OAuth2資源服務器驗證源碼分析

原創 司杨 2020-04-22 01:28

目錄

資源服務器配置類

校驗服務器字段配置

jwt校驗路徑追蹤

OAuth2AuthenticationProcessingFilter

OAuth2AuthenticationManager

DefaultTokenServices

第一次JwtTokenStore

第一次JwtAccessTokenConverter

傳回DefaultTokenServices

第二次JwtTokenStore

第二次JwtAccessTokenConverter

DefaultAccessTokenConverter

DefaultUserAuthenticationConverter

回到DefaultAccessTokenConverter

再次傳回DefaultTokenServices

傳回OAuth2AuthenticationManager

傳回OAuth2AuthenticationProcessingFilter

jwt校驗總結

@PreAuthorize中hasAuthority怎麼獲取權限的?

SecurityExpressionRoot怎麼生成的?

資源服務器配置類

這裏因爲配置了TokenStore 和JwtAccessTokenConverter ,所以下面解析jwt使用的配置是這個

@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的 PreAuthorize註解
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    //公鑰
    private static final String PUBLIC_KEY = "publickey.txt";

    //定義JwtTokenStore,使用jwt令牌
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }
    //定義JJwtAccessTokenConverter,使用jwt令牌
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey(getPubKey());
        return converter;
    }
    /**
     * 獲取非對稱加密公鑰 Key
     * @return 公鑰 Key
     * */
    private String getPubKey() {
        Resource resource = new ClassPathResource(PUBLIC_KEY);
        try {
            InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
            BufferedReader br = new BufferedReader(inputStreamReader);
            return br.lines().collect(Collectors.joining("\n"));
        } catch (IOException ioe) {
            return null;
        }
    }
    //Http安全配置,對每個到達系統的http請求鏈接進行校驗
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //所有請求必須認證通過
        http.authorizeRequests()
                .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui",
                        "/swagger-resources","/swagger-resources/configuration/security",
                        "/swagger-ui.html","/webjars/**","/course/courseview/**").permitAll()//針對swagger-ui進行放行
                .anyRequest().authenticated();
    }
}

校驗服務器字段配置

/**
 * 自定義token顯示內容
 */
@Component
public class CustomUserAuthenticationConverter extends DefaultUserAuthenticationConverter {
    @Autowired
    UserDetailsService userDetailsService;

    @Override
    public Map<String, ?> convertUserAuthentication(Authentication authentication) {
        LinkedHashMap response = new LinkedHashMap();
        String name = authentication.getName();
        response.put("user_name", name);

        Object principal = authentication.getPrincipal();
        UserJwt userJwt = null;
        if(principal instanceof  UserJwt){
            userJwt = (UserJwt) principal;
        }else{
            //refresh_token默認不去調用userdetailService獲取用戶信息,這裏我們手動去調用,得到 UserJwt
            UserDetails userDetails = userDetailsService.loadUserByUsername(name);
            userJwt = (UserJwt) userDetails;
        }
        response.put("name", userJwt.getName());
        response.put("id", userJwt.getId());
        response.put("utype",userJwt.getUtype());
        response.put("userpic",userJwt.getUserpic());
        response.put("companyId",userJwt.getCompanyId());
        if (authentication.getAuthorities() != null && !authentication.getAuthorities().isEmpty()) {
            response.put("authorities", AuthorityUtils.authorityListToSet(authentication.getAuthorities()));
        }

        return response;
    }


}

jwt校驗路徑追蹤

當已經登錄成功,得到token進行請求資源服務器

OAuth2AuthenticationProcessingFilter

首先會被

過濾器進行攔截,通過請求header得到JWT token,將token封裝到Authorication中

然後調用

的authenticate方法

進行驗證解析jwt Token

OAuth2AuthenticationManager

authenticate會通過Authorization得到jwtToken,並將jwtToken作爲參數調用

的loadAuthentication方法

DefaultTokenServices

loadAuthentication會調用

的readAccessToken方法,讀取解析token中的內容

第一次JwtTokenStore

readAccessToken會調用convertAccessToken,方法體內會調用

經過配置文件中配置的公鑰進行解析jwt Token中的內容得到 jwt中 claim的map集合(包含所有jwt的可可視信息,DefaultUserAuthenticationConverter中配置的屬性項)

並且將 map集合和jwt Token 作爲參數 繼續調用JwtAccessTokenConverter的extractAccessToken

第一次JwtAccessTokenConverter

extractAccessToken會往下傳遞調用

的extractAccessToken方法。

進行map集合的數據格式整理,最後封裝到

然後傳回

傳回DefaultTokenServices

接着會將上面傳回的OAuth2AccessToken作爲參數調用

的readAuthentication方法 進行權限讀取。

第二次JwtTokenStore

readAuthentication會將OAuth2AccessToken中的jwt Token取出

進行解析信息後將map傳入

extractAuthentication方法

第二次JwtAccessTokenConverter

緊接着會像上面過程一樣。會將參數傳遞調用

的extractAuthentication方法

 

DefaultAccessTokenConverter

extractAuthentication方法中會將map作爲參數傳入

的extractAuthentication方法 進行權限封裝

DefaultUserAuthenticationConverter

2個方法主要作用是判斷map中是否有用戶名(user_name)和權限(authorities)2個屬性。如果沒有user_name直接返回爲null,反之返回由這2個屬性封裝好的UsernamePasswordAuthenticationToken。

(可以在配置類配置userDetailsService,配置後可以進行通過loadUserByUserName校驗然後更改原有的權限和用戶。)

這裏需要注意 user_name和authorities是固定好的名字,所以在DefaultUserAuthenticationConverter中需要注意傳入jwt claim的參數名。

public Authentication extractAuthentication(Map<String, ?> map) {
    //檢查map中包不包含user_name
    if (map.containsKey("user_name")) {
        Object principal = map.get("user_name");
        Collection<? extends GrantedAuthority> authorities = this.getAuthorities(map);
        if (this.userDetailsService != null) {
            UserDetails user = this.userDetailsService.loadUserByUsername((String)map.get("user_name"));
            authorities = user.getAuthorities();
            principal = user;
        }

        return new UsernamePasswordAuthenticationToken(principal, "N/A", authorities);
    } else {
        return null;
    }
}
private Collection<? extends GrantedAuthority> getAuthorities(Map<String, ?> map) {
    if (!map.containsKey("authorities")) {
        return this.defaultAuthorities;
    } else {
        Object authorities = map.get("authorities");
        if (authorities instanceof String) {
            return AuthorityUtils.commaSeparatedStringToAuthorityList((String)authorities);
        } else if (authorities instanceof Collection) {
            return AuthorityUtils.commaSeparatedStringToAuthorityList(StringUtils.collectionToCommaDelimitedString((Collection)authorities));
        } else {
            throw new IllegalArgumentException("Authorities must be either a String or a Collection");
        }
    }
}

回到DefaultAccessTokenConverter

注意綠字屬性名,這裏代表有些屬性名是固定的。

注意紅框部分。這裏代表了jwt Token 沒有帶user_name 也可以,只要jwt Token中包含了authorities屬性,然後將Authentication和OAuth2Request封裝爲OAuth2Authentication依次傳回到DefaultTokenServices

再次傳回DefaultTokenServices

這裏也需要注意。這個類的ClientDetailsService也是可以配置的,配置後可以進行檢驗ClientId是否合法

繼續傳回

傳回OAuth2AuthenticationManager

傳回OAuth2AuthenticationProcessingFilter

最後將用戶認證信息設置到SecurityContext中

jwt校驗總結

通過設置請求頭方式請求資源服務器,會被OAuth2的OAuth2AuthenticationProcessingFilter過濾器所攔截,通過資源服務配置文件中指定的JwtTokenStore和JwtAccessTokenConverter,使用配置好的公鑰進行解析jwt Token得到一系列信息。這裏需要注意,如user_name,authorities等屬性名已經固定。所以需要在token生成的時候就注意名字規範。最後將封裝好的Authorication設置到SecurityContext中。

@PreAuthorize中hasAuthority怎麼獲取權限的?

hasAuthority爲SecurityExpressionRoot的方法,此方法會從Authorication中獲取authorities集合,並檢查hasAuthority中要求的權限是否在集合中。滿足要求則執行,否則拋出異常。

 

SecurityExpressionRoot怎麼生成的?

經過路徑查看可以看出通過Aop的方式在

的beforeInvocation方法傳入Authorication一路傳遞參數,最後初始化SecurityExpressionRoot類

 

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

詳解Spring Boot的RedisAutoConfiguration配置

本文分享自華爲雲社區《【Spring Boot 源碼學習】RedisAutoConfiguration 詳解》,作者: Huazie。 引言 帶大家分析 Spring Boot 內置的有關 Redis 的自動配置類【RedisAutoCo

原創 2024-06-14 22:58:25

「Java開發指南」如何使用Spring註釋器實現Spring控制器?(一)

本教程將引導您使用Spring Annotator實現Spring控制器,標準Java類被添加到搭建項目中,Spring Annotator Spring啓用Java類。 雖然本教程的重點是Spring控制器,但是Spring Annota

原創 2024-06-11 12:18:10

Spring Security 如何防止點擊劫持

在當今複雜的網絡環境中,安全成爲了每一個應用程序不可或缺的一部分。點擊劫持(Clickjacking)作爲一種隱蔽的網絡攻擊手段,對用戶的信息安全構成了嚴重威脅。本文將深入探討點擊劫持的基本概念、其工作原理,並詳細介紹在 Spring Se

原創 2024-06-15 01:13:42

技術解密Java Chassis 3超實用的可觀測性

本文分享自華爲雲社區《Java Chassis 3技術解密:實用的可觀測性》,作者:liubao68。 狹義的可觀測性,指日誌、調用鏈和指標,廣義的可觀測性則包含更多的內容,一般的,應用程序暴露出來的便於理解其運行狀態、運行軌跡、內部結構和

原創 2024-06-14 22:58:27

OpenTelemetry 實踐指南:歷史、架構與基本概念

背景 之前陸續寫過一些和 OpenTelemetry 相關的文章: 實戰:如何優雅的從 Skywalking 切換到 OpenTelemetry 實戰:如何編寫一個 OpenTelemetry Extensions 從一個 JDK21+O

原創 2024-06-14 12:33:40

進程還在,JSF接口不幹活了,這你敢信?

1、問題背景: 應用在配合R2m升級redis版本的過程中,上游反饋調用接口報錯,RpcException:[Biz thread pool of provider has been exhausted],通過監控系統和日誌系統定位到現象

原創 2024-06-14 11:54:16

Scala網絡編程:代理設置與Curl庫應用實例

在網絡編程的世界裏,Scala以其強大的併發模型和函數式編程特性,成爲了開發者的得力助手。然而,網絡請求往往需要通過代理服務器進行,以滿足企業安全策略或訪問控制的需求。本文將深入探討如何在Scala中使用Curl庫進行網絡編程,包括設置代

原創 2024-06-14 00:06:31

動態線程池思想學習及實踐

相關文檔 美團線程池實踐: https://tech.meituan.com/2020/04/02/java-pooling-pratice-in-meituan.html 線程池思想解析: https://www.javadoop.

原創 2024-06-13 23:54:49

JeecgBoot 企業級開源低代碼平臺,v3.7.0 里程碑大版本發佈

項目介紹 JeecgBoot是一款企業級的低代碼平臺!前後端分離架構 SpringBoot2.x,SpringCloud,Ant Design&Vue3,Mybatis-plus,Shiro,JWT 支持微服務。強大的代碼生成器讓前後端代

原創 2024-06-13 13:12:19

Java生成PDF文件,並將PDF轉爲圖片

引入依賴 <dependency> <groupId>com.itextpdf</groupId> <artifactId>itextpdf</artifactId>

原創 2024-06-12 23:21:32

SonarQube代碼質量檢測線上配置指南

SonarQube 是一個開源的代碼質量管理平臺,用於自動審查代碼,檢測潛在的錯誤、漏洞和不良實踐,以提高軟件質量。本文檔旨在指導您完成SonarQube在生產環境中的配置,確保您的項目代碼得到持續且有效的質量監控。 1. 環境準備 1.1

原創 2024-06-12 01:12:57

雲原生週刊:Kubernetes 十週年 | 2024.6.11

開源項目推薦 Kubernetes Goat Kubernetes Goat 是一個故意設計成有漏洞的 Kubernetes 集羣環境,旨在通過交互式實踐場地來學習並練習 Kubernetes 安全性。 kube-state-metrics

原創 2024-06-11 23:16:00

AI “黏土畫風”輕鬆拿捏,手把手帶你雲端部署 ComfyUI

作者:鷗弋、筱姜 AI 繪畫領域,Stable Diffusion WebUI、Midjourney 、DALL-E 都聚攏了一大批的應用開發者和藝術創作者。ComfyUI 出現時間略晚,但是它讓創作者通過工作流的方式,實現自動化水平更高的

原創 2024-06-13 21:13:38

對spring事務的理解

作者:天空小小 爲啥要寫? 從我接觸spring事務開始,就覺得這個東西很神奇,感覺實現很混亂,總是各種新的用法層出不窮。雖然懵懵懂懂的覺

原創 2024-06-16 02:11:44

事務中存在多線程,怎麼處理?

在 Spring 框架中,@Transactional 註解作爲一種聲明式事務管理的關鍵機制,其背後的工作原理遠比簡單的 AOP(面向切面編程)和 ThreadLocal 存儲更爲細膩。該註解的實現核心在於 Spring 的 Transac

原創 2024-06-13 01:11:24