(二)、Spring Security OAuth2 四个常用注解说明

时间:2024-04-10 10:49:44

更多相关文章请见:Spring Security文章目录


 

1、模块说明:

  • 资源服务:提供资源访问
  • 认证授权服务:提供认证和授权服务
  • 客户端:请求资源服务的OAuth2 客户端
  • 应用系统:提供应用能力的系统,在单点登录sso场景下,每一个需要认证授权服务认证授权的系统,就是一个应用系统。

2、常用注解:

spring security oauth2 提供了四个常用注解,来辅助oauth2功能的实现。

1、@EnableOAuth2Client:客户端,提供OAuth2RestTemplate,用于客户端访问资源服务。 
简要步骤:客户端访问资源->客户端发现没有资源访问token->客户端根据授权类型生成跳转url->浏览器 302 到认证授权服务进行认证、授权。


2、@EnableOAuth2Sso:应用系统,使用远端认证授权服务,替换应用自身的用户登录鉴权security逻辑,实现单点登录功能。 
简要步骤:访问应用系统资源-> 应用系统发现未登录-> 302 跳转到登录页面(登录页面地址已经与获取token逻辑自动关联)-> 应用系统发现符合获取token条件,根据授权类型拼装url->302 跳转到认证授权地址(认证授权服务提供)进行认证、授权。


3、@EnableAuthorizationServer:认证授权服务,提供用于获取token,解析token相关功能,实现认证、授权功能。
具体见 Spring Security 文章目录中的 Spring Cloud OAuth2 五种授权方式介绍。


4、@EnableResourceServer:资源服务,提供基于token的资源访问功能。

 

 

3、@EnableOAuth2Client 加载过程

3.1、加载流程:

(二)、Spring Security OAuth2 四个常用注解说明

 

3.2、流程说明:

1、@EnableOAuth2Client

@Import(OAuth2ClientConfiguration.class)

2、OAuth2ClientConfiguration说明

2.1、OAuth2ClientContextFilter bean 声明

OAuth2 client的Security filter,拦截请求,针对UserRedirectRequiredException做redirect操作。

实际请求由OAuth2RestTemplate控制权限跳转。

2.2、AccessTokenRequest bean 声明

request scope的bean,包装access token请求所需参数。

2.3、oauth2ClientContext bean 声明

session scope 的bean,是默认的OAuth 2 security context(DefaultOAuth2ClientContext)。

3.3、简要分析:

1、spring boot :

通过org.springframework.boot.autoconfigure.security.oauth2.client.OAuth2RestOperationsConfiguration.SessionScopedConfiguration#oauth2ClientFilterRegistration实现filter声明。

通过OAuth2ProtectedResourceDetailsConfiguration自定义认证类型。

 

4、@EnableOAuth2Sso加载过程

4.1、流程说明:

1、@EnableOAuth2Sso

@Import({ OAuth2SsoDefaultConfiguration.class, OAuth2SsoCustomConfiguration.class,

ResourceServerTokenServicesConfiguration.class })

@EnableOAuth2Client

@EnableConfigurationProperties(OAuth2SsoProperties.class)

 

2、OAuth2SsoDefaultConfiguration说明:

如果不存在 带@EnableOAuth2Sso注解的WebSecurityConfigurerAdapter声明,当前类创建一个默认的拦截所有请求的WebSecurityConfigurerAdapter。

 

3、OAuth2SsoCustomConfiguration说明:

如果存在 带@EnableOAuth2Sso注解的WebSecurityConfigurerAdapter声明,生成当前bean。

3.1、重写WebSecurityConfigurerAdapter的init方法:

给WebSecurityConfigurerAdapter做动态代理,在init方法中实现 SsoSecurityConfigurer的configure逻辑。

追加OAuth2ClientAuthenticationConfigurer到http中,最终添加OAuth2ClientAuthenticationProcessingFilter到SecurityContext filter中,实现oauth getAccessToken等相关逻辑。

只处理指定的请求,通过配置security.oauth2.sso.loginPath控制。

3.2、追加LoginUrlAuthenticationEntryPoint和HttpStatusEntryPoint:

ExceptionTranslationFilter中拦截AuthenticationException跳转到security.oauth2.sso.loginPath地址,进入 OAuth2ClientAuthenticationProcessingFilter拦截,实现 token逻辑。

 

4、ResourceServerTokenServicesConfiguration 说明:

授权服务在其他应用时生效,通过OAuth2RestTemplate去远程调用授权服务。同时提供JwtTokenServicesConfiguration相关逻辑,提供jwt token pulic key获取等相关处理。

 

5、OAuth2RestOperationsConfiguration说明:

默认的client配置,基于security.oauth2.client配置提供OAuth2ProtectedResourceDetails和OAuth2ClientContext默认声明。

 

4.2、简要分析:

1、通过流程可以看出来,核心在于OAuth2ClientAuthenticationProcessingFilter实现本地应用登录请求和远端认证授权服务的自动跳转。

2、通知提供jwt相关支撑。

3、本地应用判断是否登录,默认通过session控制。

 

5、@EnableAuthorizationServer 加载过程

5.1、加载流程:

 

(二)、Spring Security OAuth2 四个常用注解说明

 

5.2、流程说明:

1、@EnableAuthorizationServer

@Import({AuthorizationServerEndpointsConfiguration.class, AuthorizationServerSecurityConfiguration.class})

 

2、AuthorizationServerEndpointsConfiguration说明:

2.1、@Import(TokenKeyEndpointRegistrar.class)

  • TokenKeyEndpointRegistrar: 如果存在JwtAccessTokenConverter bean,就创建TokenKeyEndpoint bean。

 

2.2、authorizationEndpoint bean声明:用来作为请求者获得授权的服务

2.2.1、/oauth/confirm_access 用户确认授权提交端点。

2.2.2、/oauth/error 授权服务错误信息端点。

2.2.3、/oauth/authorize 请求授权端点。

 

2.2.4、代码块如下:

@Bean

public AuthorizationEndpoint authorizationEndpoint() throws Exception {

// 默认URL是/oauth/authorize(请求授权端点)

AuthorizationEndpoint authorizationEndpoint = new AuthorizationEndpoint();

FrameworkEndpointHandlerMapping mapping = getEndpointsConfigurer().getFrameworkEndpointHandlerMapping();

authorizationEndpoint.setUserApprovalPage(extractPath(mapping, "/oauth/confirm_access"));

authorizationEndpoint.setProviderExceptionHandler(exceptionTranslator());

authorizationEndpoint.setErrorPage(extractPath(mapping, "/oauth/error"));

authorizationEndpoint.setTokenGranter(tokenGranter());

authorizationEndpoint.setClientDetailsService(clientDetailsService);

authorizationEndpoint.setAuthorizationCodeServices(authorizationCodeServices());

authorizationEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());

authorizationEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());

authorizationEndpoint.setUserApprovalHandler(userApprovalHandler());

return authorizationEndpoint;

}

 

2.3、tokenEndpoint bean 声明:用来作为请求者获得令牌(Token)的服务。

2.3.1、/oauth/token 请求令牌端点

2.3.2、核心代码:

@Bean

public TokenEndpoint tokenEndpoint() throws Exception {

TokenEndpoint tokenEndpoint = new TokenEndpoint();

tokenEndpoint.setClientDetailsService(clientDetailsService);

tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());

tokenEndpoint.setTokenGranter(tokenGranter());

tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());

tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());

tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());

return tokenEndpoint;

}

 

2.4 CheckTokenEndpoint bean 声明:资源服务访问的令牌解析服务。

2.4.1、/oauth/check_token:用于资源服务访问的令牌解析端点。

2.4.2、核心代码:

@Bean

public CheckTokenEndpoint checkTokenEndpoint() {

CheckTokenEndpoint endpoint = new CheckTokenEndpoint(getEndpointsConfigurer().getResourceServerTokenServices());

endpoint.setAccessTokenConverter(getEndpointsConfigurer().getAccessTokenConverter());

endpoint.setExceptionTranslator(exceptionTranslator());

return endpoint;

}

 

2.5 WhitelabelApprovalEndpoint bean 声明: 用户确认授权提交服务

2.5.1、/oauth/confirm_access:用户确认授权提交端点。

2.5.2、核心代码:

@Bean

public WhitelabelApprovalEndpoint whitelabelApprovalEndpoint() {

return new WhitelabelApprovalEndpoint();

}

 

2.6 WhitelabelErrorEndpoint bean 声明:授权服务错误信息服务

2.6.1、/oauth/error:授权服务错误信息端点。

2.6.2、核心代码:

@Bean

public WhitelabelErrorEndpoint whitelabelErrorEndpoint() {

return new WhitelabelErrorEndpoint();

}

 

2.7 ConsumerTokenServices ban声明:提供revokeToken支撑

 

2.8 AuthorizationServerTokenServices bean声明:token操作相关服务。

 

3、AuthorizationServerSecurityConfiguration说明

3.1、@Import({ ClientDetailsServiceConfiguration.class, AuthorizationServerEndpointsConfiguration.class })

  • ClientDetailsServiceConfiguration:根据configurer生成 ClientDetailsService bean,通过重写org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurer#configure(org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer)自定义实现。
  • AuthorizationServerEndpointsConfiguration:同2.

3.2 、继承WebSecurityConfigurerAdapter,实现认证服务请求的授权控制。

通过声明AuthorizationServerConfigurer bean实现配置修改。

3.3、核心http配置如下:

@Override

protected void configure(HttpSecurity http) throws Exception {

AuthorizationServerSecurityConfigurer configurer = new AuthorizationServerSecurityConfigurer();

FrameworkEndpointHandlerMapping handlerMapping = endpoints.oauth2EndpointHandlerMapping();

http.setSharedObject(FrameworkEndpointHandlerMapping.class, handlerMapping);

configure(configurer);

http.apply(configurer);

// 请求令牌端点。

String tokenEndpointPath = handlerMapping.getServletPath("/oauth/token");

// 提供公有密匙的端点,如果你使用JWT令牌的话

String tokenKeyPath = handlerMapping.getServletPath("/oauth/token_key");

// 用于资源服务访问的令牌解析端点。

String checkTokenPath = handlerMapping.getServletPath("/oauth/check_token");

if (!endpoints.getEndpointsConfigurer().isUserDetailsServiceOverride()) {

UserDetailsService userDetailsService = http.getSharedObject(UserDetailsService.class);

endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);

}

// @formatter:off

http

.authorizeRequests()

.antMatchers(tokenEndpointPath).fullyAuthenticated()

.antMatchers(tokenKeyPath).access(configurer.getTokenKeyAccess())

.antMatchers(checkTokenPath).access(configurer.getCheckTokenAccess())

.and()

.requestMatchers()

.antMatchers(tokenEndpointPath, tokenKeyPath, checkTokenPath)

.and()

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);

// @formatter:on

http.setSharedObject(ClientDetailsService.class, clientDetailsService);

}

 

4、AuthorizationServerConfigurer提供的三个覆盖点如下:

configure(AuthorizationServerSecurityConfigurer security)

configure(ClientDetailsServiceConfigurer clients)

configure(AuthorizationServerEndpointsConfigurer endpoints)

 

5.3、简要分析:

1、通过流程可以看出来,核心在AuthorizationServerConfigurer方法的重写,提供业务支撑。

2、spring boot 集成了AuthorizationServerProperties 和 OAuth2AuthorizationServerConfiguration实现了通用的oauth2配置。OAuth2AuthorizationServerConfiguration就是AuthorizationServerConfigurer的实现。

3、/oauth/authorize请求,通过 登录相关WebSecurityConfigurerAdapter(最基本的spring security使用)处理,未登录就跳转到登陆界面,该拦截基本包含所有必要的请求。优先级在AuthorizationServerSecurity之后。

4、登录成功后,通过获取保存在session的上一步url,进行页面跳转控制。具体见SavedRequestAwareAuthenticationSuccessHandler。

5、授权服务器本身的登录保持,默认通过session来控制。

 

 

6、@EnableResourceServer加载过程

6.1、流程说明:

1、@EnableResourceServer

@Import(ResourceServerConfiguration.class)

 

2、ResourceServerConfiguration说明:

提供WebSecurityConfigurerAdapter, 追加ResourceServerSecurityConfigurer配置,主要追加OAuth2AuthenticationEntryPoint、OAuth2AccessDeniedHandler、OAuth2WebSecurityExpressionHandler等配置,控制token验证相关逻辑。

OAuth2AuthenticationProcessingFilter是核心逻辑,控制token解析相关。

 

3、一个filter 列表展示:

(二)、Spring Security OAuth2 四个常用注解说明

 

6.2、简要分析:

1、主要是通过多个WebSecurityConfigurerAdapter加载,实现不同的filter chain匹配。

2、资源请求,需要保证不能被前面的WebSecurityConfigurerAdapter包含,否则,无法走到token解析逻辑中。