转载请注明作者及出处:
作者:银河架构师
问题
Spring Security Oauth2中,当access_token即将过期时,需要调用/oauth/token,使用refresh_token刷新access_token,此时会存在一个坑:
即如果使用Spring Security框架默认生成的AuthenticationManager时,接口调用异常。
具体报错信息为如下:
为了解决此问题,翻阅了一些源码及资料,发现端倪在于tokenServices。
使用默认tokenServices
首先是AuthorizationServerEndpointsConfigurer中框架创建tokenServices的逻辑。
如果没有指定tokenServices,则创建默认的tokenServices,即DefaultTokenServices:
具体创建默认的tokenServices逻辑:
注意,默认创建的tokenServices并没有初始化authenticationManager,这里是重点,下面会用到。
其次,DefaultTokenServices中刷新access_token的逻辑。
关于user再次认证的部分逻辑如下:
如上所述,默认的tokenServices因为没有设置authenticationManager,所以不会走此逻辑,也就不会再次对用户进行认证。
tokenServices自定义
自定义tokenServices逻辑如下:
@Bean public DefaultTokenServices defaultTokenServices() throws Exception { DefaultTokenServices defaultTokenServices = new DefaultTokenServices(); defaultTokenServices.setAuthenticationManager(this.authenticationManager); defaultTokenServices.setTokenStore(jdbcTokenStore()); defaultTokenServices.setClientDetailsService(jdbcClientDetailsServiceBuilder()); // access token有效期2个小时 defaultTokenServices.setAccessTokenValiditySeconds(60 * 60 * 2); // refresh token有效期30天 defaultTokenServices.setRefreshTokenValiditySeconds(60 * 60 * 24 * 30); // 支持使用refresh token刷新access token defaultTokenServices.setSupportRefreshToken(true); // 允许重复使用refresh token defaultTokenServices.setReuseRefreshToken(true); return defaultTokenServices; }
由于设置了自定义的authenticationManager,且此时身份认证模式为password,所以满足刷新access_token令牌时,针对用户进行的二次认证条件(文章开始处已说明),则会触发二次用户认证。
此时,若采用Spring Security框架默认的authenticationManager,则必然会爆出文章开头处描述的问题。因为框架默认的authenticationManager只包含一个DaoAuthenticationProvider。
Spring Security Oauth2框架中,存在一个开发者实现好的能认证PreAuthenticatedAuthenticationToken的Provider:PreAuthenticatedAuthenticationProvider。
但是,Spring Security框架并没有在默认authenticationManager中初始化,所以,DefaultTokenServices在执行刷新方法时,在二次认证的地方便会报错。
知道了问题的根本,就容易解决,添加PreAuthenticatedAuthenticationProvider到authenticationManager中应该就可以完美解决了。
关于如何authenticationManager配置,方法多种多样,如覆盖掉Spring Security框架默认逻辑,或者完全自定义,都可以。本文不再赘述,后续也会出文章,详细阐述Spring Security如何配置,结合Spring Security Oauth2如何配置等等。
下面附上PreAuthenticatedAuthenticationProvider定义逻辑:
private PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider() { PreAuthenticatedAuthenticationProvider preAuthenticatedAuthenticationProvider = new PreAuthenticatedAuthenticationProvider(); preAuthenticatedAuthenticationProvider.setPreAuthenticatedUserDetailsService(new UserDetailsByNameServiceWrapper(userDetailsService)); return preAuthenticatedAuthenticationProvider; }
不得不说,Spring Security框架确实非常复杂,设计真是巧夺天工,不得不佩服设计者和开发者,由衷的赞叹!
正文完!
微信搜索【银河架构师】,发现更多精彩内容。
技术资料领取方法:关注公众号,回复微服务,领取微服务相关电子书;回复MK精讲,领取MK精讲系列电子书;回复JAVA 进阶,领取JAVA进阶知识相关电子书;回复JAVA面试,领取JAVA面试相关电子书,回复JAVA WEB领取JAVA WEB相关电子书。