SpringBoot实战电商我的项目mall(40k+star)地址:https://github.com/macrozheng/mall

摘要

在开发过程中,遇到问题,咱们常常会应用搜索引擎来查找问题的解决方案,而后予以解决。然而有些问题一时半会搜寻不到解决方案,须要本人去解决。这里分享下我解决这些问题应用的调试技巧,给大家一个解决问题的新思路!

问题形容

在《我扒了半天源码,终于找到了Oauth2自定义处理结果的最佳计划!》一文中,当JWT令牌过期或者签名不正确时,咱们想要自定义网关认证失败的返回后果。这个问题解决起来很简略,只需批改一行代码即可。然而过后查找解决方案的确破费了一番功夫,通过DEBUG源码才找到了Spring Security中提供的自定义配置,解决了该问题。上面讲讲我是如何通过DEBUG源码找到这个解决方案的!

解决过程

  • 首先咱们须要找到一个切入点,既然问题是因为JWT令牌过期或者签名不正确才产生的,咱们很容易想到RSASSAVerifier这个要害类,它的verify()办法是用来验证签名是否正确的,咱们能够在该办法下面打个断点DEBUG一下,发现程序执行过程果然会通过这里,要是签名不正确会间接返回false;

  • 这时候咱们能够查下堆栈信息,理解下这次调用的整个过程,能够看到红框以下的调用都是WebFlux外面的调用,没有参考意义,所以调用最早是从NimbusReactiveJwtDecoder类开始的;

  • 咱们搜寻下NimbusReactiveJwtDecoder在哪里被应用到了,能够找到又一个要害类ServerHttpSecurity,咱们在网关的平安配置ResourceServerConfig中已经用到过它,猜测下如果Spring Security提供了自定义配置,那预计就在这个类外面了;

  • 查看下ServerHttpSecurity的类正文,咱们能够发现它相当于WebFlux版本的Spring Security配置;
/** * A {@link ServerHttpSecurity} is similar to Spring Security's {@code HttpSecurity} but for WebFlux. * It allows configuring web based security for specific http requests. By default it will be applied * to all requests, but can be restricted using {@link #securityMatcher(ServerWebExchangeMatcher)} or * other similar methods. **/
  • 在咱们网关的ResourceServerConfig中,咱们已经调用过ServerHttpSecuritybuild()办法,用于生成SecurityWebFilterChain;

  • 让咱们看看这个build()办法干了点啥,其中有段比拟要害的是它调用了OAuth2ResourceServerSpec类的configure()办法;

  • OAuth2ResourceServerSpec类的configure()办法又调用了JwtSpec类的configure()办法;

  • 这个JwtSpec对象是不会为空的,因为咱们在ResourceServerConfig中调用了OAuth2ResourceServerSpec类的jwt()办法创立了它;

  • JwtSpec类的configure办法很要害,应用过滤器来进行认证是Spring Security实现认证的老套路了,于是咱们找到了默认的认证过滤器BearerTokenAuthenticationWebFilter

  • BearerTokenAuthenticationWebFilter应用了OAuth2ResourceServerSpec中的entryPoint来解决认证失败,默认实现为BearerTokenServerAuthenticationEntryPoint

  • 之后咱们在BearerTokenAuthenticationWebFilterfilter()办法,BearerTokenServerAuthenticationEntryPointcommence()办法上别离打个断点,来验证下,调用过程中都通过了,完全正确;

  • 也就是说咱们只有把默认的认证失败处理器换成咱们自定义的就行了,间接通过如下代码把OAuth2ResourceServerSpec中的entryPoint来设置成自定义的即可。
/** * 资源服务器配置 * Created by macro on 2020/6/19. */@AllArgsConstructor@Configuration@EnableWebFluxSecuritypublic class ResourceServerConfig {    private final RestAuthenticationEntryPoint restAuthenticationEntryPoint;    @Bean    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {       //省略若干代码...       //自定义解决JWT申请头过期或签名谬误的后果       http.oauth2ResourceServer().authenticationEntryPoint(restAuthenticationEntryPoint);       //省略若干代码...       return http.build();    }}

总结

对于一时找不到解决办法的问题,我举荐应用DEBUG源码的形式来解决。首先寻找一个突破口,能够从你相熟的一些类中去寻找一个必定会执行的办法,而后打断点,进行DEBUG,从调用的栈信息中查找出要害的类,之后通过这些要害类顺藤摸瓜就能找解决办法了!

我的项目源码地址

https://github.com/macrozheng...

本文 GitHub https://github.com/macrozheng/mall-learning 曾经收录,欢送大家Star!