spring-security-oauth2 源码分析B路线(一)

最新推荐文章于 2024-10-10 07:45:32 发布
原创 最新推荐文章于 2024-10-10 07:45:32 发布 · 572 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring cloud

文章目录

前言

在开始之前务必下载好源码 spring-security-oauth2-2.3.x版本https://codeload.github.com/spring-projects/spring-security-oauth/zip/2.3.x
并基于 spring-security-oauth2 配置(二),将注解配置开始分析源码称为A路线 ,将授权模式访问分析源码称为B路线
A路线与B路线互相印证。

密码模式

本篇从密码授权模式开始进行分析源码

TokenEndpoint

TokenEndpoint端点中定义了访问路径 /oauth/token,适用于密码模式、授权码模式通过code获取token、刷新token。

由于 /oauth/token 默认配置需要授权,将会被spring-security中的拦截器链代理FilterChainProxy拦截进行处理调用。根据RequestMatcher匹配请求返回对应的过滤器链,然后将其包装成FilterChainProxy中私有类VirtualFilterChain,调用其doFilter方法(DefaultSecurityFilterChain是在HttpSecurity中初始化),最终根据授权服务器AuthorizationServerSecurityConfigurer对象是否配置allowFormAuthenticationForClients(是否允许表单形式访问),使用不同的filter,如果配置该参数将配置ClientCredentialsTokenEndpointFilter,并匹配处理。
在这里插入图片描述
由ClientCredentialsTokenEndpointFilter的父类抽象类AbstractAuthenticationProcessingFilter判断是否是认证请求,通过验证后由ClientCredentialsTokenEndpointFilter实现父类抽象方法attemptAuthentication处理
如果没有配置allowFormAuthenticationForClients,默认由BasicAuthenticationFilter匹配并处理

ClientCredentialsTokenEndpointFilter

ClientCredentialsTokenEndpointFilter:表单传参的客户端信息过滤器
如果配置allowFormAuthenticationForClients在AuthorizationServerSecurityConfigurer中配置
ClientCredentialsTokenEndpointFilter

	@Override
	public void configure(HttpSecurity http) throws Exception {
   
   
		
		// ensure this is initialized
		frameworkEndpointHandlerMapping();
		// 如果允许表单传参client信息,则配置ClientCredentialsTokenEndpointFilter,拦截url为/oauth/token的请求
		if (allowFormAuthenticationForClients) {
   
   
			clientCredentialsTokenEndpointFilter(http);
		}

		for (Filter filter : tokenEndpointAuthenticationFilters) {
   
   
			http.addFilterBefore(filter, BasicAuthenticationFilter.class);
		}

		http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);
	}

并将其加入到BasicAuthenticationFilter之前。
在这里插入图片描述
获取request中的clientId与clientSecret组装成UsernamePasswordAuthenticationToken并交给authenticationManager进行认证。这里的authenticationManager匹配到使用ClientDetailsUserDetailsService的DaoAuthenticationProvider,ClientDetailsUserDetailsService中调用ClientDetailsService获取ClientDetails,并组装成UserDetails,AbstractUserDetailsAuthenticationProvider再将UserDetails进行校验、组装成认证通过的UsernamePasswordAuthenticationToken。

		
		/**
		 * 获取request中的clientId与clientSecret组装成UsernamePasswordAuthenticationToken并交给authenticationManager
		 * 进行认证
		 */
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(clientId,
				clientSecret)
最低0.47元/天 解锁文章
spring-security-oauth2 源码分析A路线
dev3932的博客
12-25 660
文章目录前言、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 本篇分析spring-security-oauth2 源码,从最初的注解开始,步逆向分析源码。逆向分析跳跃性会比较大些,需要仔细分析。 提示:以下是本篇文章正文内容,下面案例可供参考 、pandas是什么? 示例:pandas 是基于NumPy 的种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as
oauth2自定义granter与provider实现自定义身份认证
weixin_45738731的博客
05-17 1333
oauth接收到了你传入的grant_type,并把你的请求转发到了你自己的Granter,但谁来进行真正的用户信息合法性校验呢?这段代码比较简单,说白了,当用户进行身份校验时,如果传入的grant_type为group_token_authentication,那么则自动进入这段逻辑创建GroupCompanyAuthenticationToken对象的实例,并将request接收到的参数传入。同时,还提供了认证模式的扩展机制,以便于我们在遇到特殊情况时根据自己的需求来完成身份验证。
spring security-源码流程分析(六)-oauth授权模式分析
luoxiaomei999的博客
04-13 1318
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在上篇的基础上进行,继续追踪看下不同类型模式的grant方法到底做了什么 、ResourceOwnerPasswordTokenGranter 1、从继承关系可以看到,父类AbstractTokenGranter 2、在getOAuth2Authentication方法中进入子类自己的方法 注意,.
Spring Security OAuth2 源码分析(二) TokenGranter
咖啡的博客
03-20 7504
TokenEndPoint 获取令牌过程中, 有个这样的步骤: OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest); TokenGranter, 字面上的理解: 令牌授予者。 以下是各授权模式对应的 TokenGranter: 实现类 对应的授权模式...
SpringSecurity Oauth2 - 密码认证获取访问令牌源码分析
你今天真好看呀
09-01 1838
① 过滤器链:在Spring Security的配置中,这些过滤器通常被配置在个过滤器链中,这样每个请求都会经过这些过滤器,并根据请求路径、请求参数和方法来决定该请求需要经过哪些过滤器的处理。③ 令牌存储:这些过滤器通常会结合令牌存储(例如内存存储、数据库存储或JWT存储)起使用,以管理访问令牌和刷新令牌的生成、存储、验证和撤销。在这个类中,你可以配置上述的过滤器,并指定授权路径、令牌路径、客户端详细信息服务、以及各种授权方式的处理逻辑。② 用户凭证验证:如果客户端验证通过,,确保客户端的合法性。
spring-security-oauth2源码
06-30
Spring Security OAuth2个强大的框架,用于为Java应用提供OAuth2和OpenID Connect安全功能。OAuth2个授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而OpenID Connect则是在OAuth2之上...
OAuth2spring-security-oauth2
dev3932的博客
12-24 779
OAuth2spring-security-oauth2OAuth2OAuth2是什么OAuth2中4种授权模式spring-security-oauth2spring-security-oauth2是什么搭建spring-security-oauth2案例环境版本pom.xmlapplication.yml目录结构密码模式获取token访问受保护的资源授权码模式获取code获取token访问受保护的资源结语 OAuth2 OAuth2是什么 关于这块概念可以参考: https://www.jianshu
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2909
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Security OAuth2- spring security - 认证流程源码级详解
最新发布
smart_an的专栏
10-10 1121
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家起学习,起进步,起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
热门推荐
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
6 客户端认证方式 之 client_secret_basic & client_secret_post
Markix的博客
09-28 7159
client_secret_basic 和 client_secret_post 认证方式都是将客户端的 client_id 和 client_secret 传递给授权服务器,授权服务器接收到请求,则根据不同的认证方式从请求中解析出来客户端信息,对 client_secret 进行验证。
IIS7入门之旅:(2)如何实现和加载自定义的Basic Authentication模块
weixin_33892359的博客
01-08 469
察看原文,请参阅:http://learn.iis.net/page.aspx/170/developing-a-module-using-net/ 前言: 相对于IIS6,在IIS7中,最为显著的变化之就是功能模块的组件化,也就是说可以根据自己的需要,加载或者拆卸组件,从而最大限度减轻server的负担。同时对于些组件,也提供了相应的接口,用户可以自己重写这些组件,从而提供更加个性化的功...
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4863
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
springsecurity登录(自己随意笔记)
yangxin_blog的专栏
06-25 534
springsecurity登录 首先 1.UsernamePasswordAuthenticationFilter->attemptAuthentication (AbstractAuthenticationProcessingFilter 父类 ) successfulAuthentication 1.1 ProviderManager-> authenticate 1.1.1 ...
SpringSecurity身份认证方式及底层源码学习
酱酱的博客
05-22 609
SpringSecurity分为两种 HttpBasic 是弹窗认证方式。 HttpForm 是表单认证方式。 它们都有默认的页面来使用。 1. 首先我们需要创建配置类,此类需要加上@EnableWebSecurity证明 启动springSecurity过滤链功能,需要重写两个方法 /** 身份认证过滤器 2. 认证信息提供方式(用户名,密码,当前用户的资源权限) 3. 可采的内存存储方式,也可采用数据库方式等。 */ configure(AuthenticationManagerBuilder
Spring Security OAuth2授权原理、流程与源码解读
swg321321的博客
06-21 2786
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
spring security自定义认证和自定义授权
kingf_muzl的博客
02-07 871
spring security自定义认证和自定义授权 第种方式:自定义login接口: public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //通过的url
spring-security-oauth2-authorization-server client_secret_basic 认证模式
你的世界我做主
06-18 1347
【代码】spring-security-oauth2-authorization-server client_secret_basic 认证模式。
重写basic认证
weixin_48508049的博客
12-30 193
basic认证 basic认证代码,可以放在之前写的aop自定义注解的@Before里,实现加个注解就能搞个basic认证的效果 代码如下 RequestAttributes ra = RequestContextHolder.getRequestAttributes(); ServletRequestAttributes sra = (ServletRequestAttributes) ra; assert sra != null; HttpServle
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值