Spring Security OAuth2.0 自定义token生成方式

最新推荐文章于 2025-07-03 20:19:31 发布
最新推荐文章于 2025-07-03 20:19:31 发布
阅读量4k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java web.xml python
原文链接:https://my.oschina.net/taoyuanping/blog/809157
本文介绍了如何在Spring Security OAuth2.0中,由于系统集成了CAS,不能使用password授权,因此自定义了cas_ticket授权方式。详细步骤包括XML配置、创建CasTicketTokenGranter类、配置CAS服务器开启REST服务,以及测试流程。测试过程中,通过用户名密码获取TGT,然后用TGT获取ticket,最后用ticket获取access_token,但要注意ticket的短有效期问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

系统集成了CAS,所以使用Spring Security OAuth2.0时是不能使用password这种方式的,但是可以自定义一种token的生成方式,使用cas_ticket代替password授权方式。

开始之前还请移步 参考我的另一篇博客 https://my.oschina.net/taoyuanping/blog/806601

1、配置xml

1.1 新增授权方式
<oauth2:authorization-server
	token-services-ref="defaultTokenServices" client-details-service-ref="clientDetailsService"
	user-approval-handler-ref="defaultUserApprovalHandler">
	<oauth2:authorization-code />
	<oauth2:implicit />
	<oauth2:refresh-token />
	<oauth2:client-credentials />
	<oauth2:password disabled="true" />
	<oauth2:custom-grant token-granter-ref="casTicketTokenGranter" />
</oauth2:authorization-server>

新增 <oauth2:custom-grant token-granter-ref="casTicketTokenGranter" />

1.2 配置cas_ticket授权方式
<beans:bean id="defaultOAuth2RequestFactory"
	class="org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory">
	<beans:constructor-arg ref="clientDetailsService" />
</beans:bean>

<beans:bean id="casTicketTokenGranter"
	class="net.yakee.framework.security.oauth2.provider.cas.CasTicketTokenGranter">
	<beans:constructor-arg index="0" ref="authenticationManager" />
	<beans:constructor-arg index="1" ref="defaultTokenServices" />
	<beans:constructor-arg index="2" ref="clientDetailsService" />
	<beans:constructor-arg index="3" ref="defaultOAuth2RequestFactory" />
</beans:bean>
1.3 配置允许客户端使用cas_ticket方式
<oauth2:client-details-service id="clientDetailsService">
	<oauth2:client client-id="123" secret="456" scope="read,write,trust"
		redirect-uri="https://www.baidu.com" authorities="ROLE_CLIENT"
		authorized-grant-types="authorization_code,refresh_token,implicit,cas_ticket" />
</oauth2:client-details-service>

2、创建CasTicketTokenGranter类


public class CasTicketTokenGranter extends AbstractTokenGranter {

	private static final String GRANT_TYPE = "cas_ticket";

	private final AuthenticationManager authenticationManager;

	public CasTicketTokenGranter(AuthenticationManager authenticationManager,
			AuthorizationServerTokenServices tokenServices, ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory) {
		this(authenticationManager, tokenServices, clientDetailsService, requestFactory, GRANT_TYPE);
	}

	protected CasTicketTokenGranter(AuthenticationManager authenticationManager, AuthorizationServerTokenServices tokenServices,
			ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory, String grantType) {
		super(tokenServices, clientDetailsService, requestFactory, grantType);
		this.authenticationManager = authenticationManager;
	}

	@Override
	public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
		OAuth2AccessToken token = super.grant(grantType, tokenRequest);
		if (token != null) {
			DefaultOAuth2AccessToken norefresh = new DefaultOAuth2AccessToken(token);
			// The spec says that cas ticket should not be allowed to get a refresh token
			norefresh.setRefreshToken(null);
			token = norefresh;
		}
		return token;
	}

	@Override
	protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

		Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
		String username = CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER;
		String password = parameters.get(ServiceProperties.DEFAULT_CAS_ARTIFACT_PARAMETER);

		if (password == null) {
			throw new InvalidRequestException("A cas ticket must be supplied.");
		}

		Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
		((AbstractAuthenticationToken) userAuth).setDetails(parameters);
		try {
			userAuth = authenticationManager.authenticate(userAuth);
		}
		catch (AccountStatusException ase) {
			//covers expired, locked, disabled cases (mentioned in section 5.2, draft 31)
			throw new InvalidGrantException(ase.getMessage());
		}
		catch (BadCredentialsException e) {
			// If the ticket is wrong the spec says we should send 400/invalid grant
			throw new InvalidGrantException(e.getMessage());
		}
		if (userAuth == null || !userAuth.isAuthenticated()) {
			throw new InvalidGrantException("Could not authenticate ticket: " + password);
		}
		
		OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);		
		return new OAuth2Authentication(storedOAuth2Request, userAuth);
	}
}

3、配置cas服务器开启REST

3.1 添加依赖
<dependency>
	<groupId>org.jasig.cas</groupId>
	<artifactId>cas-server-support-rest</artifactId>
	<version>${cas.version}</version>
</dependency>

使用的是4.2.7版本

3.2 配置web.xml

这个版本的cas webapp 里的 web.xml 已经有rest的配置了

4、测试

4.1 客户端使用用户名密码获取TGT
@Test
public void getCasTgt() {
	Map<String, String> params = new HashMap<String, String>();
	params.put("username", "admin");
	params.put("password", "123456");

	String rsp = null;

	try {
		rsp = WebUtils.doPost("https://cas.yakee.net:8443/cas/v1/tickets", params, 3000, 15000);

		System.out.println(rsp);

	} catch (Exception e) {
		e.printStackTrace();
	}

}

返回

<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">
<html>
    <head>
        <title>201 Created</title>
    </head>
    <body>
        <h1>TGT Created</h1>
        <form action="https://cas.yakee.net:8443/cas/v1/tickets/TGT-13-7h2UIaWBwqm9y6OlRC9eCi1xQSmzQMLDQuenopDeXbKFxQnzpt-cas.yakee.net" method="POST">
             Service:<input type="text" name="service" value=""><br>
             <input type="submit" value="Submit">
        </form>
    </body>
</html>
4.2 使用TGT获取ticket
@Test
public void getCasTicketByTgt() {
	Map<String, String> params = new HashMap<String, String>();
	params.put("service", "http://www.yakee.net:8080/framework/login/cas");

	String rsp = null;

	try {
		rsp = WebUtils.doPost("https://cas.yakee.net:8443/cas/v1/tickets/"
				+ "TGT-13-7h2UIaWBwqm9y6OlRC9eCi1xQSmzQMLDQuenopDeXbKFxQnzpt-cas.yakee.net", params, 3000, 15000);

		System.out.println(rsp);

	} catch (Exception e) {
		e.printStackTrace();
	}

}

返回

ST-34-VUsTHVGKo1ty7hvH3WG0-cas.yakee.net
4.2 使用ticket获取access_token
@Test
public void getTokenByCasTicket() {
	Map<String, String> params = new HashMap<String, String>();
	params.put("grant_type", "cas_ticket");
	params.put("client_secret", "456");
	params.put("client_id", "123");
	params.put("ticket", "ST-34-VUsTHVGKo1ty7hvH3WG0-cas.yakee.net");

	String rsp = null;

	try {
		rsp = WebUtils.doPost("http://www.yakee.net:8080/framework/oauth/token", params, 3000, 15000);

		System.out.println(rsp);

	} catch (Exception e) {
		e.printStackTrace();
	}

}

这里肯定会失败,因为ticket的过期时间只有10s,所以正式环境需要一个解析cas返回的程序。这里只是演示流程。

 

转载于:https://my.oschina.net/taoyuanping/blog/809157

OAuth2.0协议原理与实现:TOKEN生成算法
weixin_34419321的博客
03-11 5194
2019独角兽企业重金招聘Python工程师标准>>> ...
关于OAUTH2.0自定义JWT生成TOKEN实现
奋斗
08-03 1479
记录一下OAUTH2.0配置自己定义的JWT生成TOKEN
springsecurity---使用流程、加密机制、自定义密码匹配器、token字符串生成
最新发布
yang_xiao_wu_的博客
07-03 771
id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键',`user_name` varchar(64) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT 'NULL' COMMENT '用户名',
oauth2.0的 /oauth/token是配制就有的吗?它会自动返回token吗?在哪里使用呢
mywaya2333的博客
03-02 1873
拿到 OAuth 2.0 的访问令牌(access token)后,客户端可以使用该令牌来访问受保护的资源服务器(Resource Server)。如果 OAuth 2.0 授权服务器支持多个资源服务器或者不同类型的资源,客户端可以使用同一个访问令牌来访问不同的资源,只要这些资源服务器都信任该授权服务器颁发的访问令牌。总之,访问令牌是客户端与资源服务器之间进行安全通信的重要凭证,用于证明客户端的身份并获取访问受保护资源的权限。资源服务器会验证访问令牌的有效性,并根据令牌中的权限信息来授权用户对资源的访问。
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2520
OAuth2根据授权码获取Token
Spring Boot使用Spring Security时,采用oauth2登录,如果自定义/oauth/token地址
bufegar0的博客
09-16 4438
问题背景 SpringBoot采用Spring Security集成oauth2登录时,默认地址为/oauth/token,如果想要自定义地址,比如加前缀后,再次调用时就报错,报错信息如下: 程序异常:org.springframework.security.authentication.InsufficientAuthenticationException: There is no client authentication. Try adding an appropriate authenticati
spring security oauth2.0 (讲义+代码)
03-10
此外,Spring Security OAuth2.0 还支持自定义权限控制。通过实现`OAuth2AccessDecisionManager` 和 `OAuth2AuthenticationManager`,我们可以基于用户角色、权限或者自定义逻辑来决定是否允许访问资源。 在实际...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
oauth2.0自定义token失效返回信息
m0_52846216的博客
01-13 2057
oauth2.0自定义token失效返回信息 一、问题 由于spring security oauth2返回的失效信息对于客户端不太有好,在网上找了自定义的解决方案以便更优雅的展示返回信息。 重写框架里的方法,实现自定义。 二、配置类 Oauth2ResourceServer extends ResourceServerConfigurerAdapter @Override public void configure(ResourceServerSecurityConfigurer reso
spring security oauth2.0 根据token信息获取用户信息
热门推荐
u013911102的博客
09-14 1万+
项目场景: 既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢? 技术详解: spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧. OAuth2AuthenticationProce
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
springsecurity+oauth2自定义生成jwt token
weixin_45069429的博客
07-15 909
最近在重构公司用户中心,所以自己对oauth有了一点新的理解,因为公司业务形态需求使用默认的四种模式都不太合适,所以选择自定义实现token的下发,本文需要对oauth流程有一定理解可能会容易看一点,只是主要流程的部分实现。 时...
OAuth2.0实现自定义颁发token
doinbb的博客
03-18 5969
. 底层原理 通过浏览器/外部服务传入账号密码,以及clientId以及secret申请token,底层实现token颁发的类: org.springframework.security.oauth2.provider.endpoint.TokenEndpoint -- postAccessToken()方法 二. 自定义实现 /** * 生成 oauth2...
springcloud oauth2 授权码模式.密码模式之redis存储token
csdnmuyi的博客
07-14 3610
授权码模式 需要创建 的三个模块,分别是认证服务器,资源服务器,还有就是网关,这里就简单做这几个模块分别为uaa,order,gateway 1.创建一个父工程 其pom.xml: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instanc.
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 2194
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
Spring Security Oauth2 自定义授权方式获取token
Murpny的博客
12-19 4169
通过密码模式授权流程分析可以知道以下两部分内容: 第一部分:关于授权类型 grant_type 的解析 每种 grant_type 都会有一个对应的 TokenGranter 实现类。 所有 TokenGranter 实现类都通过 CompositeTokenGranter 中的 tokenGranters 集合存起来。 然后通过判断 grantType 参数来定位具体使用那个 TokenGranter 实现类来处理授权。 第二部分:关于授权登录逻辑 每种 授权方式 都会有一个对应的 Authent.
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
源码分析 - Spring Security OAuth2 生成 token 的执行流程
nimo10050的博客
06-29 7178
前言 本文内容基于 Spring Security OAuth2(2.3.5.RELEASE) 源码进行分析. 正文 获取 token 的默认请求路径是 /oauth/token 获取 token 的入口是 TokenEndpoint 类 该请求接收的参数有两个 Principal principal Map<String, String> parameters 详细流程 当一个请求打到 oauth/token 时: 调用 ClientDetailsService 类的 loadClie
Spring Oauth2.0 自定义认证模式
weixin_42782429的博客
03-27 2205
首先呢在这之前我们要搞清楚什么是Oauth , OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。OAuth2OAuth 协议的下一版本,但不向下兼容 OAuth 1.0
掌握Spring Security OAuth2.0认证授权技术
本课程将包括理论讲解和实战演示两个部分,理论部分会细致解读 OAuth2.0 协议的具体概念,每种授权方式的工作原理,以及 Spring Security OAuth2.0 的架构和实现机制。实战部分将通过代码示例演示如何搭建一个完整的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值