2. 程式人生 > >spring security oauth2 自動重新整理續簽token (refresh token)

spring security oauth2 自動重新整理續簽token (refresh token)

阿新 發佈:2018-12-16

1.引言

本篇文章適合瞭解過oauth2,有用過spring security oauth2的讀者並且瞭解過濾器鏈路的人。本篇文章的思路是首先獲取資源伺服器的某一個資源,當認證失敗返回401的時候我們通過異常處理器的嘗試通過refresh token 進行token的重新整理,如果重新整理成功則通過請求轉發的方式沿路訪問資源伺服器的某一個資源。如果重新整理失敗那麼返回401,並且結果通知客戶端。如果是web端可以直接跳轉到登陸頁面,如果是app端則返回錯誤資訊。

2.首先從原始碼分析核心過濾器OAuth2AuthenticationProcessingFilter

下面是此過濾器的過濾方法,可以知道當授權失敗丟擲異常的時候將會被catch,並且通過authenticationEntryPoint.commence()呼叫端點異常處理器,這個處理器將是我們重寫的關鍵

	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
			ServletException {

		final boolean debug = logger.isDebugEnabled();
		final HttpServletRequest request = (HttpServletRequest) req;
		final HttpServletResponse response = (HttpServletResponse) res;

		try {

			Authentication authentication = tokenExtractor.extract(request);
			
            ...
			
		catch (OAuth2Exception failed) {
			SecurityContextHolder.clearContext();

			if (debug) {
				logger.debug("Authentication request failed: " + failed);
			}
			eventPublisher.publishAuthenticationFailure(new BadCredentialsException(failed.getMessage(), failed),
					new PreAuthenticatedAuthenticationToken("access-token", "N/A"));

			authenticationEntryPoint.commence(request, response,
					new InsufficientAuthenticationException(failed.getMessage(), failed));

			return;
		}

		chain.doFilter(request, response);
	}

3.重寫端點異常處理器

重寫端點異常處理器只需要繼承OAuth2AuthenticationEntryPoint即可,通過原始碼我們也可以知道過濾器預設呼叫的是OAuth2AuthenticationEntryPoint處理器,在這裡不展示了。接著我們只需要對關鍵的方法commence進行重寫即可,大概思路就是首先判斷異常返回的狀態嗎是不是401,如果不是則呼叫父類的預設方法commence處理其他非401的異常,如果是401異常,那麼我們通過RestTemplate發起重新整理Token的請求,如果重新整理成功則通過request.getRequestDispatcher().forward()轉發到原來的資源伺服器的資源上進行資源訪問並且將獲取的token存入cookie,如果重新整理失敗則返回錯誤資訊(web的話也可以通過response.sendirect跳轉到登陸頁面)

public class LLGAuthenticationEntryPoint extends OAuth2AuthenticationEntryPoint {

    @Autowired
    private OAuth2ClientProperties oAuth2ClientProperties;
    @Autowired
    private BaseOAuth2ProtectedResourceDetails baseOAuth2ProtectedResourceDetails;
    private WebResponseExceptionTranslator<?> exceptionTranslator = new DefaultWebResponseExceptionTranslator();
    @Autowired
    RestTemplate restTemplate;
    
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        try {
            //解析異常,如果是401則處理
            ResponseEntity<?> result = exceptionTranslator.translate(authException);
            if (result.getStatusCode() == HttpStatus.UNAUTHORIZED) {
                MultiValueMap<String, String> formData = new LinkedMultiValueMap<String, String>();
                formData.add("client_id", oAuth2ClientProperties.getClientId());
                formData.add("client_secret", oAuth2ClientProperties.getClientSecret());
                formData.add("grant_type", "refresh_token");
                Cookie[] cookie=request.getCookies();
                for(Cookie coo:cookie){
                    if(coo.getName().equals("refresh_token")){
                        formData.add("refresh_token", coo.getValue());
                    }
                }
                HttpHeaders headers = new HttpHeaders();
                headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
                Map map = restTemplate.exchange(baseOAuth2ProtectedResourceDetails.getAccessTokenUri(), HttpMethod.POST,
                            new HttpEntity<MultiValueMap<String, String>>(formData, headers), Map.class).getBody();
                //如果重新整理異常,則坐進一步處理
                if(map.get("error")!=null){
                    // 返回指定格式的錯誤資訊
                    response.setStatus(401);
                    response.setHeader("Content-Type", "application/json;charset=utf-8");
                    response.getWriter().print("{\"code\":1,\"message\":\""+map.get("error_description")+"\"}");
                    response.getWriter().flush();
                    //如果是網頁,跳轉到登陸頁面
                    //response.sendRedirect("login");
                }else{
                    //如果重新整理成功則儲存cookie並且跳轉到原來需要訪問的頁面
                    for(Object key:map.keySet()){
                        response.addCookie(new Cookie(key.toString(),map.get(key).toString()));
                    }
                    request.getRequestDispatcher(request.getRequestURI()).forward(request,response);
                }
            }else{
                //如果不是401異常,則以預設的方法繼續處理其他異常
                super.commence(request,response,authException);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

    }

}

4.將處理器配置進過濾器上

由於spring security遵循介面卡的設計模式,所以我們可以直接從配置類上配置此處理器

@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public abstract class ResServerConfig extends ResourceServerConfigurerAdapter {

    ...

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        super.configure(resources);
       
        resources.authenticationEntryPoint(new LLGAuthenticationEntryPoint());
      
    }

5.實戰

5.1向授權伺服器獲取token

首先編寫登陸控制器,通過restTemplate向授權伺服器獲取token並且存入cookie

PostMapping(value = "/login")
    public ResponseEntity<OAuth2AccessToken> login(@RequestBody @Valid LoginDTO loginDTO, BindingResult bindingResult, HttpServletResponse response) throws Exception {
        if (bindingResult.hasErrors()) {
            throw new Exception("登入資訊格式錯誤");
        } else {
            //Http Basic 驗證
            String clientAndSecret = oAuth2ClientProperties.getClientId() + ":" + oAuth2ClientProperties.getClientSecret();
            //這裡需要注意為 Basic 而非 Bearer
            clientAndSecret = "Basic " + Base64.getEncoder().encodeToString(clientAndSecret.getBytes());
            HttpHeaders httpHeaders = new HttpHeaders();
            httpHeaders.set("Authorization", clientAndSecret);
            //授權請求資訊
            MultiValueMap<String, String> map = new LinkedMultiValueMap<>();
            map.put("username", Collections.singletonList(loginDTO.getUsername()));
            map.put("password", Collections.singletonList(loginDTO.getPassword()));
            map.put("grant_type", Collections.singletonList(oAuth2ProtectedResourceDetails.getGrantType()));
            map.put("scope", oAuth2ProtectedResourceDetails.getScope());
            //HttpEntity
            HttpEntity httpEntity = new HttpEntity(map, httpHeaders);
            //獲取 Token
            ResponseEntity<OAuth2AccessToken> body = restTemplate.exchange(oAuth2ProtectedResourceDetails.getAccessTokenUri(), HttpMethod.POST, httpEntity, OAuth2AccessToken.class);
            OAuth2AccessToken oAuth2AccessToken = body.getBody();
            response.addCookie(new Cookie("access_token", oAuth2AccessToken.getValue()));
            response.addCookie(new Cookie("refresh_token", oAuth2AccessToken.getRefreshToken().getValue()));
            return body;
        }
    }

之後通過idea的Http client 工具模擬請求獲取token

  • 獲取access_token請求(/oauth/token)  請求所需引數:client_id、client_secret、grant_type、username、password

5.2用失效token訪問資源伺服器

使用失效的token訪問資源的時候,可以發現端點直接到達異常處理器,可以看出token確實是失效的並且進入了處理器進行處理,並且最終通過refresh_token獲取到最新的token再次訪問獲取到資源

  • 重新整理token請求(/oauth/token)  請求所需引數:grant_type、refresh_token、client_id、client_secret  其中grant_type為固定值:grant_type=refresh_token

6.總結

本次由於對spring security oauth2瞭解不深入,導致在尋找異常丟擲解決方法的時候折騰了一下,整體的思路並不複雜,只是用到了最普通的請求轉發,但是需要對過濾器鏈有一定了解,打斷點慢慢看是不錯的選擇。

相關推薦

spring security oauth2 自動重新整理續簽token (refresh token)

1.引言 本篇文章適合瞭解過oauth2,有用過spring security oauth2的讀者並且瞭解過濾器鏈路的人。本篇文章的思路是首先獲取資源伺服器的某一個資源,當認證失敗返回401的時候我們通過異常處理器的嘗試通過refresh token 進行token的重新整

Spring Security Oauth2 認證(獲取token/重新整理token)流程(password模式)

1.本文介紹的認證流程範圍 本文主要對從使用者發起獲取token的請求(/oauth/token),到請求結束返回token中間經過的幾個關鍵點進行說明。 2.認證會用到的相關請求 注:所有請求均為post請求。 獲取access_token請求(

Spring Security Oauth2使用JWT生成Token

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我們平時使用oauth2的協議中,生成的token是基於oauth2協議本身的生成策略,如下面的程式碼(一般在登陸成功的handler中生成token).:

Spring Security OAuth2筆記系列】- 【使用Spring MVC開發RESTful API】 使用swagger自動生成html文件

使用swagger自動生成html文件 本節內容 使用swagger自動生成html文件 使用WireMock快速偽造restful服務 前後分離並行開發的時候(當然不是一個人從前到後都幹那種);那麼提供文件就很有必要了。 光看文件不是那麼的直觀。偽

OAuth2.0學習(4-1)Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

spring security oauth2.0 實現

規範 ppi basic final pre 代碼 處理 state 三方  oauth應該屬於security的一部分。關於oauth的的相關知識可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.htm

spring security oauth2認證中心 集成zuul網關的代碼分析

負載 很好 結合 gate conf git oauth2 註冊 通過 zuul作為業務網關需要對其內部的服務進行權限控制,采用oauth2的資源服務器集成到zuul中可以很好的保護zuul內部的服務,需要搭建服務註冊中心,認證中心,鑒權中心三大板塊,其中鑒權中心是和zuu

Spring Security +Oauth2 +Spring boot 動態定義權限

第三方 決策管理 oauth2 跳過 請求 code com 授權 並且 Oauth2介紹:Oauth2是為用戶資源的授權定義了一個安全、開放及簡單的標準,第三方無需知道用戶的賬號及密碼,就可獲取到用戶的授權信息,並且這是安全的。 簡單的來說,當用戶登陸網站的時候,需要賬號

Spring Security Oauth2 permitAll()方法小記

ted 分享圖片 eth con bus led cat and perf 黃鼠狼在養雞場山崖邊立了塊碑,寫道:“不勇敢地飛下去,你怎麽知道自己原來是一只搏擊長空的鷹?!” 從此以後 黃鼠狼每天都能在崖底吃到那些摔死的雞! 前言 上周五有網友問道,在使用spr

基於spring-security-oauth2搭建授權服務器(一)

常用 遊戲 安全性 獲取 部分 tools token 界面 作者 背景:需要API網關控制權限,單點登陸。 當前關於這方面的系統資料較少,因此大多是找尋網上零散的示例解析,結合官方文檔中的demo再加上源碼跟蹤調試來進行學習與搭建。但由於涉及的知識點較多,且零散示

Spring Security OAuth2 授權失敗(401 問題整理

控制 默認 pub available cli npr href sta -s Spring Cloud架構中采用Spring Security OAuth2作為權限控制,關於OAuth2詳細介紹可以參考 http://www.ruanyifeng.com/blo

Spring Security OAuth2 授權碼模式

 背景:     由於業務實現中涉及到接入第三方系統(app接入有贊商城等),所以涉及到第三方系統需要獲取使用者資訊(使用者手機號、姓名等),為了保證使用者資訊的安全和接入方式的統一, 採用Oauth2四種模式之一的授權碼模式。  介紹:   &nbs

spring cloud config 動態重新整理配置 /bus/refresh 404 not found

上一篇學習了spring cloud config的基本使用,但發現有個問題,就是每次更改配置後,都需要重啟服務才能更新配置,這樣肯定是不行的。在上網查資料瞭解後,spring cloud支援通過AMQP來實現配置的實時更新。 一,安裝的的RabbitMQ 安裝RabbitMQ 二,改造

Spring Security OAuth2 快取使用jackson序列化的處理

不知道這個問題有沒有人遇到或者處理過,Spring Security OAuth2的tokenStore的redis快取預設的序列化策略是jdk序列化,這意味著redis裡面的值是無法閱讀的狀態,而且這個快取也無法被其他語言的web應用所使用,於是就打算使用最常見的json序列化策略來儲存。 這個問題想處理

Spring Security Oauth2 示例

所有示例的依賴如下(均是SpringBoot專案) pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <

Spring Security OAuth2 JWT實現SSO

 轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84032850      在這裡我們以一臺伺服器和2臺客戶端做測試,在客戶端1進行登陸之後,訪問客服端2的時候不需要進行登陸就可訪問(類

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

Spring security oauth2-客戶端模式,簡化模式,密碼模式(Finchley版本)

一、客戶端模式原理解析(來自理解OAuth 2.0) 客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以使用者的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中,使用者直接向客戶端註冊,客戶端

Spring Security Oauth2-授權碼模式(Finchley版本)

一、授權碼模式原理解析(來自理解OAuth 2.0) 授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。其具體的流程如下: 具體步驟: A:使用者訪問客戶端(cli