Spring Security 实战干货：OAuth2授权请求是如何构建并执行的-低调大师

Spring Security 实战干货：OAuth2授权请求是如何构建并执行的

2020-11-11 443 89

在Spring Security 实战干货：客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter，并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说，所以今天接着上一篇把这个坑给补上。

2. sendRedirectForAuthorization

这个sendRedirectForAuthorization方法没多少代码，它的主要作用就是向第三方平台进行授权重定向访问。它所有的逻辑都和OAuth2AuthorizationRequest有关，因此我们对OAuth2AuthorizationRequest进行轻描淡写是不行的，我们必须掌握OAuth2AuthorizationRequest是怎么来的，干嘛用的。

OAuth2AuthorizationRequestResolver

这就需要去分析解析类OAuth2AuthorizationRequestResolver，其核心方法有两个重载，这里分析一个就够了。

@Override
public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {
    // registrationId是通过uri路径参数/oauth2/authorization/{registrationId}获得的
   String registrationId = this.resolveRegistrationId(request);
    // 然后去请求对象request中提取key为action的参数，默认值是login
   String redirectUriAction = getAction(request, "login");
    // 然后进入根本的解析方法
   return resolve(request, registrationId, redirectUriAction);
}

上面方法里面的resolve(request, registrationId, redirectUriAction)方法才是最终从/oauth2/authorization提取OAuth2AuthorizationRequest的根本方法。代码太多但是我尽量通俗易懂的来进行图解。resolve方法会根据不同的授权方式(AuthorizationGrantType)来组装不同的OAuth2AuthorizationRequest。

3. OAuth2AuthorizationRequest

接下来就是OAuth2.0协议的核心重中之重了，可能以后你定制化的参考就来自这里，这是圈起来要考的知识点。我会对OAuth2AuthorizationRequestResolver在各种授权方式下的OAuth2AuthorizationRequest对象的解析进行一个完全的总结归纳。大致分为以下两部分：

3.1 由AuthorizationGrantType决定的

在不同AuthorizationGrantType下对OAuth2AuthorizationRequest的梳理。涉及到的成员变量有：

authorizationGrantType ，来自配置spring.security.client.registration.{registrationId}.authorizationGrantType。
responseType ，由authorizationGrantType 的值决定，参考下面的JSON。
additionalParameters，当authorizationGrantType值为authorization_code时需要额外的一些参数，参考下面JSON 。
attributes，不同的authorizationGrantType存在不同的属性。

其中类似{registrationId} 的形式表示 {registrationId}是一个变量，例如 registrationId=gitee。

在OAuth2客户端配置spring.security.client.registration.{registrationId}的前缀中有以下五种情况。

当 scope 不包含openid而且client-authentication-method不为none时上述四个参数：

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {},
  "attributes": {
    "registration_id": "{registrationId}"
  }
}

当 scope 包含openid而且client-authentication-method不为none时上述四个参数：

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "nonce": "{nonce}的Hash值"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "nonce": "{nonce}"
  }
}

当 scope不包含openid而且client-authentication-method为none时上述四个参数：

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "code_challenge": "{codeVerifier}的Hash值",
    // code_challenge_method 当不是SHA256可能没有该key
    "code_challenge_method": "S256（如果是SHA256算法的话）"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "code_verifier": "Base64生成的安全{codeVerifier}"
  }
}

当 scope包含openid而且client-authentication-method为none时上述四个参数：

{
  "authorizationGrantType": "authorization_code",
  "responseType": "code",
  "additionalParameters": {
    "code_challenge": "{codeVerifier}的Hash值",
    // code_challenge_method 当不是SHA256可能没有该key
    "code_challenge_method": "S256（如果是SHA256算法的话）",
    "nonce": "{nonce}的Hash值"
  },
  "attributes": {
    "registration_id": "{registrationId}",
    "code_verifier": "Base64生成的安全{codeVerifier}",
    "nonce": "{nonce}"
  }
}

implicit下要简单的多：

{
  "authorizationGrantType": "implicit",
  "responseType": "token",
  "attributes": {}
}

3.2 固定规则部分

上面是各种不同AuthorizationGrantType下的OAuth2AuthorizationRequest的成员变量个性化取值策略，还有几个参数的规则是固定的：

clientId 来自于配置，是第三方平台给予我们的唯一标识。
authorizationUri来自于配置，用来构造向第三方发起的请求URL。
scopes 来自于配置，是第三方平台给我们授权划定的作用域，可以理解为角色。
state 自动生成的，为了防止csrf 攻击。
authorizationRequestUri 向第三方平台发起授权请求的，可以直接通过OAuth2AuthorizationRequest的构建类来设置或者通过上面的authorizationUri等参数来生成，稍后会把构造机制分析一波。
redirectUri 当OAuth2AuthorizationRequest被第三方平台收到后，第三方平台会回调这个URI来对授权请求进行相应，稍后也会来分析其机制。

authorizationRequestUri的构建机制

如果不显式提供authorizationRequestUri就会通过OAuth2AuthorizationRequest中的

responseType
clientId
scopes
state
redirectUri
additionalParameters

按照下面的规则进行拼接成authorizationUri的参数串，参数串的key和value都要进行URI编码。

authorizationUri?response_type={responseType.getValue()}&client_id={clientId}&scope={scopes元素一个字符间隔}&state={state}&redirect_uri={redirectUri}&{additionalParameter展开进行同样规则的KV参数串}

然后OAuth2AuthorizationRequestRedirectFilter负责重定向到authorizationRequestUri向第三方请求授权。

redirectUri

第三方收到响应会调用redirectUri，回调也是有一定默认规则的，它遵循{baseUrl}/{action}/oauth2/code/{registrationId}的路径参数规则。

baseUrl 是从我们/oauth2/authorization请求中提取的基础请求路径。
action，有两种默认值login、authorize ，当/oauth2/authorization请求中包含了action参数时会根据action的值进行填充。
registrationId 这个就不用多说了。

4. 总结

通过对OAuth2AuthorizationRequest请求对象的规则进行详细分析，我们应该能大致的知道的过滤器OAuth2AuthorizationRequestRedirectFilter流程：

通过客户端配置构建ClientRegistration，后续可以进行持久化。
拦截/oauth2/authorization请求并构造OAuth2AuthorizationRequest，然后重定向到authorizationRequestUri进行请求授权。
第三方通过redirect_uri进行相应。

那么Spring Security OAuth2如何对第三方的回调相应进行处理呢？关注：码农小胖哥 为你揭晓这个答案。

关注公众号：Felordcn获取更多资讯

个人博客：https://felord.cn

微信关注我们

原文链接：https://my.oschina.net/10000000000/blog/4712067

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

2020-11-10 19:47:00

JDK的命令行工具详解

一、概述 JDK的命令行工具指的是jdk的bin目录中的一些可执行工具，除了常用的java、javac之外，还有很多其他可执行工具，主要包括用于监视虚拟机和故障处理的工具。这些故障处理工具被Sun公司作为“礼物”附赠给JDK的使用者。主要的工具和功能如下：名称中文名全拼主要作用 jps 虚拟机进程状况工具 JVM ProcessStatus Tool 显示指定系统内所有虚拟机进程 jstat 虚拟机统计信息监视工具 JVM Statistics Monitoring Tool 用于收集虚拟机各方面的运行数据 jinfo Java配置信息工具 Configuration Info for Java 实时地查看和调整虚拟机各项参数 jmap Java内存映像工具 Memory Map for Java 用于生成堆转储快照 jhat 虚拟机堆转储快照分析工具 JVM Heap Analysis Tool 与jmap搭配使用，来分析jmap生成的堆转储快照 jstack Java堆栈跟踪工具 Stack Trace for Java 于生成虚拟机当前时刻的线程快照（一般称为threa...

558

2020-11-11 09:36:00

Reactor中的Thread和Scheduler

简介今天我们要介绍的是Reactor中的多线程模型和定时器模型,Reactor之前我们已经介绍过了，它实际上是观察者模式的延伸。所以从本质上来说，Reactor是和多线程无关的。你可以把它用在多线程或者不用在多线程。今天将会给大家介绍一下如何在Reactor中使用多线程和定时器模型。 Thread多线程先看一下之前举的Flux的创建的例子： Flux<String> flux = Flux.generate( () -> 0, (state, sink) -> { sink.next("3 x " + state + " = " + 3*state); if (state == 10) sink.complete(); return state + 1; }); flux.subscribe(System.out::println); 可以看到，不管是Flux generator还是subscriber，他们实际上都是运行在同一个线程中的。如果我们想让subscribe发生在一个新的线程中，我们需要新启动一个线程，然后在线程内部进行subscribe操...

490

资源下载

更多资源

优质分享Android(本站安卓app)

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Oracle Database，又名Oracle RDBMS

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Apache Tomcat7、8、9（Java Web服务器）

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Eclipse（集成开发环境）

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。