Spring-Security配合OAuth2初探
环境
SpringBoot1.5.2, Tomcat
核心类
org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter
org.springframework.boot.web.servlet.DelegatingFilterProxyRegistrationBean$1
(org.springframework.web.filter.DelegatingFilterProxy
)org.springframework.security.web.FilterChainProxy
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor
org.springframework.security.access.AccessDeniedException
org.springframework.security.oauth2.client.filter.OAuth2ClientAuthenticationProcessingFilter
第一次访问资源
我们以获取当前的用户信息接口(/user)为例
OAuth2ClientContextFilter
请求到达服务器后, 经过了tomcat的代码处理后,进入ApplicationFilterChain
队列过滤逻辑,其中我们关注的OAuth2ClientContextFilter
和DelegatingFilterProxy
就在队列中,其中OAuth2ClientContextFilter
在前。
OAuth2ClientContextFilter`的代码逻辑比较简单:
- 记录当前地址(
currentUri
)到HttpServletRequest
- 调用队列内的下一个Filter
- 对后续的Filter的异常进行检查,如果是
UserRedirectRequiredException
,则转向到预先映射的第三方登录地址
注意
UserRedirectRequiredException
通常需要在指定了第三方登录地址后才会生效。该类的重定向使用的是HTTP302来完成,因此如果在浏览器访问,可以看到跳转的连接地址和请求状态
DelegatingFilterProxyRegistrationBean$1(FilterChainProxy)
该类继承自DelegatingFilterProxy
, 因此实际执行的代码是DelegatingFilterProxy.doFilter
, 作为一个代理类,实际操作也是来自于FilterChainProxy
从FilterChainProxy
类名可以看出,实际上这也是一个代理类,它主要是代理的是与web-security相关的过滤器,如org.springframework.security.web.context.SecurityContextPersistenceFilter
, CsrsFilter
, AnonymousAuthenticationFilter
, FilterSecurityInterceptor
,ExceptionTranslationFilter
等
FilterSecurityInterceptor
FilterSecurityInterceptor
会判断当前url的合法性,因为是第一次访问/user
,所以肯定是不允许访问,该类报出异常AccessDeniedException
ExceptionTranslationFilter
ExceptionTranslationFilter
拦截到AccessDeniedException
异常后,会根据当前请求所在HttpSecurity
的AuthenticationEntryPoint
执行操作,通常设置为LoginUrlAuthenticationEntryPoint
, 即指定登录页,通知浏览器重定向到登录页。如果没有设置登录页,则会以xml的形式提示权限错误。
访问受限,302重定向本地的认证地址
此处我们假定页面重定向到了/
, 此处我需要提前指定HttpSecurity
给予/
全部权利,不需要验证。
为了方便访问者正常访问,通常我们会在此处提供自己的登录窗以及第三方的授权按钮。为了支持第三方操作,需要我们做如下操作。
根据Spring官方给出的例子,我们可以通过新增一个CompositeFilter
来容纳多个自定义的第三方SSO。然后通过HttpSecurity#addFilterBefore
加入到BasicAuthenticationFilter
之前,也可以直接使用OAuth2的验证Filter(OAuth2ClientAuthenticationProcessingFilter
)来完成某个第三方SSO认证。比如我们将github的认证地址映射到本地*/login/gihub
访问我们设置的映射地址
此处我们假定发起了*/login/gihub的请求,此时服务器会触发过滤器OAuth2ClientAuthenticationProcessingFilter
OAuth2ClientAuthenticationProcessingFilter
OAuth2ClientAuthenticationProcessingFilter
的功能是,判断当前请求是否是认证地址,通过则需要提供身份信息来请求第三方服务验证合法性。当前请求,因为没有提供任何的有效参数,所以会认证失败,但因为我们之前配置了第三方对接信息, 此时会通过抛出UserRedirectRequiredException
, 通知OAuth2ClientContextFilter
进行后需处理。
302重定向第三方用户认证地址
前文提到我们会把第三方SSO信息保存到OAuth2ClientAuthenticationProcessingFilter
, 所以UserRedirectRequiredException
会携带我们配置的信息。
以Github为例,配置信息
#github配置样例
github:
client:
clientId: 7d658e32ae64b10e2e39
clientSecret: 928edee34225c4bb6d8f7967caa72422ad941a5c
accessTokenUri: https://github.com/login/oauth/access_token
userAuthorizationUri: https://github.com/login/oauth/authorize
clientAuthenticationScheme: form
resource:
userInfoUri: https://api.github.com/user
实际上的重定向的地址
https://github.com/login/oauth/authorize?client_id=7d658e32ae64b10e2e39&redirect_uri=http://localhost:8080/login/github&response_type=code&state=mCveDp
response_type和state是由OAuth2程序来处理,不需要我们关注。state一般用于本地服务定位信息,response_type是描述返回内容的格式,实际效果看服务器是否支持
之后便是两种结果,一种是跳转到登录页面,一种是因为你之前登录过github,直接认证通过。两种方式最终都会再次重定向下面的地址:
http://localhost:8080/login/github?code=1c82951e2d1fd1917be5&state=mCveDp
因为我们指定了返回方式是code方式,所以看到参数里获取到了code,同时state原封不动的带了回来。
再次302重定向回本地认证地址
现在的/login/gihub提供了我们进行第三方认证的code,所以OAuth2ClientAuthenticationProcessingFilter
会认证通过,之后便是根据信息获取token,再进一步获取授权的用户信息,根据用户信息生成本地服务器的OAuth2Authentication
。此后会根据设置,决定是否会话保存还是每次请求。当然,实际网站都会保存到数据库或者引导用户注册新用户。
SavedRequest
在启用了Session的服务器,会保存之前/user地址,在本地认证地址通过后,会进一步检查SaveRequest,有则跳转到/user。
验证后访问资源
在经过了一系列操作,终于,我们可以访问我们想要的资源URL(/user)了,org.springframework.security.web.context.SecurityContextPersistenceFilter
,我们从Session内获取对应的HttpSession
, 并从Session中读取属性SPRING_SECURITY_CONTEXT
, 得到当前的上下文Context,Context中存放了之前的OAuth2Authentication
OAuth2官方的code验证图
+----------+
| Resource |
| Owner |
| |
+----------+
^
|
(B)
+----|-----+ Client Identifier +---------------+
| -+----(A)-- & Redirection URI ---->| |
| User- | | Authorization |
| Agent -+----(B)-- User authenticates --->| Server |
| | | |
| -+----(C)-- Authorization Code ---<| |
+-|----|---+ +---------------+
| | ^ v
(A) (C) | |
| | | |
^ v | |
+---------+ | |
| |>---(D)-- Authorization Code ---------' |
| Client | & Redirection URI |
| | |
| |<---(E)----- Access Token -------------------'
+---------+ (w/ Optional Refresh Token)
网友评论