美文网首页
Spring-Security配合OAuth2初探

Spring-Security配合OAuth2初探

作者: daxian1110 | 来源:发表于2018-07-16 11:14 被阅读0次

    Spring-Security配合OAuth2初探

    环境

    SpringBoot1.5.2, Tomcat

    核心类

    • org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter
    • org.springframework.boot.web.servlet.DelegatingFilterProxyRegistrationBean$1(org.springframework.web.filter.DelegatingFilterProxy)
    • org.springframework.security.web.FilterChainProxy
    • org.springframework.security.web.access.ExceptionTranslationFilter
    • org.springframework.security.web.access.intercept.FilterSecurityInterceptor
    • org.springframework.security.access.AccessDeniedException
    • org.springframework.security.oauth2.client.filter.OAuth2ClientAuthenticationProcessingFilter

    第一次访问资源

    我们以获取当前的用户信息接口(/user)为例

    OAuth2ClientContextFilter

    请求到达服务器后, 经过了tomcat的代码处理后,进入ApplicationFilterChain队列过滤逻辑,其中我们关注的OAuth2ClientContextFilterDelegatingFilterProxy就在队列中,其中OAuth2ClientContextFilter在前。

    OAuth2ClientContextFilter`的代码逻辑比较简单:

    1. 记录当前地址(currentUri)到HttpServletRequest
    2. 调用队列内的下一个Filter
    3. 对后续的Filter的异常进行检查,如果是UserRedirectRequiredException,则转向到预先映射的第三方登录地址

    注意
    UserRedirectRequiredException通常需要在指定了第三方登录地址后才会生效。该类的重定向使用的是HTTP302来完成,因此如果在浏览器访问,可以看到跳转的连接地址和请求状态

    DelegatingFilterProxyRegistrationBean$1(FilterChainProxy)

    该类继承自DelegatingFilterProxy, 因此实际执行的代码是DelegatingFilterProxy.doFilter, 作为一个代理类,实际操作也是来自于FilterChainProxy

    FilterChainProxy类名可以看出,实际上这也是一个代理类,它主要是代理的是与web-security相关的过滤器,如org.springframework.security.web.context.SecurityContextPersistenceFilter, CsrsFilter, AnonymousAuthenticationFilter, FilterSecurityInterceptor,ExceptionTranslationFilter

    FilterSecurityInterceptor

    FilterSecurityInterceptor会判断当前url的合法性,因为是第一次访问/user,所以肯定是不允许访问,该类报出异常AccessDeniedException

    ExceptionTranslationFilter

    ExceptionTranslationFilter拦截到AccessDeniedException异常后,会根据当前请求所在HttpSecurityAuthenticationEntryPoint执行操作,通常设置为LoginUrlAuthenticationEntryPoint, 即指定登录页,通知浏览器重定向到登录页。如果没有设置登录页,则会以xml的形式提示权限错误。

    访问受限,302重定向本地的认证地址

    此处我们假定页面重定向到了/, 此处我需要提前指定HttpSecurity给予/全部权利,不需要验证。

    为了方便访问者正常访问,通常我们会在此处提供自己的登录窗以及第三方的授权按钮。为了支持第三方操作,需要我们做如下操作。

    根据Spring官方给出的例子,我们可以通过新增一个CompositeFilter来容纳多个自定义的第三方SSO。然后通过HttpSecurity#addFilterBefore加入到BasicAuthenticationFilter之前,也可以直接使用OAuth2的验证Filter(OAuth2ClientAuthenticationProcessingFilter)来完成某个第三方SSO认证。比如我们将github的认证地址映射到本地*/login/gihub

    访问我们设置的映射地址

    此处我们假定发起了*/login/gihub的请求,此时服务器会触发过滤器OAuth2ClientAuthenticationProcessingFilter

    OAuth2ClientAuthenticationProcessingFilter

    OAuth2ClientAuthenticationProcessingFilter的功能是,判断当前请求是否是认证地址,通过则需要提供身份信息来请求第三方服务验证合法性。当前请求,因为没有提供任何的有效参数,所以会认证失败,但因为我们之前配置了第三方对接信息, 此时会通过抛出UserRedirectRequiredException, 通知OAuth2ClientContextFilter进行后需处理。

    302重定向第三方用户认证地址

    前文提到我们会把第三方SSO信息保存到OAuth2ClientAuthenticationProcessingFilter, 所以UserRedirectRequiredException会携带我们配置的信息。

    以Github为例,配置信息

    #github配置样例
    github:
      client:
        clientId: 7d658e32ae64b10e2e39
        clientSecret: 928edee34225c4bb6d8f7967caa72422ad941a5c
        accessTokenUri: https://github.com/login/oauth/access_token    
        userAuthorizationUri: https://github.com/login/oauth/authorize
        clientAuthenticationScheme: form
      resource:
        userInfoUri: https://api.github.com/user
    

    实际上的重定向的地址

    https://github.com/login/oauth/authorize?client_id=7d658e32ae64b10e2e39&redirect_uri=http://localhost:8080/login/github&response_type=code&state=mCveDp

    response_type和state是由OAuth2程序来处理,不需要我们关注。state一般用于本地服务定位信息,response_type是描述返回内容的格式,实际效果看服务器是否支持

    之后便是两种结果,一种是跳转到登录页面,一种是因为你之前登录过github,直接认证通过。两种方式最终都会再次重定向下面的地址:

    http://localhost:8080/login/github?code=1c82951e2d1fd1917be5&state=mCveDp

    因为我们指定了返回方式是code方式,所以看到参数里获取到了code,同时state原封不动的带了回来。

    再次302重定向回本地认证地址

    现在的/login/gihub提供了我们进行第三方认证的code,所以OAuth2ClientAuthenticationProcessingFilter会认证通过,之后便是根据信息获取token,再进一步获取授权的用户信息,根据用户信息生成本地服务器的OAuth2Authentication。此后会根据设置,决定是否会话保存还是每次请求。当然,实际网站都会保存到数据库或者引导用户注册新用户。

    SavedRequest

    在启用了Session的服务器,会保存之前/user地址,在本地认证地址通过后,会进一步检查SaveRequest,有则跳转到/user。

    验证后访问资源

    在经过了一系列操作,终于,我们可以访问我们想要的资源URL(/user)了,org.springframework.security.web.context.SecurityContextPersistenceFilter,我们从Session内获取对应的HttpSession, 并从Session中读取属性SPRING_SECURITY_CONTEXT, 得到当前的上下文Context,Context中存放了之前的OAuth2Authentication

    OAuth2官方的code验证图

         +----------+
         | Resource |
         |   Owner  |
         |          |
         +----------+
              ^
              |
             (B)
         +----|-----+          Client Identifier      +---------------+
         |         -+----(A)-- & Redirection URI ---->|               |
         |  User-   |                                 | Authorization |
         |  Agent  -+----(B)-- User authenticates --->|     Server    |
         |          |                                 |               |
         |         -+----(C)-- Authorization Code ---<|               |
         +-|----|---+                                 +---------------+
           |    |                                         ^      v
          (A)  (C)                                        |      |
           |    |                                         |      |
           ^    v                                         |      |
         +---------+                                      |      |
         |         |>---(D)-- Authorization Code ---------'      |
         |  Client |          & Redirection URI                  |
         |         |                                             |
         |         |<---(E)----- Access Token -------------------'
         +---------+       (w/ Optional Refresh Token)
    

    相关文章

      网友评论

          本文标题:Spring-Security配合OAuth2初探

          本文链接:https://www.haomeiwen.com/subject/oxgvpftx.html