SpringSecurityOauth2 - Token校验逻辑,以及认证对象如何存到Security上下文中的(RemoteTokenServices)

最新推荐文章于 2025-03-22 23:00:39 发布
最新推荐文章于 2025-03-22 23:00:39 发布
阅读量937 收藏 1
点赞数
分类专栏: SpringSecurity - 资源服务器 文章标签: java 服务器 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_54554770/article/details/128018351
版权
本文探讨了SpringSecurityOauth2中Token的校验逻辑,从OAuth2AuthenticationProcessingFilter过滤器开始,经过OAuth2AuthenticationManager,利用RemoteTokenServices和CheckTokenEndpoint进行验证。通过DefaultAccessTokenConverter和DefaultUserAuthenticationConverter,认证对象被封装并存入SecurityContextHolder的上下文中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关键词:
DefaultTokenServices, RemoteTokenServices, Authentication , SecurityContextHolder

入口一定是过滤器 而 SpringSecurityOauth2 资源服务器处理 Token校验的过滤器是 OAuth2AuthenticationProcessingFilter 我们直接从这个地方打断点进行分析:

FilterChainProxy

public class FilterChainProxy extends GenericFilterBean {
   

  private static final class VirtualFilterChain implements FilterChain {
   
  
   		private final FilterChain originalChain;
        private final List<Filter> additionalFilters;
        private final FirewalledRequest firewalledRequest;
        private final int size;
        private int currentPosition;

        private VirtualFilterChain(FirewalledRequest firewalledRequest, FilterChain chain, List<Filter> additionalFilters) {
   
            this.currentPosition = 0;
            this.originalChain = chain;
            this.additionalFilters = additionalFilters;
            this.size = additionalFilters.size();
            this.firewalledRequest = firewalledRequest;
        }

        public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
   
            if (this.currentPosition == this.size) {
   
                if (FilterChainProxy.logger.isDebugEnabled()) {
   
                    FilterChainProxy.logger.debug(LogMessage.of(() -> {
   
                        return "Secured " + FilterChainProxy.requestLine(this.firewalledRequest);
                    }));
                }

                this.firewalledRequest.reset();
                this.originalChain.doFilter(request, response);
            } else {
   
                ++this.currentPosition;
                Filter nextFilter = (Filter)this.additionalFilters.get(this.currentPosition - 1);
                if (FilterChainProxy.logger.isTraceEnabled()) {
   
                    FilterChainProxy.logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(), this.currentPosition, this.size));
                }
				
				// OAuth2AuthenticationProcessingFilter 用来校验Token的
                nextFilter.doFilter(request, response, this);
            }
        }
  }

}

OAuth2AuthenticationProcessingFilter


public class OAuth2AuthenticationProcessingFilter implements Filter, InitializingBean {
   
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
				ServletException {
   
	
			final boolean debug = logger.isDebugEnabled();
			final HttpServletRequest request = (HttpServletRequest) req;
			final HttpServletResponse response = (HttpServletResponse) res;
	
			try {
   
	
				Authentication authentication = tokenExtractor.extract(request);
				
				if (authentication == null) {
   
					if (stateless && isAuthenticated()) {
   
						if (debug) {
   
							logger.debug("Clearing security context.");
						}
						SecurityContextHolder.clearContext();
					}
					if (debug) {
   
						logger.debug(&#
最低0.47元/天 解锁文章
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4782
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-TokenSpring WebFlux集成Sa-Token这两个常用的开发框架。......
OAuth2.0资源服务器校验Token配置
北辰
09-06 2956
资源服务器在获取到了客户端发送过来的token后,做的第一件事情就是校验token的真伪性,如果token校验不通过,则不允许调用对应的接口。 当前Spring Cloud与OAth2.0整合的版本依赖为: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId>
Springsecurity-oauth2RemoteTokenServices
weixin_34184158的博客
03-12 6226
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth 2.0认证
最新发布
tatasix的博客
03-22 600
本文深入解析 OAuth 2.0 的核心概念,详细介绍四种授权模式,分析安全性问题和最佳实践,探讨实际应用场景。
spring.sercurity.oauth2资源服务器检查token过程
qq_38941259的博客
04-26 3809
在使用spring.sercurity.oauth2配置资源服务器时,发现只配置了个ResourceServerConfigurerAdapter的实现类,就可以自己检查token的有效性了,不太理解,百度和debug看了一下源码明白了,大概流程如下 首先我在application.xml中配置了我的认证中心的相关参数 #指定使用的认证中心,如果不配置会使用默认认证中心 security: ...
()Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 3085
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
Spring Security+OAuth2资源服务之令牌校验源码分析
Charge8的博客
02-24 1095
Spring Security+OAuth2资源服务之令牌校验源码分析
2.5 认证中心(Spring Security)】 Sa-Token和JWT,替换Spring Security 实现权限认证
本本本添哥
04-06 1851
提供了一系列权限相关的注解,如登录校验、角色校验、权限校验等,支持多种条件组合,如AND、OR逻辑关系,以及复杂的表达式。支持整合Redis,实现前后端分离,提高系统的可维护性和扩展性。提供了零配置开箱即用的体验,简化了权限认证的集成和使用过程。是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。JWT通常用于身份验证和信息交换,特别是在无状态的客户端-服务器通信中。
Spring Boot(八十一):Sa-Token快速实现API接口签名安全校验
u013938578的博客
07-18 3304
不限制请求的参数数量,方便组织业务需求代码。自动补全 nonce、timestamp 参数,省时省力。自动构建签名,序列化参数为字符串。一句代码完成 nonce、timestamp、sign 的校验,防伪造请求调用、防参数篡改、防重放攻击。
基于springboot +oauth2+securityJwt实现token校验,接口访问权限控制
u010290208的博客
05-19 1515
在管理后台的开发中经常需要对用户授权及权限控制,用户登录后,需要对用户拥有的角色来判断能够访问的资源。首选简单创建5张表来存储用户、角色、资源表及用户-角色、角色-资源的关联表。最后就是在登录方法中通过令牌来生成JWT的token放回给前端。统一对登录后的token校验以及注解式的角色权限控制。创建一个适配器,来配置哪些接口需要鉴权,鉴权的方式。来表示只有角色是admin的才能访问该接口。登录后访问其他接口时的token校验。自定义用户登录时查询用户角色的方法。自定义身份验证,生成令牌。
资源服务器校验token
qq_29860591的博客
08-22 2205
资源服务器校验token 基于token 1.远程调用认证服务验证Token 认证服务需要在AuthorizationServerConfigurerAdapter继承类中配置中增加以下代码,允许资源服务调用校验token的接口。 //配置端点的权限 @Override public void configure(AuthorizationServerSecurityConfig...
认证服务-SpringSecurityOauth2介绍
dreamsofa的专栏
11-09 814
OAuth2LoginAuthenticationFilter 和 OAuth2AuthorizationCodeGrantFilter区别在前者是针对登录,是 Spirng Security 认证的一个步骤,需要保存登录用户到回话中,而OAuth2AuthorizationCodeGrantFilter是一个独立功能的过滤器, 用于帮助完成AccessToken的获取, 两者都依赖于Spring SecurityOauth2功能支持的类。它与认证服务器,可以是同一台服务器,也可以是不同的服务器
Spring Security OAuth2 token 源码处理逻辑
suiyilp的博客
07-24 1258
Spring Security OAuth2 token 源码处理逻辑 公司项目使用OAuth2做登录,主要使用Spring Security OAuth2搭建的授权服务器和资源服务器,文档可参考官方指导文档 https://projects.spring.io/spring-security-oauth/docs/oauth2.html,对于accessToken 和refreshToken看下代码中是如何生成和存储的,稍做记录。 调用/oauth/token获取token: 1.用的post方式调用,所
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 4020
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
spring security OAuth2AuthenticationProcessingFilter的token认证流程解析
a807719447的专栏
11-19 1935
在ResourceServer中需要对token进行校验需要走如下过滤器,我们来分析下token校验认证过程是什么样的 OAuth2AuthenticationProcessingFilter.doFilter public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { final boolean debug = l
拦截器中解析OAuth2身份认证,保存用户信息至SecurityContextHolder当前线程
qq_42962779的博客
02-19 3959
1.首先定义拦截器,在前置拦截获取认证信息,取出UserDetails中保存的username,通过mapper接口查询数据库用户信息对象,保存至SecurityContextHolderd 当前线程,以便后续随时在程序中获取用户信息 package com.youdu.wuhan2020.config; import javax.servlet.http.HttpServletRequest;...
springcloud 微服务权限校验获取 token 实战之Oauth2 解决方案(十一)
nandao158的博客
09-05 3170
传统的单体架构或者是多台服务器,一般都是采用session来进行权限校验,这种方案是有弊端的:和用户信息强关联、用户多的情况下占用内存、有csrf网络攻击的风险等。而在微服务环境下通常采用 token 认证的方式校验是否有接口调用权限,然后在下游系统设置访问白名单只允许zuul 服务器访问。理论上 zuul 服务器是不需要进行权限校验的,因为 zuul 服务器没有接口,不需要从 zuul 调用业务接口,zuul 只做简单的路由工作。下游系统在获取到 token 后,通过过滤器把 t...
资源服务器Token校验逻辑(源码解释)
m0_54554770的博客
12-12 857
SpringSecurityOauth2 资源服务器 Token校验逻辑 源码解释
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值