Spring Security Oauth2.0的请求流程分析

原创 已于 2025-12-10 09:35:24 修改 · 867 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #oauth2.0 #spring security

于 2025-12-09 14:05:55 首次发布

好多年没有接触oauth2.0,最近接手一个老项目,项目扩展了手机号密码登录、手机号验证码登录多重认证,遇到一些问题,大概梳理一下过程

开发环境

spring-security-oauth2 2.3.4.RELEASE版本
spring-security-web 5.3.9.RELEASE版本

获取token接口

获取token

POST /oauth/token?grant_type=phone_sms
application/form-data
Authorization: Basic d3g6d3g=
参数:
phone=xxx
smsCode=xxx

刷新token

POST  /oauth/token?grant_type=refresh_token&refresh_token=134afb26-6491-479c-9edb-cb603f86dcd2
Authorization: Basic d3g6d3g=

认证过程

Basic认证

org.springframework.security.web.authentication.www.BasicAuthenticationFilter#doFilterInternal拦截Authorization请求头
在这里插入图片描述

匿名认证/token认证

authenticationConverter.convert根据request请求头header获取Authorition: Basic请求头
这一步如果获取的authRequest=null(不存在Authorization头;Authorization头不是Basic认证),则进入filterChain进行校验,所以匿名认证、bearer认证都会走这一步
核心类在org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter, 处理逻辑在父类中处理
在这里插入图片描述
1). authenticateIfRequired方法尝试用户认证,进入authenticationManager.authenticate(authentication)方法获取认证,真正的认证是在org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationManager#authenticate中进行
在这里插入图片描述
2). 回到AbstractSecurityInterceptor类中的accessDecisionManager.decide(authenticated, object, attributes)方法,在方法org.springframework.security.access.vote.AffirmativeBased#decide中如果校验失败,直接抛出401异常
在这里插入图片描述

Basic认证

1). 调用Authentication authResult = this.authenticationManager.authenticate(authRequest);进行client认证,在实现类中org.springframework.security.authentication.ProviderManager#authenticate获取client登录信息
在这里插入图片描述
可以看到这里有两个provider,使用DaoAuthenticationProvider实现类retrieveUser方法获取client信息 。这一步也有一个**[扩展点2]**
在这里插入图片描述
最终在ClientDetailsUserDetailsService#loadUserByUsername中根据Basic中信息校验并获取client信息。这一步也有一个**[扩展点3]**
在这里插入图片描述
至此也就获取到了详细的clientDetails信息,也就是在AuthorizationServerConfigurerAdapter#configure(org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer)实现方法中通过client.inMemory()中定义的client信息,这里既可以是InMemory存储,也可以是Jdbc存储。
2). 完成client认证后进入生成token阶段
进入org.springframework.security.oauth2.provider.endpoint.TokenEndpoint#postAccessToken,进行一系列的校验、组装参数,通过granter去获取token ** [扩展点4]**
在这里插入图片描述
这一步非常关键,可以看到ImplicitClientCredentials认证模式,还有PhoneSmsCustom自定义模式,RefreshToken也在这里处理
在这里插入图片描述
又看到CompositeTokenGranter类,这里使用到策略模型根据不同的grant_type使用不同的granter校验用户获取用户信息,可以看到AbstractTokenGranter的实现 [扩展点5]
在这里插入图片描述
最后一步org.springframework.security.oauth2.provider.token.AbstractTokenGranter#getAccessToken获取token进行持久化存储
在这里插入图片描述
如果采用redis缓存token的话,也可以在redis中看到为什么会存储很多的token
在这里插入图片描述

扩展点

  1. 扩展点1:
  2. 扩展点2:provider扩展,重写DaoAuthenticationProvider类,例如:DecodePwdAuthenticationProvider
  3. 扩展点3:UserServiceDetails扩展,默认情况下只有一个默认方法UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;,这一步可以扩展不同的方法给granter使用
  4. 扩展点4:granter扩展,继承AbstractTokenGranter类,实现策略模型,根据不同的granter实现不同的用户校验逻辑。例如: PhoneSmsCustomTokenGranter
  5. 扩展点5:重写AbstractTokenGranter类的getOAuth2Authentication,调用UserServiceDetails的实现方法获取用户数据,生成OAuth2Authentication用户认证。例如:AbstractCustomTokenGranter
0xwang
关注
Spring Boot 与 Spring Security OAuth 2.0:实现授权与认证!
**My Coding Family**
07-23 1078
🏆本文收录于《滚雪球学Spring Boot》,专门攻坚指数提升,2025 年国内最系统+最强(更新中)。    本专栏致力打造最硬核 Spring Boot 从零基础到进阶系列学习内容,🚀均为全网独家首发,打造精品专栏,专栏持续更新中…欢迎大家订阅持续学习。 如果想快速定位学习,可以看这篇【SpringBoot教程导航帖】,你想学习的都被收集在内,快速投入学习!!两不误。
Spring Security OAuth2.0流程
勿在浮沙柱筑高台
05-16 351
SpringSecurity OAuth2.0用户认证
xinyi_java的博客
08-21 2069
1 用户认证分析 概述 用户查看个人信息需要访问客户微服务,下单需要访问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色然后授权访问对应的功能。 1.1 认证与授权 身份认证 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。说通俗点,就相当于校验用户账号密码是否正确。 用户授权 用户认证通过后去访问
springsecurity oauth2.0
warrah 南极狼
02-08 3895
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
Spring Security OAuth2.0认证授权
qq_56536793的博客
08-06 435
Spring Security快速上手
Spring Security Oauth2.0 知识点总结
weixin_33907300的博客
08-21 281
Oauth2.0部分AuthorizationServerConfigurerAdapter 授权服务器核心配置类@EnableAuthorizationServer 启用授权服务器TokenStore 令牌存储AuthorizationServerTokenServices 令牌服务为什么授权码模式要通过重定向来的到...
Spring Security Oauth2.0 使用和原理分析
keanu20191101的博客
08-31 834
Spring Security Oauth2.0 Authenticate-认证 sso使用 Authorize-授权 token的获取
spring security oauth2.0 使用GitHub
LCY133的博客
04-12 968
baseUri("/oauth2/authorize") // 默认是 /oauth2/authorization/{providerId}八、生产环境注意事项HTTPS 强制启用加密敏感信息• 将存储在环境变量或 Vault 中client-secret: ${GITHUB_CLIENT_SECRET}优化用户信息存储// 在 CustomOAuth2UserService 中将用户保存到数据库九、常见问题排查。
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 1228
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
精选资源
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
精选资源
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
通过扩展Spring Security,我们可以将其与OAuth2.0结合起来,实现现代Web服务的安全认证和授权流程OAuth2.0的核心概念包括四个主要角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource...
精选资源
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用程序和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。Spring Security OAuth2.0...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring SecurityOAuth 2.0的组合中,`xp-sso-server`充当认证中心,处理所有用户的登录和授权请求。 - 当用户在任何客户端应用(如`xp-sso-client-a`或`xp-sso-client-b`)上尝试访问受保护资源时,会被重定向...
spring-ai快速上手,接入deepseek大模型
2301_78646673的博客
12-17 948
本文介绍了如何在Spring Boot项目中快速集成Spring-AI模块并调用DeepSeek大模型实现AI问答功能。文章对比了Spring-AI和LangChain4j两大AI框架的适用场景,推荐Spring Boot项目优先选择Spring官方维护的Spring-AI。具体实现步骤包括:引入spring-ai-bom依赖管理、添加DeepSeek模型依赖、配置API密钥、以及两种调用方式(阻塞式和流式输出)的代码示例。此外,还详细说明了模型参数配置方法(如温度、最大Token数等),并介绍了通用Cha
SpringBoot从0-1集成Minio对象存储
最新发布
盹猫的博客
12-22 679
本文详细介绍了SpringBoot集成Minio对象存储的完整流程。主要内容包括:Minio服务下载运行方法、SpringBoot环境配置(依赖引入和yml配置)、核心工具类实现(文件上传下载、权限管理、临时链接生成等)。文章通过具体代码示例,展示了如何利用MinioClient实现文件管理功能,包括私有/公开访问权限设置、Nginx代理配置等实用技巧。该方案可有效解决项目中不同安全级别的文件存储需求,为开发者提供了一套完整的对象存储集成方案。
Mac 上重新安装了Cursor 2.2.30,重新配置 springboot 过程记录
appearappear的博客
12-18 152
环境变量中,配置好 JAVA_HOME cursor会自动使用这个 javase, 不需要在setting.json 指定 Java 版本。cursor 运行需要依赖更改版本的 javase 根据 cursor 提示安装就好,它会在.cursor 目录下下载一个高版本的使用。但是不同的项目使用不同的 javase 时可在 setting.json 中配置。环境变量中、配置好 MAVEN_HOME 就好了,cursor 自动扫描到。## 新版本的Cursor配置 java 更简单了,但是花了很长时间。
【微服务 Day1】SpringCloud实战开发(Mybatis-plus + Docker)
weixin_61639349的博客
12-17 1082
Mybatis-plus + docker保姆级教程
Spring AI实战:SpringBoot项目结合Spring AI开发——Tool Calling(工具调用)详解与实战
weixin_51360020的博客
12-19 595
接口提供了 AI 模型了解工具可用性所需的​​信息,包括工具名称、描述和输入模式。每个 ToolCallback 实现都必须提供一个 ToolDefinition 实例来定义工具。允许您使用默认实现()构建 ToolDefinition 实例。},"unit": {},本章讲解了Spring AI中的Tool Calling,文中不仅介绍了方法(Method)和函数(Function)两种模式,而且还分析了相应的源码。
Spring】Bean Copy
每篇博客都不是最终版,都会随着我的学习更新
12-21 679
Bean拷贝相关内容
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值