Spring-Security配合OAuth2初探

环境

SpringBoot1.5.2, Tomcat

核心类

• org.springframework.security.oauth2.client.filter.OAuth2ClientContextFilter
• org.springframework.boot.web.servlet.DelegatingFilterProxyRegistrationBean$1(org.springframework.web.filter.DelegatingFilterProxy)
• org.springframework.security.web.FilterChainProxy
• org.springframework.security.web.access.ExceptionTranslationFilter
• org.springframework.security.web.access.intercept.FilterSecurityInterceptor
• org.springframework.security.access.AccessDeniedException
• org.springframework.security.oauth2.client.filter.OAuth2ClientAuthenticationProcessingFilter

第一次访问资源

我们以获取当前的用户信息接口(/user)为例

OAuth2ClientContextFilter

请求到达服务器后, 经过了tomcat的代码处理后，进入ApplicationFilterChain队列过滤逻辑，其中我们关注的OAuth2ClientContextFilter和DelegatingFilterProxy就在队列中，其中OAuth2ClientContextFilter在前。

OAuth2ClientContextFilter`的代码逻辑比较简单:

1. 记录当前地址(currentUri)到HttpServletRequest
2. 调用队列内的下一个Filter
3. 对后续的Filter的异常进行检查，如果是UserRedirectRequiredException，则转向到预先映射的第三方登录地址

注意
UserRedirectRequiredException通常需要在指定了第三方登录地址后才会生效。该类的重定向使用的是HTTP302来完成，因此如果在浏览器访问，可以看到跳转的连接地址和请求状态

DelegatingFilterProxyRegistrationBean$1(FilterChainProxy)

该类继承自DelegatingFilterProxy, 因此实际执行的代码是DelegatingFilterProxy.doFilter, 作为一个代理类，实际操作也是来自于FilterChainProxy

从FilterChainProxy类名可以看出，实际上这也是一个代理类，它主要是代理的是与web-security相关的过滤器，如org.springframework.security.web.context.SecurityContextPersistenceFilter, CsrsFilter, AnonymousAuthenticationFilter, FilterSecurityInterceptor,ExceptionTranslationFilter等

FilterSecurityInterceptor

FilterSecurityInterceptor会判断当前url的合法性，因为是第一次访问/user,所以肯定是不允许访问，该类报出异常AccessDeniedException

ExceptionTranslationFilter

ExceptionTranslationFilter拦截到AccessDeniedException异常后，会根据当前请求所在HttpSecurity的AuthenticationEntryPoint执行操作，通常设置为LoginUrlAuthenticationEntryPoint, 即指定登录页，通知浏览器重定向到登录页。如果没有设置登录页，则会以xml的形式提示权限错误。

访问受限，302重定向本地的认证地址

此处我们假定页面重定向到了/, 此处我需要提前指定HttpSecurity给予/全部权利，不需要验证。

为了方便访问者正常访问，通常我们会在此处提供自己的登录窗以及第三方的授权按钮。为了支持第三方操作，需要我们做如下操作。

根据Spring官方给出的例子，我们可以通过新增一个CompositeFilter来容纳多个自定义的第三方SSO。然后通过HttpSecurity#addFilterBefore加入到BasicAuthenticationFilter之前，也可以直接使用OAuth2的验证Filter(OAuth2ClientAuthenticationProcessingFilter)来完成某个第三方SSO认证。比如我们将github的认证地址映射到本地*/login/gihub

访问我们设置的映射地址

此处我们假定发起了*/login/gihub的请求，此时服务器会触发过滤器OAuth2ClientAuthenticationProcessingFilter

OAuth2ClientAuthenticationProcessingFilter

OAuth2ClientAuthenticationProcessingFilter的功能是，判断当前请求是否是认证地址，通过则需要提供身份信息来请求第三方服务验证合法性。当前请求，因为没有提供任何的有效参数，所以会认证失败，但因为我们之前配置了第三方对接信息， 此时会通过抛出UserRedirectRequiredException, 通知OAuth2ClientContextFilter进行后需处理。

302重定向第三方用户认证地址

前文提到我们会把第三方SSO信息保存到OAuth2ClientAuthenticationProcessingFilter, 所以UserRedirectRequiredException会携带我们配置的信息。

以Github为例，配置信息

#github配置样例
github:
  client:
    clientId: 7d658e32ae64b10e2e39
    clientSecret: 928edee34225c4bb6d8f7967caa72422ad941a5c
    accessTokenUri: https://github.com/login/oauth/access_token    
    userAuthorizationUri: https://github.com/login/oauth/authorize
    clientAuthenticationScheme: form
  resource:
    userInfoUri: https://api.github.com/user

实际上的重定向的地址

https://github.com/login/oauth/authorize?client_id=7d658e32ae64b10e2e39&redirect_uri=http://localhost:8080/login/github&response_type=code&state=mCveDp

response_type和state是由OAuth2程序来处理，不需要我们关注。state一般用于本地服务定位信息，response_type是描述返回内容的格式,实际效果看服务器是否支持

之后便是两种结果，一种是跳转到登录页面，一种是因为你之前登录过github，直接认证通过。两种方式最终都会再次重定向下面的地址：

http://localhost:8080/login/github?code=1c82951e2d1fd1917be5&state=mCveDp

因为我们指定了返回方式是code方式，所以看到参数里获取到了code，同时state原封不动的带了回来。

再次302重定向回本地认证地址

现在的/login/gihub提供了我们进行第三方认证的code，所以OAuth2ClientAuthenticationProcessingFilter会认证通过，之后便是根据信息获取token，再进一步获取授权的用户信息，根据用户信息生成本地服务器的OAuth2Authentication。此后会根据设置，决定是否会话保存还是每次请求。当然，实际网站都会保存到数据库或者引导用户注册新用户。

SavedRequest

在启用了Session的服务器，会保存之前/user地址，在本地认证地址通过后，会进一步检查SaveRequest，有则跳转到/user。

验证后访问资源

在经过了一系列操作，终于，我们可以访问我们想要的资源URL（/user）了，org.springframework.security.web.context.SecurityContextPersistenceFilter,我们从Session内获取对应的HttpSession, 并从Session中读取属性SPRING_SECURITY_CONTEXT, 得到当前的上下文Context，Context中存放了之前的OAuth2Authentication

OAuth2官方的code验证图

     +----------+
     | Resource |
     |   Owner  |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier      +---------------+
     |         -+----(A)-- & Redirection URI ---->|               |
     |  User-   |                                 | Authorization |
     |  Agent  -+----(B)-- User authenticates --->|     Server    |
     |          |                                 |               |
     |         -+----(C)-- Authorization Code ---<|               |
     +-|----|---+                                 +---------------+
       |    |                                         ^      v
      (A)  (C)                                        |      |
       |    |                                         |      |
       ^    v                                         |      |
     +---------+                                      |      |
     |         |>---(D)-- Authorization Code ---------'      |
     |  Client |          & Redirection URI                  |
     |         |                                             |
     |         |<---(E)----- Access Token -------------------'
     +---------+       (w/ Optional Refresh Token)