Mr. bigworth

Spring OAuth2.0 OIDC详解

OIDC 简介

作用

身份验证：OIDC 在 OAuth2 授权的基础上增加了身份验证功能，通过 ID Token 验证用户身份的真实性。
用户信息获取：通过 ID Token 和用户信息端点，客户端可以获取用户的详细信息。
安全性增强：通过引入 nonce 参数和 ID Token，OIDC 增强了请求的安全性，防止重放攻击等安全问题。

总的来说，OIDC 提供了比 OAuth2 更加完整和安全的身份验证和授权机制，确保在授权第三方应用访问用户资源的同时，也能验证用户的身份。

具体解释

身份认证：
- 在 OAuth2 授权码流程中，客户端请求授权码并使用授权码换取访问令牌和 ID Token。
- ID Token 是一个 JWT（JSON Web Token），包含了用户的身份信息，如用户 ID、颁发者、受众和过期时间等。
- 客户端使用 ID Token 验证用户的身份。
用户信息获取：
- 客户端可以使用访问令牌访问用户信息端点（UserInfo Endpoint），获取更多用户详细信息（如姓名、电子邮件等）。
- 这种机制使客户端可以获得用户信息，而无需直接访问资源服务器。
安全性增强：
- OIDC 引入了 nonce 参数，用于防止重放攻击。
- ID Token 是签名的，可以验证其完整性和真实性。

资源服务器的角色

在 OIDC 中，资源服务器主要用于保护用户资源。当客户端访问受保护的资源时，资源服务器通过以下方式验证请求的合法性：

访问令牌验证：
- 资源服务器检查客户端提供的访问令牌，以确定客户端是否有权访问特定资源。
- 访问令牌是由授权服务器颁发的，可以包含用户的权限信息。
用户信息验证（可选）：
- 在某些情况下，资源服务器可能会使用 ID Token 验证用户身份，但这不是 OIDC 的主要用途。
- 更常见的做法是，资源服务器依赖访问令牌来验证客户端的权限。

OIDC 流程图示

授权请求：
- 客户端向授权服务器发起包含 openid scope 的授权请求。
- 用户通过授权服务器认证并同意授权。
授权码交换：
- 授权服务器返回授权码给客户端。
- 客户端使用授权码向授权服务器请求访问令牌和 ID Token。
身份验证和用户信息获取：
- 客户端使用 ID Token 验证用户身份。
- 客户端可以使用访问令牌访问用户信息端点获取更多用户信息。
资源访问：
- 客户端使用访问令牌访问资源服务器上的受保护资源。
- 资源服务器验证访问令牌的有效性，并允许或拒绝访问。

Client AuthServer ResourceServer User Authorization Request (scope: openid) Authenticate User User Authenticated Authorization Code Token Request (Authorization Code) Access Token and ID Token Validate ID Token (Verify User Identity) Access Resource (Access Token) Protected Resource Client AuthServer ResourceServer User

验证用户身份的目的和作用

确保用户身份的真实性：
- ID Token 是由授权服务器生成并签名的，包含了用户的身份信息。通过验证 ID Token，客户端可以确保用户身份的真实性，即确认这个用户确实是授权服务器声称的那个用户。
防止身份伪造：
- 验证 ID Token 可以防止恶意用户伪造身份。客户端通过验证 ID Token 的签名和内容，确保其没有被篡改。
安全性增强：
- ID Token 包含了诸如 nonce 等安全参数，防止重放攻击和其他安全威胁。客户端通过验证这些参数，进一步增强安全性。
提供用户信息：
- ID Token 包含用户的基本信息（如用户ID、电子邮件等），客户端可以使用这些信息来个性化用户体验，无需再向资源服务器发送额外请求。
单点登录（SSO）：
- 在单点登录场景中，ID Token 可以在多个应用之间传递用户身份信息，使用户只需登录一次即可访问多个应用。
实现用户会话管理：
- 客户端可以通过 ID Token 管理用户会话，跟踪用户登录状态和会话时间，提供更好的用户体验。

ID Token 的内容

ID Token 是一个 JWT（JSON Web Token），通常包含以下信息：

iss（Issuer）：颁发者的标识符。
sub（Subject）：用户的唯一标识符。
aud（Audience）：ID Token 的受众，即客户端的标识符。
exp（Expiration Time）：ID Token 的过期时间。
iat（Issued At）：ID Token 的颁发时间。
nonce：防止重放攻击的随机值。
用户信息：如用户名、电子邮件等。

OAuth2.0 与 OIDC 区别联系

OAuth2.0 和 OpenID Connect (OIDC) 是两个紧密相关但又不同的协议。了解它们之间的联系和区别对于实现安全的身份验证和授权系统至关重要。

联系

基础协议：OIDC 是基于 OAuth2.0 的一个身份验证层。换句话说，OIDC 扩展了 OAuth2.0 的授权功能，添加了身份验证的功能。
使用相同的授权流程：OIDC 使用 OAuth2.0 的授权码流程来获取访问令牌和身份令牌。OAuth2.0 的授权码流程允许客户端代表用户访问资源，而 OIDC 在此基础上引入了身份令牌，用于验证用户身份。

区别

目的不同：
- OAuth2.0：主要用于授权，允许第三方应用获取访问资源服务器的权限。
- OIDC：主要用于身份验证，验证用户的身份并获取用户的基本信息，同时也提供授权功能。
令牌类型：
- OAuth2.0：返回访问令牌（Access Token），用于访问受保护的资源。
- OIDC：除了返回访问令牌，还返回身份令牌（ID Token）。身份令牌是一个 JWT（JSON Web Token），包含用户的身份信息。
端点：
- OAuth2.0：主要使用授权端点（Authorization Endpoint）和令牌端点（Token Endpoint）。
- OIDC：除了 OAuth2.0 的端点，还引入了用户信息端点（UserInfo Endpoint），用于获取用户的详细信息。
用户信息：
- OAuth2.0：不包含用户身份信息，仅提供授权功能。
- OIDC：通过身份令牌和用户信息端点提供用户的身份信息。
规范：
- OAuth2.0：规范较为松散，主要定义了授权框架。
- OIDC：规范更为严格，定义了标准的身份验证流程和用户信息获取方式。

示例流程

OAuth2.0 授权码流程

用户授权：用户在授权服务器上同意第三方应用访问其资源。
获取授权码：授权服务器返回授权码给客户端应用。
交换授权码：客户端应用使用授权码向授权服务器请求访问令牌。
获取访问令牌：授权服务器返回访问令牌，客户端应用使用该令牌访问受保护的资源。

OIDC 授权码流程

用户授权和身份验证：用户在授权服务器上同意第三方应用访问其资源，并进行身份验证。
获取授权码：授权服务器返回授权码给客户端应用。
交换授权码：客户端应用使用授权码向授权服务器请求访问令牌和身份令牌。
获取访问令牌和身份令牌：授权服务器返回访问令牌和身份令牌，客户端应用使用访问令牌访问受保护的资源，并使用身份令牌验证用户身份。
获取用户信息：客户端应用可以使用访问令牌从用户信息端点获取用户的详细信息。

总结

OAuth2.0：用于授权，允许第三方应用代表用户访问资源。
OIDC：在 OAuth2.0 基础上增加了身份验证功能，提供用户身份验证和用户信息获取。

两者的结合使得开发者既可以安全地授权应用访问资源，又可以验证用户身份和获取用户信息。

项目中开启OIDC

授权服务oauth2-server配置类

@EnableWebSecurity
@Configuration
public class AuthorizationServerConfig {

    @Bean
    public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {

        // 定义授权服务配置
        OAuth2AuthorizationServerConfigurer configurer = new OAuth2AuthorizationServerConfigurer();

        // 获取授权服务器相关的请求端点
        RequestMatcher endpointsMatcher = configurer.getEndpointsMatcher();

        http
                .authorizeHttpRequests(authorize -> authorize
                        // 配置放行的请求
                        .antMatchers("/login").permitAll()
                        // 其他任何请求都需要认证
                        .anyRequest().authenticated()
                )
                // 设置登录表单页面
                .formLogin()
                .and()
                // 忽略掉相关端点的 CSRF(跨站请求): 对授权端点的访问可以是跨站的
                .csrf(csrf -> csrf.ignoringRequestMatchers(endpointsMatcher))

                // 使用BearerTokenAuthenticationFilter对AccessToken及idToken进行解析验证
                // idToken是开启OIDC时授权服务连同AccessToken一起返回给客户端的，用于客户端验证用户身份，结合此处配置使用BearerTokenAuthenticationFilter来验证idToken
                .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt)

                // 应用授权服务器的配置
                .apply(configurer);


        configurer
                //开启oidc，客户端会对资源所有者进行身份认证，确保用户身份的真实性、防止身份伪造、增强安全性。
                // 开启后，除了访问令牌access_token，还会多一个用户身份认证的idToken
                .oidc(Customizer.withDefaults());
        
        return http.build();
    }
    
}

客户端oauth2-client的yaml

spring:
  application:
    name: oauth-client
  security:
    oauth2:
      client:
        registration:
          #自定义客户端名称
          test-client:
            #对应下面的provider
            provider: authorization-server
            client-id: test-client
            client-secret: FjKNY8p2&Xw9Lqe$G3Bt*5mZ4Pv#CV2sE6J!n
            client-authentication-method: client_secret_basic
            authorization-grant-type: authorization_code
            #redirect-uri: "{baseUrl}/{action}/oauth2/code/{registrationId}"
            redirect-uri: "http://127.0.0.1:8000/login/oauth2/code/test-client"       
            #要使用oidc，权限必须包括openid，以及profile、email、address、phone中的一个或多个
            scope: openid,profile,message.read,message.write
        provider:
          # 服务提供地址
          authorization-server:
            # issuer-uri 可以简化配置，配置了issuer-uri，其他配置可以从此配置的路径中自动获取
            issuer-uri: http://127.0.0.1:9000

向授权服务注册客户端

注意注册的客户端信息要与客户端yaml配置一致，尤其是oidc的scope

RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())
     // 客户端ID和密码
    .clientId("test-client")
    //客户端认证方式，这里指定使用请求头的Authentication: Basic Auth
    .clientAuthenticationMethod(ClientAuthenticationMethod.CLIENT_SECRET_BASIC)
    .clientSecret("{bcrypt}" + new BCryptPasswordEncoder().encode("FjKNY8p2&Xw9Lqe$GH7Rd3Bt*5mZ4Pv#CV2sE6J!n"))
	//配置支持多种授权模式
    .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)//授权码模式
    // 回调地址：授权码模式下，授权服务器会携带code向当前客户端的如下地址进行重定向。只能使用IP或域名，不能使用 localhost
    .redirectUri("http://127.0.0.1:8000/login/oauth2/code/test-client")
    // OIDC 支持, 用于客户端对用户（资源所有者）的身份认证
    .scope(OidcScopes.OPENID) //OIDC 并不是授权码模式的必需部分，但如果客户端请求包含 openid scope，就必须启用 OIDC 支持。
    .scope(OidcScopes.PROFILE)
    // 授权范围（当前客户端的授权范围）
    .scope("message.read")
    .scope("message.write")
    .build();

OIDC 在 OAuth2 授权码模式中的源码流程

OpenID Connect (OIDC) 是在 OAuth2 之上构建的身份认证协议，它引入了 ID Token 来表示用户的身份。OIDC 结合 OAuth2 授权码模式，允许客户端在获取授权后，获取用户身份信息。以下是 OIDC 在 OAuth2 授权码模式中的运行流程及其作用。

1.授权服务生成 ID Token

OAuth2AuthorizationCodeAuthenticationProvider 生成 ID Token

在 OAuth2 授权码模式中，当客户端请求授权码并换取访问令牌时，如果请求包含 openid scope，ID Token 将被服务端生成并返回给客户端(与Access_Token一起返回)。

源码中，当客户端OAuth2LoginAuthenticationFilter过滤器携带授权码并换取访问令牌时，授权服务OAuth2TokenEndpointFilter过滤器接收请求，并使用 OAuth2AuthorizationCodeAuthenticationProvider 的 authenticate 方法生成 ID Token ，以下是关键代码片段：

// ----- ID token -----
OidcIdToken idToken;
if (authorizationRequest.getScopes().contains(OidcScopes.OPENID)) {
    tokenContext = tokenContextBuilder
            .tokenType(ID_TOKEN_TOKEN_TYPE)
            .authorization(authorizationBuilder.build())
            .build();

    OAuth2Token generatedIdToken = this.tokenGenerator.generate(tokenContext);
    if (!(generatedIdToken instanceof Jwt)) {
        OAuth2Error error = new OAuth2Error(OAuth2ErrorCodes.SERVER_ERROR,
                "The token generator failed to generate the ID token.", ERROR_URI);
        throw new OAuth2AuthenticationException(error);
    }

    idToken = new OidcIdToken(generatedIdToken.getTokenValue(), generatedIdToken.getIssuedAt(),
            generatedIdToken.getExpiresAt(), ((Jwt) generatedIdToken).getClaims());
    authorizationBuilder.token(idToken, (metadata) ->
            metadata.put(OAuth2Authorization.Token.CLAIMS_METADATA_NAME, idToken.getClaims()));
} else {
    idToken = null;
}

检查 openid scope：如果请求的 scope 中包含 openid，则表明这是一个 OIDC 请求，需要生成 ID Token。
生成 ID Token：使用 tokenGenerator 生成 ID Token，并将其添加到授权信息中。
构建并保存授权信息：构建包含 ID Token 的授权信息，并将其保存。

最后OAuth2TokenEndpointFilter过滤器会将token响应给客户端

2. 客户端OIDC请求处理

OidcAuthorizationCodeAuthenticationProvider 会验证并处理 ID Token

在处理授权码交换访问令牌和 ID Token 的过程中，客户端OAuth2LoginAuthenticationFilter过滤器会使用OidcAuthorizationCodeAuthenticationProvider （org.springframework.security.oauth2.client.oidc.authentication包）用于验证并处理 OIDC 请求。

以下是OidcAuthorizationCodeAuthenticationProvider关键代码片段，核心步骤是根据获得的idToken，向授权服务发起"/userinfo"请求，验证idToken，获得用户信息：

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    OAuth2LoginAuthenticationToken authorizationCodeAuthentication = (OAuth2LoginAuthenticationToken) authentication;
	
    //如果请求的 scope 中不包含 `openid`，则返回 `null`，表明不是 OIDC 请求
    if (!authorizationCodeAuthentication.getAuthorizationExchange().getAuthorizationRequest().getScopes()
            .contains(OidcScopes.OPENID)) {
        return null;
    }

    OAuth2AuthorizationRequest authorizationRequest = authorizationCodeAuthentication.getAuthorizationExchange()
            .getAuthorizationRequest();
    OAuth2AuthorizationResponse authorizationResponse = authorizationCodeAuthentication.getAuthorizationExchange()
            .getAuthorizationResponse();
	
    //两个if，检查授权响应是否包含错误，state 参数是否匹配
    if (authorizationResponse.statusError()) {
        throw new OAuth2AuthenticationException(authorizationResponse.getError(),
                authorizationResponse.getError().toString());
    }
    if (!authorizationResponse.getState().equals(authorizationRequest.getState())) {
        OAuth2Error oauth2Error = new OAuth2Error(INVALID_STATE_PARAMETER_ERROR_CODE);
        throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
    }
    
	
    //获取accessToken，即客户端携带code去请求token，返回的响应包括accessToken与idToken
    OAuth2AccessTokenResponse accessTokenResponse = getResponse(authorizationCodeAuthentication);
    ClientRegistration clientRegistration = authorizationCodeAuthentication.getClientRegistration();
    Map<String, Object> additionalParameters = accessTokenResponse.getAdditionalParameters();
	
    //如果附加参数中不包含 ID Token，抛出异常
    if (!additionalParameters.containsKey(OidcParameterNames.ID_TOKEN)) {
        OAuth2Error invalidIdTokenError = new OAuth2Error(INVALID_ID_TOKEN_ERROR_CODE,
                "Missing (required) ID Token in Token Response for Client Registration: "
                        + clientRegistration.getRegistrationId(),
                null);
        throw new OAuth2AuthenticationException(invalidIdTokenError, invalidIdTokenError.toString());
    }
	
    //从授权服务返回结果中获取idToken
    OidcIdToken idToken = createOidcToken(clientRegistration, accessTokenResponse);
    //验证 nonce 参数，确保 ID Token 的有效性和安全性
    validateNonce(authorizationRequest, idToken);
	
    // 根据获得的idToken，向授权服务发起"/userinfo"请求，验证idToken，获得用户信息
    OidcUser oidcUser = this.userService.loadUser(new OidcUserRequest(clientRegistration,
            accessTokenResponse.getAccessToken(), idToken, additionalParameters));
    Collection<? extends GrantedAuthority> mappedAuthorities = this.authoritiesMapper
            .mapAuthorities(oidcUser.getAuthorities());
	
    //创建并返回包含用户信息和权限的 `OAuth2LoginAuthenticationToken` 认证结果
    OAuth2LoginAuthenticationToken authenticationResult = new OAuth2LoginAuthenticationToken(
            authorizationCodeAuthentication.getClientRegistration(),
            authorizationCodeAuthentication.getAuthorizationExchange(), oidcUser, mappedAuthorities,
            accessTokenResponse.getAccessToken(), accessTokenResponse.getRefreshToken());

    authenticationResult.setDetails(authorizationCodeAuthentication.getDetails());
    return authenticationResult;
}

检查 openid scope：如果请求的 scope 中不包含 openid，则返回 null，表明不是 OIDC 请求。
验证授权响应：检查授权响应是否包含错误，state 参数是否匹配。
获取访问令牌响应：获取访问令牌和其他附加参数。
检查 ID Token：如果附加参数中不包含 ID Token，抛出异常。
创建并验证 ID Token：创建 ID Token 并验证 nonce 参数，确保 ID Token 的有效性和安全性。
加载 OIDC 用户信息：通过 ID Token 和访问令牌加载用户信息，并将用户权限映射到 Spring Security 的权限体系中。（下一步详细说明）
创建认证结果：创建并返回包含用户信息和权限的 OAuth2LoginAuthenticationToken 认证结果。

3.客户端加载用户信息

由第2步OidcAuthorizationCodeAuthenticationProvider 的authenticate方法中进行，用于使用idToken验证和加载用户信息

代码如下：

 OidcUser oidcUser = this.userService.loadUser(new OidcUserRequest(clientRegistration,
            accessTokenResponse.getAccessToken(), idToken, additionalParameters));

上面代码会先调用OidcUserService的loadUser方法，通过shouldRetrieveUserInfo方法进行信息检查，然后再由OidcUserService调用DefaultOAuth2UserService 。

OidcUserService的loadUser方法

@Override
public OidcUser loadUser(OidcUserRequest userRequest) throws OAuth2AuthenticationException {
    Assert.notNull(userRequest, "userRequest cannot be null");

    OidcUserInfo userInfo = null;
    
    //检查UserInfo信息，检查通过后才向授权服务进行OIDC验证
    if (this.shouldRetrieveUserInfo(userRequest)) {
        //if成立后调用`DefaultOAuth2UserService` 的loadUser方法
        OAuth2User oauth2User = this.oauth2UserService.loadUser(userRequest);
        Map<String, Object> claims = getClaims(userRequest, oauth2User);
        userInfo = new OidcUserInfo(claims);

        if (userInfo.getSubject() == null) {
            OAuth2Error oauth2Error = new OAuth2Error(INVALID_USER_INFO_RESPONSE_ERROR_CODE);
            throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
        }

        if (!userInfo.getSubject().equals(userRequest.getIdToken().getSubject())) {
            OAuth2Error oauth2Error = new OAuth2Error(INVALID_USER_INFO_RESPONSE_ERROR_CODE);
            throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
        }
    }

    
    Set<GrantedAuthority> authorities = new LinkedHashSet<>();
    authorities.add(new OidcUserAuthority(userRequest.getIdToken(), userInfo));
    OAuth2AccessToken token = userRequest.getAccessToken();
    for (String authority : token.getScopes()) {
        authorities.add(new SimpleGrantedAuthority("SCOPE_" + authority));
    }
    return getUser(userRequest, userInfo, authorities);
}

shouldRetrieveUserInfo方法，判断以下两项内容，必须同时满足，否则不会向授权服务发起OIDC验证：

UserInfo Endpoint URI不能为空。
如果是授权码模式，访问令牌的权限范围必须包括profile、email、address、phone中的一个或多个。

private boolean shouldRetrieveUserInfo(OidcUserRequest userRequest) {
	ProviderDetails providerDetails = userRequest.getClientRegistration().getProviderDetails();
	if (StringUtils.isEmpty(providerDetails.getUserInfoEndpoint().getUri())) {
		return false;
	}

	if (AuthorizationGrantType.AUTHORIZATION_CODE
			.equals(userRequest.getClientRegistration().getAuthorizationGrantType())) {

		return 
            	//accessibleScopes默认不是空
            this.accessibleScopes.isEmpty()
            	//访问令牌的Scopes不是空
			|| CollectionUtils.isEmpty(userRequest.getAccessToken().getScopes())
            	//访问令牌的权限范围是否包括profile、email、address、phone中的一个或多个
			|| CollectionUtils.containsAny(userRequest.getAccessToken().getScopes(), this.accessibleScopes);
			
	}
	return false;
}

// OidcUserService中的accessibleScopes
private Set<String> accessibleScopes = new HashSet<>(
			Arrays.asList(OidcScopes.PROFILE, OidcScopes.EMAIL, OidcScopes.ADDRESS, OidcScopes.PHONE));

DefaultOAuth2UserService 是 Spring Security OAuth2 的userService的默认实现，在开启oidc后，用于从 OAuth2 提供者的用户信息端点加载用户信息。

以下是 DefaultOAuth2UserService 类中 loadUser 方法的详细解读：

@Override
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
    Assert.notNull(userRequest, "userRequest cannot be null");

    // 检查 UserInfoEndpoint 的 URI 是否为空
    if (!StringUtils.hasText(userRequest.getClientRegistration().getProviderDetails().getUserInfoEndpoint().getUri())) {
        OAuth2Error oauth2Error = new OAuth2Error(MISSING_USER_INFO_URI_ERROR_CODE,
                "Missing required UserInfo Uri in UserInfoEndpoint for Client Registration: "
                        + userRequest.getClientRegistration().getRegistrationId(),
                null);
        throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
    }

    // 获取 userNameAttributeName，这里值为'sub'，在userInfoEndpoint端点参数中
    String userNameAttributeName = userRequest.getClientRegistration().getProviderDetails().getUserInfoEndpoint()
            .getUserNameAttributeName();
    if (!StringUtils.hasText(userNameAttributeName)) {
        OAuth2Error oauth2Error = new OAuth2Error(MISSING_USER_NAME_ATTRIBUTE_ERROR_CODE,
                "Missing required \"user name\" attribute name in UserInfoEndpoint for Client Registration: "
                        + userRequest.getClientRegistration().getRegistrationId(),
                null);
        throw new OAuth2AuthenticationException(oauth2Error, oauth2Error.toString());
    }

    // 创建请求实体
    RequestEntity<?> request = this.requestEntityConverter.convert(userRequest);

    // 发送请求并获取响应, 即向授权服务发起"/userinfo"请求
    ResponseEntity<Map<String, Object>> response = getResponse(userRequest, request);
    // map的键值对为 sub -> 用户名
    Map<String, Object> userAttributes = response.getBody();

    // 创建权限集合
    Set<GrantedAuthority> authorities = new LinkedHashSet<>();
    authorities.add(new OAuth2UserAuthority(userAttributes));

    //获取token对象，内部包含:token类型-Bearer, 权限范围-scopes，token字符串-tokenValue，过期时间-expiresAt等
    OAuth2AccessToken token = userRequest.getAccessToken();
    //添加范围权限，将上面token中的scopes添加到结合中
    for (String authority : token.getScopes()) {
        authorities.add(new SimpleGrantedAuthority("SCOPE_" + authority));
    }

    // 添加用户、权限信息，创建并返回 DefaultOAuth2User 实例
    return new DefaultOAuth2User(authorities, userAttributes, userNameAttributeName);
}

详细解析

参数校验：
- Assert.notNull(userRequest, "userRequest cannot be null");：确保 userRequest 不为空，否则抛出异常。
检查 UserInfoEndpoint 的 URI：
- 通过 userRequest.getClientRegistration().getProviderDetails().getUserInfoEndpoint().getUri() 获取 UserInfoEndpoint 的 URI。如果 URI 为空，则构造一个 OAuth2Error 并抛出 OAuth2AuthenticationException。
获取 userNameAttributeName：
- 通过 userRequest.getClientRegistration().getProviderDetails().getUserInfoEndpoint().getUserNameAttributeName() 获取 UserInfoEndpoint 中的 userNameAttributeName。如果 userNameAttributeName 为空，同样构造一个 OAuth2Error 并抛出 OAuth2AuthenticationException。
创建请求实体：
- 使用 this.requestEntityConverter.convert(userRequest) 将 userRequest 转换为 RequestEntity。
发送请求并获取响应：
- 调用 getResponse(userRequest, request) 向授权服务发起"/userinfo"请求并接收响应，得到包含用户属性的 Map。
创建权限集合：
- 创建一个 LinkedHashSet 来存储用户的权限。首先将 userAttributes 转换为 OAuth2UserAuthority 并添加到权限集合中。
添加范围权限：
- 获取 userRequest 中的 OAuth2AccessToken，并将其所有的范围（scopes）添加为 SimpleGrantedAuthority，例如 SCOPE_read。
返回 DefaultOAuth2User 实例：
- 使用权限集合 authorities、用户属性 userAttributes 和 userNameAttributeName 创建并返回一个 DefaultOAuth2User 实例。

该方法主要用于根据 OAuth2UserRequest 加载用户信息。它首先检查必要的配置（如 UserInfoEndpoint URI 和 userNameAttributeName），然后发送请求以获取用户信息，最后将这些信息封装为一个 DefaultOAuth2User 对象，并添加相关的权限。

通过这种方式，Spring Security 能够在 OAuth2 登录流程中正确加载并处理用户信息，从而完成用户认证和授权。

4.授权服务验证idToken

授权服务接收到客户端"/userinfo"请求，先由BearerTokenAuthenticationFilter解析idToken，再由OidcUserInfoEndpointFilter处理"/userinfo"请求

先由BearerTokenAuthenticationFilter过滤器处解析idToken

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {
    String token;
    try {
        //解析 Token
        token = this.bearerTokenResolver.resolve(request);
    } catch (OAuth2AuthenticationException invalid) {
        this.logger.trace("Sending to authentication entry point since failed to resolve bearer token", invalid);
        //解析失败处理
        this.authenticationEntryPoint.commence(request, response, invalid);
        return;
    }
    
    //如果没有找到 Token，直接调用过滤器链的下一个过滤器
    if (token == null) {
        this.logger.trace("Did not process request since did not find bearer token");
        filterChain.doFilter(request, response);
        return;
    }
	
    //根据token创建认证对象，并设置认证详情，即设置详细信息
    BearerTokenAuthenticationToken authenticationRequest = new BearerTokenAuthenticationToken(token);
    authenticationRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));

    try {
        //获取Manager用于验证认证对象。没有单独配置，默认请款下返回`ProviderManager`
        AuthenticationManager authenticationManager = this.authenticationManagerResolver.resolve(request);
        //这里idToken的验证使用的是JwtAuthenticationProvider，得到的结果是JwtAuthenticationToken
        Authentication authenticationResult = authenticationManager.authenticate(authenticationRequest);
        //将验证结果JwtAuthenticationToken保存到上下文中
        SecurityContext context = SecurityContextHolder.createEmptyContext();
        context.setAuthentication(authenticationResult);
        SecurityContextHolder.setContext(context);
        this.securityContextRepository.saveContext(context, request, response);
        if (this.logger.isDebugEnabled()) {
            this.logger.debug(LogMessage.format("Set SecurityContextHolder to %s", authenticationResult));
        }
        filterChain.doFilter(request, response);
    } catch (AuthenticationException failed) {
        SecurityContextHolder.clearContext();
        this.logger.trace("Failed to process authentication request", failed);
        this.authenticationFailureHandler.onAuthenticationFailure(request, response, failed);
    }
}

JwtAuthenticationProvider解析JWT的idToken：

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
	BearerTokenAuthenticationToken bearer = (BearerTokenAuthenticationToken) authentication;
	Jwt jwt = getJwt(bearer);
    //使用JwtAuthenticationConverter进行转换
	AbstractAuthenticationToken token = this.jwtAuthenticationConverter.convert(jwt);
	token.setDetails(bearer.getDetails());
	this.logger.debug("Authenticated token");
	return token;
}

OidcUserInfoEndpointFilter处理"/userinfo"请求

以下是 OidcUserInfoEndpointFilter 类中 doFilterInternal 方法的详细解析：

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {

    // 检查请求是否与 userInfoEndpointMatcher 匹配
    if (!this.userInfoEndpointMatcher.matches(request)) {
        filterChain.doFilter(request, response);
        return;
    }

    try {
        // 将请求转换为 Authentication 对象
        Authentication userInfoAuthentication = this.authenticationConverter.convert(request);

        // 通过 AuthenticationManager 进行认证
        Authentication userInfoAuthenticationResult =
                this.authenticationManager.authenticate(userInfoAuthentication);

        // 处理认证成功情况
        this.authenticationSuccessHandler.onAuthenticationSuccess(request, response, userInfoAuthenticationResult);
    } catch (OAuth2AuthenticationException ex) {
        // 处理 OAuth2 认证异常
        if (this.logger.isTraceEnabled()) {
            this.logger.trace(LogMessage.format("User info request failed: %s", ex.getError()), ex);
        }
        this.authenticationFailureHandler.onAuthenticationFailure(request, response, ex);
    } catch (Exception ex) {
        // 处理其他异常情况
        OAuth2Error error = new OAuth2Error(
                OAuth2ErrorCodes.INVALID_REQUEST,
                "OpenID Connect 1.0 UserInfo Error: " + ex.getMessage(),
                "https://openid.net/specs/openid-connect-core-1_0.html#UserInfoError");
        if (this.logger.isTraceEnabled()) {
            this.logger.trace(error.getDescription(), ex);
        }
        this.authenticationFailureHandler.onAuthenticationFailure(request, response,
                new OAuth2AuthenticationException(error));
    } finally {
        // 清理 SecurityContextHolder
        SecurityContextHolder.clearContext();
    }
}

详细解析

匹配请求：
```
if (!this.userInfoEndpointMatcher.matches(request)) {
    filterChain.doFilter(request, response);
    return;
}
```
- 这段代码首先检查请求是否与 userInfoEndpointMatcher 匹配。匹配的是"/userinfo"路径的get或post请求。

如果不匹配，则调用 filterChain.doFilter 方法将请求传递到过滤器链中的下一个过滤器，然后返回。

尝试处理认证：

try {
 Authentication userInfoAuthentication = this.authenticationConverter.convert(request);

    Authentication userInfoAuthenticationResult =
         this.authenticationManager.authenticate(userInfoAuthentication);

    this.authenticationSuccessHandler.onAuthenticationSuccess(request, response, userInfoAuthenticationResult);
}

尝试将请求转换为 Authentication 对象。

默认情况下，使用的是OidcUserInfoEndpointConfigurer中如下的createDefaultAuthenticationConverters方法进行转换，实际就是直接从上下文中获取 Authentication 对象，取出的上下文对象就是BearerTokenAuthenticationFilter解析idToken时在上下文中保存的 Authentication 对象

private static List<AuthenticationConverter> createDefaultAuthenticationConverters() {
    
	List<AuthenticationConverter> authenticationConverters = new ArrayList<>();
     
	authenticationConverters.add(
		(request) -> {
			Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
			return new OidcUserInfoAuthenticationToken(authentication);
		}
	);
     
	return authenticationConverters;
}

调用 authenticationManager.authenticate 方法进行认证。使用的是OidcUserInfoAuthenticationProvider的authenticate方法：

/*
	该方法主要用于处理OpenID Connect 1.0用户信息端点的身份验证。它首先验证访问令牌的有效性，然后通过访问令牌查找授权信息，并验证授权信息的有效性和范围。最后，它构建认证上下文，并根据上下文映射用户信息，返回认证成功的OidcUserInfoAuthenticationToken
	
*/
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    //将传入的Authentication对象强制转换为OidcUserInfoAuthenticationToken
    OidcUserInfoAuthenticationToken userInfoAuthentication =
            (OidcUserInfoAuthenticationToken) authentication;

    AbstractOAuth2TokenAuthenticationToken<?> accessTokenAuthentication = null;
    //检查userInfoAuthentication的Principal是否是AbstractOAuth2TokenAuthenticationToken的子类，如果是，则进行类型转换
    if (AbstractOAuth2TokenAuthenticationToken.class.isAssignableFrom(userInfoAuthentication.getPrincipal().getClass())) {
        accessTokenAuthentication = (AbstractOAuth2TokenAuthenticationToken<?>) userInfoAuthentication.getPrincipal();
    }
    
    //检查accessTokenAuthentication是否为空或未通过身份验证。如果是，则抛出OAuth2AuthenticationException
    if (accessTokenAuthentication == null || !accessTokenAuthentication.isAuthenticated()) {
        throw new OAuth2AuthenticationException(OAuth2ErrorCodes.INVALID_TOKEN);
    }
    
	//获取访问令牌值
    String accessTokenValue = accessTokenAuthentication.getToken().getTokenValue();
	
    //使用访问令牌值查找授权信息，如果找不到，则抛出OAuth2AuthenticationException
    //authorizationService有内存与数据库两种默认提供，数据库实现的表名为'oauth2_authorization'
    OAuth2Authorization authorization = this.authorizationService.findByToken(
            accessTokenValue, OAuth2TokenType.ACCESS_TOKEN);
    if (authorization == null) {
        throw new OAuth2AuthenticationException(OAuth2ErrorCodes.INVALID_TOKEN);
    }

    if (this.logger.isTraceEnabled()) {
        this.logger.trace("Retrieved authorization with access token");
    }
	
    //检查访问令牌有效性
    OAuth2Authorization.Token<OAuth2AccessToken> authorizedAccessToken = authorization.getAccessToken();
    if (!authorizedAccessToken.isActive()) {
        throw new OAuth2AuthenticationException(OAuth2ErrorCodes.INVALID_TOKEN);
    }

    //检查访问令牌的范围是否包含openid
    if (!authorizedAccessToken.getToken().getScopes().contains(OidcScopes.OPENID)) {
        throw new OAuth2AuthenticationException(OAuth2ErrorCodes.INSUFFICIENT_SCOPE);
    }

    //获取idToken并验证其有效性
    OAuth2Authorization.Token<OidcIdToken> idToken = authorization.getToken(OidcIdToken.class);
    if (idToken == null) {
        throw new OAuth2AuthenticationException(OAuth2ErrorCodes.INVALID_TOKEN);
    }

    if (this.logger.isTraceEnabled()) {
        this.logger.trace("Validated user info request");
    }

    //构建OidcUserInfoAuthenticationContext并获取用户信息
    OidcUserInfoAuthenticationContext authenticationContext =
            OidcUserInfoAuthenticationContext.with(userInfoAuthentication)
                    .accessToken(authorizedAccessToken.getToken())
                    .authorization(authorization)
                    .build();
    OidcUserInfo userInfo = this.userInfoMapper.apply(authenticationContext);

    if (this.logger.isTraceEnabled()) {
        this.logger.trace("Authenticated user info request");
    }

    //返回认证成功的OidcUserInfoAuthenticationToken
    return new OidcUserInfoAuthenticationToken(accessTokenAuthentication, userInfo);
}

如果认证成功，调用 authenticationSuccessHandler.onAuthenticationSuccess 方法处理认证成功的情况。这里通过http响应返回UserInfo信息，对接到客户端DefaultOAuth2UserService的loadUser方法中的getResponse处

// authenticationSuccessHandler.onAuthenticationSuccess处理对应使用的是OidcUserInfoEndpointFilter过滤器的如下方法：
private void sendUserInfoResponse(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException {
	OidcUserInfoAuthenticationToken userInfoAuthenticationToken = (OidcUserInfoAuthenticationToken) authentication;
	ServletServerHttpResponse httpResponse = new ServletServerHttpResponse(response);
	this.userInfoHttpMessageConverter.write(userInfoAuthenticationToken.getUserInfo(), null, httpResponse);
}

处理异常：

catch (OAuth2AuthenticationException ex) {
    if (this.logger.isTraceEnabled()) {
        this.logger.trace(LogMessage.format("User info request failed: %s", ex.getError()), ex);
    }
    this.authenticationFailureHandler.onAuthenticationFailure(request, response, ex);
} catch (Exception ex) {
    OAuth2Error error = new OAuth2Error(
            OAuth2ErrorCodes.INVALID_REQUEST,
            "OpenID Connect 1.0 UserInfo Error: " + ex.getMessage(),
            "https://openid.net/specs/openid-connect-core-1_0.html#UserInfoError");
    if (this.logger.isTraceEnabled()) {
        this.logger.trace(error.getDescription(), ex);
    }
    this.authenticationFailureHandler.onAuthenticationFailure(request, response,
            new OAuth2AuthenticationException(error));
} finally {
    SecurityContextHolder.clearContext();
}

捕获 OAuth2AuthenticationException 异常，并使用 authenticationFailureHandler.onAuthenticationFailure 方法处理认证失败的情况。
捕获其他异常，并构造 OAuth2Error 对象，使用 authenticationFailureHandler.onAuthenticationFailure 方法处理认证失败的情况。
无论成功还是失败，最终都会调用 SecurityContextHolder.clearContext() 方法清理安全上下文。

代码关键点

userInfoEndpointMatcher：这是一个 RequestMatcher 对象，用于检查请求是否匹配 UserInfo 端点的 URI。
authenticationConverter：用于将 HttpServletRequest 转换为 Authentication 对象。
authenticationManager：用于处理认证逻辑，调用其 authenticate 方法进行用户认证。
authenticationSuccessHandler 和 authenticationFailureHandler：分别用于处理认证成功和失败的情况。
SecurityContextHolder.clearContext()：用于在请求处理完毕后清理安全上下文，以确保安全性。

该方法的主要功能是处理 OpenID Connect 的 UserInfo 端点请求。它首先检查请求是否匹配 UserInfo 端点，然后尝试将请求转换为 Authentication 对象并进行认证，最后根据认证结果处理成功或失败的情况。在整个过程中，它确保了安全上下文的清理。

客户端UserInfoEndpointConfig配置

OAuth2LoginConfigurer的UserInfoEndpointConfig配置

UserInfoEndpointConfig 是 OAuth2LoginConfigurer 类的内部配置类，负责配置 OAuth 2.0 用户信息端点。这段代码主要用于设置从用户信息端点获取用户属性的服务。以下是每个部分的详细解释：

属性

private OAuth2UserService userService;

用于处理 OAuth 2.0 请求并返回用户信息的服务。

配置的是OAuth2LoginAuthenticationProvider中使用的的userService

private OAuth2UserService oidcUserService;

用于处理 OpenID Connect (OIDC) 请求并返回用户信息的服务。

配置的是OidcAuthorizationCodeAuthenticationProvider中使用的userService，对应上面源码讲解第3步客户端加载用户信息

private Map> customUserTypes = new HashMap<>();

存储自定义的 OAuth2User 类型及其对应的客户端注册ID。

构造函数

private UserInfoEndpointConfig() {} 私有构造函数，防止外部直接实例化该类

方法

`userService`

public UserInfoEndpointConfig userService(OAuth2UserService<OAuth2UserRequest, OAuth2User> userService) {
    Assert.notNull(userService, "userService cannot be null");
    this.userService = userService;
    return this;
}

设置 OAuth 2.0 用户服务，用户通过该服务获取用户信息。

`oidcUserService`

public UserInfoEndpointConfig oidcUserService(OAuth2UserService<OidcUserRequest, OidcUser> oidcUserService) {
    Assert.notNull(oidcUserService, "oidcUserService cannot be null");
    this.oidcUserService = oidcUserService;
    return this;
}

设置 OIDC 用户服务，用于从 OIDC 用户信息端点获取用户信息。

`customUserType`

@Deprecated
public UserInfoEndpointConfig customUserType(Class<? extends OAuth2User> customUserType, String clientRegistrationId) {
    Assert.notNull(customUserType, "customUserType cannot be null");
    Assert.hasText(clientRegistrationId, "clientRegistrationId cannot be empty");
    this.customUserTypes.put(clientRegistrationId, customUserType);
    return this;
}

设置自定义的 OAuth2User 类型，并与特定的客户端注册ID关联。这个方法已经被弃用。

`userAuthoritiesMapper`

public UserInfoEndpointConfig userAuthoritiesMapper(GrantedAuthoritiesMapper userAuthoritiesMapper) {
    Assert.notNull(userAuthoritiesMapper, "userAuthoritiesMapper cannot be null");
    OAuth2LoginConfigurer.this.getBuilder().setSharedObject(GrantedAuthoritiesMapper.class, userAuthoritiesMapper);
    return this;
}

设置 GrantedAuthoritiesMapper，用于映射用户的权限。
在客户端进行OIDC验证获得用户信息后，会使用userAuthoritiesMapper获取用户权限信息，然后保存在客户端认证结果中
自定义此配置可以进行额外的权限处理

作用总结

UserInfoEndpointConfig 提供了一组方法，用于配置从用户信息端点获取用户信息的服务以及权限映射。通过这些方法，开发者可以指定自定义的用户服务和权限映射器，从而控制如何从 OAuth 2.0 或 OIDC 提供者处获取和处理用户信息。

你可能感兴趣的:(OAuth2.0,spring,spring,boot)

【Spring】Spring中@Component和@Bean的区别？九师兄框架-spring boot spring java 后端
1.概述在Spring框架中，@Component和@Bean是两个常用的注解，用于实现组件的声明和配置。它们的主要区别如下：作用对象不同：@Component注解用于声明一个类为Spring容器的组件（Bean），Spring会自动扫描并将其实例化为Bean并管理。@Bean注解用于在配置类（通常是带有@Configuration注解的类）中声明一个方法，该方法的返回值将被注册为Spring容器
mybatis支持json，Spring boot配置 Knight_9
mysql5.7版本以后支持原生json格式，基于Springboot进行配置说明。mybatis支持mysql的json格式mysql-connector，mysql的驱动版本要大于等于5.1.40，否则json字段查询会发生乱码。继承BaseTypeHandler自定义一个json类型处理器，放到一个handler包下，例：packagecom.c.config.handler;importc
Kafka系列之：kafka命令详细总结快乐骑行^_^ 日常分享专栏 Kafka Kafka系列 kafka命令详细总结
Kafka系列之：kafka命令详细总结一、添加和删除topic二、修改topic三、平衡领导者四、检查消费者位置五、管理消费者群体一、添加和删除topicbin/kafka-topics.sh--bootstrap-serverbroker_host:port--create--topicmy_topic_name\--partitions20--replication-factor3--con
长安链java-sdk打成jar包部署找不到配置文件，springBoot项目制作Docker镜像 FAFU_kyp 长安链 JAVA基础知识 #Docker java jar 开发语言长安链
长安链使用sdk_config.yml的形式来引入用户的各种证书文件，但是打成jar包部署在服务器上会提示找不到文件。由于国内对镜像的限制，我选用了阿里的龙蜥镜像，里面提供java1.8的环境，因为长安链要1.8的环境dockerpull anolis-registry.cn-zhangjiakou.cr.aliyuncs.com/openanolis/openjdk:8-8.6解决方案就是制作成
【Java】Mybatis Druid连接池配置详细 beautiful_huang Java
pom.xmlcom.alibabadruid1.0.18.propertiesspring.datasource.driver-class-name=com.mysql.jdbc.Driverspring.datasource.url=jdbc:mysql://localhost:3306/mybatis2?characterEncoding=utf-8&useSSL=truespring.da
Boot header格式描述详细信息。CSU DMA用于数据传输。安全流开关允许数据移动。PL配置通过PCAP接口。PL bit流包含设备配置数据。行者.................. FPGA
在Bootheader中的一些重要字段包括：-Reservedforinterrupts:用于存储中断相关信息，特别是在LQSPI地址空间中的默认0x01F中断向量被更改时，在XIP启动模式下使用。-Quad-SPI宽度检测:用于描述Quad-SPI宽度的字段。-加密状态:用于标识AES密钥来源，包括不加密、红密钥、黑密钥等。-FSBL执行地址:FSBL执行的起始地址。-源偏移:PMUFW和FSB
关于com.baomidou:mybatis-plus-boot-starter:jar:unknown was not found解决办法波斯CD mybatis jar java
原型com.baomidoumybatis-plus-boot-starter修改以后解决了com.baomidoumybatis-plus-boot-starter3.5.3.1
Spring Data JPA kjcoder Spring Data JPA 后端
JPA概述JPA的全称是JavaPersistenceAPI，即Java持久化API，是SUN公司推出的一套基于ORM的规范，内部是由一系列的接口和抽象类构成。JPA规范不干活，真正干活的是依托与它的实现方式(例：hibernate)。搭建环境（需求：保存客户）1.创建maven工程导入坐标org.hibernatehibernate-entitymanager2.需要配置jpa的核心配置文件*位
搭建第一个SpringDataJPA工程码来码去（未来可期） JavaWeb java
第一步：创建maven工程，导入maven坐标使用SpringDataJPA，需要整合Spring与SpringDataJPA，并且需要提供JPA的服务提供者hibernate，所以需要导入spring相关坐标，hibernate坐标，数据库驱动坐标等4.2.4.RELEASE5.0.7.Final1.6.61.2.120.9.1.25.1.6junitjunit4.9testorg.aspect
【Gateway】Route Predicate Factories 小小小小关同学 SpringCloud gateway
SpringCloudGateway是一个功能强大的API网关框架，广泛用于微服务架构中。它的核心功能之一是路由请求，并根据规则将请求转发到目标服务。要实现这一功能，SpringCloudGateway提供了各种断言工厂（RoutePredicateFactories），用于定义和控制路由的行为。1.Predicate在编程中，Predicate是一个常见的概念，主要用于对输入值进行判断或评估。它
第 12 章 Spring MVC 扩展和 SSM 框架整合 HUNAG-DA-PAO spring mvc java
SpringMVC框架处理JSON数据SON格式数据在现阶段的Web项目开发中扮演着非常重要的角色。在前端页面和后台交互的过程中，需要一种格式清晰、高效且两端都可以轻松使用的数据格式做交互的媒介，JSON正可以满足这一需求。JSON数据的传递处理在Java中处理JSON数据的传递通常涉及到序列化和反序列化操作。序列化是将Java对象转换为JSON格式的字符串，以便可以将其存储或通过网络传输；反序列
VSCODE配置SpringBoot，创建新项目运行时报错程序包不存在找不到符号解决方法 2301_77693747 vscode spring boot
配置方法参考了超详细的VsCode创建SpringBoot项目(图文并茂)_vscode创建springboot项目-CSDN博客当右键Runcode时会提示DemoApplication.java:3:错误:程序包org.springframework.boot不存在importorg.springframework.boot.SpringApplication;
Interceptor拦截器+JWT令牌实现登陆验证 wy08success Interceptor springboot java 登陆验证
一、背景与过滤器的作用类似，不过拦截器是spring中的组件，只能拦截进入spring的请求；过滤器则可以拦截所有从前端页面发送来的请求。*拦截器和过滤器选一就可以实现登陆验证，过滤器的实现在以下这篇博客中，有需要可以自取：Filter过滤器+JWT令牌实现登陆验证-CSDN博客二、分析定义拦截器，实现HanderInterceptor接口，并重写其所有方法。注册拦截器三、实现1、目录结构：2、L
feign和hystrix 小林嘞 springcloud hystrix java spring
网上教程说feign中集成了hystrix,但是引入的最新版本的3.1.4版本的feign在运行程序时提示,feign中没有hystrix的实例.于是手动添加:org.springframework.cloudspring-cloud-starter-netflix-hystrix2.2.10.RELEASE同时需要注意,在使用时出现了很多教程说的开启hystrix的方法如下:#开启feign对h
spring boot--在spring security下使用h2 黑夜_蚊香
配置maven依赖org.springframework.bootspring-boot-starter-parent2.2.0.RELEASEorg.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-securitycom.h2databaseh2runtimeWebSec
springboot宠物咖啡馆平台的设计与实现然然学长 spring boot 宠物 java 后端 intellij-idea 开发语言
运行环境环境说明:开发语言:java框架:springboot，vueJDK版本:JDK1.8数据库:mysql5.7+(推荐5.7，8.0也可以)数据库工具:Navicat11+开发软件:idea/eclipse(推荐idea)Maven包:Maven3.3.9+系统详细实现管理员模块的实现用户信息管理基于SpringBoot的宠物咖啡馆平台的设计与实现的系统管理员可以管理用户，可以对用户信息添
【Java】已解决：org.springframework.dao.DataAccessException 屿小夏 java oracle 数据库
文章目录一、分析问题背景二、可能出错的原因三、错误代码示例四、正确代码示例五、注意事项已解决：org.springframework.dao.DataAccessException一、分析问题背景在Spring框架中，org.springframework.dao.DataAccessException是一个常见的异常类型，通常出现在与数据库交互的过程中。当应用程序尝试执行数据库操作（例如查询、插
大二上学期详细学习计划学会沉淀。学习
本学习完成目标：项目：书籍：《mysql必知必会》《java核心技术卷》（暂时）加强JavaSE的学习，掌握Java核心Mysql+sql（把牛客上的那50道sql语句题写完）git+maven完成springboot项目（跟着黑马敲）对于每天的Java学习进行记录算法：刷题（多去刷cf上的题，每周15道）针对最近比赛薄弱的地方加强练习（图论，字符串，动态规划，搜索）cf先上1400，牛客和atc
springboot整合Logback 星空下夜猫子 spring boot logback 后端
Logback介绍描述Logback是由log4j创始人设计的另外一种开源日志组件，性能比log4j要好。相对是一个可靠、通用、快速而又灵活的Java日志框架。Logback主要分三个模块1、logback-core：其他两个模块的基础模块2、logback-classic：它是log4j的一个改良版本，同时它完整实现了slf4j。API，可以很方便地更换成其它日志系统，如log4j或JDK14L
Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证鉴权登录（框架介绍）星空下夜猫子 spring spring boot 数据库
简介SpringSecurity框架描述SpringSecurity是一个基于Spring框架的安全性框架，可以为Web应用程序提供身份验证（Authentication）、授权（Authorization）、攻击防御等安全功能。SpringSecurity框架提供了一整套的身份验证、授权、ACL（访问控制列表）等模块和类库，还提供了一系列的安全过滤器、安全标签等，可以方便地实现常见的安全性控制。
Redis安装详解（单机安装，sentinel哨兵模式，Cluster模式） dream21st 中间件学习笔记 sentinel redis java
文章目录1Redis单机安装1.1windows中安装1.2linux中安装2Redis主从复制安装3Redis哨兵模式安装4Springboot项目操作RedisSentinel集群5官方cluster分区搭建5.1部署架构5.2RedisCluster的优势5.3集群搭建6Springboot项目操作Cluster集群1Redis单机安装Redis安装包可以从官网下载，也可以在redis的官方
springmvc 前后端日期格式的转换 owlets_ju java java
1.后台Date类型返回前端String类型@JsonFormat(pattern="yyyy-MM-ddHH:mm:ss",timezone="GMT+8")它的作用是，出参时，自动把Date型对象数据转化成格式化后的字符串输出:yyyy-MM-ddHH:mm:ss示例：@JsonFormat(pattern="yyyy-MM-ddHH:mm:ss",timezone="GMT+8")priva
前后端时间转换的那些常见问题及处理方法繁依Fanyi 状态模式 python 算法 java 开发语言 android github
在现代的Web开发中，前后端分离的架构已经成为主流，尤其是在SpringBoot和Vue.js的组合中。开发者在这种架构下经常遇到的一个问题就是如何处理时间的转换和显示。前端和后端对时间的处理方式不同，可能会导致时间在传递过程中出现问题，比如时区不同步、格式不一致等。因此，本文将详细讨论在SpringBoot+Vue前后端分离架构中如何处理时间转换问题，并提供一些解决方案。一、前后端时间处理的常见
基于 SpringBoot 的学生综合测评系统 yimeixiaolangzai SpringBoot 源码计算机毕业设计源码 spring boot 后端 java
专业团队，咨询就送开题报告，欢迎大家私信留言摘要随着信息化时代的到来，管理系统都趋向于智能化、系统化，学生综合测评系统也不例外，但目前国内仍都使用人工管理，学校规模越来越大，同时信息量也越来越庞大，人工管理显然已无法应对时代的变化，而学生综合测评系统能很好地解决这一问题，轻松应对学生综合测评平时的工作，既能提高人力物力财力，又能加快工作的效率，取代人工管理是必然趋势。本学生综合测评系统以sprin
【springboot】--springboot全局异常处理 DreamBoy_W.W.Y springboot spring boot
目录一、默认全局异常处理二、自定义的全局异常处理一、默认全局异常处理这种方式主要是采用@ControllerAdvice注解，这是到达Controller类出现的任何异常都会统一以Exception类来返回。缺点：(1)、不同业务场景返回的异常格式都一样，不好统一/***ControllerAdvice是全局异常处理**这种使用，就是将任何地方的异常都转接到这里。*缺点是：任何异常都会进入这里，不
Spring 在多线程环境下如何确保事务一致性「已注销」 SpringBoot spring mysql java
目录问题在现如何解决异步执行多线程环境下如何确保事务一致性事务王国回顾事务实现方式回顾编程式事务利用编程式事务解决问题问题分析完了，那么如何解决问题呢？小结问题在现我先把问题抛出来，大家就明白本文目的在于解决什么样的业务痛点了:public void removeAuthorityModuleSeq(Integer authorityModuleId, IAuthorityService iAut
使用Spring Boot开发一个准妈妈交流平台 BABA8891 spring boot 后端 java
开发一个准妈妈交流平台涉及到许多不同的功能和组件。以下是一个使用SpringBoot来构建这样一个平台：1.项目规划需求分析：确定平台的核心功能，如用户注册、登录、论坛发帖、评论、消息通知等。系统设计：设计系统架构，包括前端、后端、数据库和可能的第三方服务集成。2.技术选型前端：可以选择React、Vue或Angular等现代JavaScript框架。后端：使用SpringBoot作为后端框架。数
深入解析 MyBatis：从理论到项目实例 OEC小胖胖 web后端 mybatis java spring web 后端
深入解析MyBatis：从理论到项目实例目录MyBatis概述MyBatis项目结构及作用核心概念详解分页功能的实现与深入剖析动态SQL缓存机制详解与Spring集成常见问题与深入分析完整项目示例总结1.MyBatis概述MyBatis是一个轻量级的持久层框架，使用SQL查询语句来访问数据库。它与Java对象建立映射关系，通过配置文件或注解来管理SQL语句，灵活性高且与数据库操作直接相关，适合需要
linux脚本监控重启shell脚本,CentOS系统的监控进程状态并自动重启的shell脚本小雨芝时节
在CentOS系统中利用Crontab监控进程是否被结束并自动重启。附加每天凌晨4点自动重启服务器。1、编辑Crontabcrontab-e2、按i进行编辑*/1****/root/monitor.sh#每分钟运行一遍monitor.sh脚本05***/sbin/reboot#每天凌晨5点自动重启服务器12*/1****/root/monitor.sh#每分钟运行一遍monitor.sh脚本05*
VMware工具下centos7虚拟机无法使用yum的解决方法 hardly study centos linux 运维服务器 centos
一、检查网络配置是否正常执行pingwww.baidu.com，如果测试不通，则需进一步检查网卡配置（建议安装虚拟机时选择NAT模式）二、检查网卡信息2.1确认并修改网卡信息路径：/etc/sysconfig/network-scripts/ifcfg-ens33ONBOOT=no表示在系统启动时不激活ens33的网卡设备，修改onboot=yes，激活网卡2.2重启network服务system
java工厂模式 3213213333332132 java 抽象工厂
工厂模式有 1、工厂方法 2、抽象工厂方法。下面我的实现是抽象工厂方法, 给所有具体的产品类定一个通用的接口。 package 工厂模式; /** * 航天飞行接口 * * @Description * @author FuJianyong * 2015-7-14下午02:42:05 */ public interface SpaceF
nginx频率限制+python测试 ronin47 nginx 频率 python
部分内容参考：http://www.abc3210.com/2013/web_04/82.shtml 首先说一下遇到这个问题是因为网站被攻击，阿里云报警，想到要限制一下访问频率，而不是限制ip（限制ip的方案稍后给出）。nginx连接资源被吃空返回状态码是502，添加本方案限制后返回599，与正常状态码区别开。步骤如下：
java线程和线程池的使用 dyy_gusi ThreadPool thread Runnable timer
java线程和线程池一、创建多线程的方式 java多线程很常见，如何使用多线程，如何创建线程，java中有两种方式，第一种是让自己的类实现Runnable接口，第二种是让自己的类继承Thread类。其实Thread类自己也是实现了Runnable接口。具体使用实例如下： 1、通过实现Runnable接口方式 1 2
Linux 171815164 linux
ubuntu kernel http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.1.2-unstable/ 安卓sdk代理 mirrors.neusoft.edu.cn 80 输入法和jdk sudo apt-get install fcitx su
Tomcat JDBC Connection Pool g21121 Connection
Tomcat7 抛弃了以往的DBCP 采用了新的Tomcat Jdbc Pool 作为数据库连接组件，事实上DBCP已经被Hibernate 所抛弃，因为他存在很多问题，诸如：更新缓慢，bug较多，编译问题，代码复杂等等。 Tomcat Jdbc P
敲代码的一点想法永夜-极光 java 随笔感想
入门学习java编程已经半年了,一路敲代码下来,现在也才1w+行代码量,也就菜鸟水准吧,但是在整个学习过程中,我一直在想,为什么很多培训老师,网上的文章都是要我们背一些代码?比如学习Arraylist的时候,教师就让我们先参考源代码写一遍,然
jvm指令集程序员是怎么炼成的 jvm 指令集
转自：http://blog.csdn.net/hudashi/article/details/7062675#comments 将值推送至栈顶时 const ldc push load指令 const系列该系列命令主要负责把简单的数值类型送到栈顶。(从常量池或者局部变量push到栈顶时均使用) 0x02 &nbs
Oracle字符集的查看查询和Oracle字符集的设置修改 aijuans oracle
本文主要讨论以下几个部分：如何查看查询oracle字符集、修改设置字符集以及常见的oracle utf8字符集和oracle exp 字符集问题。一、什么是Oracle字符集 Oracle字符集是一个字节数据的解释的符号集合,有大小之分,有相互的包容关系。ORACLE 支持国家语言的体系结构允许你使用本地化语言来存储，处理，检索数据。它使数据库工具，错误消息，排序次序，日期，时间，货
png在Ie6下透明度处理方法 antonyup_2006 css 浏览器 Firebug IE
由于之前到深圳现场支撑上线，当时为了解决个控件下载，我机器上的IE8老报个错，不得以把ie8卸载掉，换个Ie6,问题解决了，今天出差回来，用ie6登入另一个正在开发的系统，遇到了Png图片的问题，当然升级到ie8(ie8自带的开发人员工具调试前端页面JS之类的还是比较方便的，和FireBug一样，呵呵)，这个问题就解决了，但稍微做了下这个问题的处理。我们知道PNG是图像文件存储格式，查询资
表查询常用命令高级查询方法(二) 百合不是茶 oracle 分页查询分组查询联合查询
----------------------------------------------------分组查询 group by having --平均工资和最高工资 select avg(sal)平均工资,max(sal) from emp ; --每个部门的平均工资和最高工资
uploadify3.1版本参数使用详解 bijian1013 JavaScript uploadify3.1
使用：绑定的界面元素<input id='gallery'type='file'/>$("#gallery").uploadify({设置参数，参数如下}); 设置的属性： id: jQuery(this).attr('id'),//绑定的input的ID langFile: 'http://ww
精通Oracle10编程SQL(17)使用ORACLE系统包 bijian1013 oracle 数据库 plsql
/* *使用ORACLE系统包 */ --1.DBMS_OUTPUT --ENABLE:用于激活过程PUT,PUT_LINE,NEW_LINE,GET_LINE和GET_LINES的调用 --语法：DBMS_OUTPUT.enable(buffer_size in integer default 20000); --DISABLE:用于禁止对过程PUT,PUT_LINE,NEW
【JVM一】JVM垃圾回收日志 bit1129 垃圾回收
将JVM垃圾回收的日志记录下来，对于分析垃圾回收的运行状态，进而调整内存分配(年轻代，老年代，永久代的内存分配)等是很有意义的。JVM与垃圾回收日志相关的参数包括： -XX:+PrintGC -XX:+PrintGCDetails -XX:+PrintGCTimeStamps -XX:+PrintGCDateStamps -Xloggc -XX:+PrintGC 通
Toast使用白糖_ toast
Android中的Toast是一种简易的消息提示框，toast提示框不能被用户点击，toast会根据用户设置的显示时间后自动消失。创建Toast 两个方法创建Toast makeText(Context context, int resId, int duration) 参数：context是toast显示在
angular.identity boyitech AngularJS AngularJS API
angular.identiy 描述: 返回它第一参数的函数. 此函数多用于函数是编程. 使用方法: angular.identity(value); 参数详解: Param Type Details value * to be returned. 返回值: 传入的value 实例代码: <!DOCTYPE HTML>
java-两整数相除，求循环节 bylijinnan java
import java.util.ArrayList; import java.util.List; public class CircleDigitsInDivision { /** * 题目：求循环节，若整除则返回NULL，否则返回char*指向循环节。先写思路。函数原型：char*get_circle_digits(unsigned k,unsigned j)
Java 日期周年 Chen.H java C++c C#
/** * java日期操作(月末、周末等的日期操作) * * @author * */ public class DateUtil { /** */ /** * 取得某天相加(减)後的那一天 * * @param date * @param num *
[高考与专业]欢迎广大高中毕业生加入自动控制与计算机应用专业 comsci 计算机
不知道现在的高校还设置这个宽口径专业没有,自动控制与计算机应用专业,我就是这个专业毕业的,这个专业的课程非常多,既要学习自动控制方面的课程,也要学习计算机专业的课程,对数学也要求比较高.....如果有这个专业,欢迎大家报考...毕业出来之后,就业的途径非常广..... 以后
分层查询（Hierarchical Queries） daizj oracle 递归查询层次查询
Hierarchical Queries If a table contains hierarchical data, then you can select rows in a hierarchical order using the hierarchical query clause: hierarchical_query_clause::= start with condi
数据迁移 daysinsun 数据迁移
最近公司在重构一个医疗系统，原来的系统是两个.Net系统，现需要重构到java中。数据库分别为SQL Server和Mysql，现需要将数据库统一为Hana数据库，发现了几个问题，但最后通过努力都解决了。 1、原本通过Hana的数据迁移工具把数据是可以迁移过去的，在MySQl里面的字段为TEXT类型的到Hana里面就存储不了了，最后不得不更改为clob。 2、在数据插入的时候有些字段特别长
C语言学习二进制的表示示例 dcj3sjt126com c basic
进制的表示示例 # include <stdio.h> int main(void) { int i = 0x32C; printf("i = %d\n", i); /* printf的用法 %d表示以十进制输出 %x或%X表示以十六进制的输出 %o表示以八进制输出 */ return 0; }
NsTimer 和 UITableViewCell 之间的控制 dcj3sjt126com ios
情况是这样的: 一个UITableView, 每个Cell的内容是我自定义的 viewA viewA上面有很多的动画, 我需要添加NSTimer来做动画, 由于TableView的复用机制, 我添加的动画会不断开启, 没有停止, 动画会执行越来越多. 解决办法: 在配置cell的时候开始动画, 然后在cell结束显示的时候停止动画查找cell结束显示的代理
MySql中case when then 的使用 fanxiaolong casewhenthenend
select "主键", "项目编号", "项目名称","项目创建时间", "项目状态","部门名称","创建人" union (select pp.id as "主键", pp.project_number as &
Ehcache（01）——简介、基本操作 234390216 cache ehcache 简介 CacheManager crud
Ehcache简介目录 1 CacheManager 1.1 构造方法构建 1.2 静态方法构建 2 Cache 2.1&
最容易懂的javascript闭包学习入门 jackyrong JavaScript
http://www.ruanyifeng.com/blog/2009/08/learning_javascript_closures.html 闭包（closure）是Javascript语言的一个难点，也是它的特色，很多高级应用都要依靠闭包实现。下面就是我的学习笔记，对于Javascript初学者应该是很有用的。一、变量的作用域要理解闭包，首先必须理解Javascript特殊
提升网站转化率的四步优化方案 php教程分享数据结构 PHP 数据挖掘 Google 活动
网站开发完成后,我们在进行网站优化最关键的问题就是如何提高整体的转化率，这也是营销策略里最最重要的方面之一，并且也是网站综合运营实例的结果。文中分享了四大优化策略：调查、研究、优化、评估，这四大策略可以很好地帮助用户设计出高效的优化方案。 PHP开发的网站优化一个网站最关键和棘手的是，如何提高整体的转化率，这是任何营销策略里最重要的方面之一，而提升网站转化率是网站综合运营实力的结果。今天，我就分
web开发里什么是HTML5的WebSocket？ naruto1990 Web html5 浏览器 socket
当前火起来的HTML5语言里面，很多学者们都还没有完全了解这语言的效果情况，我最喜欢的Web开发技术就是正迅速变得流行的 WebSocket API。WebSocket 提供了一个受欢迎的技术，以替代我们过去几年一直在用的Ajax技术。这个新的API提供了一个方法，从客户端使用简单的语法有效地推动消息到服务器。让我们看一看6个HTML5教程介绍里的 WebSocket API：它可用于客户端、服
Socket初步编程——简单实现群聊 Everyday都不同 socket 网络编程初步认识
初次接触到socket网络编程，也参考了网络上众前辈的文章。尝试自己也写了一下，记录下过程吧：服务端：（接收客户端消息并把它们打印出来） public class SocketServer { private List<Socket> socketList = new ArrayList<Socket>(); public s
面试：Hashtable与HashMap的区别（结合线程） toknowme
昨天去了某钱公司面试，面试过程中被问道 Hashtable与HashMap的区别？当时就是回答了一点，Hashtable是线程安全的，HashMap是线程不安全的，说白了，就是Hashtable是的同步的，HashMap不是同步的，需要额外的处理一下。今天就动手写了一个例子，直接看代码吧 package com.learn.lesson001; import java
MVC设计模式的总结 xp9802 设计模式 mvc 框架 IOC
随着Web应用的商业逻辑包含逐渐复杂的公式分析计算、决策支持等，使客户机越来越不堪重负，因此将系统的商业分离出来。单独形成一部分，这样三层结构产生了。其中‘层’是逻辑上的划分。三层体系结构是将整个系统划分为如图2.1所示的结构[3] （1）表现层（Presentation layer）：包含表示代码、用户交互GUI、数据验证。该层用于向客户端用户提供GUI交互，它允许用户