OAuth Response

最新推荐文章于 2022-09-10 11:26:19 发布
原创 最新推荐文章于 2022-09-10 11:26:19 发布 · 723 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个用于OAuth2令牌验证的方法,该方法通过构建OAuth2IntrospectionResponseDTO对象来完成令牌的有效性和详细信息验证,包括对令牌的有效期、发行时间、作用域、用户名等属性的检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

public OAuth2IntrospectionResponseDTO buildIntrospectionResponse(OAuth2TokenValidationRequestDTO validationRequest)
           throws IdentityOAuth2Exception {

       OAuth2TokenValidationResponseDTO responseDTO = new OAuth2TokenValidationResponseDTO();
       OAuth2IntrospectionResponseDTO introResp = new OAuth2IntrospectionResponseDTO();
       
       OAuth2TokenValidationMessageContext messageContext =
               new OAuth2TokenValidationMessageContext(validationRequest, responseDTO);

       OAuth2TokenValidationRequestDTO.OAuth2AccessToken accessToken = validationRequest.getAccessToken();
OAuth2TokenValidator tokenValidator = null;
AccessTokenDO accessTokenDO = null;

try {
    tokenValidator = findAccessTokenValidator(accessToken);
} catch (IllegalArgumentException e) {
    // access token not provided.
    return buildIntrospectionErrorResponse(e.getMessage());
}
           
if (!tokenValidator.validateAccessToken(messageContext)) {
    return buildIntrospectionErrorResponse("Access token validation failed");
}

if (messageContext.getProperty(OAuth2Util.REMOTE_ACCESS_TOKEN) != null
   && "true".equalsIgnoreCase((String) messageContext.getProperty(OAuth2Util.REMOTE_ACCESS_TOKEN))) {
    // this can be a self-issued JWT or any access token issued by a trusted OAuth authorization server.

    // should be in seconds
    if (messageContext.getProperty(OAuth2Util.EXP) != null) {
   introResp.setExp(Long.parseLong((String) messageContext.getProperty(OAuth2Util.EXP)));
    }
    // should be in seconds
    if (messageContext.getProperty(OAuth2Util.IAT) != null) {
   introResp.setIat(Long.parseLong((String) messageContext.getProperty(OAuth2Util.IAT)));
    }

    // token scopes - space delimited
    if (messageContext.getProperty(OAuth2Util.SCOPE) != null) {
   introResp.setScope((String) messageContext.getProperty(OAuth2Util.SCOPE));
    }
    // set user-name
    if (messageContext.getProperty(OAuth2Util.USERNAME) != null) {
   introResp.setUsername((String) messageContext.getProperty(OAuth2Util.USERNAME));
    }
    // set client-id
    if (messageContext.getProperty(OAuth2Util.CLIENT_ID) != null) {
   introResp.setClientId((String) messageContext.getProperty(OAuth2Util.CLIENT_ID));
    }
    
} else {
    
    try {
   accessTokenDO = findAccessToken(validationRequest.getAccessToken().getIdentifier());
    } catch (IllegalArgumentException e) {
   // access token not found in the system.
   return buildIntrospectionErrorResponse(e.getMessage());
    }

    if (hasAcessTokenExpired(accessTokenDO)) {
   // token is not active. we do not need to worry about other details.
   introResp.setActive(false);
   return introResp;
    }

    // should be in seconds
    introResp
       .setExp((accessTokenDO.getValidityPeriodInMillis() + accessTokenDO.getIssuedTime().getTime()) / 1000);
    // should be in seconds
    introResp.setIat(accessTokenDO.getIssuedTime().getTime() / 1000);
    // token scopes
    introResp.setScope(OAuth2Util.buildScopeString((accessTokenDO.getScope())));
    // set user-name
    introResp.setUsername(getAuthzUser(accessTokenDO));
    // add client id
    introResp.setClientId(accessTokenDO.getConsumerKey());
    // adding the AccessTokenDO as a context property for further use
    messageContext.addProperty("AccessTokenDO", accessTokenDO);
}

if (!tokenValidator.validateAccessDelegation(messageContext)) {
    return buildIntrospectionErrorResponse("Invalid access delegation");
}
       
if (!tokenValidator.validateScope(messageContext)) {
    return buildIntrospectionErrorResponse("Scope validation failed");
}

if (messageContext.getProperty(OAuth2Util.JWT_ACCESS_TOKEN) != null
   && "true".equalsIgnoreCase((String) messageContext.getProperty(OAuth2Util.JWT_ACCESS_TOKEN))) {
    // attributes only related JWT access tokens.
    
    if (messageContext.getProperty(OAuth2Util.SUB) != null) {
   introResp.setSub((String) messageContext.getProperty(OAuth2Util.SUB));
    }
    if (messageContext.getProperty(OAuth2Util.ISS) != null) {
   introResp.setIss((String) messageContext.getProperty(OAuth2Util.ISS));
    }
    if (messageContext.getProperty(OAuth2Util.AUD) != null) {
   introResp.setAud((String) messageContext.getProperty(OAuth2Util.AUD));
    }
    if (messageContext.getProperty(OAuth2Util.JTI) != null) {
   introResp.setJti((String) messageContext.getProperty(OAuth2Util.JTI));
    }
    // set the token not to be used before time in seconds
    if (messageContext.getProperty(OAuth2Util.NBF) != null) {
   introResp.setNbf(Long.parseLong((String) messageContext.getProperty(OAuth2Util.NBF)));
    }
}
     
// all set. mark the token active.
       introResp.setActive(true);

if (tokenGenerator != null) {
    // add user attributes to the introspection response.
    tokenGenerator.generateToken(messageContext);
    if (log.isDebugEnabled()) {
   log.debug(tokenGenerator.getClass().getName() + "generated token set to response.");
    }
    if (responseDTO.getAuthorizationContextToken() != null) {
   introResp.setUserContext(responseDTO.getAuthorizationContextToken().getTokenString());
    }
}

       return introResp;

liker12134
关注
Spring Boot与Spring Security实现OAuth2认证:基于令牌的认证与授权!
**My Coding Family**
07-27 1161
🏆本文收录于《滚雪球学Spring Boot》,专门攻坚指数提升,2025 年国内最系统+最强(更新中)。    本专栏致力打造最硬核 Spring Boot 从零基础到进阶系列学习内容,🚀均为全网独家首发,打造精品专栏,专栏持续更新中…欢迎大家订阅持续学习。 如果想快速定位学习,可以看这篇【SpringBoot教程导航帖】,你想学习的都被收集在内,快速投入学习!!两不误。
【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
最新发布
Fly_鹏程万里
07-29 700
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用并未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证。
OAuth2.0简介
文盲青年的博客
11-27 445
一、引言: 我经常网购和外卖,每天都有快递员来送货。我必须找到一个办法,让快递员通过门禁系统,进入小区。 如果我把自己的密码,告诉快递员,他就拥有了与我同样的权限,这样好像不太合适。万一我想取消他进入小区的权力,也很麻烦,我自己的密码也得跟着改了,还得通知其他的快递员。 有没有一种办法,让快递员能够自由进入小区,又不必知道小区居民的密码,而且他的唯一权限就是送货,其他需要密码的场合,他都没有权限? 二、授权机制的设计 于是,我设计了一套授权机制。 第一步,门禁系统的密码输入器下面,增加一个按钮,叫做"获取授
apache oauth2
taotoxht的专栏
12-08 1829
1.客户端调用: this.oauth2Handler.beforeAuthrizedHandler(request, response); try { OAuthClientRequest oAuthClientRequest = OAuthClientRequest .authorizationLocation(this.oauth2Handler.getAuthoriz
jwt-go源码解析
淡淡忧桑
12-13 1152
下载地址:https://github.com/dgrijalva/jwt-go 一、基本数据结构解析 type StandardClaims struct { Audience string `json:"aud,omitempty"` //该JWT所面向的用户 ExpiresAt int64 `json:"exp,omitempty"` //token什么时候过期 Id string `json:"jti,omitempty"` //ID为web token提供唯一标识
glusterfs 记录
qq_15138049的博客
01-09 2851
Glusterfs问题记录
Oauth2.0客户端服务端示例
爱琴孩的博客
05-26 8126
前言 前面的理解OAuth2.0认证与客户端授权码模式详解,我们大致了解了Oauth2.0授权模式四种的授权码模式,清楚了授权码模式的大致流程。这里简单的模拟一下基于授权码模式的客户端和服务端代码实现(这里服务端包含的验证服务端和资源服务端,都是在同一个应用中)。 回顾大致授权流程 图中步骤1,请求授权,例如我们要登录csdn,这里我们想用qq账号登录,这时候就需要腾讯开放平台进行...
node-red-contrib-oauth2:node-red-contrib-oauth2-一个OAuth2客户端,它发送一个oauth2Response对象作为输出
05-22
一个OAuth2客户端,它发送一个oauth2Response对象作为输出。 输入项 任何触发产生oauth2Response的消息。 容器 将接收消息oauth2Response对象的容器的名称。 ps msg.payload.oauth2Response object 赠款类型 ...
oauth2, 用于 OAuth 2.0协议的ruby 封装器.zip
09-18
oauth2, 用于 OAuth 2.0协议的ruby 封装器 OAuth2 OmniAuth正在寻找一个新的家庭。 如果你对接手这个项目感兴趣,请联系 jason@mobomo.com 公司。用于 OAuth 2.0规范的ruby 包装器。安装gem instal
oauth2.0 multiple response types
09-14
OAuth 2.0是一种用于安全地授权第三方应用程序访问用户资源的协议。它定义了多种响应类型,以便适应不同的应用场景和需求。 首先,授权码响应类型是OAuth 2.0中最常用的一种响应类型。当用户在第三方应用程序中授权...
springcloud整合oauth2-----异常配置总结
weixin_45592424的博客
09-10 1966
异常配置总结
搞懂玩爆OAuth 2.0—OAuth2.0身份验证漏洞
Eason_LYC安全白帽子的成长博客
05-30 6023
详细讲解OAuth2.0基础原理和授权认证具体实现方式! 并由此讲解OAuth2.0全方位安全漏洞,并配有靶场,边看边练!!!
微信开发中遇到的access_token坑
热门推荐
wzx19840423的专栏
07-07 7万+
这真是一个巨大的坑,为了避免以后踩到同样的坑和帮助刚接触这块的同学快速脱坑,我花了些时间研究问题的来龙去脉,提供了一个不太完美的解决方案,以及未来规划的完美解决方案。 问题现象 在开发微信jssdk的图像接口功能时,测试环境和回归环境都ok。但是更新到预发布环境后,功能就异常了,一直报图片下载失败。最后快到发布时间时,功能又恢复正常了。于是按照常规流程进行了发布。过了两天,收到线上反馈的问题:
我扒了半天源码,终于找到了Oauth2自定义处理结果的最佳方案!
weixin_47082274的博客
08-03 1117
本文将详细介绍Oauth2中自定义处理结果的方案,希望对大家有所帮助! 解决什么问题 自定义Oauth2处理结果,主要是为了统一接口返回信息的格式,从下面几个方面着手。 自定义Oauth2登录认证成功和失败的返回结果; JWT令牌过期或者签名不正确,网关认证失败的返回结果; 携带过期或者签名不正确的JWT令牌访问白名单接口,网关直接认证失败。 自定义登录认证结果 认证成功返回结果 我们先来看看默认的返回结果,访问Oauth2登录认证接口:http://localhost:9201/auth/o.
oauth2自定义返回值_自定义Spring security oauth2 响应/异常信息
weixin_34779096的博客
01-12 2157
最近使用spring security oauth2 做开放平台,想要返回统一的返回值格式,做的过程中发现相当麻烦,好在效果总算达到了,在这里总结一下,希望能帮助到遇到相同问题的同学。实现方式并不完美,如果你有更好的方式或发现文内有问题,希望不吝赐教。Oauth2 协议有4种认证方式,项目里用到了客户端模式和密码模式,都是依托于spring security oauth2。开发过程中发现框架原生响...
OAuth2.0四种授权方式详解
卡了个卡
11-30 6904
OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。 OAuth1.0https://www.ietf.org/rfc/rfc5849.txt OAuth2.0https://tools.ietf.org/html/rfc6749 OAuth2.0定义了四种获取令牌的方式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭..
Spring Security(二)OAuth2认证详解
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值