不正经

这个屌丝很懒，什么也没留下！

热门标签

Spring Cloud Security：Oauth2使用_兼容白名单携带过期令牌

作者：不正经 | 2024-02-08 11:40:22

踩

兼容白名单携带过期令牌

Spring Cloud Security：Oauth2使用

1.OAuth2 简介

OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流，包括Web应用、桌面应用、移动端应用等。

（1）OAuth2 相关名词解释

Resource owner（资源拥有者）：拥有该资源的最终用户，他有访问资源的账号密码；
Resource server（资源服务器）：拥有受保护资源的服务器，如果请求包含正确的访问令牌，可以访问资源；
Client（客户端）：访问资源的客户端，会使用访问令牌去获取资源服务器的资源，可以是浏览器、移动设备或者服务器；
Authorization server（认证服务器）：用于认证用户的服务器，如果客户端认证通过，发放访问资源服务器的令牌。

（2）四种授权模式

Authorization Code（授权码模式）：正宗的OAuth2的授权模式，客户端先将用户导向认证服务器，登录后获取授权码，然后进行授权，最后根据授权码获取访问令牌；
Implicit（简化模式）：和授权码模式相比，取消了获取授权码的过程，直接获取访问令牌；
Resource Owner Password Credentials（密码模式）：客户端直接向用户获取用户名和密码，之后向认证服务器获取访问令牌；
Client Credentials（客户端模式）：客户端直接通过客户端认证（比如client_id和client_secret）从认证服务器获取访问令牌。（本文采用的是这种模式）

（3）两种常用的授权模式

1.授权码模式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Co0bN2R-1665373421152)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/spingcloud_security_01.a97c2ff4.png)]

(A)客户端将用户导向认证服务器；
(B)用户在认证服务器进行登录并授权；
©认证服务器返回授权码给客户端；
(D)客户端通过授权码和跳转地址向认证服务器获取访问令牌；
(E)认证服务器发放访问令牌（有需要带上刷新令牌）。

2.密码模式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ETVeNhNx-1665373421153)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/spingcloud_security_02.e2cebdb9.png)]

(A)客户端从用户获取用户名和密码；
(B)客户端通过用户的用户名和密码访问认证服务器；
©认证服务器返回访问令牌（有需要带上刷新令牌）。

启动这三个服务 api远程调用服务 auth 认证服务 gateway 网关服务

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iFbQcs0h-1665373421153)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727140358179.png)]

2.开始进行服务调试运行

2.1登录接口

http://localhost:9201/auth/oauth/token

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PvFpYXVM-1665373421154)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727140916100.png)]

首先源代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ot2edPl2-1665373421154)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727141441426.png)]

我们进行改造。其实差不多的就是重写该方法，目的是我们将输出的数据封装到我们自定义返回类型中的data中去

@RestController
@RequestMapping("/oauth")
public class AuthController {

    @Autowired
    private TokenEndpoint tokenEndpoint;

    private Set<HttpMethod> allowedRequestMethods;

    /**
     * Oauth2登录认证
     */
    @RequestMapping(value = "/token", method = RequestMethod.POST)
    public CommonResult<Oauth2TokenDto> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
        if (!this.allowedRequestMethods.contains(HttpMethod.POST)) {
            return CommonResult.failed("请求方法必须是POST");
        }
        OAuth2AccessToken oAuth2AccessToken = tokenEndpoint.postAccessToken(principal, parameters).getBody();
        Oauth2TokenDto oauth2TokenDto = Oauth2TokenDto.builder()
                .token(oAuth2AccessToken.getValue())
                .refreshToken(oAuth2AccessToken.getRefreshToken().getValue())
                .expiresIn(oAuth2AccessToken.getExpiresIn())
                .tokenHead("Bearer ").build();

        return CommonResult.success(oauth2TokenDto);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

调用接口后：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-El4N9Uqw-1665373421159)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727141936520.png)]

2.2 oauth2调用接口的传参讲解，以下面登录接口为例子

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tZmdzhCD-1665373421159)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727142040806.png)]

先看下代码分析

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k5VOIRet-1665373421160)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727144957104.png)]

当我们输错密码，再次调用登录认证接口时，发现认证失败的结果也统一了。

怎么弄的？上代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zHAvHbH2-1665373421161)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727152450114.png)]

看了源码，发现异常处理都是有这个类OAuth2Exception去处理，这时候我们自定义异常处理类去接受即可。

2.3自定义网关鉴权失败结果

当我们使用过期或签名不正确的JWT令牌访问需要权限的接口时，会直接返回状态码401；

首先看代码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fR89pAOd-1665373421161)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727165918976.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97rG8PS5-1665373421161)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727165938384.png)]

打断点发现这个格式都是自己自定义的

{

  "code": 401,

  "message": "暂未登录或token已经过期",

  "data": "Jwt expired at 2022-07-27T08:47:51Z"

}
1
2
3
4
5
6
7
8
9

2.4兼容白名单接口

其实对于白名单接口一直有个问题，当携带过期或签名不正确的JWT令牌访问时，会直接返回token过期的结果，我们可以访问下登录认证接口试试；

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LVLyHZE7-1665373421162)(Spring%20Cloud%20Security%EF%BC%9AOauth2%E4%BD%BF%E7%94%A8.assets/image-20220727170715373.png)]

明明就是个白名单接口，只不过携带的token不对就不让访问了，显然有点不合理。如何解决呢，我们先看看不带token访问怎么样；

其实我们只要在Oauth2默认的认证过滤器前面再加个过滤器，如果是白名单接口，直接移除认证头即可，首先定义好我们的过滤器；

/**
 * 白名单路径访问时需要移除JWT请求头
 * Created by hjt on 2020/7/24.
 */
@Component
public class IgnoreUrlsRemoveJwtFilter implements WebFilter {
    @Autowired
    private IgnoreUrlsConfig ignoreUrlsConfig;
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        URI uri = request.getURI();
        PathMatcher pathMatcher = new AntPathMatcher();
        //白名单路径移除JWT请求头
        List<String> ignoreUrls = ignoreUrlsConfig.getUrls();
        for (String ignoreUrl : ignoreUrls) {
            if (pathMatcher.match(ignoreUrl, uri.getPath())) {
                //请求不带Authorization
                request = exchange.getRequest().mutate().header("Authorization", "").build();
                exchange = exchange.mutate().request(request).build();
                return chain.filter(exchange);
            }
        }
        return chain.filter(exchange);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

然后把这个过滤器配置到默认的认证过滤器之前即可，在ResourceServerConfig中进行配置；

/**
 * 资源服务器配置
 * Created by hjt on 2020/6/19.
 */
@AllArgsConstructor
@Configuration
@EnableWebFluxSecurity
public class ResourceServerConfig {
    private final AuthorizationManager authorizationManager;
    private final IgnoreUrlsConfig ignoreUrlsConfig;
    private final RestfulAccessDeniedHandler restfulAccessDeniedHandler;
    private final RestAuthenticationEntryPoint restAuthenticationEntryPoint;
    private final IgnoreUrlsRemoveJwtFilter ignoreUrlsRemoveJwtFilter;

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http.oauth2ResourceServer().jwt()
                .jwtAuthenticationConverter(jwtAuthenticationConverter());
        //自定义处理JWT请求头过期或签名错误的结果
        http.oauth2ResourceServer().authenticationEntryPoint(restAuthenticationEntryPoint);
        //对白名单路径，直接移除JWT请求头 必须设置在默认的认证过滤器前面
        http.addFilterBefore(ignoreUrlsRemoveJwtFilter, SecurityWebFiltersOrder.AUTHENTICATION);
        //默认的认证过滤器
        http.authorizeExchange()
                .pathMatchers(ArrayUtil.toArray(ignoreUrlsConfig.getUrls(),String.class)).permitAll()//白名单配置
                .anyExchange().access(authorizationManager)//鉴权管理器配置
                .and().exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)//处理未授权
                .authenticationEntryPoint(restAuthenticationEntryPoint)//处理未认证
                .and().csrf().disable();
        return http.build();
    }

}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

个人搭建项目代码地址：
https://github.com/hongjiatao/spring-boot-anyDemo

欢迎收藏点赞三连。谢谢！有问题可以留言博主会24小时内无偿回复。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/不正经/article/detail/68924