[7] ClientCredentialsTokenEndpointFilter

最新推荐文章于 2024-09-01 16:22:54 发布
原创 最新推荐文章于 2024-09-01 16:22:54 发布 · 2.8w 阅读 · 7 ·
CC 4.0 BY-SA版权

本文详细解析了SpringSecurity中ClientCredentialsTokenEndpointFilter的工作原理,包括如何通过此过滤器验证client_id和client_secret,以及认证通过后的处理流程。了解此过程对于深入理解OAuth2授权机制至关重要。

ClientCredentialsTokenEndpointFilter

介绍

Spring Security对于获取TOKEN的请求(默认是"/oauth/token"),需要认证client_id和client_secret。认证client_id和client_secret可以有2种方式,一种是通过本节讲的ClientCredentialsTokenEndpointFilter,另一种是通过BasicAuthenticationFilter。ClientCredentialsTokenEndpointFilter首先比对请求URL是否是TOKEN请求路径以及请求参数中是否包含client_id,如果满足以上条件,再调用ProviderManager认证client_id和client_secret是否与配置的一致。如果通过认证,会把身份认证信息保存打SecurityContext上下文中。

代码分析

步骤1

Spring Security建议用BasicAuthenticationFilter替换ClientCredentialsTokenEndpointFilter,因此默认ClientCredentialsTokenEndpointFilter是不被开启的,我们为了讲解这个过滤器,可以按照如下方式开启过滤,配置如下:

@RefreshScope
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {  
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        security.allowFormAuthenticationForClients();
    }
}

步骤2

ClientCredentialsTokenEndpointFilter继承自AbstractAuthenticationProcessingFilter,doFilter()方法在父类当中。请求经过过滤器时先判断url是否为与配置的获取access token的url进行匹配,并且请求参数中client_id不能为空时,然后将参数中的client_id和client_sercet与内存或者数据库(取决于ClientDetailService的实现方式)的client_id和client_sercet进行匹配,匹配成功则验证成功,反之则验证失败,代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
	//判断请求是否需要进行认证:1)url与获取token的url一致 2)请求参数中client_id不能为空
    if (!requiresAuthentication(request, response)) {
        chain.doFilter(request, response);

        return;
    }

    if (logger.isDebugEnabled()) {
        logger.debug("Request is to process authentication");
    }

    Authentication authResult;

    try {
        //进行client_id和client_sercet认证
        authResult = attemptAuthentication(request, response);
        if (authResult == null) {
            // return immediately as subclass has indicated that it hasn't completed
            // authentication
            return;
        }
        sessionStrategy.onAuthentication(authResult, request, response);
    }
    catch (InternalAuthenticationServiceException failed) {
		...
        //处理认证失败
        unsuccessfulAuthentication(request, response, failed);
        return;
    }
    catch (AuthenticationException failed) {
        //处理认证失败
        unsuccessfulAuthentication(request, response, failed);
        return;
    }

    // Authentication success
    //是否在认证成功处理之前调用下一级过滤链
    if (continueChainBeforeSuccessfulAuthentication) {
        chain.doFilter(request, response);
    }
	//认证成功处理,1:SecurityContext上下文存储身份认证信息 2:rememberMeServices处理登录成功 3:发布登录成功Spring事件
    successfulAuthentication(request, response, chain, authResult);
}

requiresAuthentication()最终会调用ClientCredentialsTokenEndpointFilter#matches()

protected boolean requiresAuthentication(HttpServletRequest request,
        HttpServletResponse response) {
    //requiresAuthenticationRequestMatcher是一个ClientCredentialsRequestMatcher
    return requiresAuthenticationRequestMatcher.matches(request);
}

@Override
public boolean matches(HttpServletRequest request) {
    String uri = request.getRequestURI();
    int pathParamIndex = uri.indexOf(';');

    if (pathParamIndex > 0) {
        // strip everything after the first semi-colon
        uri = uri.substring(0, pathParamIndex);
    }
	//参数中必须要含有client_id参数
    String clientId = request.getParameter("client_id");

    if (clientId == null) {
        // Give basic auth a chance to work instead (it's preferred anyway)
        return false;
    }

    if ("".equals(request.getContextPath())) {
        return uri.endsWith(path);
    }

    //请求路径一定要是获取token的URL,一般为"/oauth/token"
    return uri.endsWith(request.getContextPath() + path);
}

步骤3

若上下无有效的身份认证信息,attemptAuthentication()最终会调用ProviderManager#authenticate()方法进行验证,authenticationManager中包含1.AnoymousAuthenticationProvider 2.DaoAuthenticationProvider,实际上只有DaoAuthenticationProvider在起作用,DaoAuthenticationProvider#authenticate()根据client_id获取client详情,然后判断client是否禁用、过期、锁定、密码是否一致等,若都满足条件则验证通过。截图和代码如下:

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
        throws AuthenticationException, IOException, ServletException {
    ...
    //取client_id
    String clientId = request.getParameter("client_id");
    //取client_secret
    String clientSecret = request.getParameter("client_secret");

    // If the request is already authenticated we can assume that this
    // filter is not needed
    //从SpringSecurity上下文中取一下身份认证信息,看看已经认证过的就无需重复认证了
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    if (authentication != null && authentication.isAuthenticated()) {
        return authentication;
    }
	
    if (clientId == null) {
        throw new BadCredentialsException("No client credentials presented");
    }

    if (clientSecret == null) {
        clientSecret = "";
    }

    clientId = clientId.trim();
    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(clientId,
            clientSecret);
	//进行认证
    return this.getAuthenticationManager().authenticate(authRequest);

}

image.png

public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
    Class<? extends Authentication> toTest = authentication.getClass();
    AuthenticationException lastException = null;
    AuthenticationException parentException = null;
    Authentication result = null;
    Authentication parentResult = null;
    boolean debug = logger.isDebugEnabled();
	//providers包含2个Provider:1.AnoymousAuthenticationProvider 2.DaoAuthenticationProvider
    for (AuthenticationProvider provider : getProviders()) {
        //这里的support逻辑很简单,就是判断一下authentication.getClass()与Provider支持的类类型是否一致或父子继承关系
        //AnoymousAuthenticationProvider是不支持的,DaoAuthenticationProvider支持
        if (!provider.supports(toTest)) {
            continue;
        }

        try {
            //provider实例是DaoAuthenticationProvider
            result = provider.authenticate(authentication);

            if (result != null) {
                //将认证成功的身份认证信息复制到另外一个实例
                copyDetails(authentication, result);
                break;
            }
        }
        catch (AccountStatusException | InternalAuthenticationServiceException e) {
            prepareException(e, authentication);
            // SEC-546: Avoid polling additional providers if auth failure is due to
            // invalid account status
            throw e;
        } catch (AuthenticationException e) {
            lastException = e;
        }
    }

    throw lastException;
}

public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
	...
    // Determine username
    String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
            : authentication.getName();

    boolean cacheWasUsed = true;
    //默认是NullUserCache,即不加缓存
    UserDetails user = this.userCache.getUserFromCache(username);
	//缓存中没用命中
    if (user == null) {
        //设置命中标识
        cacheWasUsed = false;

        try {
            //调用ClientDetailsUserDetailsService根据client_id获取用户
            user = retrieveUser(username,
                    (UsernamePasswordAuthenticationToken) authentication);
        }
        catch (UsernameNotFoundException notFound) {
 			...
        }
		...
    }

    try {
        //检查账户是否锁定、启用、过期等
        preAuthenticationChecks.check(user);
        //检查凭据[密码]是否非空、以及存储密码与输入密码是否一致
        additionalAuthenticationChecks(user,
                (UsernamePasswordAuthenticationToken) authentication);
    }
    catch (AuthenticationException exception) {
		...
    }
	//检查凭据是否未过期
    postAuthenticationChecks.check(user);

    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }

    Object principalToReturn = user;

    if (forcePrincipalAsString) {
        principalToReturn = user.getUsername();
    }
	//创建Authentication[身份认证信息]
    return createSuccessAuthentication(principalToReturn, authentication, user);
}
SpringCloud Alibaba实战二十七 - Oauth2认证服务器自定义异常
飘渺Jam的博客
02-04 4491
前言今天内容主要是解决一位粉丝提的问题:在使用 Spring Security OAuth2 时如何自定义认证服务器返回异常。那么首先我们先以 Password模式为例看看在认证时会出现哪...
spring security oauth:自定义异常处理(授权服务)
szw-yunie的博客
02-25 3512
最近使用了 spring security oauth 来搭建认证服务,计划使用 oauth 的密码模式、以前端页面为客户端。 前后端交互要求统一相应结构,spring security oauth 默认的错误响应不满足要求。 本文对spring security oauth 授权服务对自定义异常处理、自定义异常响应问题提出解决办法。
cookie实现登录验证_Spring oauth2 扩展实现手机验证码登录
weixin_33648352的博客
01-06 786
一、前景 最近在使用Spring oauth2作为鉴权中心,需要新增一个手机号和验证码登录的接口。在网上搜索了一下,大多数的做法,都是自己写filter 来拦截来做一些事情,我其实很纳闷为什么要这样子?很多时候为什么不能简单一点。我们先来看看username 和password 登录的模式:{{host}}/oauth/token?username=xxx&password=xxx&amp...
SpringSecurity系列 - 08 oauth2认证:ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 2264
在 Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
SpringSecurity Oauth2 - ClientCredentialsTokenEndpointFilter 源码认证clientId和clientSecret
你今天真好看呀
09-01 724
最近打算再看下SpringSecurity Oauth2 身份认证和授权,搭建了一个项目准备自己重新把常见的认证方式再实现一遍,发现出现clientId和clientSecret认证错误的问题,于是追踪源码,发现是client_id写成了client-id。
SpringSecurity和OAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 3627
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(四)
qq_38658567的博客
01-27 1015
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一) 2. 微服务鉴权管理Spring Security原理解析(二) 3. 微服务鉴权管理Spring Security OAuth2原理解析(三) 本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。 1、AuthorizationServerConfigurerAdapter 上一篇博客中我们尝试使用了password模式和client模式,有一个比较关键的endpoint:/oauth/token。从这个入
{ "timestamp": 1760169846851, "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/oauth/token" }
最新发布
10-12
7. 总结步骤: 步骤1:修改请求,使用Basic认证头传递客户端凭证,并从请求体参数中移除client_id和client_secret。 步骤2:检查授权服务器配置,确保客户端凭证正确(内存或数据库中存储的client_secret必须与...
SpringBoot攻略十三、spring security oauth2服务端(password密码模式)
java爱分享
08-01 2260
上一篇:【SpringBoot攻略十二、spring security集成】 1、pom.xml添加依赖 <!-- spring-security-oauth2 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <ar...
Oauth2之ClientCredentialsTokenEndpointFilter学习
面朝大海,春暖花开
09-05 6261
Oauth2之ClientCredentialsTokenEndpointFilter学习 在配置授权服务器的时候,都会在这样写: @Override public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { security.realm(&quot;simple&quot;) ...
ClientCredentialsTokenEndpointFilter异常跨域
xhq6288038的博客
03-03 348
前后端分离项目,oauth2过滤器ClientCredentialsTokenEndpointFilter如果client_id或者client_secret等错误的话,前台一直报跨域异常,最后将CorsFilter过滤器的order值设为了Integer.MIN_VALUE,成功解决跨域问题
Springsecurity普通登录认证和OAuth2产生token的认证流程
join_null的博客
08-10 6041
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象,调用...
(三) Spring Security Oauth2.0 源码分析--认证中心全流程分析
Instanceztt的博客
12-05 2454
的认证中心可以简单的理解为是对Spring Security的加强,也是通过(其原理可参考前面的Security源码分析)对客户端进行校验后在达到自定义token颁发站点,进行token的颁发,具体流程如下: 通过前面的文章分析,我们知道SpeingSecurity通过FilterChainProxy来完成相应的校验,我们断点看看他经历了那些校验 我们主要观察的是ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilte这两个过滤器,里面的其他
SpringSecurity OAuth2过滤器源码解读。
weixin_45111933的博客
07-31 2650
chain.doFilter源码。2,当用户访问时,比如(/oauth/token)uri时,第一个拦截的filter是ClientCredentialsTokenEndpointFilter,而拦截的方法,在其父类AbstractAuthenticationProcessingFilter的doFilter方法中。3,requiresAuthentication(request,response)方法,该方法主要是进行uri路径的匹配,只有当访问的uri是/oauth/token时,才会返回true。..
Re:从零开始的Spring Security Oauth2(二)
热门推荐
徐靖峰的专栏
08-09 3万+
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较多的源码,非关键性代码以…代替。获取token上一篇博客中我们尝试使用了password模式和client模式,有一个比较关键的endpoint:/oauth/token。从这个入口开始分析,spring security oauth2内部是如何生成token的。首先开启d
Spring Cloud实战 | 第九篇:Spring Cloud整合Spring Security OAuth2认证服务器统一认证自定义异常处理
竹林幽深
10-08 2307
https://blog.51cto.com/u_12386660/4909247
uni-app 微信商城小程序开发:一键授权登录与 OAuth2 接入实战
有来技术
10-27 2648
本篇文章将指导读者使用Vue+uni-app技术,从零开始快速开发一个微信商城小程序。通过无缝接入OAuth2后台,实现一键授权登录功能,为用户提供便捷的登录体验。
[jsfj-uaa:192.168.0.14:20002] 2025-10-06 09:34:54.998 ERROR 3225941 [0ff2118945414a5fa75086ad3bd7ca20] [XNIO-1 task-3] p.c.ClientCredentialsTokenEndpointFilter : An internal error occurred while trying to authenticate the user. org.springframework.security.authentication.InternalAuthenticationServiceException: java.lang.Integer cannot be cast to org.springframework.security.oauth2.provider.ClientDetails at org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser(DaoAuthenticationProvider.java:108) at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:133) at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:182) at org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter.attemptAuthentication(ClientCredentialsTokenEndpointFilter.java:123) at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:222) at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:336) at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:103) at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:89) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:336) at org.springframework.security.web.header.HeaderWriterFilter.doHeadersAfter(HeaderWriterFilter.java:90) at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:75) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:336) at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:110) at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:80) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:336) at org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter.doFilterInternal(WebAsyncManagerIntegrationFilter.java:55) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:336) at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:211) at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:183) at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:354) at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:267) at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61) at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131) at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61) at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131) at org.springframework.web.filter.FormContentFilter.doFilterInternal(FormContentFilter.java:93) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61) at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131) at org.springframework.boot.actuate.metrics.web.servlet.WebMvcMetricsFilter.doFilterInternal(WebMvcMetricsFilter.java:96) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61) at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131) at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201) at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) at io.undertow.servlet.core.ManagedFilter.doFilter(ManagedFilter.java:61) at io.undertow.servlet.handlers.FilterHandler$FilterChainImpl.doFilter(FilterHandler.java:131) at io.undertow.servlet.handlers.FilterHandler.handleRequest(FilterHandler.java:84) at io.undertow.servlet.handlers.security.ServletSecurityRoleHandler.handleRequest(ServletSecurityRoleHandler.java:62) at io.undertow.servlet.handlers.ServletChain$1.handleRequest(ServletChain.java:68) at io.undertow.servlet.handlers.ServletDispatchingHandler.handleRequest(ServletDispatchingHandler.java:36) at io.undertow.servlet.handlers.RedirectDirHandler.handleRequest(RedirectDirHandler.java:68) at io.undertow.servlet.handlers.security.SSLInformationAssociationHandler.handleRequest(SSLInformationAssociationHandler.java:117) at io.undertow.servlet.handlers.security.ServletAuthenticationCallHandler.handleRequest(ServletAuthenticationCallHandler.java:57) at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43) at io.undertow.security.handlers.AbstractConfidentialityHandler.handleRequest(AbstractConfidentialityHandler.java:46) at io.undertow.servlet.handlers.security.ServletConfidentialityConstraintHandler.handleRequest(ServletConfidentialityConstraintHandler.java:64) at io.undertow.security.handlers.AuthenticationMechanismsHandler.handleRequest(AuthenticationMechanismsHandler.java:60) at io.undertow.servlet.handlers.security.CachedAuthenticatedSessionHandler.handleRequest(CachedAuthenticatedSessionHandler.java:77) at io.undertow.security.handlers.AbstractSecurityContextAssociationHandler.handleRequest(AbstractSecurityContextAssociationHandler.java:43) at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43) at io.undertow.servlet.handlers.SendErrorPageHandler.handleRequest(SendErrorPageHandler.java:52) at io.undertow.server.handlers.PredicateHandler.handleRequest(PredicateHandler.java:43) at io.undertow.servlet.handlers.ServletInitialHandler.handleFirstRequest(ServletInitialHandler.java:275) at io.undertow.servlet.handlers.ServletInitialHandler.access$100(ServletInitialHandler.java:79) at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:134) at io.undertow.servlet.handlers.ServletInitialHandler$2.call(ServletInitialHandler.java:131) at io.undertow.servlet.core.ServletRequestContextThreadSetupAction$1.call(ServletRequestContextThreadSetupAction.java:48) at io.undertow.servlet.core.ContextClassLoaderSetupAction$1.call(ContextClassLoaderSetupAction.java:43) at io.undertow.servlet.handlers.ServletInitialHandler.dispatchRequest(ServletInitialHandler.java:255) at io.undertow.servlet.handlers.ServletInitialHandler.access$000(ServletInitialHandler.java:79) at io.undertow.servlet.handlers.ServletInitialHandler$1.handleRequest(ServletInitialHandler.java:100) at io.undertow.server.Connectors.executeRootHandler(Connectors.java:387) at io.undertow.server.HttpServerExchange$1.run(HttpServerExchange.java:852) at org.jboss.threads.ContextClassLoaderSavingRunnable.run(ContextClassLoaderSavingRunnable.java:35) at org.jboss.threads.EnhancedQueueExecutor.safeRun(EnhancedQueueExecutor.java:2019) at org.jboss.threads.EnhancedQueueExecutor$ThreadBody.doRunTask(EnhancedQueueExecutor.java:1558) at org.jboss.threads.EnhancedQueueExecutor$ThreadBody.run(EnhancedQueueExecutor.java:1449) at org.xnio.XnioWorker$WorkerThreadFactory$1$1.run(XnioWorker.java:1280) at java.lang.Thread.run(Thread.java:748) Caused by: java.lang.ClassCastException: java.lang.Integer cannot be cast to org.springframework.security.oauth2.provider.ClientDetails at com.jsfj.uaa.service.impl.ClientDetailsServiceImpl.loadClientByClientId(ClientDetailsServiceImpl.java:57) at org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService.loadUserByUsername(ClientDetailsUserDetailsService.java:47) at org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser(DaoAuthenticationProvider.java:93) ... 74 common frames omitted
10-07
<think>我们正在解决Spring Security中出现的`java.lang.ClassCastException: java.lang.Integer cannot be cast to org.springframework.security.oauth2.provider.ClientDetails`问题。 这个异常表示我们尝试将一个`Integer`类型的对象强制转换为`ClientDetails`,显然这是类型不匹配导致的。 根据引用[1][2][3][4]中关于`ClassCastException`的解决思路,我们可以从以下几个方面排查: 1. **检查数据来源**:在Spring Security OAuth2中,`ClientDetails`通常是从数据库(如通过`JdbcClientDetailsService`)或内存中加载的。我们需要检查存储客户端信息的数据结构是否正确,确保存储的是完整的`ClientDetails`对象,而不是一个整数(Integer)。 2. **检查查询逻辑**:当我们调用`loadClientByClientId(String clientId)`方法时,返回的应该是`ClientDetails`对象。如果返回了整数,那么可能是查询逻辑有误,比如在SQL查询中返回了错误的列(例如返回了主键ID而不是整个客户端信息)。 3. **检查数据映射**:如果使用JDBC,检查映射关系是否正确。确保查询结果的每一列都映射到`ClientDetails`对象的相应属性,而不是只返回一个整数。 4. **检查自定义实现**:如果我们自定义了`ClientDetailsService`,需要确保在`loadClientByClientId`方法中返回的是`ClientDetails`实例,而不是整数。 5. **检查缓存**:如果使用了缓存,确保缓存中存储的是`ClientDetails`对象,而不是某个整数标识。 具体步骤: **步骤1:定位异常发生的位置** 根据异常堆栈信息,找到抛出`ClassCastException`的代码行。通常发生在`ClientDetailsService`的实现类中,特别是`loadClientByClientId`方法。 **步骤2:检查ClientDetailsService实现** 如果我们使用的是`JdbcClientDetailsService`,检查其配置的SQL查询语句。默认情况下,它应该查询多个列来构建`ClientDetails`对象。例如,默认查询语句如下: ```sql select client_id, client_secret, resource_ids, scope, authorized_grant_types, web_server_redirect_uri, authorities, access_token_validity, refresh_token_validity, additional_information, autoapprove from oauth_client_details where client_id = ? ``` 如果我们自定义了查询语句,确保它返回了所有必要的列,而不是只返回一个整数(如主键id)。 **步骤3:检查自定义的ClientDetailsService** 如果我们实现了自己的`ClientDetailsService`,例如: ```java @Override public ClientDetails loadClientByClientId(String clientId) throws ClientRegistrationException { // 这里应该返回ClientDetails,而不是Integer } ``` 确保在方法中返回的是`ClientDetails`对象。常见错误是返回了从数据库查询的主键ID(Integer)而不是构建的`ClientDetails`对象。 例如,错误代码: ```java public ClientDetails loadClientByClientId(String clientId) { Integer clientIdentifier = someDao.findIdByClientId(clientId); // 错误:返回了Integer // 错误:直接将Integer转换成ClientDetails,导致ClassCastException return (ClientDetails) clientIdentifier; } ``` 正确做法: ```java public ClientDetails loadClientByClientId(String clientId) { ClientDetails client = someDao.findByClientId(clientId); // 返回ClientDetails对象 return client; } ``` **步骤4:检查存储结构** 检查数据库中存储客户端信息的表结构(通常是`oauth_client_details`表)以及数据是否正确。确保每一行数据都包含所有必要的字段。 **步骤5:检查缓存逻辑** 如果我们在`ClientDetailsService`上使用了缓存(例如通过Spring Cache),那么需要检查缓存中存储的是否是`ClientDetails`对象。可能的原因是在缓存中错误地存储了整数(例如客户端ID的整数表示),而取出时却尝试转换为`ClientDetails`。 例如,错误的缓存配置可能导致存储了错误的类型: ```java @Cacheable(value = "clientDetails", key = "#clientId") public ClientDetails loadClientByClientId(String clientId) { // 查询数据库 } ``` 如果缓存中之前错误地存放了整数,那么下次从缓存中取出的就是整数,导致类型转换异常。此时需要清除缓存中关于该clientId的条目。 **步骤6:类型转换错误** 如果我们使用了类型转换(例如将一个整数转换为`ClientDetails`),这显然是不可能的。确保我们没有进行这样的强制转换。 示例错误代码: ```java Integer clientIdInt = 1001; ClientDetails client = (ClientDetails) clientIdInt; // 这里会抛出ClassCastException ``` 我们应该避免这样的转换。 总结解决方案: 1. **检查DAO层或Service层**:确保`loadClientByClientId`方法返回的是`ClientDetails`对象,而不是整数。 2. **检查数据库查询**:确保查询返回了所有必要的列,并且映射到`ClientDetails`对象的属性。 3. **清除缓存**:如果使用了缓存,清除缓存并确保缓存中存储的是正确的类型。 4. **检查自定义逻辑**:避免在返回`ClientDetails`的地方返回整数。 如果我们使用的是Spring Security OAuth2的默认实现,那么检查数据源配置和表结构的正确性。如果是自定义实现,重点检查自定义代码中的返回类型。 下面是一个使用Spring Security OAuth2的`JdbcClientDetailsService`的配置示例,确保配置正确: ```java @Bean public ClientDetailsService clientDetailsService(DataSource dataSource) { JdbcClientDetailsService clientDetailsService = new JdbcClientDetailsService(dataSource); // 如果使用了自定义的表结构,可以设置查询语句 // clientDetailsService.setSelectClientDetailsSql("your_sql"); return clientDetailsService; } ``` 最后,通过调试,在`loadClientByClientId`方法中查看返回的对象类型,确保它是`ClientDetails`(通常是`BaseClientDetails`)的实例。 如果以上步骤都没有解决问题,请提供更多的上下文代码(如自定义的`ClientDetailsService`实现以及相关的DAO层代码),以便进一步分析。 相关问题: 1. 如何正确实现Spring Security OAuth2的ClientDetailsService? 2. 如何配置Spring Security OAuth2使用JDBC存储客户端信息? 3. Spring Security OAuth2中常见的ClassCastException有哪些? </think>### 解决Spring Security中`java.lang.Integer`无法转换为`ClientDetails`的异常 #### 问题原因分析 出现`java.lang.ClassCastException: java.lang.Integer cannot be cast to org.springframework.security.oauth2.provider.ClientDetails`的原因是: 1. **类型不匹配**:代码尝试将`Integer`类型强制转换为`ClientDetails`接口对象(引用[2][3]) 2. **数据查询映射错误**:获取客户端信息时返回了整型ID而非完整对象(引用[1][4]) 3. **DAO层设计问题**:`ClientDetailsService`实现类返回了错误类型的数据 #### 解决方案步骤 ##### 1. 检查客户端查询服务实现 在`ClientDetailsService`实现中,确保返回的是`ClientDetails`对象而非整型ID: ```java @Service public class CustomClientDetailsService implements ClientDetailsService { @Autowired private ClientRepository clientRepository; @Override public ClientDetails loadClientByClientId(String clientId) { // 错误:返回Integer类型的ID // Integer clientIdValue = clientRepository.findIdByClientId(clientId); // 正确:返回ClientDetails对象 Client client = clientRepository.findByClientId(clientId); if (client == null) { throw new ClientRegistrationException("客户端不存在"); } return new CustomClientDetails(client); } } ``` ##### 2. 修复DAO层查询方法 确保Repository返回完整对象而非整型ID: ```java public interface ClientRepository extends JpaRepository<Client, Long> { // 错误:返回Integer // @Query("SELECT c.id FROM Client c WHERE c.clientId = ?1") // Integer findIdByClientId(String clientId); // 正确:返回完整实体 Client findByClientId(String clientId); } ``` ##### 3. 验证客户端实体转换 创建正确的`ClientDetails`实现类: ```java public class CustomClientDetails extends BaseClientDetails { public CustomClientDetails(Client client) { super( client.getClientId(), client.getResourceIds(), client.getScope(), client.getAuthorizedGrantTypes(), client.getAuthorities(), client.getWebServerRedirectUri() ); setClientSecret(client.getClientSecret()); setAccessTokenValiditySeconds(client.getAccessTokenValidity()); setRefreshTokenValiditySeconds(client.getRefreshTokenValidity()); } } ``` ##### 4. 检查缓存配置(如使用) 如果使用了缓存,确保缓存中存储的是`ClientDetails`对象: ```java @Cacheable(value = "clients", key = "#clientId") public ClientDetails loadClientByClientId(String clientId) { // 返回ClientDetails对象而非Integer } ``` #### 关键注意事项 1. **类型验证**:在强制转型前使用`instanceof`检查类型(引用[3]) ```java Object result = clientService.getClient(clientId); if (result instanceof ClientDetails) { return (ClientDetails) result; } else { throw new IllegalStateException("返回类型不正确"); } ``` 2. **数据库映射验证**:确保实体类和DTO不包含类型不匹配字段: ```java @Entity public class Client { private String clientId; // 正确:应为字符串类型 // private Integer clientId; 错误:会导致类型转换问题 } ``` 3. **OAuth2配置检查**:在授权服务器配置中使用正确的`ClientDetailsService`: ```java @Configuration @EnableAuthorizationServer public class AuthServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private ClientDetailsService clientDetailsService; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.withClientDetails(clientDetailsService); } } ``` #### 调试建议 1. 在`loadClientByClientId()`方法中添加日志: ```java logger.debug("返回对象类型: {}", result.getClass().getName()); ``` 2. 使用调试器检查方法返回值的实际类型 3. 验证数据库查询语句是否返回了预期字段(引用[4]) > 通过以上步骤,可解决因类型不匹配导致的`ClassCastException`,确保从DAO层到Service层始终保持正确的对象类型传递[^1][^2][^3][^4]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值