuth2AccessTokenJackson2Serializer

 

{
    "access_token": "2de139d5-4b8e-49d0-baf4-1f37a9b3796d",
    "token_type": "bearer",
    "refresh_token": "f35dae51-c6d3-4a10-86b7-5f417834baa4",
    "expires_in": 1793,
    "scope": "read write trust"
}

 

4.3.版本2回執OAuth2AccessTokenJackson1Serializer

 

{
    "additionalInformation": {},
    "expiration": "2020-01-14 11:07:49",
    "expired": false,
    "expiresIn": 1798,
    "refreshToken": {
        "expiration": "2020-01-14 11:37:49",
        "value": "47ad8c7b-61f9-41db-bb7c-8a020efc38a1"
    },
    "scope": [
        "read",
        "write",
        "trust"
    ],
    "tokenType": "bearer",
    "value": "6a49bff9-2f70-41cb-b83b-209294c45c0c"
}

 

 

4.4.回執版本變化的原因

Spring Security Oauth2 返回非標準數據結構 OAuth2AccessToken 序列化問題_yuelangyc的專欄-CSDN博客 https://blog.csdn.net/yuelangyc/article/details/88235639

 

如文章所述,如果自定義了消息處理,覆蓋了默認的消息處理器。

 

使用 fastjson 時, spring security oauth2 獲取 token 格式變化 · Issue #1640 · alibaba/fastjson https://github.com/alibaba/fastjson/issues/1640

 

針對fastjson,確實存在自定義fastjson消息處理器時,出現回執版本變化。

 

4.5.fastJSON使用默認回執數據結構

參考上面的文章

 

你需要自行寫個HttpMessageConverter來轉換OAuth2AccessToken,fastjson本身也意識到這個問題,但是FormOAuth2AccessTokenMessageConverter這個類的writeInternal方法沒有進行實現,你需要自行實現轉換

public class OAuth2AccessTokenMessageConverter extends AbstractHttpMessageConverter<OAuth2AccessToken> {

    private final FastJsonHttpMessageConverter delegateMessageConverter;

    public OAuth2AccessTokenMessageConverter() {
        super(MediaType.APPLICATION_JSON);
        this.delegateMessageConverter = new FastJsonHttpMessageConverter();
    }

    @Override
    protected boolean supports(Class<?> clazz) {
        return OAuth2AccessToken.class.isAssignableFrom(clazz);
    }

    @Override
    protected OAuth2AccessToken readInternal(Class<? extends OAuth2AccessToken> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        throw new UnsupportedOperationException(
                "This converter is only used for converting from externally acquired form data");
    }

    @Override
    protected void writeInternal(OAuth2AccessToken accessToken, HttpOutputMessage outputMessage) throws IOException,
            HttpMessageNotWritableException {
        Map<String, Object> data = new HashMap<>(8);
        data.put(OAuth2AccessToken.ACCESS_TOKEN, accessToken.getValue());
        data.put(OAuth2AccessToken.TOKEN_TYPE, accessToken.getTokenType());
        data.put(OAuth2AccessToken.EXPIRES_IN, accessToken.getExpiresIn());
        data.put(OAuth2AccessToken.SCOPE, String.join(" ", accessToken.getScope()));
        OAuth2RefreshToken refreshToken = accessToken.getRefreshToken();
        if (Objects.nonNull(refreshToken)) {
            data.put(OAuth2AccessToken.REFRESH_TOKEN, refreshToken.getValue());
        }
        delegateMessageConverter.write(data, MediaType.APPLICATION_JSON, outputMessage);
    }

}

注意:上面問題回答針對的只是OAuth2AccessToken,所以實際上,如果我們的項目還有其他的http請求需要處理,則需要修改上面的轉換器,只處理token的回執保持兼容,其他請求的回執仍然保持原樣

public class OAuth2AccessTokenMessageConverter extends AbstractHttpMessageConverter<Object> { //這裏替換成Object
    
    @Override
    protected Object readInternal(Class<? extends OAuth2AccessToken> clazz, HttpInputMessage inputMessage)
            throws IOException, HttpMessageNotReadableException {
        //需要寫自己的轉換規則
    }
    
    @Override
    protected void writeInternal(Object t, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
        String jsonString = JSON.toJSONString(t);
        if (t instanceof DefaultOAuth2AccessToken) {
            DefaultOAuth2AccessToken oAuth2AccessToken = JSON.parseObject(jsonString, DefaultOAuth2AccessToken.class);
            Map<String, Object> data = new HashMap<>(8);
            data.put(OAuth2AccessToken.ACCESS_TOKEN, oAuth2AccessToken.getValue());
            data.put(OAuth2AccessToken.TOKEN_TYPE, oAuth2AccessToken.getTokenType());
            data.put(OAuth2AccessToken.EXPIRES_IN, oAuth2AccessToken.getExpiresIn());
            data.put(OAuth2AccessToken.SCOPE, String.join(" ", oAuth2AccessToken.getScope()));

            //獲取refreshToken
            JSONObject jsonObject = JSON.parseObject(jsonString);
            String refreshTokenString = jsonObject.getString("refreshToken");
            if (Objects.nonNull(refreshTokenString)) {
                data.put(OAuth2AccessToken.REFRESH_TOKEN, JSONObject.parseObject(refreshTokenString).getString("value"));
            }
            jsonString = JSON.toJSONString(data);
        }
        StreamUtils.copy(jsonString, DEFAULT_CHARSET, outputMessage.getBody());
    }

}

 

加入MessageConverters

@Configuration
public class Oauth2WebMvcConfigurer implements WebMvcConfigurer {

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
       converters.add(0, new OAuth2AccessTokenMessageConverter());
    }
}

你可以參考OAuth2AccessToken這個序列化類OAuth2AccessTokenJackson2Serializer進行編寫相應的代碼

 

飛躍球門
發佈了13 篇原創文章 · 獲贊 3 · 訪問量 4萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

常見的安全漏洞

跨站腳本攻擊(XSS) 存儲型XSS攻擊 常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。 反射型XSS攻擊 DOM型XSS攻擊 CSP(content secur

原創 2023-12-15 12:55:35

Spring Security Bcrypt算法小結

Bcrypt本身是一種Hash算法 Bcrypt密文由以下基本部分組成 $2a$10$e9lBHmVW8KafMUzRwtPcO./yHO.0SO5OzfHLJfPK1psT3rChKvpw. 0: 固定字符 $ 1-2: 2a 表示算

原創 2023-01-10 22:09:41

163 SpringBoot常用註解大全

  轉自:https://mp.weixin.qq.com/s/PzZ31ju32-5epXpQeTZsNA 備份文件路徑:   1.整體圖         2.具體講解   平時使用SpringBoot開發項目,少不了要使用到它

20190513 2022-12-21 12:51:12

Spring Security 登錄時異常信息拋出了未獲取到

在項目中用到了Spring Security 進行登錄校驗,我們實現了其UserDetailsService接口的loadUserByUsername()方法,並在其中定義了異常信息,通過UsernameNotFoundException異

原創 2022-04-30 13:30:35

Spring Cloud 2021.X Eureka Cannot execute request on any known server

    最近用SpringCloud 2021搭建項目玩,遇到一個有點煩人的問題,卡了我一個小時,不是大問題,但值的記錄一下,主要是思路和突破口的尋找。     先說一下前因後果吧。找了一圈各類註冊中心,發現符合我目前需求的依然是Eurek

原創 2022-04-30 13:18:11

spring security 之前端加密,後端解密

前端加密 這個先留着,以後再寫。  後端解密 後端解密主要是使用DaoAuthenticationProvider DaoAuthenticationProvider 的繼承關係如下: DaoAuthenticationProvid

原創 2022-04-30 10:56:42

BCrypt和MD5密碼加密介紹及實現

需求 對於用戶密碼的保護,通常都會進行加密。我們通常對密碼進行加密,然後存放在數據庫中,在用戶進行登錄的時候,將其輸入的密碼與數據庫中存放的密文進行比較,以驗證用戶密碼是否正確。 BCrypt和MD5介紹 BCrypt加密: 一種加鹽的

黃瓜與土豆 2022-04-30 06:06:41

Spring Security教程之session管理

  1.1     檢測session超時 1.2     concurrency-control 1.3     session 固定攻擊保護          Spring Security通過http元素下的子元素session

osc_vyztkm1b 2021-12-25 21:35:15

spring security 通過外部配置適配bcrypt和sm2兩種加密方式自由切換

1、引入依賴 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId>

原創 2021-12-25 21:12:32

使用 Spring Security 時,在 bean 中獲取當前用戶名(即 SecurityContext)信息的正確方法是什麼?

問題: I have a Spring MVC web app which uses Spring Security.我有一個使用 Spring Security 的 Spring MVC Web 應用程序。 I want to know

fyin1314 2021-10-09 21:19:38

一個奇怪的登錄需求

@[toc] 一個奇怪的登錄需求。 這是小夥伴們在微信羣裏的一個提問,我覺得很有意思: 雖然這並非一個典型需求,但是把這個問題解決了,有助於加深大家對於 Spring Security 的理解。 因此,松哥打算擼一篇文章和大家稍微聊聊這個

原創 2021-09-27 21:21:02

通過Spring進行RESTful身份驗證 - RESTful Authentication via Spring

問題: Problem: 問題: We have a Spring MVC-based RESTful API which contains sensitive information. 我們有一個基於Spring MVC的RESTf

javail 2021-09-23 09:15:56

再見,Spring Security OAuth!!

官宣新品 最近,Spring 官方又推出了《Spring Authorization Server》項目: 本次將 《Spring Authorization Server》項目正式上線,去掉了之前的體驗狀態,此舉恰逢 0.2.0 版本發

原創 2021-08-29 21:33:47

Spring官宣新家族成員:Spring Authorization Server!

8月17日,Spring官方宣佈 Spring Authorization Server 已正式脫離實驗狀態,並進入Spring-Project家族! 官方聲明 此舉恰逢本週的 0.2.0 版本發佈,這是第一個

程序猿DD 2021-08-19 09:42:47

OAuth2.1授權服務器Spring Authorization Server正式孵化成功進入Spring項目家族

今天Spring官方宣佈 Spring Authorization Server 已正式退出實驗狀態並進入Spring 項目的產品家族! 此舉恰逢本週的 0.2.0 版本發佈,這是第一個正式支持的生產就緒版本。 自2020 年 4 月S

原創 2021-08-18 09:10:18