Spring Security OAuth2 源码分析
Spring Security OAuth2 主要两部分功能:1、生成token,2、验证token,最大概的流程进行了一次梳理
1、Server端生成token (post /oauth/token)
AuthorizationServerSecurityConfigurer 在配置阶段 如果允许form表单提交则会经过ClientCredentialsTokenEndpointFilter, 剩下的流程可以总结为生成token、存储token。
生成token:按类型生成token,类型与oauth2四种类型(密码、授权码、客户端、简化)模式相对 存储token: 支持 内存、redis、数据库、等多种方式
2、Resource端验证token (访问受限接口)
ResourceSecurityConfigurer在配置阶段,对Resource进行配置, OAuth2核心过滤器 OAuth2AuthenticationProcessingFilter, 如果请求中存在token 则进行验证,如果不存在则不验证(但是Spring Security会对接口权限进行验证)。
存在token流程:
根据 配置的userInfoEndpointUrl 到 server获取token的授权信息 OAuthAuthentication。
根据返回结果判断token是否有效(如果返回结果结果中存在error表明访问限制: 也就是说server对token无效的处理后,一定要返回非 200的http响应Resource才能认定无效)
作者:浮生若云
来源链接:https://www.cnblogs.com/mxmbk/p/9952298.html
版权声明:
1、JavaClub(https://www.javaclub.cn)以学习交流为目的,由作者投稿、网友推荐和小编整理收藏优秀的IT技术及相关内容,包括但不限于文字、图片、音频、视频、软件、程序等,其均来自互联网,本站不享有版权,版权归原作者所有。
2、本站提供的内容仅用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯相关权利人及本网站的合法权利。
3、本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站(javaclubcn@163.com),我们将第一时间核实后及时予以删除。
