乐趣区

关于java:Spring-Security-实战干货OAuth2授权回调的处理机制

1. 前言

上一文着重讲了当用户发动第三方受权申请是如何初始化 OAuth2AuthorizationRequest 受权申请对象以及如何通过过滤器进行转发到第三方的。明天咱们接着这个流程往下走,来看看服务器收到受权申请是怎么做的。

2. OAuth2 登录认证

当第三方收到 OAuth2 受权申请后,会将受权的回执通过我方提供的回调申请 redirect_uri 传递给咱们。因为默认状况下回调的门路满足 /login/oauth2/code/*,所以咱们只有找到拦挡回调的过滤器就能够晓得 Spring Security 是如何解决回调了。通过搜寻确认了OAuth2LoginAuthenticationFilter 就是解决回调的过滤器。

OAuth2LoginAuthenticationFilter

第三方认证服务器在调用 redirect_uri 时附加 codestate参数,在被这个 Filter 拦挡后,创立一个待认证凭据 OAuth2LoginAuthenticationToken,并委托给了AuthenticationManager 进行身份验证。

一旦胜利验证,则生成认证凭据 OAuth2AuthenticationToken 和认证客户端对象 OAuth2AuthorizedClient。最初,OAuth2AuthenticationToken 返回,并最终存储在 SecurityContextRepository 实现认证解决;而 OAuth2AuthorizedClient 被保留到OAuth2AuthorizedClientRepository。流程图如下:

这个过滤器和 UsernamePasswordAuthenticationFilter 一样继承了AbstractAuthenticationProcessingFilter,流程有相像的中央。

3. 总结

当第三方受权后会通过回调来告诉客户端,而客户端收到回调告诉后会对受权后果进行认证操作能力表明这一套流程是合规的。而这个流程是由过滤器 OAuth2LoginAuthenticationFilter 来管制的。明天对其流程进行了图解,其中的认证过程还是一个未解之谜,锁定:码农小胖哥,这个答案会在系列的下一篇为你揭晓。

关注公众号:Felordcn 获取更多资讯

集体博客:https://felord.cn

退出移动版