spring-security-oauth2的token创建原理

最新推荐文章于 2025-06-25 10:30:46 发布
最新推荐文章于 2025-06-25 10:30:46 发布
阅读量2.5k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jshayzf/article/details/89947057
本文深入探讨了spring-security-oauth2在创建token时的内部工作原理,重点解析了AuthorizationServerEndpointsConfigurer的角色以及DefaultTokenServices如何参与token的生成过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer

此类默认配置了创建access_token需要用到的一些组件,

比如: AuthorizationServerTokenServices(默认为DefaultTokenServices);TokenStore等

2. 如果用的默认配置,那么会调用到org.springframework.security.oauth2.provider.token.DefaultTokenServices里的

createAccessToken(OAuth2Authentication authentication)来生成token。首先会从TokenStore里检查有没有存在过,如果已经存在了,直接返回existingAccessToken. 所以同一个用户如果调了登陆接口多次,在原来token没有过期的情况下,会返回同样的token。

	@Transactional
	public OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws AuthenticationException {

		OAuth2AccessToken existingAccessToken = tokenStore.getAccessToken(authentication);
		OAuth2RefreshToken refreshToken = null;
		if (existingAccessToken != null) {
			if (existingAccessToken.isExpired()) {
				if (existingAccessToken.getRefreshToken() != null) {
					refreshToken = existing
最低0.47元/天 解锁文章

200万优质内容无限畅学
oauth2使用jwt生成token
weixin_32445909的博客
06-18 1286
1,依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-
OAuth 2.0 协议原理与实现:token 生成策略
chunqingtai2922的博客
06-22 1988
OAuth2.0 协议定义了授权详细流程,并最终以 token 的形式作为用户授权的凭证下发给客户端,客户端后续可以带着 token 去请求资源服务器,获取 token 权限范围内的用户资源。 对于 token 的描述,OAuth 2.0 协议只是一笔带过的说它是一个字符串,用于表示特定的权...
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 7110
使用oauth2生成 token 的流程+续命
深入理解OAuth2.0 原理
最新发布
u012361112的博客
06-25 1289
本文系统介绍了四种登录认证机制:1. 单系统Cookie&Session:Cookie存储客户端数据(4KB限制),Session存储服务器敏感数据,通过SessionID协同工作,适用于单系统登录管理 2. 同域SSO单点登录:利用域级Cookie共享特性(如.app1.example.com),配合统一认证中心和共享Session存储,实现同域多系统一次登录 3. OAuth2.0授权框架:通过授权码模式等四种方式,让第三方应用无需密码即可安全获取用户资源权限,包含客户端注册/授权请求/令牌交换
SpringSecurityOAuth2 令牌accessToken生成过程
clonetx的博客
05-20 9373
SpringSecurityOAuth2 令牌的生成过程的主要代码分析
spring-security-oauth2-authorization-server(二)Token生成分析之JWT Token和Opaque Token
weixin_42229668的博客
09-17 7805
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
spring-boot spring-security-oauth2 完整demo
11-22
本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这三个框架如何协同工作,以及如何通过类似微信的方式获取token并访问资源。 首先,Spring Boot是基于Spring框架的快速开发工具...
spring-security-oauth2-authorization-server.zip
08-25
通过这个项目,你可以深入理解Spring Security OAuth2的工作原理,以及如何将其集成到Spring Boot应用中。这将帮助你在实际项目中构建更安全、更可控的API接口,确保用户数据的安全。同时,它也为你提供了扩展和...
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。...通过理解OAuth2的工作原理Spring Security的集成方式,开发者可以构建出更加健壮、安全的微服务架构。
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2768
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
源码分析 - Spring Security OAuth2 生成 token 的执行流程
nimo10050的博客
06-29 7172
前言 本文内容基于 Spring Security OAuth2(2.3.5.RELEASE) 源码进行分析. 正文 获取 token 的默认请求路径是 /oauth/token 获取 token 的入口是 TokenEndpoint 类 该请求接收的参数有两个 Principal principal Map<String, String> parameters 详细流程 当一个请求打到 oauth/token 时: 调用 ClientDetailsService 类的 loadClie
springsecurity+oauth2自定义生成jwt token
weixin_45069429的博客
07-15 904
最近在重构公司用户中心,所以自己对oauth有了一点新的理解,因为公司业务形态需求使用默认的四种模式都不太合适,所以选择自定义实现token的下发,本文需要对oauth流程有一定理解可能会容易看一点,只是主要流程的部分实现。 时...
Spring Oauth2-Authorization-Server中OAuth2TokenGenerator 生成
面朝大海,春暖花开
05-04 2641
Spring Oauth2-Authorization-Server OAuth2TokenGenerator token生成 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2TokenGenerator @FunctionalInterface public interface OAuth2TokenGenerator<T extends OAuth2Token> { /** * Generate an OAuth
FastAPI 基于OAuth2和JWT的Token认证机制(一)生成token
高压锅博客
06-18 1200
1. OAuth2PasswordBearer OAuth2PasswordBearer是接收URL作为参数的一个类:客户端会向该URL发送username和password参数,然后得到一个token值。 OAuth2PasswordBearer并不会创建相应的URL路径操作,只是指明了客户端用来获取token的目标URL。 当请求到来的时候,FastAPI会检查请求的Authorization头信息,如果没有找到Authorization头信息,或者头信息的内容不是Bearer token,它会返
SpringSecurity OAuth2中关于创建Token的实现类DefaultTokenServices及TokenStore实现类的详解
向心行者
01-17 5815
5、AuthorizationServerTokenServices 生成Token   AuthorizationServerTokenServices接口提供了创建Token、刷新Token、获取Token的方法,如下所示: public interface AuthorizationServerTokenServices { OAuth2AccessToken createAccessToken(OAuth2Authentication authentication) throws Authent
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 3622
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
Spring Security OAuth2.0 token生成与刷新机制源码阅读
Mr1ght的博客
07-09 2907
一.介绍 Spring Security Oauth2是目前市面上非常流行的实现了OAuth2.0协议的权限框架。本文会介绍其是如何获取token以及刷新token的。 二.AbstractEndPoint Spring Security OAuth2的获取token、校验token等接口均配置在EndPoint中的 AuthorizationEndpoint主要是第三方授权模式中的 获取code的流程接口 http://localhost:xxxx/auth/oauth/authorize Toke
springcloud oauth2 授权码模式.密码模式之redis存储token
csdnmuyi的博客
07-14 3609
授权码模式 需要创建 的三个模块,分别是认证服务器,资源服务器,还有就是网关,这里就简单做这几个模块分别为uaa,order,gateway 1.创建一个父工程 其pom.xml: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instanc.
使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)
FAIRYTAIL的博客
08-31 7047
自定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain中,最后设置到端点中endpoints.tokenEnhancer(tokenEnhancerChain)。
spring-security-oauth2-authorization-server /oauth2/token
01-10
### 配置和使用 `/oauth2/token` 端点 在 Spring Security OAuth2 授权服务器中,正确配置和使用 `/oauth2/token` 端点涉及多个方面。以下是详细的说明: #### 1. 添加依赖项 为了使应用程序能够处理 OAuth2 认证请求并提供令牌服务,需确保项目中的 `pom.xml` 或构建文件已包含必要的依赖项。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-authorization-server</artifactId> </dependency> ``` #### 2. 启用授权服务器功能 通过创建一个配置类来启用授权服务器的功能,并指定支持的客户端认证方式以及授予类型。 ```java @Configuration(proxyBeanMethods = false) public class AuthorizationServerConfig { @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString()) .clientId("client-id") .clientSecret("{noop}secret") .scope(OidcScopes.OPENID) .redirectUri("http://localhost:8080/login/oauth2/code/messaging-client-oidc") .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC) .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE) .build(); return new InMemoryRegisteredClientRepository(registeredClient); } @Bean public OAuth2AuthorizationService authorizationService(JdbcTemplate jdbcTemplate, RegisteredClientRepository registeredClientRepository) { return new JdbcOAuth2AuthorizationService(jdbcTemplate, registeredClientRepository); } } ``` 此部分代码定义了一个内存中的注册客户端仓库,并设置了相应的授权服务实例[^1]。 #### 3. 定义安全配置 设置 HTTP 请求的安全策略,允许访问 `/oauth2/token` 路径下的资源仅限于经过身份验证后的客户端应用。 ```java @EnableWebSecurity(debug = true) public class SecurityConfiguration extends WebSecurityConfigurerAdapter { private final RegisteredClientRepository registeredClientRepository; // 构造函数注入 protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/**").permitAll() .anyRequest().authenticated(); http.oauth2ResourceServer(oauth2 -> oauth2.jwt()); http.oauth2Login(Customizer.withDefaults()); http.formLogin(form -> form.loginPage("/login") .permitAll() ); http.apply(new OAuth2AuthorizationServerConfigurer<>()) .and() .authorizeRequests(authorizations -> authorizations.mvcMatchers("/oauth2/token").permitAll()); http.csrf(csrf -> csrf.disable()); } } ``` 上述配置启用了基于 JWT 的资源服务器保护机制,并开放了对 `/oauth2/token` API 的无条件访问权限以便测试目的;实际部署时应根据需求调整安全性措施[^2]。 #### 4. 测试接口调用 完成以上步骤之后,可以利用 Postman 或其他工具向该 URL 发送 POST 请求来进行 token 获取操作。注意要携带正确的参数如 client_id 和 client_secret 进行基本认证。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值