SpringSecurity以及OAuth2源码分析——实现多登录方式

最新推荐文章于 2025-02-08 11:51:40 发布
最新推荐文章于 2025-02-08 11:51:40 发布
阅读量1.8k 收藏 15
点赞数 3
文章标签: Spring Security oauth2 第三方登录 多登录方式 OAuth2源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a602389093/article/details/119084738
版权
本文深入分析了SpringSecurity和OAuth2的源码,特别是OAuth2获取token的流程。详细讲解了如何实现多登录方式,包括自定义SpringSecurity过滤器、AuthenticationToken实现类、AuthenticationProvider,以及自定义TokenGranter整合OAuth2返回JWT的方式。通过自定义TokenGranter和Provider,可以灵活地扩展多种登录认证方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。
作者:ExcelMann,转载需注明。

一、SpringSecurity以及OAuth2源码分析

我们先来看下通过OAuth2获取token的源码流程

一、获取token的接口是/oauth/token,在TokenEndpoint类中

public class TokenEndpoint extends AbstractEndpoint {
   
    @RequestMapping(value = "/oauth/token", method=RequestMethod.GET)
	public ResponseEntity<OAuth2AccessToken> getAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
   
		if (!allowedRequestMethods.contains(HttpMethod.GET)) {
   
			throw new HttpRequestMethodNotSupportedException("GET");
		}
		return postAccessToken(principal, parameters);
	}
	@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
   
	    ...
	}
}

其中第一个接口是Get请求,第二个接口是Post请求,Get请求实质上最后也是调用Post请求的方法。

二、在postAccessToken方法中,其中最主要的代码是第132行

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

调用TokenEndpoint父类AbstractEndpoint的getTokenGranter()方法获取端点endpoint的tokenGranter,并调用granter的grant方法。

三、AuthorizationServerEndpointsConfigurer认证服务端点配置器

在上一句代码中,点击grant,可以发现该认证服务端点配置器。
这个认证服务端点配置器是我们在AuthorizationServerConfig认证服务配置器中,其中一个configure()重载方法,该方法的参数就是认证服务端点配置器(后续若新增自定义GrantType的话,需要在上述的认证服务配置器中的endpoint配置):

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
   ...}

而认证服务端点配置器中,有以下两个方法,是关于TokenGranter的初始化

private TokenGranter tokenGranter() {
   
    if (this.tokenGranter == null) {
   
        this.tokenGranter = new TokenGranter() {
   
            private CompositeTokenGranter delegate;

            public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
   
                if (this.delegate == null) {
   
                    this.delegate = new CompositeTokenGranter(AuthorizationServerEndpointsConfigurer.this.getDefaultTokenGranters());
                }

                return this.delegate.grant(grantType, tokenRequest);
            }
        };
    }

    return this.tokenGranter;
}
private List<TokenGranter> getDefaultTokenGranters() {
   
    ClientDetailsService clientDetails = this.clientDetailsService();
    AuthorizationServerTokenServices tokenServices = this.tokenServices();
    AuthorizationCodeServices authorizationCodeServices = this.authorizationCodeServices();
    OAuth2RequestFactory requestFactory = this.requestFactory();
    List<TokenGranter> tokenGranters = new ArrayList();
    tokenGranters.add(new AuthorizationCodeTokenGranter(tokenServices, authorizationCodeServices, clientDetails, requestFactory));
    tokenGranters.add(new RefreshTokenGranter(tokenServices, clientDetails, requestFactory));
    ImplicitTokenGranter implicit = new ImplicitTokenGranter(tokenServices, clientDetails, requestFactory);
    tokenGranters.add(implicit);
    tokenGranters.add(new ClientCredentialsTokenGranter(tokenServices, clientDetails, requestFactory));
    if (this.authenticationManager != null) {
   
        tokenGranters.add(new ResourceOwnerPasswordTokenGranter(this.authenticationManager, tokenServices, clientDetails, requestFactory));
    }

    return tokenGranters;
}

其中tokenGranter()方法创建了一个CompositeTokenGranter类对象,并调用getDefaultTokenGranters()方法,将默认的几种TokenGranter作为CompositeTokenGranter类对象的构造方法参数,添加到CompositeTokenGranter类的tokenGranters列表中。

四、CompositeTokenGranter

在这个TokenGranter中,由上述可知,存有默认的所有TokenGranter作为类的属性变量。

public class CompositeTokenGranter implements TokenGranter {
   

	private final List<TokenGranter> tokenGranters;
    
    public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
   
		for (TokenGranter granter : tokenGranters) {
   
			OAuth2AccessToken grant = granter.grant(grantType, tokenRequest);
			if (grant!=null) {
   
				return grant;
			}
		}
		return null;
	}
	
	public void addTokenGranter(TokenGranter tokenGranter) {
   
		if (tokenGranter == null) {
   
			throw new IllegalArgumentException("Token granter is null");
		}
		tokenGranters.add(tokenGranter);
	}

而其中grant()方法,具体就是遍历所有的granter,并调用当前granter的grant方法,得到的结果若不为空则返回。
其中的addTokenGranter()方法就是添加新的TokenGranter的方法。

五、AbstractTokenGranter

这个类是实现TokenGranter接口的一个抽象类,该类实现了TokenGranter接口的方法,并且其他的TokenGranter都是基于这个类来拓展(就可以不需要重新实现TokenGranter接口的大多数方法)。

比如:ClientCredentialsTokenGranter,就是在AbstractTokenGranter的基础上拓展的一个新的TokenGranter。

public class ClientCredentialsTokenGranter extends AbstractTokenGranter {
   

	private static final String GRANT_TYPE = "client_credentials";
    ...
    @Override
	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
   
		OAuth2AccessToken token = super.grant(grantType, tokenRequest);
		if (token != null) {
   
			DefaultOAuth2AccessToken norefresh = new DefaultOAuth2AccessToken(token);
			// The spec says that client credentials should not be allowed to get a refresh token
			if (!allowRefresh) {
   
				norefresh.setRefreshToken(null);
			}
			token = norefresh;
		}
		return token;
	}
}

仔细分析grant方法可以发现,其实调用的还是父类(AbstractTokenGranter)的grant方法。
父类的grant方法如下:

public OAuth2AccessToken grant(String grantType
最低0.47元/天 解锁文章
ExcelMan_
关注
Spring Security实现登录方式
eugene03的博客
08-12 1496
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取登录信息");
Spring Security 中定义登录方式,比如邮箱、手机验证码登录
xxxzzzqqq_的博客
03-21 4060
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
SpringSecurity配置登录方式
qq_53318060的博客
10-13 4249
SpringSecurity配置种登陆方式
oauth2获取token的源码分析
最新发布
优快云博客技术,java高级工程师,业务层架构师,高级管理认证,毕业设计可以联系我
02-08 1873
而在同的授权模式下获取授权用户的信息的方式同的,比如说所使用的密码模式就是使用请求中携带的用户名和密码来获取当前授权用户中的授权信息,而在授权码模式的两个步骤中是根据第一步发出授权码的同时会记录相关用户的信息,之后对第二步进行授权的时候根据第三方应用请求过来的授权码再读取该授权码对应的用户信息。因为可能用户是使用另外的方式来访问令牌的,比如说一开始用授权码模式,后来用密码模式,而这两种模式需要存的信息是一样的,所以这个令牌要重新store一次。我们以所使用的密码模式继续下面的流程。
Spring Security登录方式
dnf9906的博客
02-02 5374
目录用过滤器(使用json传参方式登录SecurityConfig配置账号密码手机号验证码使用使用过滤器实现(使用form表单传参方式登录用过滤器(使用json传参方式登录SecurityConfig配置 import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.http
Spring Security 解析(七) —— Spring Security Oauth2 源码解析
qq_22178703的博客
09-25 1531
Spring Security 解析(七) —— Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象...
SpringSecurity+OAUTH2集成登录方式
无望丶
04-11 3901
Authorization Code(授权码模式):授权码模式, 通过授权码获取token进行资源访问。Implicit(简化模式):用于移动应用程序或 Web 应用程序,这种模式比授权码模式少了code环节,回调url直接附带token。Resource Owner Password Credentials(密码模式):资源所有者和客户端之间具有高度信任时(例如,客户端是设备的操作系统的一部分,或者是一个高度特权应用程序, 比如APP, 自研终端等),因为client可能存储用户密码。
Spring Security OAuth2】- Spring Social第三方登录 - QQ登录
smart_an的专栏
10-07 475
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security Oauth2源码BUG认证并发用户身份信息混乱问题
KingdomCoder
04-15 2170
1.背景: 随着业务的增长,线上系统qps越来越高,起初市场同事和客户偶尔会反馈用户看到的信息出现的是自己的信息,但是重新刷新之后就好了,当时我们就对这个问题进行分析,但是都是无疾而终,没有找到问题所在,随着用户增长的基数越来越大,出现这个问题的现象也就更加频繁,所以我们团队对于这个线上事故就非常重视,开始对于整个请求链路分析,我们用户端使用的是一款我们自研的客户端,当时我们分析出来可能存在的几个原因: 同一个客户端,同用户登录,本地缓存的token混乱。 客户端因为某种特定场景下拿到了别人的toke
springCloud微服务系列——OAuth2+JWT——spring-security4升级到spring-security5
guduyishuai的博客
08-27 4796
目录 一、简介 二、问题 三、源码分析 四、解决方案 一、简介         spring boot2spring cloud Finchley版本使用的是spring-security5,在升级的过程中OAuth2+JWT遇到一些问题,这里记录一下。环境如下:         spring boot 2.0.3         spring cloud Finchley  ...
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。管小白还是...
spring-security登录页面配置
09-17
spring-security登录页面配置,包括前台和后台分开登录界面,注销登录返回同的界面等。
spring-security-oauth2源码
06-30
spring security oauth2的源码,方便研究,备份一下。
Spring Security Oauth2 之 架构源码解读
weixin_30914981的博客
04-03 486
本篇追踪源码阐述获Security的认证的基本流程密码模式请求/oauth/token ,获取令牌(access_token)经过客户端认证核心过滤器ClientCredentialsTokenEndpointFilter(attemptAuthentication)获取clientId,clientSecret组装成一个UsernamePassword...
spring-security-oauth2(十八 ) SpringSecurityOAuth核心源码解析
codeing-tiger
04-17 795
要重写我们前面已经写好的三种认证模式,使其支持token我们有必要对源码进行一定的了解才能进行扩展。 绿色的代表类,蓝色的代表接口 TokenEndpoint :整个流程入口点,可以理解成controller ClentDetailsService : 读取第三方应用信息 TokenRequest : 封装了提交的参数信息,ClentDetails也封装其中 TokenGranter ...
Spring Security Oauth2源码分析
小小本科生
07-16 1410
1、用户发起了一个未经身份验证的请求。2Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
【小技巧】spring security oauth2 令牌实现终端登录状态同步
冷冷的博客
09-20 6721
目的说明 解决同客户端使用token,各个客户端的登录状态必须保持一致,退出状态实现一致。同上述问题类似如何解决同租户相同用户名的人员的登录状态问题。 默认的DefaultTokenServices 创建逻辑 @Transactional public OAuth2AccessToken createAccessToken(OAuth2Authentication auth...
SpringBoot + Spring Security登录方式:账号+微信网页授权登录
程序员闪充宝
04-05 3616
大家好,我是宝哥!一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还太熟悉,可以参考:1、Springboot + Spring Security实现前后...
Spring Security Oauth2认证源码解析
alan_liuyue的博客
08-17 2726
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较的源码,非关键性代码以…代替。 准备工作 首先开启debug信息: logging: level: org.springframework: DEBUG 可以完整的看到内部的运转流程。 client模式稍微简单一些,使用client模式获取tokenhttp://localhost:808...
深入解析Spring Security 3源码与工具应用
源码分析:分析Spring Security的源代码,以帮助开发者更好地理解框架内部机制和实现原理。 4. 附录和工具: - 博文链接:提供的链接可能包含了书籍的书评、使用心得、特定部分的深入解析,或者是作者或读者关于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值