|
|
|
|
公众号矩阵

授权服务器框架 Spring Authorization Server 的过滤器链

在开始之前,我们先来回顾一下上一篇中提到OAuth2.0 Client、Resource Server、Authorization Server目前已经在Spring Security体系中模块化了。那么它们是如何做到灵活的模块化的呢?

作者:码农小胖哥 来源:码农小胖哥 |2021-11-11 07:38

上一篇我们初次体验了Spring Authorization Server,很多粉丝都希望对这个新授权框架有进一步了解。所以今天我们再进一步再从配置上来了解和OAuth2.0授权服务器相关的过滤器,进而对Spring Authorization Server的整个体系结构作进一步了解。还请多多点赞、转发、再看,这是对胖哥的最大鼓励。

Spring Security的模块化配置

在开始之前,我们先来回顾一下上一篇中提到OAuth2.0 Client、Resource Server、Authorization Server目前已经在Spring Security体系中模块化了。那么它们是如何做到灵活的模块化的呢?经过对配置的分析我发现了下面的几个相同点。

这是OAuth2.0 Client的核心配置类:

  1. public final class OAuth2ClientConfigurer<B extends HttpSecurityBuilder<B>> 
  2.   extends AbstractHttpConfigurer<OAuth2ClientConfigurer<B>, B> { 
  3.     // 省略 

这是OAuth2.0 Resource Server的核心配置类:

  1. public final class OAuth2ResourceServerConfigurer<H extends HttpSecurityBuilder<H>> 
  2.   extends AbstractHttpConfigurer<OAuth2ResourceServerConfigurer<H>, H> { 
  3.     // 省略 

这是OAuth2.0 Authorization Server的核心配置类:

  1. public final class OAuth2AuthorizationServerConfigurer<H extends HttpSecurityBuilder<H>> 
  2.   extends AbstractHttpConfigurer<OAuth2AuthorizationServerConfigurer<H>, H> { 
  3.     // 省略 

它们的配置类都继承了AbstractHttpConfigurer,并最终由HttpSecurity的apply(C configurer)将这些配置加载到Spring Security中。

该机制对你有什么启发?是不是可以实现一些自定义功能配置呢?

Spring Authorization Server的过滤器

基于0.2.0版本。

在DEMO中Spring Authorization Server通过下面的默认配置引入授权服务器相关功能:

  1. @Bean 
  2. @Order(Ordered.HIGHEST_PRECEDENCE) 
  3. public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception { 
  4.     // Authorization Server 默认配置 
  5.     OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http); 
  6.     return http.formLogin(Customizer.withDefaults()).build(); 

这里会构建一个独立的SecurityFilterChain来载入授权服务器的配置,之所以会说是独立的,是因为HttpSecurity是基于原型(@Scope("prototype"))注入Spring IoC的。然后相关的请求会被该过滤器链所处理。

OAuth2AuthorizationServerConfigurer

这个类是负责配置Spring Authorization Server过滤器链SecurityFilterChain的。它负责授权服务器所有相关过滤器的配置和初始化。其中四个过滤器可以通过各自的Configurer来灵活的自定义,这里列举一下。

OAuth2ClientAuthenticationConfigurer

该配置类用来配置OAuth2ClientAuthenticationFilter,这个过滤器用来处理OAuth2.0 Client身份验证请求,用来查询OAuth2.0 Client的注册信息OAuth2ClientAuthenticationToken。以下三个端点都会被该过滤器拦截:

/oauth2/token 获取令牌端点。

  • /oauth2/introspect 令牌自省端点。
  • /oauth2/revoke 令牌废除端点。
  • OAuth2AuthorizationEndpointConfigurer

该配置类用来配置OAuth2AuthorizationEndpointFilter,这个过滤器用来处理OAuth 2.0 Authorization Code Grant授权请求/oauth2/authorize,包含用户二次确认(Consent)逻辑。

OAuth2TokenEndpointConfigurer

该配置类用来配置OAuth2TokenEndpointFilter,这个过滤器用来处理/oauth2/token端点请求,管理管理OAuth2.0 令牌的生命周期。

OidcConfigurer

该配置类用来提供对OIDC协议的支持。有两个过滤器。

OidcClientRegistrationEndpointFilter,用来处理/connect/register端点请求,实现 OpenID Connect 1.0 动态客户端注册请求。

OidcProviderConfigurationEndpointFilter,通过/.well-known/openid-configuration端点提供OIDC Provider的元配置信息。

你可以在上一个DEMO中调用http://localhost:9000/.well-known/openid-configuration,试试看有什么效果。

其它过滤器

除了上面几个可以通过各自的Configurer可以灵活的配置对应的过滤器外。还有一些目前不可开放配置的过滤器。

  • OAuth2TokenIntrospectionEndpointFilter ,用来处理/oauth2/introspect 令牌自省逻辑。
  • OAuth2TokenRevocationEndpointFilter,用来处理令牌废除逻辑
  • NimbusJwkSetEndpointFilter,用来处理JWK信息URI端点/oauth2/jwks的逻辑。
  • OAuth2AuthorizationServerMetadataEndpointFilter,用来提供OAuth2.0授权服务器元数据访问端点/.well-known/oauth-authorization-server的逻辑。你也可以通过上一个DEMO中调用http://localhost:9000/.well-known/oauth-authorization-server来试试看有什么效果。

总结 

以上就是目前Spring Authorization Server涉及的所有服务器端点,通过上一文提供的DEMO你也可以揣摩一下对应端点执行的过滤器逻辑。不过目前好像还没有用户信息UserInfo端点,根据Spring Authorization Server路线图,该端点会在下一个版本进行支持,到时候我们再进行补充。

【编辑推荐】

  1. 高危漏洞曝光半年之久,超一半的GitLab服务器仍未修复
  2. GitLab服务器漏洞被滥用于发起超过1Tbps的DDoS攻击
  3. 阿里云服务器ECS网站环境搭建LAMPA,WAMP视频课程
  4. 自动化服务器配置管理工具Chef入门介绍
  5. Spring 新的授权服务器 Spring Authorization Server 入门
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

带你轻松入门 RabbitMQ

带你轻松入门 RabbitMQ

轻松入门RabbitMQ
共4章 | loong576

55人订阅学习

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

14人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

42人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微