[6] OAuth2AuthenticationProcessingFilter之Bearer Token驗證流程

原創 小菜菜咿呀 2020-06-17 02:34

OAuth2AuthenticationProcessingFilter

簡介

授權認證服務通過認證後會返回Access Token,該token可用於請求資源服務(業務系統)的接口。我們需要把特定的信息放到請求頭中,例如在請求頭中寫入Authorization: Bearer !xBYUEBY0N3o234N,Authorization爲key,Bearer !xBYUEBY0N3o234N爲value,!xBYUEBY0N3o234N是Access Token。請求經過OAuth2AuthenticationProcessingFilter後,過濾器中的認證管理器會調用配置的授權認證服務的check token接扣校驗token是否有效,token有效則可以繼續訪問了。需要注意的是,對於資源認證服務Spring Security會把這個過濾器加入到過濾鏈裏,但授權認證認證服務卻不能。

源碼分析

步驟1

筆者的Spring Cloud項目分ums[用戶管理]服務以及auth[授權認證]服務,ums是一個業務系統,ums藉助授權認證認證服務需要配置client-id,client-secret,token-info-uri等,token-info-uri即auth[授權認證]服務校驗token的url,配置如下:

security:
  oauth2:
    client:
      client-id: carp
      client-secret: carp
    resource:
      id: carp-ums
      token-info-uri: http://carp-auth:8002/oauth2/token/check
      loadBalanced: true

步驟2

我們doFilter()方法中的代碼進行分析,tokenExtractor.extract(request)從請求中取Bearer Token幷包裝成Authentication,然後調用authenticationManager.authenticate()向授權認證服務發起請求,對token進行認證。
認證成功後,發送認證成功事件,並把身份認證信息寫入上下文,代碼如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
        ServletException {

    final boolean debug = logger.isDebugEnabled();
    final HttpServletRequest request = (HttpServletRequest) req;
    final HttpServletResponse response = (HttpServletResponse) res;

    try {
        //此處代碼邏輯很簡單
        //Header中取出Authorization中的access token 幷包裝成Authentication,Authentication的principal就是token
        Authentication authentication = tokenExtractor.extract(request);
        
        //authentication不存在,清空上下文
        if (authentication == null) {
            if (stateless && isAuthenticated()) {
                SecurityContextHolder.clearContext();
            }
        }
        else {
            //在request屬性中寫入OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE:xxxxx xxxx是token
            request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, authentication.getPrincipal());
            //對於Bearer Token而言,authentication是PreAuthenticatedAuthenticationToken的實例,所以會執行到if分支裏
            if (authentication instanceof AbstractAuthenticationToken) {
                AbstractAuthenticationToken needsDetails = (AbstractAuthenticationToken) authentication;
                //buildDetails其實就是創建一個OAuth2AuthenticationDetails並放入remoteAddress、sessionId、tokenType、tokenValue信息
                needsDetails.setDetails(authenticationDetailsSource.buildDetails(request));
            }
            //調用RemoteTokenServices向授權認證服務發起請求,進行token校驗。
            Authentication authResult = authenticationManager.authenticate(authentication);
            //發佈一個身份認證成功的事件
            eventPublisher.publishAuthenticationSuccess(authResult);
            //上下文中寫入身份認證信息
            SecurityContextHolder.getContext().setAuthentication(authResult);

        }
    }
    catch (OAuth2Exception failed) {
        //清空上下文
        SecurityContextHolder.clearContext();
        //發佈一個身份認證失敗的事件
        eventPublisher.publishAuthenticationFailure(new BadCredentialsException(failed.getMessage(), failed),
                new PreAuthenticatedAuthenticationToken("access-token", "N/A"));
        //進行錯誤處理
        authenticationEntryPoint.commence(request, response,
                new InsufficientAuthenticationException(failed.getMessage(), failed));

        return;
    }

    chain.doFilter(request, response);
}

authenticationDetailsSource**.**buildDetails()最終會執行到下面OAuth2AuthenticationDetails的構造方法,代碼邏輯也十分簡單,其實就是取出request中的相關信息,進行了一次包裝,如下:

public OAuth2AuthenticationDetails(HttpServletRequest request) {
    this.tokenValue = (String) request.getAttribute(ACCESS_TOKEN_VALUE);
    this.tokenType = (String) request.getAttribute(ACCESS_TOKEN_TYPE);
    this.remoteAddress = request.getRemoteAddr();

    HttpSession session = request.getSession(false);
    this.sessionId = (session != null) ? session.getId() : null;
    StringBuilder builder = new StringBuilder();
    if (remoteAddress!=null) {
        builder.append("remoteAddress=").append(remoteAddress);
    }
    if (builder.length()>1) {
        builder.append(", ");
    }
    if (sessionId!=null) {
        builder.append("sessionId=<SESSION>");
        if (builder.length()>1) {
            builder.append(", ");
        }
    }
    if (tokenType!=null) {
        builder.append("tokenType=").append(this.tokenType);
    }
    if (tokenValue!=null) {
        builder.append("tokenValue=<TOKEN>");
    }
    this.display = builder.toString();
}

authenticationManager是OAuth2AuthenticationManager的實例,其中tokenServices是RemoteTokenServices的實例,如果授權認證服務checkToken返回的數據結構體被自定過,與Spring Security原來返回的不一致,則需要對RemoteTokenServices進行改造,並替換默認實例。因爲RemoteTokenServices就是發送一個http請求,解析返回結果,進行數據包裝。當然,Spring Security只是一個授權認證框架,如果我們使用的Dubbo Rpc,也可以進行改造,注入Dubbo Rpc接口實現ResourceServerTokenServices接口即可。有些變量命名比較抽象,截圖以及的OAuth2AuthenticationManager代碼如下:

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

    if (authentication == null) {
        throw new InvalidTokenException("Invalid token (token not found)");
    }
    String token = (String) authentication.getPrincipal();
    //默認是調用RemoteTokenService向授權認證服務的checkToken接口發起http Token驗證請求
    //驗證通過後包裝成OAuth2Authentication
    OAuth2Authentication auth = tokenServices.loadAuthentication(token);
    //token無效
    if (auth == null) {
        throw new InvalidTokenException("Invalid token: " + token);
    }
	//判斷從接口獲取的授權信息中的資源id,是否包含業務系統配置的資源id
    Collection<String> resourceIds = auth.getOAuth2Request().getResourceIds();
    if (resourceId != null && resourceIds != null && !resourceIds.isEmpty() && !resourceIds.contains(resourceId)) {
        throw new OAuth2AccessDeniedException("Invalid token does not contain resource id (" + resourceId + ")");
    }
	//校驗客戶端id
    checkClientDetails(auth);
	//進行details拷貝
    if (authentication.getDetails() instanceof OAuth2AuthenticationDetails) {
        OAuth2AuthenticationDetails details = (OAuth2AuthenticationDetails) authentication.getDetails();
        // Guard against a cached copy of the same details
        if (!details.equals(auth.getDetails())) {
            // Preserve the authentication details from the one loaded by token services
            details.setDecodedDetails(auth.getDetails());
        }
    }
    //將details寫入到身份認證信息中
    auth.setDetails(authentication.getDetails());
    //認賬狀態設置爲已認證
    auth.setAuthenticated(true);
    return auth;

}

private void checkClientDetails(OAuth2Authentication auth) {
    if (clientDetailsService != null) {
        ClientDetails client;
        try {
            //調用clientDetailsService獲取客戶端詳情
            client = clientDetailsService.loadClientByClientId(auth.getOAuth2Request().getClientId());
        }
        catch (ClientRegistrationException e) {
            throw new OAuth2AccessDeniedException("Invalid token contains invalid client id");
        }
        //判斷客戶端配置的scope 是否包含http request的中scope參數值
        Set<String> allowed = client.getScope();
        for (String scope : auth.getOAuth2Request().getScope()) {
            if (!allowed.contains(scope)) {
                throw new OAuth2AccessDeniedException(
                        "Invalid token contains disallowed scope (" + scope + ") for this client");
            }
        }
    }
}

image.png

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

常見的安全漏洞

跨站腳本攻擊(XSS) 存儲型XSS攻擊 常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。 反射型XSS攻擊 DOM型XSS攻擊 CSP(content secur

原創 2023-12-15 12:55:35

Spring Security Bcrypt算法小結

Bcrypt本身是一種Hash算法 Bcrypt密文由以下基本部分組成 $2a$10$e9lBHmVW8KafMUzRwtPcO./yHO.0SO5OzfHLJfPK1psT3rChKvpw. 0: 固定字符 $ 1-2: 2a 表示算

原創 2023-01-10 22:09:41

163 SpringBoot常用註解大全

  轉自:https://mp.weixin.qq.com/s/PzZ31ju32-5epXpQeTZsNA 備份文件路徑:   1.整體圖         2.具體講解   平時使用SpringBoot開發項目,少不了要使用到它

20190513 2022-12-21 12:51:12

Spring Security 登錄時異常信息拋出了未獲取到

在項目中用到了Spring Security 進行登錄校驗,我們實現了其UserDetailsService接口的loadUserByUsername()方法,並在其中定義了異常信息,通過UsernameNotFoundException異

原創 2022-04-30 13:30:35

Spring Cloud 2021.X Eureka Cannot execute request on any known server

    最近用SpringCloud 2021搭建項目玩,遇到一個有點煩人的問題,卡了我一個小時,不是大問題,但值的記錄一下,主要是思路和突破口的尋找。     先說一下前因後果吧。找了一圈各類註冊中心,發現符合我目前需求的依然是Eurek

原創 2022-04-30 13:18:11

spring security 之前端加密,後端解密

前端加密 這個先留着,以後再寫。  後端解密 後端解密主要是使用DaoAuthenticationProvider DaoAuthenticationProvider 的繼承關係如下: DaoAuthenticationProvid

原創 2022-04-30 10:56:42

BCrypt和MD5密碼加密介紹及實現

需求 對於用戶密碼的保護,通常都會進行加密。我們通常對密碼進行加密,然後存放在數據庫中,在用戶進行登錄的時候,將其輸入的密碼與數據庫中存放的密文進行比較,以驗證用戶密碼是否正確。 BCrypt和MD5介紹 BCrypt加密: 一種加鹽的

黃瓜與土豆 2022-04-30 06:06:41

Spring Security教程之session管理

  1.1     檢測session超時 1.2     concurrency-control 1.3     session 固定攻擊保護          Spring Security通過http元素下的子元素session

osc_vyztkm1b 2021-12-25 21:35:15

spring security 通過外部配置適配bcrypt和sm2兩種加密方式自由切換

1、引入依賴 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId>

原創 2021-12-25 21:12:32

使用 Spring Security 時,在 bean 中獲取當前用戶名(即 SecurityContext)信息的正確方法是什麼?

問題: I have a Spring MVC web app which uses Spring Security.我有一個使用 Spring Security 的 Spring MVC Web 應用程序。 I want to know

fyin1314 2021-10-09 21:19:38

一個奇怪的登錄需求

@[toc] 一個奇怪的登錄需求。 這是小夥伴們在微信羣裏的一個提問,我覺得很有意思: 雖然這並非一個典型需求,但是把這個問題解決了,有助於加深大家對於 Spring Security 的理解。 因此,松哥打算擼一篇文章和大家稍微聊聊這個

原創 2021-09-27 21:21:02

通過Spring進行RESTful身份驗證 - RESTful Authentication via Spring

問題: Problem: 問題: We have a Spring MVC-based RESTful API which contains sensitive information. 我們有一個基於Spring MVC的RESTf

javail 2021-09-23 09:15:56

再見,Spring Security OAuth!!

官宣新品 最近,Spring 官方又推出了《Spring Authorization Server》項目: 本次將 《Spring Authorization Server》項目正式上線,去掉了之前的體驗狀態,此舉恰逢 0.2.0 版本發

原創 2021-08-29 21:33:47

Spring官宣新家族成員:Spring Authorization Server!

8月17日,Spring官方宣佈 Spring Authorization Server 已正式脫離實驗狀態,並進入Spring-Project家族! 官方聲明 此舉恰逢本週的 0.2.0 版本發佈,這是第一個

程序猿DD 2021-08-19 09:42:47

OAuth2.1授權服務器Spring Authorization Server正式孵化成功進入Spring項目家族

今天Spring官方宣佈 Spring Authorization Server 已正式退出實驗狀態並進入Spring 項目的產品家族! 此舉恰逢本週的 0.2.0 版本發佈,這是第一個正式支持的生產就緒版本。 自2020 年 4 月S

原創 2021-08-18 09:10:18