spring-authorization-server令牌放发源码解析

spring-authorization-server令牌放发源码解析_第1张图片

POST /auth/oauth2/token?grant_type=password&scope=server HTTP/1.1
Host: pig-gateway:9999
Authorization: Basic dGVzdDp0ZXN0
Content-Type: application/x-www-form-urlencoded
Content-Length: 32
username=admin&password=YehdBPev

⓪ 网关前置处理

验证码校验 ValidateCodeGatewayFilter.java

参考资料: 验证码配置开关

前端已加密的密码进行解密 ** PasswordDecoderFilter.java , 主要就是把如下图的 password 密文转成明文交由 SpringSecurity 处理**

spring-authorization-server令牌放发源码解析_第2张图片

参考资料: 前端登录请求加密流程参考

① 客户端认证处理

spring-authorization-server令牌放发源码解析_第3张图片

  • 如上图在登录请求中会携带 Basic base64(clientId:clientSecret), 那么首先OAuth2ClientAuthenticationFilter 会通过调用 RegisteredClientRepository (数据库存储) 来判断传入的客户端是否正确

spring-authorization-server令牌放发源码解析_第4张图片

③ 正式接收登录请求

OAuth2TokenEndpointFilter 会接收通过上文 OAuth2ClientAuthenticationFilter 客户端认证的请求

spring-authorization-server令牌放发源码解析_第5张图片

④ 组装认证对象

AuthenticationConverter 会根据请求中的参数和授权类型组装成对应的授权认证对象

spring-authorization-server令牌放发源码解析_第6张图片

⑤ 登录认证对象

public class XXXAuthenticationToken extends OAuth2ResourceOwnerBaseAuthenticationToken {

}

spring-authorization-server令牌放发源码解析_第7张图片

⑥ 授权认证调用

spring-authorization-server令牌放发源码解析_第8张图片

⑦ 核心认证逻辑

spring-authorization-server令牌放发源码解析_第9张图片

多用户体系匹配 UserDetailsService

spring-authorization-server令牌放发源码解析_第10张图片

密码匹配校验

spring-authorization-server令牌放发源码解析_第11张图片

用户状态校验

spring-authorization-server令牌放发源码解析_第12张图片

⑧ 用户查询逻辑

用户查询逻辑的多种实现形式

  • 解耦: 通过 feign 查询其他系统获取并组装成 UserDetails
  • 简单: 认证中心直接查询 DB 并组装成 UserDetails

spring-authorization-server令牌放发源码解析_第13张图片

⑨ 密码校验逻辑

spring-authorization-server令牌放发源码解析_第14张图片

spring-authorization-server令牌放发源码解析_第15张图片

默认支持加密方式如下:
{noop}密码明文
{加密特征码}密码密文
PasswordEncoder 会自动根据特征码匹配对应的加密算法,所以上一步 ⑧ 查询用户对象组装成 UserDetails 需要特殊处理

return new UserDetails(user.getUsername(),"{bcrypt}"+"数据库存储的密文");

⑩ 生成 OAuth3AccessToken

spring-authorization-server令牌放发源码解析_第16张图片

⑪ Token 存储持久化

spring-authorization-server令牌放发源码解析_第17张图片

当前 SAS 仅支持 JDBC 和内存 ,PIG 扩展支持 Redis 实现

⑫ 登录成功事件处理

基于 SpringEvent 事件处理,可以在这里做更多的处理 日志、个性化等处理逻辑

spring-authorization-server令牌放发源码解析_第18张图片

⑬ 请求结果输出 Token

private void sendAccessTokenResponse(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException {

		OAuth2AccessTokenAuthenticationToken accessTokenAuthentication = (OAuth2AccessTokenAuthenticationToken) authentication;

		OAuth2AccessToken accessToken = accessTokenAuthentication.getAccessToken();
		OAuth2RefreshToken refreshToken = accessTokenAuthentication.getRefreshToken();
		Map<String, Object> additionalParameters = accessTokenAuthentication.getAdditionalParameters();
		// 无状态 注意删除 context 上下文的信息
		SecurityContextHolder.clearContext();
		this.accessTokenHttpResponseConverter.write(accessTokenResponse, null, httpResponse);
	}

定义具体的输出返回格式等逻辑

spring-authorization-server令牌放发源码解析_第19张图片

本文配套源码: https://github.com/pig-mesh/pig

你可能感兴趣的:(后端,java,spring,spring,boot,spring,cloud)