认证服务器颁发Token逻辑-密码认证模式(源码解释)

已于 2022-12-13 14:05:56 修改
阅读量427 收藏
点赞数
分类专栏: SpringSecurity - 资源服务器 文章标签: 服务器 java 前端
于 2022-12-13 10:03:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_54554770/article/details/128287925
版权
本文详细介绍了OAuth2认证服务器中密码模式的认证逻辑,包括客户端认证的Basic Authentication Filter和Username/Password的校验过程。重点讲解了TokenEndpoint、TokenRequest对象构建、OAuth2AccessToken的创建以及ResourceOwnerPasswordTokenGranter在密码验证中的作用。在密码验证完成后,用户信息并未立即存储,而是在用户使用Token访问资源时,由OAuth2AuthenticationProcessingFilter处理并存储到SecurityContextHolder中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

密码模式认证 其实有两块认证,第一个是客户端认证,还有课是密码认证,客户端认证 也就是 你的 Basic Auth 里面传的 Username(ClientId) 和 Password(Secret); 而密码认证 也就是你再Body中传的 Username(用户名) 和 Password(密码); 他们两个认证前部分代码逻辑都是一致的,入口都是 TokenEndpoint , 后面部分逻辑不一样 ,下面根据这部分知识对应源码进行解释

ClientId And ClientSecret 校验

BasicAuthenticationFilter

这个是客户端和秘钥的校验入口过滤器


// 默认是 ProviderManager;
private AuthenticationManager authenticationManager;

@Override
protected void doFilterInternal(HttpServletRequest request,
		HttpServletResponse response, FilterChain chain)
				throws IOException, ServletException {
   
	final boolean debug = this.logger.isDebugEnabled();
	try {
   
		UsernamePasswordAuthenticationToken authRequest = authenticationConverter.convert(request);
		if (authRequest == null) {
   
			chain.doFilter(request, response);
			return;
		}

		String username = authRequest.getName();

		if (debug) {
   
			this.logger
					.debug("Basic Authentication Authorization header found for user '"
							+ username + "'");
		}

		if (authenticationIsRequired(username)) {
   
			
			// 核心方法再此处 
			Authentication authResult = this.authenticationManager
					.authenticate(authRequest);

			if (debug) {
   
				this.logger.debug("Authentication success: " + authResult);
			}

			SecurityContextHolder.getContext().setAuthentication(authResult);

			this.rememberMeServices.loginSuccess(request, response, authResult);

			onSuccessfulAuthentication(request, response, authResult);
		}

	}
	catch (AuthenticationException failed) {
   
		SecurityContextHolder.clearContext();

		if (debug) {
   
			this.logger.debug("Authentication request for failed!", failed);
		}

		this.rememberMeServices.loginFail(request, response);

		onUnsuccessfulAuthentication(request, response, failed);

		if (this.ignoreFailure) {
   
			chain.doFilter(request, response);
		}
		else {
   
			this.authenticationEntryPoint.commence(request, response, failed);
		}

		return;
	}

	chain.doFilter(request, response);
}

ProviderManager

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
   
	Class<? extends Authentication> toTest = authentication.getClass();
	AuthenticationException lastException = null;
	AuthenticationException parentException = null;
	Authentication result = null;
	Authentication parentResult = null;
	boolean debug = logger.isDebugEnabled();

	for (AuthenticationProvider provider : getProviders()) {
   
		if (!provider.supports(toTest)) {
   
			continue;
		}

		if (debug) {
   
			logger.debug("Authentication attempt using "
					+ provider.getClass().getName());
		}

		try {
   
			// 这个是核心方法 获取认证对象
			result = provider.authenticate(authentication);

			if (result != null) {
   
				copyDetails(authentication, result);
				break;
			}
		}
		catch (AccountStatusException | InternalAuthenticationServiceException e) {
   
			prepareException(e, authentication);
			// SEC-546: Avoid polling additional providers if auth failure is due to
			// invalid account status
			throw e;
		} catch (AuthenticationException e) {
   
			lastException = e;
		}
	}

	if (result == null && parent != null) {
   
		// Allow the parent to try.
		try {
   
			result = parentResult = parent.authenticate(authentication);
		}
		catch (ProviderNotFoundException e) {
   
			// ignore as we will throw below if no other exception occurred prior to
			// calling parent and the parent
			// may throw ProviderNotFound even though a provider in the child already
			// handled the request
		}
		catch (AuthenticationException e) {
   
			lastException = parentException = e;
		}
	}

	if (result != null) {
   
		if (eraseCredentialsAfterAuthentication
				&& (result instanceof CredentialsContainer)) {
   
			// Authentication is complete. Remove credentials and other secret data
			// from authentication
			((CredentialsContainer) result).eraseCredentials();
		}

		// If the parent AuthenticationManager was attempted and successful then it will publish an AuthenticationSuccessEvent
		// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
		if (parentResult == null) {
   
			eventPublisher.publishAuthenticationSuccess(result);
		}
		// 客户端的认证 结束了 到此就返回 走下面的过滤器链
		return result;
	}

	// Parent was null, or didn't authenticate (or throw an exception).

	if (lastException == null) {
   
		lastException = new ProviderNotFoundException(messages.getMessage(
				"ProviderManager.providerNotFound",
				new Object[] {
    toTest.getName() },
				"No AuthenticationProvider found for {0}"));
	}

	// If the parent AuthenticationManager was attempted and failed then it will publish an AbstractAuthenticationFailureEvent
	// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
	if (parentException == null) {
   
		prepareException(lastException, authentication);
	}

	throw lastException;
}

AbstractUserDetailsAuthenticationProvider

最低0.47元/天 解锁文章
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 4782
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
security-oauth2(token加密过程)
qq_33421961的博客
11-11 1961
六、 源码解析 1. 过滤器链 关键类: 过滤器链:FilterChain 过滤器代理:FilterChainProxy extendsGenericFilterBean implement 过滤器链:DefaultSecurityFilterChain SecurityFilterChain public OAuth2AccessToken token(HttpServletRequest request) { //Http Basic 验证 String clientA
资源服务器Token校验逻辑(源码解释)
m0_54554770的博客
12-12 857
SpringSecurityOauth2 资源服务器 Token校验逻辑 源码解释
认证服务------功能实现逻辑
我从不打没有准备的仗!
12-05 896
认证服务------功能实现逻辑
oauth2获取token源码分析
最新发布
优快云博客技术,java高级工程师,业务层架构师,高级管理认证,毕业设计可以联系我
02-08 1866
而在不同的授权模式下获取授权用户的信息的方式是不同的,比如说所使用的密码模式就是使用请求中携带的用户名和密码来获取当前授权用户中的授权信息,而在授权码模式的两个步骤中是根据第一步发出授权码的同时会记录相关用户的信息,之后对第二步进行授权的时候根据第三方应用请求过来的授权码再读取该授权码对应的用户信息。因为可能用户是使用另外的方式来访问令牌的,比如说一开始用授权码模式,后来用密码模式,而这两种模式需要存的信息是不一样的,所以这个令牌要重新store一次。我们以所使用的密码模式继续下面的流程。
token颁发、保存与携带
qq_60602244的博客
04-24 4002
目录token颁发、保存与携带一、JWT实现token的机制1.header2.payload3.signature二、登录接口中颁发token的实现1.生成公钥与私钥2.将公钥与私钥放到配置文件中3.登录接口中颁发令牌4.验证前端请求携带的token三、前端保存token和请求携带token1.保存token2.请求携带token token颁发、保存与携带 http是无状态协议(不知道上一次是否登录过了),所以要返回一个登录凭证(如cookie+session、token)。这里我们使用token
Spring Security 源码解读 :Username/Password认证
weixin_41866717的博客
02-04 1828
Spring Security 关于username/password方式登录
jwt了解及简单的token代码生成:
weixin_43750002的博客
04-14 1579
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 在了解jwt之前,我们要先回顾下session认证: 网页版登陆验证时,我们使用cooki..
Identityserver4客户端授权模式源码
09-26
6. **实践应用**:这个源码实例可用于构建自己的认证服务器,或者理解如何在实际项目中集成Identityserver4来处理客户端授权。 通过这个源码学习,开发者不仅可以掌握Identityserver4的基本使用,还能深入理解OAuth...
Android与iOS端Token验证登录机制详解及源码分享
在本知识点中,我们将详细探讨如何在Android和iOS平台中实现基于token验证的服务器端,以及相关的源码分析和关键组件的功能。 **知识点一:Token验证的基本概念** 在Web服务中,Token是一种安全令牌,通常是随机...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
JWT是一种轻量级的身份验证标准,它允许服务端为客户端颁发一个令牌,该令牌包含了用户的相关信息,且在后续的请求中,客户端只需要携带这个令牌,无需再次发送用户名和密码,从而简化了身份验证流程。 标题中的...
token的理解
weixin_34310785的博客
02-15 149
今天学习了token,它的英文意思是令牌的意思。在我理解即像通行证一样,在用户登录成功系统后,会为这个用户颁发一个token,这样它去其他系统都免登录,因为有了这个令牌。 token的生成我们可以用UUID来生成。然后在分布式环境下,将token保存在Redis中,然后当我们登录一个子系统的时候,我们可以从redis中读取token,看下这个用户的session是否过期,如果过期了,则提示重新登录...
oauth2-token-endpoint-handler:用于自定义授权服务器的OAuth2令牌端点处理程序
05-10
基岩OAuth2令牌请求处理程序(@ digitalbazaar / oauth2-token-endpoint-handler) 用于自定义授权服务器的OAuth2令牌端点处理程序。 目录 背景 局限性/设计约束: 仅支持client_credentials授予。 仅支持client_secret_post端点身份验证方法。 不支持刷新令牌(客户端可以在原始访问令牌过期后再次执行令牌交换)。 灵感来源: 和 相关规格: OAuth 2.0的资源指标 安全 待定 安装 必须安装Node.js 12+。 要在本地安装(用于开发): git clone https://github.com/digitalbazaar/oauth2-token-endpoint-handler.git cd oauth2-token-endpoint-handler npm install
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 863
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
SpringCloud oauth2授权(密码模式,验证码模式
热门推荐
zhang_ming_xuan的博客
07-09 1万+
前言 项目基于springcloud,授权决定使用提供的spring-oauth2,了解了oauth2原理之后,基于业务有很多需要重写的点; 1.获取token同时需要获取客户端信息(手机型号,app版本号等) 2.除了提供的password方式登录,还需要提供验证码登录功能 源码理解 对spring-cloud-starter-oauth2包的源码进行了简单的了解: endpoint...
spring-security-oauth2(二十二) 重构注册逻辑
codeing-tiger
04-30 656
浏览器注册模式 前面的我们社交登录都是基于用户的社交信息都已经存在于数据库中了,如果用户首次登录该怎么办呢?回顾下我们的浏览器注册逻辑。 具体详细步骤社交注册 1.当第一次用社交用户信息登录,会默认跳到我们自定义的注册界面 2.在跳到注册页之前,会把第三方用户信息放到session中 3.默认提供一个 /social/user 请求可以拿到我们的用户信息展示用户,注册或绑定后会...
Spring Security OAuth2 源码分析(一) TokenEndpoint
咖啡的博客
03-20 2071
通过请求 oauth/token 来获取 token。大致为以下流程: 从 principal 中获取 clientId, 进而装载 ClientDetails 。 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest。 校验 Client 信息。 根据 grantType 设置 TokenRequest 的 scope。 ...
Spring Authorization Server OAuth2TokenEndpointFilter源码分析
maoye的博客
05-31 2032
OAuth2TokenEndpointFilter OAuth2TokenEndpointFilter是负责办法token的过滤器。 AuthenticationConverter 负责将提交的参数转换为Authentication. 该属性的实力为DelegatingAuthenticationConverter, 是一个委派转换器,委派给下面的Convert执行 下面三个convert 0 = {OAuth2AuthorizationCodeAuthenticationConverter@7035} 1
security登录详解及token校验
weixin_42293526的博客
08-16 776
token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值