Spring Security Oauth2 认证（获取token/刷新token）流程（password模式）

﹏ヽ暗。殇╰゛Y 2021-06-11 15:11 679阅读 0赞

# 1.本文介绍的认证流程范围 #

本文主要对从用户发起获取token的请求（/oauth/token），到请求结束返回token中间经过的几个关键点进行说明。

# 2.认证会用到的相关请求 #

注：所有请求均为post请求。

*  **获取access\_token请求（/oauth/token）**  
    请求所需参数：client\_id、client\_secret、grant\_type、username、password

http://localhost/oauth/token?client_id=demoClientId&client_secret=demoClientSecret&grant_type=password&username=demoUser&password=50575tyL86xp29O380t1

*  **检查头肯是否有效请求（/oauth/check\_token）**  
    请求所需参数：token

http://localhost/oauth/check_token?token=f57ce129-2d4d-4bd7-1111-f31ccc69d4d1

*  **刷新token请求（/oauth/token）**  
    请求所需参数：grant\_type、refresh\_token、client\_id、client\_secret  
    其中grant\_type为固定值：grant\_type=refresh\_token

http://localhost/oauth/token?grant_type=refresh_token&refresh_token=fbde81ee-f419-42b1-1234-9191f1f95be9&client_id=demoClientId&client_secret=demoClientSecret

# 2.认证核心流程 #

注：文中介绍的认证服务器端token存储在Reids，用户信息存储使用数据库，文中会包含相关的部分代码。

## 2.1.获取token的主要流程： ##

加粗内容为每一步的重点，不想细看的可以只看加粗内容：

1.  用户发起获取token的请求。
2.  过滤器会**验证path**是否是认证的请求/oauth/token，如果为false，则直接返回没有后续操作。
3.  过滤器通过clientId查询**生成一个Authentication对象**。
4.  然后会通过username和生成的Authentication对象**生成一个UserDetails对象**，并检查用户是否存在。
5.  **以上全部通过会进入地址/oauth/token**，即TokenEndpoint的postAccessToken方法中。
6.  postAccessToken方法中会**验证Scope**，然后**验证是否是refreshToken请求**等。
7.  之后调用AbstractTokenGranter中的grant方法。
8.  grant方法中调用AbstractUserDetailsAuthenticationProvider的authenticate方法，**通过username和Authentication对象来检索用户是否存在**。
9.  然后通过DefaultTokenServices类**从tokenStore中获取OAuth2AccessToken对象**。
10. 然后将**OAuth2AccessToken对象包装进响应流返回**。

## 2.2.刷新token（refresh token）的流程 ##

刷新token（refresh token）的流程与获取token的流程只有⑨有所区别：

*  获取token调用的是AbstractTokenGranter中的getAccessToken方法，然后调用tokenStore中的getAccessToken方法获取token。
 *  刷新token调用的是RefreshTokenGranter中的getAccessToken方法，然后使用tokenStore中的refreshAccessToken方法获取token。

## 2.3.tokenStore的特点 ##

tokenStore通常情况为自定义实现，一般放置在缓存或者数据库中。此处可以利用自定义tokenStore来实现多种需求，如：

*  同已用户每次获取token，获取到的都是同一个token，只有token失效后才会获取新token。
 *  同一用户每次获取token都生成一个完成周期的token并且保证每次生成的token都能够使用（多点登录）。
 *  同一用户每次获取token都保证只有最后一个token能够使用，之前的token都设为无效（单点token）。

# 3.获取token的详细流程（代码截图） #

## 3.1.代码截图梳理流程 ##

1.一个比较重要的过滤器  
![这里写图片描述][70]  
2.此处是①中的attemptAuthentication方法  
![这里写图片描述][70 1]  
3.此处是②中调用的authenticate方法  
![这里写图片描述][70 2]  
4.此处是③中调用的AbstractUserDetailsAuthenticationProvider类的authenticate方法  
![这里写图片描述][70 3]  
5.此处是④中调用的DaoAuthenticationProvider类的retrieveUser方法  
![这里写图片描述][70 4]  
6.此处为⑤中调用的ClientDetailsUserDetailsService类的loadUserByUsername方法，执行完后接着返回执行④之后的方法  
![这里写图片描述][70 5]  
7.此处为④中调用的DaoAuthenticationProvider类的additionalAuthenticationChecks方法，此处执行完则主要过滤器执行完毕，后续会进入/oauth/token映射的方法。  
![这里写图片描述][70 6]  
8.此处进入/oauth/token映射的TokenEndpoint类的postAccessToken方法  
![这里写图片描述][70 7]  
9.此处为⑧中调用的AbstractTokenGranter类的grant方法  
![这里写图片描述][70 8]  
10.此处为⑨中调用的ResourceOwnerPasswordTokenGranter类中的getOAuth2Authentication方法  
![这里写图片描述][70 9]  
11.此处为⑩中调用的自定义的CustomUserAuthenticationProvider类中的authenticate方法，此处校验用户密码是否正确，此处执行完则返回⑨执行后续方法。  
![这里写图片描述][70 10]  
12.此处为⑨中调用的DefaultTokenServices中的createAccessToken方法  
![这里写图片描述][70 11]  
13.此处为12中调用的RedisTokenStore中的getAccessToken方法等，此处执行完，则一直向上返回到⑧中执行后续方法。  
![这里写图片描述][70 12]  
14.此处为⑧中获取到token后需要包装返回流操作  
![这里写图片描述][70 13]

## 3.2.示例中spring-security.xml的部分配置 ##

<sec:http pattern="/oauth/token" create-session="stateless" authentication-manager-ref="authenticationManager" >
        <sec:intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY" />
        <sec:anonymous enabled="false" />
        <sec:http-basic entry-point-ref="clientAuthenticationEntryPoint" />
        <sec:custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
        <sec:access-denied-handler ref="oauthAccessDeniedHandler" />
    </sec:http>
    
    <bean id="clientAuthenticationEntryPoint" class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint">
        <property name="realmName" value="springsec/client" />
        <property name="typeName" value="Basic" />
    </bean>
    
    <bean id="clientCredentialsTokenEndpointFilter" class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
        <property name="authenticationManager" ref="authenticationManager" />
    </bean>
    
    <bean id="oauthAccessDeniedHandler" class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler">
    </bean>
    
    
    
    <sec:authentication-manager alias="authenticationManager">
        <sec:authentication-provider user-service-ref="clientDetailsUserService" />
    </sec:authentication-manager>
    
    
    <bean id="clientDetailsUserService" class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
        <constructor-arg ref="clientDetails" />
    </bean>
    
    
    <bean id="clientDetails" class="com.xxx.core.framework.oauth.CustomClientDetailsServiceImpl">
    </bean>
    
    <sec:authentication-manager id="userAuthenticationManager">
        <sec:authentication-provider ref="customUserAuthenticationProvider" />
    </sec:authentication-manager>
    
    <bean id="customUserAuthenticationProvider" class="com.xxx.core.framework.oauth.CustomUserAuthenticationProvider">
    </bean>
    
    <oauth:authorization-server client-details-service-ref="clientDetails" token-services-ref="tokenServices" check-token-enabled="true" >
        <oauth:authorization-code />
        <oauth:implicit/>
        <oauth:refresh-token/>
        <oauth:client-credentials />
        <oauth:password authentication-manager-ref="userAuthenticationManager"/>
    </oauth:authorization-server>
    
    
    <bean id="tokenStore" class="com.xxx.core.framework.oauth.RedisTokenStore" />
    
    
    <bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
        <property name="tokenStore" ref="tokenStore" />
        <property name="supportRefreshToken" value="true" />
        <property name="accessTokenValiditySeconds" value="43200"></property>
        <property name="clientDetailsService" ref="clientDetails" />
    </bean>

# 4.总结 #

本文中的流程能够结果的问题：

*  需要自定义修改获取到的token
 *  token单点问题
 *  使用refresh\_token的情况

--------------------

PS：梳理这个认证流程也是因为最近工作需要设置token超时机制，刷新token，检查token等，需要对认证这块了解的特别清楚才行，后面的代码截图只是详细的介绍了获取access\_token的流程，其实refresh\_token与access\_token的流程基本是一样的，如果您在使用refresh\_token过程中有什么问题，也可以详细看下上面的截图，或许会有一些收获。

[70]: /images/20210607/78115553562a4ddeb7d015c53be31575.png
[70 1]: /images/20210607/5b5f34b7884246e891db5f9433d5148b.png
[70 2]: /images/20210607/05241554ed4b4ad5bffd4655e2050658.png
[70 3]: /images/20210607/1a61a3f1d9e64bc980a7724b1ec98f5d.png
[70 4]: /images/20210607/b93d6230601f485ea16f48298cd265d3.png
[70 5]: /images/20210607/991e442921bd48188f7c3940af3612a7.png
[70 6]: /images/20210607/81c19c0d0a9a4acf87ca824f5d74dc35.png
[70 7]: /images/20210607/d291b5040a4e43999d96e81d5f51a9d4.png
[70 8]: /images/20210607/15acf589e5904776a18e73b4cfe9f8af.png
[70 9]: /images/20210607/04310ea79b63420a8be01e5bb543a2b5.png
[70 10]: /images/20210607/03eaf0bf0ee248f794bb58856d75178f.png
[70 11]: /images/20210607/00789bbd657e4e2499496f1c719a37c4.png
[70 12]: /images/20210607/defca360199c4aea9a2b967613c2ccda.png
[70 13]: /images/20210607/938438729b7947f99f2a5132dc98e127.png