Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)

最新推荐文章于 2025-10-28 11:21:36 发布
原创 最新推荐文章于 2025-10-28 11:21:36 发布 · 1.4w 阅读 · 35 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

https://blog.youkuaiyun.com/bluuusea/article/details/80284458

1.本文介绍的认证流程范围

本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。

2.认证会用到的相关请求

注:所有请求均为post请求。

  • 获取access_token请求(/oauth/token)
    请求所需参数:client_id、client_secret、grant_type、username、password
http://localhost/oauth/token?client_id=demoClientId&client_secret=demoClientSecret&grant_type=password&username=demoUser&password=50575tyL86xp29O380t1
  • 检查头肯是否有效请求(/oauth/check_token)
    请求所需参数:token
http://localhost/oauth/check_token?token=f57ce129-2d4d-4bd7-1111-f31ccc69d4d1
  • 刷新token请求(/oauth/token)
    请求所需参数:grant_type、refresh_token、client_id、client_secret
    其中grant_type为固定值:grant_type=refresh_token
http://localhost/oauth/token?grant_type=refresh_token&refresh_token=fbde81ee-f419-42b1-1234-9191f1f95be9&client_id=demoClientId&client_secret=demoClientSecret

2.认证核心流程

注:文中介绍的认证服务器端token存储在Reids,用户信息存储使用数据库,文中会包含相关的部分代码。

2.1.获取token的主要流程:

加粗内容为每一步的重点,不想细看的可以只看加粗内容:

  1. 用户发起获取token的请求。
  2. 过滤器会验证path是否是认证的请求/oauth/token,如果为false,则直接返回没有后续操作。
  3. 过滤器通过clientId查询生成一个Authentication对象
  4. 然后会通过username和生成的Authentication对象生成一个UserDetails对象,并检查用户是否存在。
  5. 以上全部通过会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。
  6. postAccessToken方法中会验证Scope,然后验证是否是refreshToken请求等。
  7. 之后调用AbstractTokenGranter中的grant方法。
  8. grant方法中调用AbstractUserDetailsAuthenticationProvider的authenticate方法,通过username和Authentication对象来检索用户是否存在
  9. 然后通过DefaultTokenServices类从tokenStore中获取OAuth2AccessToken对象
  10. 然后将OAuth2AccessToken对象包装进响应流返回

2.2.刷新token(refresh token)的流程

刷新token(refresh token)的流程与获取token的流程只有⑨有所区别:

  • 获取token调用的是AbstractTokenGranter中的getAccessToken方法,然后调用tokenStore中的getAccessToken方法获取token。
  • 刷新token调用的是RefreshTokenGranter中的getAccessToken方法,然后使用tokenStore中的refreshAccessToken方法获取token。

2.3.tokenStore的特点

tokenStore通常情况为自定义实现,一般放置在缓存或者数据库中。此处可以利用自定义tokenStore来实现多种需求,如:

  • 同已用户每次获取token,获取到的都是同一个token,只有token失效后才会获取新token。
  • 同一用户每次获取token都生成一个完成周期的token并且保证每次生成的token都能够使用(多点登录)。
  • 同一用户每次获取token都保证只有最后一个token能够使用,之前的token都设为无效(单点token)。

3.获取token的详细流程(代码截图)

3.1.代码截图梳理流程

1.一个比较重要的过滤器
这里写图片描述
2.此处是①中的attemptAuthentication方法

最低0.47元/天 解锁文章
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 4205
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
oauth2密码授权模式
u013008898的博客
03-23 1613
Oauth2提供的默认端点 /oauth/authorize:授权端点 /oauth/token:令牌端点 /oauth/confirm_access:用户确认授权提交端点 /oauth/error:授权服务错误信息端点 /oauth/check_token:用于资源服务访问的令牌解析端点 /oauth/token_key:提供公有密匙的端点,如果使用JWT令牌的话 =========...
OAuth2中访问/oauth2/token报invalid_client问题的解决办法
miniminiyu的博客
01-29 4413
遇到的问题:在使用postman调/oauth2/token这个接口的时候,报invalid_client。
【开发心得】SpringBoot Oauth2授权登录
最新发布
2509_92430044的博客
10-28 604
oauth2相关学术概念网上一抓一大把,我们这里通过案例讲述实际对接。基于SpringBoot2.x后端方式实现oauth2授权登录。博主对接的时间为2024年3月份,当时 AppleID JustAuth1.16.6版本是不支持的,刚跟进了下,发现1.16.7在2024年9月已经更新了,可以直接拿来用。免责声明: 非具体业务代码,仅指导性代码用来学术交流。1. 微软的授权登录有点特别,justAuth1.16.6的默认实现是有问题的,主要是微软的细节存在变更。@Override// 用户信息必备。
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 3939
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
OAuth2认证流程简洁说明
陈小峰(iefreer)的专栏
01-06 6361
OAuth2认证协议涉及3方(应用、用户和服务方),加之流程较为繁琐,实现命名不尽相同,容易忘记和混淆,简述认证流程如下(以新浪微博为例),以便于记忆:1、向使用OAuth2认证的服务方申请应用,获取应用的consumer_key(应用唯一标识)和consumer_secret(应用私钥)2、使用key/secret向服务方请求用户授权Token(code也就是authorization_code
oauth2 java 获取token_springSecurity + OAuth2 获取Token流程分析以及增加协议授权模式...
weixin_33726568的博客
02-19 444
packagecom.lpw.CustomerSecurity;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuratio...
Spring Security OAuth2】- spring security - 认证流程源码级详解
smart_an的专栏
10-10 1109
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security Oauth2 认证流程
山巅
09-16 5817
spring security oauth2 登录源码分析一、org.springframework.security.web.authentication.www.BasicAuthenticationFilter的功能二、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint1、org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 转换成tok
100 spring-security 中 /oauth/token 发送请求不携带参数 报错 “401 Unauthorized“
970655147的专栏
03-06 2795
前言 最近存在这样的一个问题, 大致的复现方式是 访问 /oauth/token 接口, 然后不携带任何参数, 结果 服务器抛出了一个 "401 Unauthorized" 针对这个 401, 这里 梳理一下这个流程, 也会衍生出一些其他的问题 测试用例 客户端这边大致的情况是 构造参数, 然后发送请求, 上面两个 参数封装到查询字符串的请求是可以正常处理 后面两个 未携带参数 的请求发送, 报错 "401 Unauthorized" 我们这里主要关心 这里的未携带参数 的异常场...
Springsecurity-oauth2之/oauth/token的处理
weixin_34257076的博客
04-01 2万+
2019独角兽企业重金招聘Python工程师标准>>> ...
Re:从零开始的Spring Security Oauth2(三)
热门推荐
徐靖峰的专栏
08-10 6万+
上一篇文章中我们介绍了获取token流程,这一篇重点分析一下,携带token访问受限资源时,内部的工作流程。@EnableResourceServer与@EnableAuthorizationServer还记得我们在第一节中就介绍过了OAuth2的两个核心概念,资源服务器与身份认证服务器。我们对两个注解进行配置的同时,到底触发了内部的什么相关配置呢?上一篇文章重点介绍的其实是与身份认证相关的流程
SpringSecurity Oauth2 - 05 /oauth/token请求认证流程源码分析
你今天真好看呀
11-06 1932
因为这一讲内容和上一讲内容关联较大,这里再把上一讲内容的核心点过一遍,关于资源服务器和认证服务器项目结构的搭建就不多说了,前面已经讲解过。/*** 认证* @param authentication 待认证的对象 principal:loginJsonString, credentials:""* @return Authentication 认证成功后填充的对象* @throws AuthenticationException 异常。
Spring Security OAuth2.0()-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1767
新增“implicit” 和修改回调地址为本次地址。
SpringSecurity+Oauth2+Token
m0_46708637的博客
06-12 710
SpringSecurity 核心功能 认证 授权 攻击防护(防止伪造身份) SpringSecurity的核心是一组过滤器链,项目启动后会自动配置。最核心的是Basic Authentication Filter用于认证用户身份,是一个在框架中一种过滤处理的认证方式。 以上绿色过滤器可以配置是否生效,其他的不可配置。 Oauth2 Oauth Oauth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分析他们数
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4852
上文讲到在密码模式OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
spring security oauth2 内部调用/oauth/token接口
08-07
Spring Security OAuth2 中,内部服务调用 `/oauth/token` 接口获取令牌时,需要确保请求的格式、认证方式以及权限配置均符合 OAuth2 协议的要求。以下是实现该功能的关键步骤和注意事项。 ### 3.1 请求格式与参数设置 调用 `/oauth/token` 接口时,必须使用 `application/x-www-form-urlencoded` 格式,并传递必要的参数,包括 `grant_type`、`client_id` 和 `client_secret`。如果是密码模式,还需要提供 `username` 和 `password`。例如: ```java Map<String, String> params = new HashMap<>(); params.put("grant_type", "password"); params.put("client_id", "your_client_id"); params.put("client_secret", "your_client_secret"); params.put("username", "user"); params.put("password", "password"); ``` 请求头中应设置 `Content-Type: application/x-www-form-urlencoded`,以确保服务端能正确解析参数[^2]。 ### 3.2 安全配置放行 `/oauth/token` 接口 默认情况下,Spring Security 会对 `/oauth/token` 接口进行安全限制。为了允许内部服务调用该接口,需在 `HttpSecurity` 配置中放行该路径: ```java @Override public void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth/token").permitAll() .anyRequest().authenticated() .and() .httpBasic() .and() .csrf().disable(); } ``` 此配置确保 `/oauth/token` 接口无需认证即可访问,同时其他接口仍受保护[^1]。 ### 3.3 使用 RestTemplate 发起请求 在 Spring 应用中,通常使用 `RestTemplate` 或 `WebClient` 发起 HTTP 请求。以下是一个使用 `RestTemplate` 的示例: ```java @Autowired private RestTemplate restTemplate; public String getAccessToken() { String tokenUrl = "http://auth-server/oauth/token"; HttpHeaders headers = new HttpHeaders(); headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED); headers.setBasicAuth("your_client_id", "your_client_secret"); HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(params, headers); ResponseEntity<String> response = restTemplate.postForEntity(tokenUrl, request, String.class); return response.getBody(); } ``` 该请求使用 `Basic Auth` 对客户端进行认证,并以 `application/x-www-form-urlencoded` 格式提交参数[^2]。 ### 3.4 自定义 Token 服务配置 确保 `DefaultTokenServices` 正确配置了 `TokenStore` 和 `ClientDetailsService`,以支持令牌的生成与验证: ```java @Bean public DefaultTokenServices tokenServices(TokenStore tokenStore, ClientDetailsService clientDetailsService) { DefaultTokenServices tokenServices = new DefaultTokenServices(); tokenServices.setTokenStore(tokenStore); tokenServices.setClientDetailsService(clientDetailsService); tokenServices.setSupportRefreshToken(true); return tokenServices; } ``` 如果 `TokenStore` 或 `ClientDetailsService` 未正确配置,可能导致 Token 生成失败或无法验证客户端信息[^4]。 ### 3.5 处理 401 认证错误 在调用 `/oauth/token` 接口时,如果返回 `401 authentication is required` 错误,通常是因为客户端认证失败。确保客户端信息(`client_id` 和 `client_secret`)正确,并且在数据库中已注册。此外,检查 `ClientDetailsService` 的实现是否正确加载客户端信息[^3]。 ###
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hello_world!

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值