手把手教你Spring Security Oauth2自定义授权模式_springsecurity 自定义授权-程序员宅基地
技术标签: spring spring boot spring security java oauth2
目录
前言
在Oauth2中,提供了几种基本的认证模式,有密码模式、客户端模式、授权码模式和简易模式。但很多时候,我们有自己的认证授权逻辑,比如手机验证码等,这就需要我们自定义认证授权模式
在看该文章之前,最好先看下面这个文章先了解下Spring Security Oauth2的授权认证流程
一文弄懂Spring Security oauth2授权认证流程
下面我就以手机验证码为例,自定义一个授权模式
1、自定义认证对象
我们的认证对象是通过Authentication对象进行传递的,Authentication只是一个接口,它的基类是AbstractAuthenticationToken抽象类,AbstractAuthenticationToken是Spring Security中用于表示身份验证令牌的抽象类。一般我们自定义认证对象,都是继承自AbstractAuthenticationToken
AbstractAuthenticationToken类的主要属性包括:
principal:表示认证主体,通常是用户对象(UserDetails)。
credentials:存储了与主体关联的认证信息,例如密码。
authorities:表示主体所拥有的权限集合。
authenticated:表示是否已经通过认证,true为已认证,false为未认证
details:用于存储与认证令牌相关的附加信息。该属性的类型是Object,因此可以存储任何类型的数据。
例如,在基于表单的认证中,可以将表单提交的用户名和密码存储在credentials属性中,并将其他与认证相关的详细信息(例如,用户名和密码的来源、表单提交的IP地址等)存储在details属性中。
下面是我自定义的一个认证对象类
@Getter
@Setter
public class PhoneAuthenticationToken extends AbstractAuthenticationToken {
private final Object principal;
private Object credentials;
/**
* 可以自定义属性
*/
private String phone;
/**
* 创建一个未认证的对象
* @param principal
* @param credentials
*/
public PhoneAuthenticationToken(Object principal, Object credentials) {
super(null);
this.principal = principal;
this.credentials = credentials;
setAuthenticated(false);
}
/**
* 创建一个已认证对象
* @param authorities
* @param principal
* @param credentials
*/
public PhoneAuthenticationToken(Collection<? extends GrantedAuthority> authorities, Object principal, Object credentials) {
super(authorities);
this.principal = principal;
this.credentials = credentials;
// 必须使用super,因为我们要重写
super.setAuthenticated(true);
}
/**
* 不能暴露Authenticated的设置方法,防止直接设置
* @param isAuthenticated
* @throws IllegalArgumentException
*/
@Override
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
Assert.isTrue(!isAuthenticated,
"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
super.setAuthenticated(false);
}
/**
* 用户凭证,如密码
* @return
*/
@Override
public Object getCredentials() {
return credentials;
}
/**
* 被认证主体的身份,如果是用户名/密码登录,就是用户名
* @return
*/
@Override
public Object getPrincipal() {
return principal;
}
}
2、自定义TokenGranter
TokenGranter是我们授权模式接口,而它的基类是AbstractTokenGranter抽象类,通过继承AbstractTokenGranter类并实现其抽象方法,就可以实现我们自定义的授权模式了
下面我参考ResourceOwnerPasswordTokenGranter,来实现我们的手机验证码授权模式
/**
* 手机验证码授权模式
*/
public class PhoneCodeTokenGranter extends AbstractTokenGranter {
//授权类型名称
private static final String GRANT_TYPE = "phonecode";
private final AuthenticationManager authenticationManager;
/**
* 构造函数
* @param tokenServices
* @param clientDetailsService
* @param requestFactory
* @param authenticationManager
*/
public PhoneCodeTokenGranter(AuthorizationServerTokenServices tokenServices, ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory, AuthenticationManager authenticationManager) {
this(tokenServices, clientDetailsService, requestFactory, GRANT_TYPE,authenticationManager);
}
public PhoneCodeTokenGranter(AuthorizationServerTokenServices tokenServices, ClientDetailsService clientDetailsService, OAuth2RequestFactory requestFactory, String grantType, AuthenticationManager authenticationManager) {
super(tokenServices, clientDetailsService, requestFactory, grantType);
this.authenticationManager = authenticationManager;
}
@Override
protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
//获取参数
String phone = parameters.get("phone");
String phonecode = parameters.get("phonecode");
//创建未认证对象
Authentication userAuth = new PhoneAuthenticationToken(phone, phonecode);
((AbstractAuthenticationToken) userAuth).setDetails(parameters);
try {
//进行身份认证
userAuth = authenticationManager.authenticate(userAuth);
}
catch (AccountStatusException ase) {
//将过期、锁定、禁用的异常统一转换
throw new InvalidGrantException(ase.getMessage());
}
catch (BadCredentialsException e) {
// 用户名/密码错误,我们应该发送400/invalid grant
throw new InvalidGrantException(e.getMessage());
}
if (userAuth == null || !userAuth.isAuthenticated()) {
throw new InvalidGrantException("用户认证失败: " + phone);
}
OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
return new OAuth2Authentication(storedOAuth2Request, userAuth);
}
}
Spring Security Oauth2会根据传入的grant_type,来将请求转发到对应的Granter进行处理。而用户信息合法性的校验是交给authenticationManager处理的
authenticationManager不直接进行认证,而是通过委托模式,将认证任务委托给AuthenticationProvider接口的实现类来完成,一个AuthenticationProvider就对应一个认证方式
3、自定义AuthenticationProvider
因为身份认证是由AuthenticationProvider实现的,所以我们还需要实现一个自定义AuthenticationProvider
如果AuthenticationProvider认证成功,它会返回一个完全有效的Authentication对象,其中authenticated属性为true,已授权的权限列表(GrantedAuthority列表),以及用户凭证,如果认证失败,一般AuthenticationProvider会抛出AuthenticationException异常。
/**
* 手机验证码认证授权提供者
*/
@Data
public class PhoneAuthenticationProvider implements AuthenticationProvider {
private RedisTemplate<String,Object> redisTemplate;
private PhoneUserDetailsService phoneUserDetailsService;
public static final String PHONE_CODE_SUFFIX = "phone:code:";
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//先将authentication转为我们自定义的Authentication对象
PhoneAuthenticationToken authenticationToken = (PhoneAuthenticationToken) authentication;
//校验参数
Object principal = authentication.getPrincipal();
Object credentials = authentication.getCredentials();
if (principal == null || "".equals(principal.toString()) || credentials == null || "".equals(credentials.toString())){
throw new InternalAuthenticationServiceException("手机/手机验证码为空!");
}
//获取手机号和验证码
String phone = (String) authenticationToken.getPrincipal();
String code = (String) authenticationToken.getCredentials();
//查找手机用户信息,验证用户是否存在
UserDetails userDetails = phoneUserDetailsService.loadUserByUsername(phone);
if (userDetails == null){
throw new InternalAuthenticationServiceException("用户手机不存在!");
}
String codeKey = PHONE_CODE_SUFFIX+phone;
//手机用户存在,验证手机验证码是否正确
if (!redisTemplate.hasKey(codeKey)){
throw new InternalAuthenticationServiceException("验证码不存在或已失效!");
}
String realCode = (String) redisTemplate.opsForValue().get(codeKey);
if (StringUtils.isBlank(realCode) || !realCode.equals(code)){
throw new InternalAuthenticationServiceException("验证码错误!");
}
//返回认证成功的对象
PhoneAuthenticationToken phoneAuthenticationToken = new PhoneAuthenticationToken(userDetails.getAuthorities(),phone,code);
phoneAuthenticationToken.setPhone(phone);
//details是一个泛型属性,用于存储关于认证令牌的额外信息。其类型是 Object,所以你可以存储任何类型的数据。这个属性通常用于存储与认证相关的详细信息,比如用户的角色、IP地址、时间戳等。
phoneAuthenticationToken.setDetails(userDetails);
return phoneAuthenticationToken;
}
/**
* ProviderManager 选择具体Provider时根据此方法判断
* 判断 authentication 是不是 SmsCodeAuthenticationToken 的子类或子接口
*/
@Override
public boolean supports(Class<?> authentication) {
//isAssignableFrom方法如果比较类和被比较类类型相同,或者是其子类、实现类,返回true
return PhoneAuthenticationToken.class.isAssignableFrom(authentication);
}
}
4、配置自定义AuthenticationProvider、自定义TokenGranter
自定义AuthenticationProvider需要在WebSecurityConfigurerAdapter 配置类进行配置
@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private RedisTemplate<String, Object> redisTemplate;
@Autowired
private PhoneUserDetailsService phoneUserDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//创建一个登录用户
auth.inMemoryAuthentication()
.withUser("admin")
.password(passwordEncoder.encode("123123"))
.authorities("admin_role");
//添加自定义认证提供者
auth.authenticationProvider(phoneAuthenticationProvider());
}
/**
* 手机验证码登录的认证提供者
* @return
*/
@Bean
public PhoneAuthenticationProvider phoneAuthenticationProvider(){
//实例化provider,把需要的属性set进去
PhoneAuthenticationProvider phoneAuthenticationProvider = new PhoneAuthenticationProvider();
phoneAuthenticationProvider.setRedisTemplate(redisTemplate);
phoneAuthenticationProvider.setPhoneUserDetailsService(phoneUserDetailsService);
return phoneAuthenticationProvider;
}
...省略其他配置
}
自定义Granter配置需要在AuthorizationServerConfigurerAdapter配置类进行配置
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
AuthenticationManager authenticationManager;
/**
* 密码模式需要注入authenticationManager
* @param endpoints
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
// 获取原有默认授权模式(授权码模式、密码模式、客户端模式、简化模式)的授权者,用于支持原有授权模式
List<TokenGranter> granterList = new ArrayList<>(Collections.singletonList(endpoints.getTokenGranter()));
//添加我们的自定义TokenGranter到集合
granterList.add(new PhoneCodeTokenGranter(endpoints.getTokenServices(), endpoints.getClientDetailsService(),
endpoints.getOAuth2RequestFactory(), authenticationManager));
//CompositeTokenGranter是一个TokenGranter组合类
CompositeTokenGranter compositeTokenGranter = new CompositeTokenGranter(granterList);
endpoints.authenticationManager(authenticationManager)
.tokenStore(jwtTokenStore())
.accessTokenConverter(jwtAccessTokenConverter())
.tokenGranter(compositeTokenGranter)//将组合类设置进AuthorizationServerEndpointsConfigurer
;
}
...省略其他配置
}
主要将原有授权模式类和自定义授权模式类添加到一个集合,然后用该集合为入参创建一个CompositeTokenGranter组合类,最后在tokenGranter设置CompositeTokenGranter进去
CompositeTokenGranter是一个组合类,它可以将多个TokenGranter实现组合起来,以便在处理OAuth2令牌授权请求时使用。
5、配置客户端授权模式
最后我们还需要在AuthorizationServerConfigurerAdapter配置类的configure(ClientDetailsServiceConfigurer clients)方法中配置客户端信息,在客户端支持的授权模式中添加上我们自定义的授权模式,即phonecode
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory().withClient("admin")
.authorizedGrantTypes("authorization_code", "password", "implicit","client_credentials","refresh_token","phonecode")
...省略其他配置
}
6、测试
在postman,使用手机验证码授权模式获取token
可以看到,我们已经成功使用手机验证码获取token
智能推荐
蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞_蓝凌eis智慧协同平台文件上传漏洞-程序员宅基地
文章浏览阅读979次。蓝凌智慧协同平台eis集合了非常丰富的模块,满足组织企业在知识、协同、项目管理系统建设等需求。_蓝凌eis智慧协同平台文件上传漏洞
LLaVA-1.5-程序员宅基地
文章浏览阅读193次。与InstructBLIP或Qwen-VL在数亿甚至数十几亿的图像文本配对数据上训练的、专门设计的视觉重新采样器相比,LLaVA用的是最简单的LMM架构设计,只需要在600K个图像-文本对上,训练一个简单的完全连接映射层即可。结果表明,LLaVA-1.5不仅可以使用更少的预训练和指令微调数据,而且还可以利用最简单的架构、学术计算和公共数据集来实现最佳的性能——在12个基准中的11个上取得了SOTA。为了解决这个问题,研究人员建议在VQA问题的末尾,添加一个可以明确输出格式的提示,进而让模型生成简短回答。
ORACLE基本数据类型总结_oracle 数值类型最大值-程序员宅基地
文章浏览阅读442次。2013-08-17 21:04 by 潇湘隐者, 100246 阅读, 5 评论, 收藏, 编辑 ORACLE基本数据类型(亦叫内置数据类型 built-in datatypes)可以按类型分为:字符串类型、数字类型、日期类型、LOB类型、LONG RAW& RAW类型、ROWID & UROWID类型。在讲叙字符串类型前,先要讲一下编码。字符串类型的数据可依编码方式分成_oracle 数值类型最大值
10种机器学习算法_决策树和mlp-程序员宅基地
文章浏览阅读315次。作为数据科学家的实践者,我们必须了解一些通用机器学习的基础知识算法,这将帮助我们解决所遇到的新领域问题。本文对通用机器学习算法进行了简要的阐述,并列举了它们的相关资源,从而帮助你能够快速掌握其中的奥妙。▌1.主成分分析(PCA)/ SVDPCA是一种无监督的方法,用于对由向量组成的数据集的全局属性进行理解。本文分析了数据点的协方差矩阵,以了解哪些维度(大部分情况)/数据点(少数情况)更为重要,即它..._决策树和mlp
桥接模式的实现-程序员宅基地
文章浏览阅读148次。在这个示例中,我们使用std::shared_ptr来管理Implementor对象的生命周期,确保在不再需要时自动释放资源。通过智能指针的使用,我们避免了手动管理内存的复杂性,提高了代码的可靠性和可维护性。希望这个示例能帮助你理解如何使用智能指针来实现桥接模式。当使用智能指针来实现桥接模式时,我们可以利用std::shared_ptr或std::unique_ptr来管理对象的生命周期,确保资源的正确释放。
制造业敏感文件外发不安全?一招解锁更高效的加密方式!-程序员宅基地
文章浏览阅读440次,点赞11次,收藏8次。云盒子在制造业上有丰富的部署经验,在面向制造类企业的重要文件,可以通过审计、授权、文件加密进行多重保护,使得图纸文件、专利技术、采购订单等敏感数据等到有效保护,做到无处可泄,同时安全可靠,也不会对日常工作效率有影响 ,实现真正有效的企业文件保护的目的,达到既防止机密文件外泄和扩散,又支持内部知识积累和文件共享的目的。云盒子的加密方式是通过将本地文件数据上传到云盘进行统一加密存储,而不是对设备加密,通过【本地加密】+【云加密】双重组合下,不管用什么设备打开文件都受到管控,使管理者管理起来能够更高效。
随便推点
计算几何讲义——计算几何中的欧拉定理-程序员宅基地
文章浏览阅读188次。在处理计算几何的问题中,有时候我们会将其看成图论中的graph图,结合我们在图论中学习过的欧拉定理,我们可以通过图形的节点数(v)和边数(e)得到不是那么好求的面数f。 平面图中的欧拉定理: 定理:设G为任意的连通的平面图,则v-e+f=2,v是G的顶点数,e是G的边数,f是G的面数。证明:其实有点类似几何学中的欧拉公式的证明方法,这里采用归纳证明的方法。对m..._怎么证明平面图欧拉定理
c语言中各种括号的作用,C语言中各种类型指针的特性与用法介绍-程序员宅基地
文章浏览阅读750次。C语言中各种类型指针的特性与用法介绍本文主要介绍了C语言中各种类型指针的特性与用法,有需要的朋友可以参考一下!想了解更多相关信息请持续关注我们应届毕业生考试网!指针为什么要区分类型:在同一种编译器环境下,一个指针变量所占用的内存空间是固定的。比如,在16位编译器环境 下,任何一个指针变量都只占用8个字节,并不会随所指向变量的类型而改变。虽然所有的指针都只占8个字节,但不同类型的变量却占不同的字节数..._c语言带括号指针
缅甸文字库 缅甸语字库 缅甸字库算法_0x103c-程序员宅基地
文章浏览阅读9.5k次。字库交流 QQ:2229691219 缅甸语比较特殊、缅甸语有官方和民间之分,二者不同的是编码机制不同,因此这2种缅甸语的字串翻译、处理引擎、字库都是不同的。我们这里只讨论官方语言。 缅文、泰文等婆罗米系文字大多是元音附标文字,一般辅音字母自带默认元音可以发音,真正拼写词句时元音像标点符号一样附标在辅音上下左右的相应位置。由于每个元音位于辅音的具体位置是有自己的规则的,当只书写..._0x103c
Python+django+vue校园二手闲置物品拍卖系统pycharm毕业设计项目推荐_基于python+django+vue实现的校园二手交易平台-程序员宅基地
文章浏览阅读200次。在校园,随着学生数量的增多,存在许多生活和学习物品,许多学习用品经过一学期学习之后往往被闲置,一些出于一时喜欢而购买的物品使用机会少而被闲置,还有一些物品以低廉的价格卖给资源回收站,造成巨大的资源浪费。校园闲置物品拍卖系统使用python技术,MySQL数据库进行开发,系统后台使用django框架进行开发,具有低耦合、高内聚的特点,其中校园用户通过人脸识别的方法增加系统安全性,在闲置物品推荐中,使用协同过滤算法进行商品推荐。系统的开发,帮助高校有效的对闲置物品进行管理,提高了闲置物品销售的效率。_基于python+django+vue实现的校园二手交易平台
【推荐系统论文精读系列】(十)--Wide&Deep Learning for Recommender Systems_引用《wide & deep learning for recommender systems》-程序员宅基地
文章浏览阅读1.1k次,点赞3次,收藏3次。文章目录Wide & Deep Learning for Recommender Systems一、摘要二、介绍三、推荐系统综述四、Wide&Deep学习4.1 Wide部分4.2 Deep部分4.3 联合训练 Wide&Deep ModelPreferenceWide & Deep Learning for Recommender Systems一、摘要具有非线性特征转化能力的广义线性模型被广泛用于大规模的分类和回归问题,对于那些输入数据是极度稀疏的情况下。通过使用交_引用《wide & deep learning for recommender systems》
c++ sleep函数_Linux 多线程应用中如何编写安全的信号处理函数-程序员宅基地
文章浏览阅读171次。关于代码的可重入性,设计开发人员一般只考虑到线程安全,异步信号处理函数的安全却往往被忽略。本文首先介绍如何编写安全的异步信号处理函数;然后举例说明在多线程应用中如何构建模型让异步信号在指定的线程中以同步的方式处理。Linux 多线程应用中编写安全的信号处理函数在开发多线程应用时,开发人员一般都会考虑线程安全,会使用 pthread_mutex 去保护全局变量。如果应用中使用了信号,而且信号的产生不..._linux c++ sleep 不被中断