Spring Security Oauth2源码分析

Spring Security Oauth2源码分析

• 前言
• 一：客户端OAuth2授权请求的入口
• • 1、DefaultOAuth2AuthorizationRequestResolver类
  • • OAuth2AuthorizationRequest类
    • authorizationRequestUri 的构建机制
    • redirectUri
  • 3、OAuth2AuthorizationRequestRedirectFilter类
• 二：OAuth2授权请求是如何构建并执行的
• • 1、sendRedirectForAuthorization方法
• 三：OAuth2授权回调的处理机制
• • 1、OAuth2LoginAuthenticationFilter类
  • 2、AuthenticationManager 的认证过程
  • 3、OAuth2 对应的 AuthenticationProvider
  • 4、OAuth2LoginAuthenticationProvider

前言

1、用户发起了一个未经身份验证的请求。
2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。
3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。
4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
5、LoginUrlAuthenticationEntryPoint将用户重定向到：
{baseUrl}/oauth2/authorization/{clientRegistrationId}

一：客户端OAuth2授权请求的入口

客户端进行第三方认证操作的起点，默认格式为
{baseUrl}/oauth2/authorization/{clientRegistrationId}，其中 clientRegistrationId 代表着一个第三方标识。是在授权服务器中注册的应用 唯一标识id。

用户点击了这个请求后就开始了授权之旅。Spring Security 一定是拦截到了/oauth2/authorization后才启用了 OAuth2 相关的处理逻辑。那就去抓住这个源头！

1、DefaultOAuth2AuthorizationRequestResolver类

从名称上看着是一个默认 OAuth2 授权请求解析器。它实现了接口OAuth2AuthorizationRequestResolver

public interface OAuth2AuthorizationRequestResolver {     /**     * 从HttpServletRequest对象中解析封装 OAuth2AuthorizationRequest     */ 	OAuth2AuthorizationRequest resolve(HttpServletRequest request);      /**      * 从HttpServletRequest对象以及clientRegistrationId中解析封装 OAuth2AuthorizationRequest      */ 	OAuth2AuthorizationRequest resolve(HttpServletRequest request, String clientRegistrationId); } 

也就是说当我们请求 /oauth2/authorization 时，DefaultOAuth2AuthorizationRequestResolver 会从/oauth2/authorization对应的HttpServletRequest中提取数据封装到 OAuth2AuthorizationRequest 请求对象中做进一步使用。

其核心方法在 DefaultOAuth2AuthorizationRequestResolver 有两个重载，这里分析一个就够了

@Override public OAuth2AuthorizationRequest resolve(HttpServletRequest request) {     // registrationId是通过uri路径参数/oauth2/authorization/{registrationId}获得的     String registrationId = resolveRegistrationId(request); 	if (registrationId == null) { 	    return null; 	} 	// 然后去请求对象request中提取key为action的参数，默认值是login 	String redirectUriAction = getAction(request, "login"); 	// 然后进入根本的解析方法 	return resolve(request, registrationId, redirectUriAction); } 

OAuth2AuthorizationRequest类

resolve(request，registrationId，redirectUriAction)方法才是最终从 /oauth2/authorization 提取 OAuth2AuthorizationRequest 的根本方法。resolve方法会根据不同的授权方式 (AuthorizationGrantType) 来组装不同的OAuth2AuthorizationRequest对象。

AuthorizationGrantType ，来自配置：

spring.security.client.registration.{registrationId}.authorization-grant-type= ×××××× 

OAuth2AuthorizationRequest 的几个参数的规则是固定的：

1、clientId 来自于配置，是第三方平台给予我们的唯一标识。 2、authorizationUri来自于配置，用来构造向第三方发起的请求 URL。 3、scopes 来自于配置，是第三方平台给我们授权划定的作用域，可以理解为角色。 4、state 自动生成的，为了防止 csrf 攻击。 5、authorizationRequestUri 向第三方平台发起授权请求的，可以直接通过OAuth2AuthorizationRequest的构建类来设置或者通过上面的authorizationUri等参数来生成。 6、redirectUri 当OAuth2AuthorizationRequest被第三方平台收到后，第三方平台会回调这个 URI 来对授权请求进行响应。 

authorizationRequestUri 的构建机制

如果不显式提供authorizationRequestUri就会通过OAuth2AuthorizationRequest中的

①responseType ②clientId ③scopes ④state ⑤redirectUri ⑥additionalParameters 

按照下面的规则进行拼接成authorizationUri的参数串，参数串的key和value都要进行 URI 编码。

https://{认证服务器地址}/oauth2/authorize?response_type=code&client_id=test123&state=VWr9pnTYODclkYgmDiCs2w6gE2CVEBH2WZVYCb_4nsc%3D&redirect_uri=http://localhost:8090/projectname/login/oauth2/code/test123 

然后OAuth2AuthorizationRequestRedirectFilter负责重定向到authorizationRequestUri向第三方请求授权。

redirectUri

认证服务器收到响应会调用 redirectUri ，回调也是有一定规则的，遵循{baseUrl}/{action}/oauth2/code/{registrationId}的路径参数规则。

1、baseUrl 是从我们/oauth2/authorization请求中提取的基础请求路径。 2、action，有两种默认值login、authorize ，当/oauth2/authorization请求中包含了action参数时会根据action的值进行填充。 3、registrationId 这个就不用多说了。  

3、OAuth2AuthorizationRequestRedirectFilter类

一看到它继承了 OncePerRequestFilter 就知道肯定是他了。甚至它的成员变量包含了用来解析 OAuth2 请求的 OAuth2AuthorizationRequestResolver 。到这里我们的路子就走对了，开始分析这个过滤器，下面是其核心过滤逻辑，这就是我们想要知道的 OAuth2 授权请求是如何被拦截处理的逻辑。

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) 			throws ServletException, IOException { 		try { 			OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request); 			if (authorizationRequest != null) { 				this.sendRedirectForAuthorization(request, response, authorizationRequest); 				return; 			} 		} 		catch (Exception ex) { 			this.unsuccessfulRedirectForAuthorization(request, response, ex); 			return; 		} 		try { 			filterChain.doFilter(request, response); 		} 		catch (IOException ex) { 			throw ex; 		} 		catch (Exception ex) { 			// Check to see if we need to handle ClientAuthorizationRequiredException 			Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex); 			ClientAuthorizationRequiredException authzEx = (ClientAuthorizationRequiredException) this.throwableAnalyzer 					.getFirstThrowableOfType(ClientAuthorizationRequiredException.class, causeChain); 			if (authzEx != null) { 				try { 					OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request, 							authzEx.getClientRegistrationId()); 					if (authorizationRequest == null) { 						throw authzEx; 					} 					this.sendRedirectForAuthorization(request, response, authorizationRequest); 					this.requestCache.saveRequest(request, response); 				} 				catch (Exception failed) { 					this.unsuccessfulRedirectForAuthorization(request, response, failed); 				} 				return; 			} 			if (ex instanceof ServletException) { 				throw (ServletException) ex; 			} 			if (ex instanceof RuntimeException) { 				throw (RuntimeException) ex; 			} 			throw new RuntimeException(ex); 		} 	} 

OAuth2AuthorizationRequestRedirectFilter 执行流程：

根据这个流程，如果要搞清楚 Spring Security OAuth2 是如何重定向到第三方认证平台的话就要深入研究sendRedirectForAuthorization方法。

二：OAuth2授权请求是如何构建并执行的

1、sendRedirectForAuthorization方法

sendRedirectForAuthorization方法的主要作用就是向授权服务器进行授权重定向访问。它所有的逻辑都和 OAuth2AuthorizationRequest 有关。

往上查找 OAuth2AuthorizationRequest 的详细介绍，然后再往下看。

当授权服务器收到 OAuth2 授权请求后，会将授权的回执通过我方提供的回调请求redirect_uri传递给我们。由于默认情况下回调的路径满足 /login/oauth2/code/* ，所以我们只要找到拦截回调的过滤器就可以知道 Spring Security 是如何处理回调了。通过搜索确认了 OAuth2LoginAuthenticationFilter 就是处理回调的过滤器。

三：OAuth2授权回调的处理机制

1、OAuth2LoginAuthenticationFilter类

第三方认证服务器在调用 redirect_uri 时附加 code 和 state 参数，在被这个Filter拦截后，创建一个待认证凭据 OAuth2LoginAuthenticationToken ，并委托给了AuthenticationManager 进行身份验证。

一旦成功验证，则生成认证凭据 OAuth2AuthenticationToken 和认证客户端对象OAuth2AuthorizedClient。最后， OAuth2AuthenticationToken 返回，并最终存储在SecurityContextRepository 完成认证处理；而 OAuth2AuthorizedClient 被保存到OAuth2AuthorizedClientRepository。流程图如下：

OAuth2LoginAuthenticationFilter执行流程

2、AuthenticationManager 的认证过程

AuthenticationManager 的实现类 ProviderManager 管理了众多的AuthenticationProvider。每一个 AuthenticationProvider 都只支持特定类型的Authentication，如果不支持将会跳过。另一个作用就是对适配的Authentication进行认证，只要有一个认证成功，那么就认为认证成功，所有的都没有通过才认为是认证失败。认证成功后的Authentication就变成授信凭据，并触发认证成功的事件。认证失败的就抛出异常触发认证失败的事件。

ProviderManager认证Token的流程：

从这里我们可以看出认证管理器 AuthenticationManager 针对特定的Authentication提供了特定的认证功能，我们可以借此来实现多种认证并存。

3、OAuth2 对应的 AuthenticationProvider

那么 OAuth2 登录有异曲同工之妙，我们需要找到OAuth2LoginAuthenticationToken对应的AuthenticationProvider。这里找到了两个：

1、OAuth2LoginAuthenticationProvider  2、OidcAuthorizationCodeAuthenticationProvider 

这两个各自对应的场景是什么呢，OAuth2LoginAuthenticationProvider 中有以下片段：

if (loginAuthenticationToken.getAuthorizationExchange().getAuthorizationRequest().getScopes() 				.contains("openid")) { 	// This is an OpenID Connect Authentication Request so return null 	// and let OidcAuthorizationCodeAuthenticationProvider handle it instead 	return null; } 

意思是说scopes中如果包含了openid就直接返回null，不会被OAuth2LoginAuthenticationProvider处理，而OidcAuthorizationCodeAuthenticationProvider 中正好相反。根据以往文章的脉络OAuth2LoginAuthenticationProvider就是我们需要的。

有兴趣可了解基于OIDC的 OAuth2 认证。

4、OAuth2LoginAuthenticationProvider

OAuth2LoginAuthenticationProvider 实现了授权回调的认证过程：

从上图中我们可以看出具体认证由OAuth2AuthorizationCodeAuthenticationProvider来负责，认证通过后会去获取用户的信息并封装为 OAuth2User ，最终生成授权成功的 OAuth2LoginAuthenticationToken 。