spring security-源码流程分析(六)-oauth授权模式分析

最新推荐文章于 2025-03-21 23:29:32 发布
最新推荐文章于 2025-03-21 23:29:32 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: spring security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luoxiaomei999/article/details/124147591
版权

spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在

本文在上一篇的基础上进行,继续追踪看下不同类型模式的grant方法到底做了什么

一、ResourceOwnerPasswordTokenGranter

1、从继承关系可以看到,父类AbstractTokenGranter

在这里插入图片描述
在这里插入图片描述

2、在getOAuth2Authentication方法中进入子类自己的方法

在这里插入图片描述
注意,此时认证对象包含了userAuth对象

在这里插入图片描述

二、ClientCredentialsTokenGranter

1、从继承关系可以看到,父类AbstractTokenGranter

重写了grant方法
在这里插入图片描述

2、没有重写getOAuth2Authentication

进入父类getOAuth2Authentication方法
在这里插入图片描述

三、携带token请求资源流程

1、OAuth2AuthenticationProcessingFilter
资源服务配置时创建的filter
在这里插入图片描述
在这里插入图片描述
此时的认证管理器为OAuth2AuthenticationManager
在这里插入图片描述

四、参数解析器AuthenticationPrincipalArgumentResolver简单分析

1、实现接口HandlerMethodArgumentResolver
在这里插入图片描述
参数解析时会调用 authentication.getPrincipal();
authentication为之前创建token时创建的oauth2Authentication
由上面分析可知,当方法参数中有@AuthenticationPrincipal注解时,会调用getPrincipal方法获取,所以当客户端模式获取的token请求资源时,principal为clientId

2、此参数解析器是在@EnableWebSecurity注解的作用下加入的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Spring Security 6.x 系列【57】认证篇之集成Keycloak SAML 2.0登录
记录知识、锤炼自我
06-14 1521
在上一篇文档,我们安装并简单了解了开源的IAM系统Keycloak,国内也有对应的开源,比如Maxkey、Casdoor。 他们都提供了OAuth 2.0、OIDC和 SAML 2.0 协议支持,关于OAuth 2.0、OIDC之前介绍并实现案例的文档已经很多了,所以本篇文档使用Spring Security整合Keycloak SAML 2.0登录。
Spring Security OAuth源码解析
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
09-01 1212
在使用 Spring Security 框架时,建造者我们是不会动的,我们能做的只是将自己的配置添加到整个架构下,所以能扩展的是配置器,Spring Security OAuth 也是如此。
@AuthenticationPrincipal user null
最新发布
qq_37757277的博客
03-21 473
如果用户未登录或认证失败,可以通过全局异常处理捕获相关异常(如。在控制器中使用它可以简化获取当前用户的逻辑,避免手动从。是从当前认证上下文中获取用户信息的快捷方式。中获取用户信息,检查是否正确存储了用户。
spring security-源码流程分析(四)-spring-security-oauth
luoxiaomei999的博客
04-02 913
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在spring security基础上继续分析spring security oauth源码,关于spring-security-oauth是在oauth2基础上进行的封装,关于oauth2内容建议看oauth2 ---------------------以下内容都在上图里面有所表现,看图能理解就不用看文.
SpringSecurity源码浅析
qq_33549942的博客
08-31 524
本文章简要对Spring Security的执行流程进行分析
spring security oauth 源码解析(jwt角度)
c1523456的博客
04-24 966
spring security oauth jwt
oauth2 clientid作用_Oauth 2.0 授权机制
weixin_39785400的博客
11-26 4144
在了解 Oauth 2.0 之前,我们先看一下令牌和密码到底有什么关系,其实令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异:令牌是短期的,到期会自动失效,且用户自己无法修改;密码一般长期有效,用户不修改,就不会发生变化。令牌可以被数据的所有者撤销,会立即失效。令牌有权限范围(scope)对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。上...
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1577
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
Spring Security 解析() —— Spring Security Oauth2 源码解析
乌龟的专栏
03-13 1379
Spring Security 解析() —— Spring Security Oauth2 源码解析
springsecurity 中获取用户信息
Soul space of Jamon_Wang
11-30 3031
一、使用注解 @AuthenticationPrincipal @GetMapping("/user") public String user(@AuthenticationPrincipal Principal principal, Model model){ model.addAttribute("username", principal.getName()); return "user/user"; } @AuthenticationPrinc
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
SpringCloud - Oauth2增加短信验证码验证登录
zhangdm的博客
01-26 3456
Oauth2增加短信验证码验证登录
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4609
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 2416
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
【长文剖析】Spring Cloud OAuth 生成Token 源码解析
weixin_34217711的博客
04-15 356
内容较长,spring security oauth 整个放发过程的类都有详细说明,建议大家保存后 慢慢阅读,或者当工具书查询 Spring Security OAuth核心类图解析 关于Oauth2是什么以及Oauth2的四种授权模式请移步Oauth2官网。 下面简单介绍一下关于Spring Security OAuth基本的原理。这也是理解pig及其pigx的第一步。 下面这张图涉及到了Spr...
oauth2自定义授权认证模式
weixin_45738731的博客
06-06 1690
4、认证服务配置中增加自定义的授权2、自定义身份授权的Token。1、自定义授权码模式。
SpringBoot OAuth2.0 使用短信验证码登录授权
狮子大大
03-26 1689
SpringBoot OAuth2.0 使用短信验证码登录授权 实现步骤: 自定义授权器,继承 AbstractTokenGranter 类; 重写 getOAuth2Authentication 函数,在这个函数中,自定义授权认证逻辑; 校验手机号 + 短信验证码是否一致 getOAuth2Authentication, 手机和验证码校验无误, 返回 OAuth2Authentication 授权信息(access_token) 创建 SmsCodeTokenGranter 继承 AbstractTo
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 18万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
3-OAuth2登录流程分析
码农小胖哥
03-16 5589
在上一篇胖哥和大家共同体验了OAuth2登录流程,直观感受了OAuth2,本篇我们来共同分析一下OAuth2登录的流程,本次分析将严重依赖trace日志。 流程分析 ①访问被拒绝 /foo/hello发起请求后会经过一系列过滤器链的过滤触发访问被拒绝,核心的日志如下: 进入HTTP资源安全处理过滤器FilterSecurityInterceptor。 发现本次/foo/hello请求是一个匿名请求。 而实际上/foo/hello需要非匿名认证。 访问决策投票器WebExpressionVoter做出了拒
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值