网站首页 > java教程 正文
Spring Security的模块化配置
在开始之前,我们先来回顾一下上一篇中提到OAuth2.0 Client、Resource Server、Authorization Server目前已经在Spring Security体系中模块化了。那么它们是如何做到灵活的模块化的呢?经过对配置的分析我发现了下面的几个相同点。
这是OAuth2.0 Client的核心配置类:
public final class OAuth2ClientConfigurer<B extends HttpSecurityBuilder<B>>
extends AbstractHttpConfigurer<OAuth2ClientConfigurer<B>, B> {
// 省略
}
这是OAuth2.0 Resource Server的核心配置类:
public final class OAuth2ResourceServerConfigurer<H extends HttpSecurityBuilder<H>>
extends AbstractHttpConfigurer<OAuth2ResourceServerConfigurer<H>, H> {
// 省略
}
这是OAuth2.0 Authorization Server的核心配置类:
public final class OAuth2AuthorizationServerConfigurer<H extends HttpSecurityBuilder<H>>
extends AbstractHttpConfigurer<OAuth2AuthorizationServerConfigurer<H>, H> {
// 省略
}
它们的配置类都继承了AbstractHttpConfigurer<T>,并最终由HttpSecurity的apply(C configurer)将这些配置加载到Spring Security中。
?
该机制对你有什么启发?是不是可以实现一些自定义功能配置呢?
Spring Authorization Server的过滤器
?
基于0.2.0版本。
在DEMO中Spring Authorization Server通过下面的默认配置引入授权服务器相关功能:
@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
// Authorization Server 默认配置
OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
return http.formLogin(Customizer.withDefaults()).build();
}
这里会构建一个独立的SecurityFilterChain来载入授权服务器的配置,之所以会说是独立的,是因为HttpSecurity是基于原型(@Scope("prototype"))注入Spring IoC的。然后相关的请求会被该过滤器链所处理。
OAuth2AuthorizationServerConfigurer
这个类是负责配置Spring Authorization Server过滤器链SecurityFilterChain的。它负责授权服务器所有相关过滤器的配置和初始化。其中四个过滤器可以通过各自的Configurer来灵活的自定义,这里列举一下。
OAuth2ClientAuthenticationConfigurer
该配置类用来配置OAuth2ClientAuthenticationFilter,这个过滤器用来处理OAuth2.0 Client身份验证请求,用来查询OAuth2.0 Client的注册信息OAuth2ClientAuthenticationToken。以下三个端点都会被该过滤器拦截:
- /oauth2/token 获取令牌端点。
- /oauth2/introspect 令牌自省端点。
- /oauth2/revoke 令牌废除端点。
OAuth2AuthorizationEndpointConfigurer
该配置类用来配置OAuth2AuthorizationEndpointFilter,这个过滤器用来处理OAuth 2.0 Authorization Code Grant授权请求/oauth2/authorize,包含用户二次确认(Consent)逻辑。
OAuth2TokenEndpointConfigurer
该配置类用来配置OAuth2TokenEndpointFilter,这个过滤器用来处理/oauth2/token端点请求,管理管理OAuth2.0 令牌的生命周期。
OidcConfigurer
该配置类用来提供对OIDC协议的支持。有两个过滤器。
- OidcClientRegistrationEndpointFilter,用来处理/connect/register端点请求,实现 OpenID Connect 1.0 动态客户端注册请求。
- OidcProviderConfigurationEndpointFilter,通过/.well-known/openid-configuration端点提供OIDC Provider的元配置信息。
?
你可以在上一个DEMO中调用http://localhost:9000/.well-known/openid-configuration,试试看有什么效果。
其它过滤器
除了上面几个可以通过各自的Configurer可以灵活的配置对应的过滤器外。还有一些目前不可开放配置的过滤器。
- OAuth2TokenIntrospectionEndpointFilter ,用来处理/oauth2/introspect令牌自省逻辑。
- OAuth2TokenRevocationEndpointFilter,用来处理令牌废除逻辑
- NimbusJwkSetEndpointFilter,用来处理JWK信息URI端点/oauth2/jwks的逻辑。
- OAuth2AuthorizationServerMetadataEndpointFilter,用来提供OAuth2.0授权服务器元数据访问端点/.well-known/oauth-authorization-server的逻辑。你也可以通过上一个DEMO中调用http://localhost:9000/.well-known/oauth-authorization-server来试试看有什么效果。
总结
以上就是目前Spring Authorization Server涉及的所有服务器端点,通过上一文提供的DEMO你也可以揣摩一下对应端点执行的过滤器逻辑。不过目前好像还没有用户信息UserInfo端点,根据Spring Authorization Server路线图,该端点会在下一个版本进行支持,到时候我们再进行补充。
原文链接:https://mp.weixin.qq.com/s/2y8oGeDao_t2e6pg4yJoJQ
原作者:码农小胖哥
猜你喜欢
- 2024-12-09 SpringCloud Gateway详解
- 2024-12-09 Spring Boot中使用Spring Security的那些过滤器操作?
- 2024-12-09 一文掌握springboot过滤器,拦截器,aop区别用法
- 2024-12-09 过滤器 和 拦截器的 6个区别,别再傻傻分不清了
- 2024-12-09 聊聊Redis布隆过滤器(原理+实践篇)
- 2024-12-09 Redis设置布隆过滤器
- 2024-12-09 Spring Cloud GateWay中的Filter如何使用?
- 2024-12-09 解锁Web请求处理的秘密:Spring中的过滤器与拦截器深度解析
- 2024-12-09 深入浅出深度了解springboot服务gateway网关
- 2024-12-09 这年轻人,在JAVA项目中使用布隆过滤器
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)