Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)

最新推荐文章于 2025-06-18 16:44:27 发布
最新推荐文章于 2025-06-18 16:44:27 发布
阅读量1.4w 收藏 35
点赞数 9
CC 4.0 BY-SA版权
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/djrm11/article/details/105055013

https://blog.youkuaiyun.com/bluuusea/article/details/80284458

1.本文介绍的认证流程范围

本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。

2.认证会用到的相关请求

注:所有请求均为post请求。

  • 获取access_token请求(/oauth/token)
    请求所需参数:client_id、client_secret、grant_type、username、password
http://localhost/oauth/token?client_id=demoClientId&client_secret=demoClientSecret&grant_type=password&username=demoUser&password=50575tyL86xp29O380t1
  • 检查头肯是否有效请求(/oauth/check_token)
    请求所需参数:token
http://localhost/oauth/check_token?token=f57ce129-2d4d-4bd7-1111-f31ccc69d4d1
  • 刷新token请求(/oauth/token)
    请求所需参数:grant_type、refresh_token、client_id、client_secret
    其中grant_type为固定值:grant_type=refresh_token
http://localhost/oauth/token?grant_type=refresh_token&refresh_token=fbde81ee-f419-42b1-1234-9191f1f95be9&client_id=demoClientId&client_secret=demoClientSecret

2.认证核心流程

注:文中介绍的认证服务器端token存储在Reids,用户信息存储使用数据库,文中会包含相关的部分代码。

2.1.获取token的主要流程:

加粗内容为每一步的重点,不想细看的可以只看加粗内容:

  1. 用户发起获取token的请求。
  2. 过滤器会验证path是否是认证的请求/oauth/token,如果为false,则直接返回没有后续操作。
  3. 过滤器通过clientId查询生成一个Authentication对象
  4. 然后会通过username和生成的Authentication对象生成一个UserDetails对象,并检查用户是否存在。
  5. 以上全部通过会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。
  6. postAccessToken方法中会验证Scope,然后验证是否是refreshToken请求等。
  7. 之后调用AbstractTokenGranter中的grant方法。
  8. grant方法中调用AbstractUserDetailsAuthenticationProvider的authenticate方法,通过username和Authentication对象来检索用户是否存在
  9. 然后通过DefaultTokenServices类从tokenStore中获取OAuth2AccessToken对象
  10. 然后将OAuth2AccessToken对象包装进响应流返回

2.2.刷新token(refresh token)的流程

刷新token(refresh token)的流程与获取token的流程只有⑨有所区别:

  • 获取token调用的是AbstractTokenGranter中的getAccessToken方法,然后调用tokenStore中的getAccessToken方法获取token。
  • 刷新token调用的是RefreshTokenGranter中的getAccessToken方法,然后使用tokenStore中的refreshAccessToken方法获取token。

2.3.tokenStore的特点

tokenStore通常情况为自定义实现,一般放置在缓存或者数据库中。此处可以利用自定义tokenStore来实现多种需求,如:

  • 同已用户每次获取token,获取到的都是同一个token,只有token失效后才会获取新token。
  • 同一用户每次获取token都生成一个完成周期的token并且保证每次生成的token都能够使用(多点登录)。
  • 同一用户每次获取token都保证只有最后一个token能够使用,之前的token都设为无效(单点token)。

3.获取token的详细流程(代码截图)

3.1.代码截图梳理流程

1.一个比较重要的过滤器
这里写图片描述
2.此处是①中的attemptAuthentication方法

最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security Oauth2 认证获取token/刷新token流程
weixin_33720078的博客
03-06 1083
文章原作者链接地址:https://blog.csdn.net/gangsijay888/article/details/81977796 记下来以便以后查看 1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取acce...
spring security oauth其中的/oauth/token做了哪些
u013911102的博客
09-11 6481
项目场景: 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handler.obtainMessage()和 Handler.sendMessage(),其中 obtainMessage 方式当数据量过大时,由于 MessageQuene 大小也有限,所以当 message 处理不及时时,会造成先传的数据被覆盖,进而.
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 3582
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
OAuth2中的Token
最新发布
少湖说
06-18 211
OAuth2中的Token分为用户Token和客户端Token两种。用户Token与用户信息关联,可通过授权码模式(需用户授权)或密码模式(直接提交凭证)获取;客户端Token仅与客户端认证相关,使用客户端ID和密码获取,防止接口滥用。二者区别在于是否关联用户身份。
100 spring-security 中 /oauth/token 发送请求不携带参数 报错 “401 Unauthorized“
970655147的专栏
03-06 2618
前言 最近存在这样的一个问题, 大致的复现方式是 访问 /oauth/token 接口, 然后不携带任何参数, 结果 服务器抛出了一个 "401 Unauthorized" 针对这个 401, 这里 梳理一下这个流程, 也会衍生出一些其他的问题 测试用例 客户端这边大致的情况是 构造参数, 然后发送请求, 上面两个 参数封装到查询字符串的请求是可以正常处理 后面两个 未携带参数 的请求发送, 报错 "401 Unauthorized" 我们这里主要关心 这里的未携带参数 的异常场...
Springsecurity-oauth2之/oauth/token的处理
热门推荐
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity+Oauth2+Token
m0_46708637的博客
06-12 663
SpringSecurity 核心功能 认证 授权 攻击防护(防止伪造身份) SpringSecurity的核心是一组过滤器链,项目启动后会自动配置。最核心的是Basic Authentication Filter用于认证用户身份,是一个在框架中一种过滤处理的认证方式。 以上绿色过滤器可以配置是否生效,其他的不可配置。 Oauth2 Oauth Oauth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分析他们数
oauth2 java 获取token_springSecurity + OAuth2 获取Token流程分析以及增加协议授权模式...
weixin_33726568的博客
02-19 413
packagecom.lpw.CustomerSecurity;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuratio...
Spring Security OAuth2】- spring security - 认证流程源码级详解
smart_an的专栏
10-10 1014
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring security Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter)
qq_42315935的博客
11-16 1万+
Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter) 首先来看Oauth 解析token流程 而DefaultAccessTokenConverter使用DefaultUserAuthenticationConverter来解析token信息 可以看到DefaultAccessTokenConverter可以设置 UserAuthenticationConverter,因为我们可以自定义AccessTokenConverter替换也可以自定
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1876
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
SpringSecurityOauth2实现前后端分离的token服务,app登录
一点光辉的博客
02-09 6638
图解认证服务器和资源服务器 用户通过认证服务器获取token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
spring security-源码流程分析(五)-oauth默认请求地址(/oauth/token)是如何生效的?
luoxiaomei999的博客
04-06 4957
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、@FrameworkEndpoint注解的作用 1、在之前的文章中我们看到AuthorizationServerEndpointsConfiguration配置中配置了AuthorizationEndpoint和TokenEndpoint等,他们都是继承自AbstractEndpoint 2、Author.
Spring Security Oauth2获取token流程分析
ityw520的博客
11-28 8096
ClientDetailsService则是读取客户端信息的,也就是根据我们发送/oauth/token请求是存放在Authorization中的username和password,注意这个不是用户的,而是客户端的端点信息。OAuth2Authentication: 这个对象就是将当前授权登录的用户信息,当前授权的是那个客户端信息,还有授权模式是什么,还有一些授权中的其他参数,最终这些数据都会被封装在这个对象中。因为获取token的url是/oauth/token,所以他会进入下面的代码。
Spring-security-oauth2 源码分析 登陆流程 /oauth/check_token ()
峡谷电光马仔的博客
01-12 705
Spring-security-oauth2 源码分析 登陆流程 /oauth/check_token
Spring security oAuth2 check_token Connection refused.
风的狂野的专栏
10-09 1393
如果微服务与指定的spring.cloud.inetutils.preferred-networks配置不在同一网段可能会导致Connection refused,/oauth/check_tokenSpring security oAuth2用来校验token是否合法的方法。 java.lang.RuntimeException: org.springframework.web.client.ResourceAccessException: I/O error on POST request f.
spring-security-oauth2-authorization-server(二)Token生成分析之JWT Token和Opaque Token
weixin_42229668的博客
09-17 7713
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello_world!

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值