---

更多相关文章请见：Spring Security文章目录

---

 

1、模块说明：

• 资源服务：提供资源访问
• 认证授权服务：提供认证和授权服务
• 客户端：请求资源服务的OAuth2 客户端
• 应用系统：提供应用能力的系统，在单点登录sso场景下，每一个需要认证授权服务认证授权的系统，就是一个应用系统。

2、常用注解：

spring security oauth2 提供了四个常用注解，来辅助oauth2功能的实现。

1、@EnableOAuth2Client：客户端，提供OAuth2RestTemplate，用于客户端访问资源服务。 
简要步骤：客户端访问资源->客户端发现没有资源访问token->客户端根据授权类型生成跳转url->浏览器 302 到认证授权服务进行认证、授权。

2、@EnableOAuth2Sso：应用系统，使用远端认证授权服务，替换应用自身的用户登录鉴权security逻辑，实现单点登录功能。 
简要步骤：访问应用系统资源-> 应用系统发现未登录-> 302 跳转到登录页面（登录页面地址已经与获取token逻辑自动关联）-> 应用系统发现符合获取token条件，根据授权类型拼装url->302 跳转到认证授权地址（认证授权服务提供）进行认证、授权。

3、@EnableAuthorizationServer：认证授权服务，提供用于获取token，解析token相关功能，实现认证、授权功能。
具体见 Spring Security 文章目录中的 Spring Cloud OAuth2 五种授权方式介绍。

4、@EnableResourceServer：资源服务，提供基于token的资源访问功能。

 

 

3、@EnableOAuth2Client 加载过程

3.1、加载流程：

 

3.2、流程说明：

1、@EnableOAuth2Client

@Import(OAuth2ClientConfiguration.class)

2、OAuth2ClientConfiguration说明

2.1、OAuth2ClientContextFilter bean 声明

OAuth2 client的Security filter，拦截请求，针对UserRedirectRequiredException做redirect操作。

实际请求由OAuth2RestTemplate控制权限跳转。

2.2、AccessTokenRequest bean 声明

request scope的bean，包装access token请求所需参数。

2.3、oauth2ClientContext bean 声明

session scope 的bean，是默认的OAuth 2 security context（DefaultOAuth2ClientContext）。

3.3、简要分析：

1、spring boot ：

通过org.springframework.boot.autoconfigure.security.oauth2.client.OAuth2RestOperationsConfiguration.SessionScopedConfiguration#oauth2ClientFilterRegistration实现filter声明。

通过OAuth2ProtectedResourceDetailsConfiguration自定义认证类型。

 

4、@EnableOAuth2Sso加载过程

4.1、流程说明：

1、@EnableOAuth2Sso

@Import({ OAuth2SsoDefaultConfiguration.class, OAuth2SsoCustomConfiguration.class,

ResourceServerTokenServicesConfiguration.class })

@EnableOAuth2Client

@EnableConfigurationProperties(OAuth2SsoProperties.class)

 

2、OAuth2SsoDefaultConfiguration说明：

如果不存在 带@EnableOAuth2Sso注解的WebSecurityConfigurerAdapter声明，当前类创建一个默认的拦截所有请求的WebSecurityConfigurerAdapter。

 

3、OAuth2SsoCustomConfiguration说明：

如果存在 带@EnableOAuth2Sso注解的WebSecurityConfigurerAdapter声明，生成当前bean。

3.1、重写WebSecurityConfigurerAdapter的init方法：

给WebSecurityConfigurerAdapter做动态代理，在init方法中实现 SsoSecurityConfigurer的configure逻辑。

追加OAuth2ClientAuthenticationConfigurer到http中，最终添加OAuth2ClientAuthenticationProcessingFilter到SecurityContext filter中，实现oauth getAccessToken等相关逻辑。

只处理指定的请求，通过配置security.oauth2.sso.loginPath控制。

3.2、追加LoginUrlAuthenticationEntryPoint和HttpStatusEntryPoint：

ExceptionTranslationFilter中拦截AuthenticationException跳转到security.oauth2.sso.loginPath地址，进入 OAuth2ClientAuthenticationProcessingFilter拦截，实现 token逻辑。

 

4、ResourceServerTokenServicesConfiguration 说明：

授权服务在其他应用时生效，通过OAuth2RestTemplate去远程调用授权服务。同时提供JwtTokenServicesConfiguration相关逻辑，提供jwt token pulic key获取等相关处理。

 

5、OAuth2RestOperationsConfiguration说明：

默认的client配置，基于security.oauth2.client配置提供OAuth2ProtectedResourceDetails和OAuth2ClientContext默认声明。

 

4.2、简要分析：

1、通过流程可以看出来，核心在于OAuth2ClientAuthenticationProcessingFilter实现本地应用登录请求和远端认证授权服务的自动跳转。

2、通知提供jwt相关支撑。

3、本地应用判断是否登录，默认通过session控制。

 

5、@EnableAuthorizationServer 加载过程

5.1、加载流程：

 

 

5.2、流程说明：

1、@EnableAuthorizationServer

@Import({AuthorizationServerEndpointsConfiguration.class, AuthorizationServerSecurityConfiguration.class})

 

2、AuthorizationServerEndpointsConfiguration说明：

2.1、@Import(TokenKeyEndpointRegistrar.class)

• TokenKeyEndpointRegistrar： 如果存在JwtAccessTokenConverter bean，就创建TokenKeyEndpoint bean。

 

2.2、authorizationEndpoint bean声明：用来作为请求者获得授权的服务

2.2.1、/oauth/confirm_access 用户确认授权提交端点。

2.2.2、/oauth/error 授权服务错误信息端点。

2.2.3、/oauth/authorize 请求授权端点。

 

2.2.4、代码块如下：

@Bean

public AuthorizationEndpoint authorizationEndpoint() throws Exception {

// 默认URL是/oauth/authorize（请求授权端点）

AuthorizationEndpoint authorizationEndpoint = new AuthorizationEndpoint();

FrameworkEndpointHandlerMapping mapping = getEndpointsConfigurer().getFrameworkEndpointHandlerMapping();

authorizationEndpoint.setUserApprovalPage(extractPath(mapping, "/oauth/confirm_access"));

authorizationEndpoint.setProviderExceptionHandler(exceptionTranslator());

authorizationEndpoint.setErrorPage(extractPath(mapping, "/oauth/error"));

authorizationEndpoint.setTokenGranter(tokenGranter());

authorizationEndpoint.setClientDetailsService(clientDetailsService);

authorizationEndpoint.setAuthorizationCodeServices(authorizationCodeServices());

authorizationEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());

authorizationEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());

authorizationEndpoint.setUserApprovalHandler(userApprovalHandler());

return authorizationEndpoint;

}

 

2.3、tokenEndpoint bean 声明：用来作为请求者获得令牌（Token）的服务。

2.3.1、/oauth/token 请求令牌端点

2.3.2、核心代码：

@Bean

public TokenEndpoint tokenEndpoint() throws Exception {

TokenEndpoint tokenEndpoint = new TokenEndpoint();

tokenEndpoint.setClientDetailsService(clientDetailsService);

tokenEndpoint.setProviderExceptionHandler(exceptionTranslator());

tokenEndpoint.setTokenGranter(tokenGranter());

tokenEndpoint.setOAuth2RequestFactory(oauth2RequestFactory());

tokenEndpoint.setOAuth2RequestValidator(oauth2RequestValidator());

tokenEndpoint.setAllowedRequestMethods(allowedTokenEndpointRequestMethods());

return tokenEndpoint;

}

 

2.4 CheckTokenEndpoint bean 声明：资源服务访问的令牌解析服务。

2.4.1、/oauth/check_token：用于资源服务访问的令牌解析端点。

2.4.2、核心代码：

@Bean

public CheckTokenEndpoint checkTokenEndpoint() {

CheckTokenEndpoint endpoint = new CheckTokenEndpoint(getEndpointsConfigurer().getResourceServerTokenServices());

endpoint.setAccessTokenConverter(getEndpointsConfigurer().getAccessTokenConverter());

endpoint.setExceptionTranslator(exceptionTranslator());

return endpoint;

}

 

2.5 WhitelabelApprovalEndpoint bean 声明： 用户确认授权提交服务

2.5.1、/oauth/confirm_access：用户确认授权提交端点。

2.5.2、核心代码：

@Bean

public WhitelabelApprovalEndpoint whitelabelApprovalEndpoint() {

return new WhitelabelApprovalEndpoint();

}

 

2.6 WhitelabelErrorEndpoint bean 声明：授权服务错误信息服务

2.6.1、/oauth/error：授权服务错误信息端点。

2.6.2、核心代码：

@Bean

public WhitelabelErrorEndpoint whitelabelErrorEndpoint() {

return new WhitelabelErrorEndpoint();

}

 

2.7 ConsumerTokenServices ban声明：提供revokeToken支撑

 

2.8 AuthorizationServerTokenServices bean声明：token操作相关服务。

 

3、AuthorizationServerSecurityConfiguration说明

3.1、@Import({ ClientDetailsServiceConfiguration.class, AuthorizationServerEndpointsConfiguration.class })

• ClientDetailsServiceConfiguration：根据configurer生成 ClientDetailsService bean，通过重写org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurer#configure(org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer)自定义实现。
• AuthorizationServerEndpointsConfiguration：同2.

3.2 、继承WebSecurityConfigurerAdapter，实现认证服务请求的授权控制。

通过声明AuthorizationServerConfigurer bean实现配置修改。

3.3、核心http配置如下：

@Override

protected void configure(HttpSecurity http) throws Exception {

AuthorizationServerSecurityConfigurer configurer = new AuthorizationServerSecurityConfigurer();

FrameworkEndpointHandlerMapping handlerMapping = endpoints.oauth2EndpointHandlerMapping();

http.setSharedObject(FrameworkEndpointHandlerMapping.class, handlerMapping);

configure(configurer);

http.apply(configurer);

// 请求令牌端点。

String tokenEndpointPath = handlerMapping.getServletPath("/oauth/token");

// 提供公有密匙的端点，如果你使用JWT令牌的话

String tokenKeyPath = handlerMapping.getServletPath("/oauth/token_key");

// 用于资源服务访问的令牌解析端点。

String checkTokenPath = handlerMapping.getServletPath("/oauth/check_token");

if (!endpoints.getEndpointsConfigurer().isUserDetailsServiceOverride()) {

UserDetailsService userDetailsService = http.getSharedObject(UserDetailsService.class);

endpoints.getEndpointsConfigurer().userDetailsService(userDetailsService);

}

// @formatter:off

http

.authorizeRequests()

.antMatchers(tokenEndpointPath).fullyAuthenticated()

.antMatchers(tokenKeyPath).access(configurer.getTokenKeyAccess())

.antMatchers(checkTokenPath).access(configurer.getCheckTokenAccess())

.and()

.requestMatchers()

.antMatchers(tokenEndpointPath, tokenKeyPath, checkTokenPath)

.and()

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);

// @formatter:on

http.setSharedObject(ClientDetailsService.class, clientDetailsService);

}

 

4、AuthorizationServerConfigurer提供的三个覆盖点如下：

configure(AuthorizationServerSecurityConfigurer security)

configure(ClientDetailsServiceConfigurer clients)

configure(AuthorizationServerEndpointsConfigurer endpoints)

 

5.3、简要分析：

1、通过流程可以看出来，核心在AuthorizationServerConfigurer方法的重写，提供业务支撑。

2、spring boot 集成了AuthorizationServerProperties 和 OAuth2AuthorizationServerConfiguration实现了通用的oauth2配置。OAuth2AuthorizationServerConfiguration就是AuthorizationServerConfigurer的实现。

3、/oauth/authorize请求，通过 登录相关WebSecurityConfigurerAdapter（最基本的spring security使用）处理，未登录就跳转到登陆界面，该拦截基本包含所有必要的请求。优先级在AuthorizationServerSecurity之后。

4、登录成功后，通过获取保存在session的上一步url，进行页面跳转控制。具体见SavedRequestAwareAuthenticationSuccessHandler。

5、授权服务器本身的登录保持，默认通过session来控制。

 

 

6、@EnableResourceServer加载过程

6.1、流程说明：

1、@EnableResourceServer

@Import(ResourceServerConfiguration.class)

 

2、ResourceServerConfiguration说明：

提供WebSecurityConfigurerAdapter， 追加ResourceServerSecurityConfigurer配置，主要追加OAuth2AuthenticationEntryPoint、OAuth2AccessDeniedHandler、OAuth2WebSecurityExpressionHandler等配置，控制token验证相关逻辑。

OAuth2AuthenticationProcessingFilter是核心逻辑，控制token解析相关。

 

3、一个filter 列表展示：

 

6.2、简要分析：

1、主要是通过多个WebSecurityConfigurerAdapter加载，实现不同的filter chain匹配。

2、资源请求，需要保证不能被前面的WebSecurityConfigurerAdapter包含，否则，无法走到token解析逻辑中。