oauth2 提供的接口/oauth/token,第一个参数是接口Principal,参数的实际类型是UsernamePasswordAuthenticationToken

最新推荐文章于 2025-03-13 19:36:57 发布
最新推荐文章于 2025-03-13 19:36:57 发布
阅读量2w 收藏 11
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a469517790/article/details/102839165
版权

最近在看oauth的源码 ,发现 TokenEndpoint 这个类里面,/oauth/token 这个接口的第一个请求参数是接口Principal类型,实际上传过来的是UsernamePasswordAuthenticationToken类型,UsernamePasswordAuthenticationToken实现了Principal接口。

那么框架是在哪将请求参数封装成UsernamePasswordAuthenticationToken的呢?

如下图,首先打个断点,在方法调用栈里面,查看哪里给这个方法设置参数了。

一步步跟踪,会发现是在 InvocableHandlerMethod 的 invokeForRequest 方法里,通过反射调用,如下图:

接下来只需要看 getMethodArgumentValues 这个方法做了什么就知道了。跟着图片一步步往下走,

ServletRequestMethodArgumentResolver.resolveArgument(...):

SecurityContextHolderAwareRequestWrapper.getUserPrincipal()

最后可以发现,是secutity 框架本身的 SecurityContextHolderAwareRequestWrapper 实例化参数Principal的。

浅谈spring security oauth2oauth2.0的授权获取Token的实现
WannaRunning的博客
10-23 2861
框架中统一的授权入口是:"/oauth/token" 该接口在 org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 这个类中。 @RequestMapping( value = {"/oauth/token"}, method = {RequestMethod.POST} ) public ResponseEntity<OAuth2AccessToken>
Spring Security OAuth2实现多用户类型认证与多用户类型token刷新(新)
weixin_42552016的博客
05-13 798
此方法基于覆盖源码路径实现,以最少的配置完成Spring Security OAuth2实现多用户类型认证与多用户类型token刷新
oauth2登录认证用户Principal,获取token
qq_40289611的博客
11-06 1937
oauth2登录获取token,认证用户Principal,endpoints的映射pathMapping("/oauth/token","/ogin")
org.springframework.security.oauth2 的 /oauth/token apiPost 需要的参数是 application/x-www-form-urlenc
jonathan_joestar的博客
03-20 594
org.springframework.security.oauth2 的 /oauth/token apiPost 需要的参数是 application/x-www-form-urlencoded 形式的 不能是 json的
Spring Boot项目中集成sa-token实现认证授权和OAuth 2.0第三方登录
m0_50742275的博客
03-13 772
Spring Boot项目中集成sa-token实现认证授权和OAuth 2.0第三方登录
OAuth2.0原理分析
qq_43843037的博客
01-24 925
OAuth2.0原理分析 授权服务器 @EnableAuthorizationServer解析 我们都知道 一个授权认证服务器最最核心的就是 @EnableAuthorizationServer , 那么 @EnableAuthorizationServer 主要做了什么呢? 我们看下 @EnableAuthorizationServer 源码: @Target({ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented @Impo
手把手教swagger2统一加入Authorize/ToKen等公共参数
evanYang的博客
08-20 1万+
在使用swagger-ui的过程中,swagger页面调用的时候会统一在header里面加入输入token参数的位置 加入pom依赖包 <!-- swagger2 --> <dependency> <groupId>io.springfox</groupId> <artifac...
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
spring security oauth其中的/oauth/token做了哪些
u013911102的博客
09-11 6447
项目场景: 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handler.obtainMessage()和 Handler.sendMessage(),其中 obtainMessage 方式当数据量过大时,由于 MessageQuene 大小也有限,所以当 message 处理不及时时,会造成先传的数据被覆盖,进而.
Spring Security Oauth2 如何鉴别Token是否有效
紫眸的博客
09-20 1万+
版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权,通过FilterChain(过滤器链)实现的,不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1893
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurity的Oauth2源码分析 我们先来看下通过Oauth2获取token的源码流程: 一、获取token接口是/oauth/token,在TokenEndpoint类中 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
获取token(/oauth/token
trusause的博客
10-08 2万+
1、入口方法(spring-security-oauth2-2.0.14.RELEASE-sources.jar) @FrameworkEndpoint public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", method=RequestMethod.P...
100 spring-security 中 /oauth/token 发送请求不携带参数 报错 “401 Unauthorized“
970655147的专栏
03-06 2465
前言 最近存在这样的一个问题, 大致的复现方式是 访问 /oauth/token 接口, 然后不携带任何参数, 结果 服务器抛出了一个 "401 Unauthorized" 针对这个 401, 这里 梳理一下这个流程, 也会衍生出一些其他的问题 测试用例 客户端这边大致的情况是 构造参数, 然后发送请求, 上面两个 参数封装到查询字符串的请求是可以正常处理 后面两个 未携带参数 的请求发送, 报错 "401 Unauthorized" 我们这里主要关心 这里的未携带参数 的异常场...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 18万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
随笔【oauth2】获取token认证/oauth/token返回{“error“: “invalid_grant“, “error_description“: “用户名不存在或者密码错误“}
亦碎流年的博客
04-28 7131
现要将feign调用改成restTemplate远程调用 请求如下地址: http://127.0.0.1:8083/user-service/oauth/token?client_id=abc&client_secret=abc&grant_type=password&username=test&password=test123&scope=server postman报错: { "error": "invalid_grant", ...
Spring Security oauth2.0 客户端
weixin_42555971的博客
10-29 1415
client
java中principal对象,如何使用OAuth2获取Spring的自定义Principal对象?
weixin_33787865的博客
03-21 3396
您可以通过将 AccessTokenConverter (间接保存 UserDetailsService )设置为 JwtAccessTokenConverter 来完成此操作 . 请参见 accessTokenConverter() 方法 .@Configuration@EnableAuthorizationServerpublic class AuthorizationServerConfig...
java oauth2接口_java - Spring Security和OAuth2之间Principal接口的两种不同实现 - 堆栈内存溢出...
weixin_39708502的博客
03-02 1392
曾经有一个由Spring Security配置的整体Java应用程序。 每当我想获得经过身份验证的用户时, org.springframework.serurity.authentication.UsernamePasswordAuthenticationToken对象都会给我这样的信息:User user = (User)SecurityContextHolder.getContext().g...
Springsecurity-oauth2之/oauth/token的处理
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot 获取当前用户ID
最新发布
03-16
<think>好的,我现在需要帮助用户解决如何在Spring Boot中获取当前用户ID的问题。首先,我得回顾一下用户之前的对话历史。用户之前询问了“可爱”的英文翻译,现在转向技术问题,可能是在开发一个需要用户认证的Spring Boot应用。用户可能是开发者,特别是后端开发,需要实现获取当前用户信息的功能。 首先,我需要确定用户的具体需求。获取当前用户ID通常与用户认证和授权相关。在Spring Security中,用户登录后,用户信息会存储在SecurityContextHolder中。因此,我需要考虑如何从SecurityContext中获取认证对象,并从中提取用户ID。 接下来,我应该考虑不同的认证方式。比如,用户可能使用的是基于表单的登录,或者JWT令牌,或者其他方式。无论认证方式如何,Spring Security的核心机制都是将认证信息存储在SecurityContext中。因此,关键步骤应该是获取Authentication对象,然后从中获取Principal,再提取用户ID。 然后,我需要思考可能的实现方式。常见的方法包括在控制器中直接使用SecurityContextHolder,或者通过注入Authentication对象,或者使用@AuthenticationPrincipal注解。此外,用户可能需要自定义UserDetails实现来存储更多的用户信息,比如用户ID。 我还需要考虑用户可能的错误或疑问。例如,用户可能遇到Authentication对象为null的情况,这可能是因为没有正确配置Spring Security,或者在非安全上下文中访问。此外,用户可能需要知道如何将自定义的UserDetails实现与他们的用户实体类结合,比如从数据库加载用户信息时,将用户ID包含进去。 另外,用户可能关心线程安全的问题,是否需要使用SecurityContextHolder的特定策略,但一般来说,默认的策略是线程绑定的,适用于大多数Web应用场景。 还有,可能需要给出代码示例,帮助用户更好地理解如何实现。比如,展示如何在控制器中获取用户ID,如何自定义UserDetailsService,以及如何处理JWT中的用户ID。 此外,用户可能对不同的认证方式(如OAuth2、JWT)下的获取方式有疑问,需要简要说明在这些情况下如何处理。例如,使用JWT时,用户ID可能存储在令牌的声明中,需要解析后设置到SecurityContext中。 最后,需要总结关键点,提醒用户确保配置正确,处理可能的异常情况,比如用户未登录时获取不到认证信息的情况,避免空指针异常。</think>在 Spring Boot 中获取当前用户 ID 的核心是通过 Spring Security 的上下文实现,具体步骤如下: --- ### 一、前置条件 1. 确保已集成 **Spring Security** 依赖(用于身份认证) 2. 配置了用户认证体系(如数据库、JWT、OAuth2 等) ```xml <!-- pom.xml 中添加 Spring Security 依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` --- ### 二、核心代码实现 #### 方式1:直接通过 SecurityContext 获取 ```java import org.springframework.security.core.Authentication; import org.springframework.security.core.context.SecurityContextHolder; public class UserUtils { public static Long getCurrentUserId() { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null && authentication.isAuthenticated()) { // 假设用户信息实现了 UserDetails 并包含 userId return ((CustomUserDetails) authentication.getPrincipal()).getUserId(); } return null; // 或抛出异常 } } ``` #### 方式2:通过控制器参数注入(推荐) ```java import org.springframework.security.core.annotation.AuthenticationPrincipal; import org.springframework.web.bind.annotation.GetMapping; @RestController public class UserController { @GetMapping("/user/id") public Long getUserId(@AuthenticationPrincipal CustomUserDetails userDetails) { return userDetails.getUserId(); } } ``` --- ### 三、关键配置说明 #### 1. 自定义 UserDetails 实现 需继承 `UserDetails` 以包含用户 ID 字段: ```java public class CustomUserDetails implements UserDetails { private Long userId; // 用户ID字段 private String username; private String password; private Collection<? extends GrantedAuthority> authorities; // 省略其他方法... public Long getUserId() { return userId; } } ``` #### 2. 从数据库加载用户时关联 ID 在 `UserDetailsService` 实现中注入用户 ID: ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) { User user = userRepository.findByUsername(username); return new CustomUserDetails( user.getId(), // 注入用户ID user.getUsername(), user.getPassword(), getAuthorities(user.getRoles()) ); } } ``` --- ### 四、不同认证场景的适配 #### 场景1:JWT 认证 在 JWT 过滤器解析 token 后设置用户 ID: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, ...) { String token = extractToken(request); Long userId = jwtUtils.getUserIdFromToken(token); // 从 token 解析 ID CustomUserDetails userDetails = new CustomUserDetails( userId, "username", "password", authorities); SecurityContextHolder.getContext().setAuthentication( new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities())); } } ``` #### 场景2OAuth2 登录 通过 `@RegisteredOAuth2AuthorizedClient` 获取: ```java @GetMapping("/userinfo") public String getUserInfo(@RegisteredOAuth2AuthorizedClient OAuth2AuthorizedClient client) { return client.getPrincipalName(); // 获取唯一标识(如用户ID) } ``` --- ### 五、常见问题排查 1. **空指针异常** - 检查请求是否经过安全过滤器链 - 确保 `SecurityContextHolder` 策略为 `MODE_THREADLOCAL`(默认) 2. **返回匿名用户** - 检查端点是否被 `permitAll()` 放行 - 验证 token/cookie 是否有效 3. **ID 类型转换错误** - 确保自定义 `UserDetails` 与上下文中的 Principal 类型一致 --- 通过以上方法,可安全获取当前用户 ID,适用于 90% 的 Spring Boot 认证场景。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值