之前搞 oauth 登录一直没有搞好,客户端、授权服务端、资源端一起搞对于我刚接触的小菜鸡来说,难度有点大。
然后就先搞了个 Client 端对接 Github 登录。 网上关于 Github 登录的资料有很多,而且框架对 Github 集成的也很好,配置起来并不麻烦。
对接Github登录
首先在 Github 上申请注册一个 oauth application,填写 callback url得到 client ID和 secret
默认的callback url 格式:{baseUrl}/login/oauth2/code/{registrationId}
在这里对接 GIthub 的默认重定向的地址就是http://xxxx/api/login/oauth2/code/github
如果对接其他的第三方就将 registrationId 改成 和我们配置文件中的一致即可
1、作为 Client 端只需要引入依赖
implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'
2、然后在applicatiom.yml中进行相关配置
spring:
security:
oauth2:
client:
registration:
github:
clientId: 56ca77ae71xxxxxxx
clientSecret: e1aa08298c5d0f5f9c35414355666b81xxxxxxx
scope:
- user:email
- read:user
3、Create OAuth2User and OAuth2UserService Classes
主要用来定义 授权用户 的数据结构 和 加载 授权用户的相关数据
3.1、创建一个实体类去实现 OAuth2User 重写里面的方法
例如:
import java.util.Collection;
import java.util.Map;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.oauth2.core.user.OAuth2User;
public class GitHubCustomOauth2User implements OAuth2User {
private OAuth2User user;
public GitHubCustomOauth2User(OAuth2User user) {
this.user = user;
}
@Override
public Map<String, Object> getAttributes() {
return user.getAttributes();
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return user.getAuthorities();
}
@Override
public String getName() {
return user.getAttribute("name");
}
public String getLogin() {
return user.getAttribute("login");
}
public String getEmail() {
return user.getAttribute("email");
}
}
⚠️注意:对于对接不同的授权端是getName() 方法返回的值的名称发生变化
3.2 创建一个service 去继承 DefaultOAuth2UserService
里面实现加载授权用户数据的功能,根据不同授权端转变为不同的 OAuth2User
例如:
package com.openbayes.application.oauth;
import com.openbayes.domain.oauth.GitHubCustomOauth2User;
import com.openbayes.domain.oauth.SiomCustomOauth2User;
import java.util.Map;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.oauth2.client.registration.ClientRegistration;
import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.OAuth2AccessToken;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;
@Service
@Slf4j
public class CustomOauth2UserService extends DefaultOAuth2UserService {
@Override
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
OAuth2AccessToken accessToken = userRequest.getAccessToken();
String tokenValue = accessToken.getTokenValue();
log.info("accessToken value: {}", tokenValue);
ClientRegistration clientRegistration = userRequest.getClientRegistration();
ClientRegistration.ProviderDetails providerDetails = clientRegistration.getProviderDetails();
log.info("clientRegistration 为:{}", clientRegistration);
log.info("clientRegistration providerDetails 为:{}", providerDetails);
String attributeName =
userRequest
.getClientRegistration()
.getProviderDetails()
.getUserInfoEndpoint()
.getUserNameAttributeName();
log.info("attributeName 为:{}", attributeName);
Map<String, Object> additionalParameters = userRequest.getAdditionalParameters();
log.info("additionalParameters 为:{}", additionalParameters);
OAuth2User oAuth2User = super.loadUser(userRequest);
log.info("User information response: {}", oAuth2User.getAttributes());
if (clientRegistration.getRegistrationId().equals("github")) {
GitHubCustomOauth2User gitHubCustomOauth2User = new GitHubCustomOauth2User(oAuth2User);
log.info("gitHubCustomOauth2User 的 Attributes 为:{}", gitHubCustomOauth2User.getAttributes());
return gitHubCustomOauth2User;
} else {
xxxCustomOauth2User xxCustomOauth2User = new xxCustomOauth2User(oAuth2User);
log.info("xxxCustomOauth2User 的 Attributes 为:{}", xxxxCustomOauth2User.getAttributes());
return siomCustomOauth2User;
}
}
}
4、Configure Spring Security for OAuth2 Login
配置 OAuth Login 的配置
例如
@Autowired private OAuth2AuthorizedClientService authorizedClientService;
@Autowired private OAuth2AuthorizedClientRepository oAuth2AuthorizedClientRepository;
@Autowired private CustomOauth2UserService customOauth2UserService;
@Autowired private Oauth2LoginSuccessHandler oauth2LoginSuccessHandler;
@Autowired private Oauth2LoginFailedHandler oauth2LoginFailedHandler;
@Autowired private Oauth2LoginOutSuccessHandler oauth2LoginOutSuccessHandler;
http.oauth2Login()
.loginPage("/login")
.authorizedClientService(authorizedClientService)
.authorizedClientRepository(oAuth2AuthorizedClientRepository)
.userInfoEndpoint().userService(customOauth2UserService)
.and()
.successHandler(oauth2LoginSuccessHandler)
.failureHandler(oauth2LoginFailedHandler);
这里面的配置包含了 OAuth 集群下的一些配置(下面讲到),加载用户信息的服务为刚才我们定义的 Service ,以及用户登录成功 和登录失败的 handler
5、extends SimpleUrlAuthenticationSuccessHandler
这个里面主要用来处理授权成功之后的逻辑,是注册用户还是直接登录等业务逻辑
一张图来解释
例子
@Component
@Slf4j
public class Oauth2LoginSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
@Autowired private CustomOauth2UserService customOauth2UserService;
@Autowired private UserRepository userRepository;
@Autowired private UserApplicationService userApplicationService;
@Autowired private TokenService tokenService;
@Override
public void onAuthenticationSuccess(
HttpServletRequest request, HttpServletResponse response, Authentication authentication)
throws IOException, ServletException {
if (authentication instanceof OAuth2AuthenticationToken) {
OAuth2AuthenticationToken oauth2Token = (OAuth2AuthenticationToken) authentication;
String authorizedProvider = oauth2Token.getAuthorizedClientRegistrationId();
log.info("authorizedProvider为{}", authorizedProvider);
String redirectUrl = null;
if (authorizedProvider.equals("github")) {
GitHubCustomOauth2User oauth2User = (GitHubCustomOauth2User) authentication.getPrincipal();
是注册呢?还是直接返回 token呢? 根据相关业务逻辑来判断
} else if (authorizedProvider.equals("siom")) {
SiomCustomOauth2User siomCustomOauth2User =
(SiomCustomOauth2User) authentication.getPrincipal();
和上面同理
}
}
}
6、extends SimpleUrlAuthenticationFailureHandler
这里主要为了登录失败的情况,主要做一些打印日志,以及给前端返回错误信息。这样前端可以根据返回的结果判断授权登录是成功还是失败,做不一样的操作以及跳转到不同的页面
到这里, 在单节点上使用 Github 登录就已经结束了
OAuth Logout
其实还可以引入登出的逻辑,登出的 handler 里面就是清理 session 的工作
- 首先要进行 logout 的配置
例如
http.logout()
.logoutUrl("/auth/logout")
.logoutSuccessHandler(oauth2LoginOutSuccessHandler)
.invalidateHttpSession(true)
.clearAuthentication(true)
.deleteCookies("JSESSIONID");
上面的配置就是,等你调用接口 /auth/logout 登出的时候,会对seeion 以及 cookie进行处理,oauth2LoginOutSuccessHandler 也会做相应的操作(打印日志,返回信息给前端)
例如
@Component
@Slf4j
public class Oauth2LoginOutSuccessHandler extends SimpleUrlLogoutSuccessHandler {
@Override
public void onLogoutSuccess(
HttpServletRequest request, HttpServletResponse response, Authentication authentication)
throws IOException, ServletException {
HttpSession session = request.getSession(false);
if (session != null) {
session.invalidate();
}
log.info("User logged out at {}", new Date());
response.setStatus(HttpStatus.UNAUTHORIZED.value());
response.setContentType(MediaType.APPLICATION_JSON_VALUE);
response.getWriter().write("{\"message\": \"Logout successful\"}");
response.getWriter().flush();
}
}
对接其他作为Client登录
如果我们还想引入其他第三方的登录,和上面的流程一下的。 我们这次增加一个和框架没有集成的第三方(像github和谷歌等因为集成的很好,我们的配置就会很好,流程也会比较顺利)
1、首先就是client 的配置
security:
oauth2:
client:
registration:
github:
clientId: 56ca77ae71cxxxxxx
clientSecret: e1aa08298c5d0f5f9c35414355666b8xxxxxxxxx
scope:
- user:email
- read:user
aaaa:
client-id: 6b91bc5axxxxxx
client-secret: 97eabe644084f6442a58bxxxxxx
authorization-grant-type: authorization_code
redirect-uri: "http://xxxxxxx/api/login/oauth2/code/aaaa"
client-name: SIOM
provider:
aaaa:
authorization-uri: xxxxxxx
token-uri: xxxxxx
user-info-uri: xxxxxxx
user-name-attribute: id
这里的配置就是看官方文档进行配置。学习网址:OAuth2
2、创建新的实体类去实现 OAuth2User
例如
import java.util.Collection;
import java.util.Map;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.oauth2.core.user.OAuth2User;
public class xxxxCustomOauth2User implements OAuth2User {
private OAuth2User user;
public xxxxCustomOauth2User(OAuth2User user) {
this.user = user;
}
@Override
public Map<String, Object> getAttributes() {
return user.getAttributes();
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return user.getAuthorities();
}
@Override
public String getName() {
return user.getAttribute("id");
}
public String getAccountNo() {
return (String)
((Map<String, Object>) user.getAttributes().get("attributes")).get("account_no");
}
public String getUserId() {
return (String) ((Map<String, Object>) user.getAttributes().get("attributes")).get("user_uid");
}
public String getEmail() {
return (String) ((Map<String, Object>) user.getAttributes().get("attributes")).get("email");
}
public String getMobilePhone() {
return (String) ((Map<String, Object>) user.getAttributes().get("attributes")).get("mobile");
}
}
⚠️注意:这里重写的 getName() 就是根据返回的授权用户的 id
3、在 extends DefaultOAuth2UserService 的Service 中增加判断,授权用户最终转变为那个授权实体类进行返回
上面的例子上已经有所展示
4、在 loginSuccessHandler 里面增加判断是那个 AuthorizedClientRegistrationId ,进行不同的登录或者创建用户操作
在这里单节点下两个不同的第三方的 OAuth Client 的整体流程就已经结束了,但是在集群环境下就会出现新的问题
1、 OAuth Client 集群环境下的会话丢失问题
解决方式
关于 JDBC Session的配置
1、引入 spring-session-jdbc 进行会话存储
application.yml
spring:
session:
store-type: jdbc
jdbc:
initialize-schema: always
关于 OAuth Client 的配置
@Configuration
public class OAuth2AuthorizedClientConfig {
@Bean
public OAuth2AuthorizedClientRepository authorizedClientRepository() {
return new HttpSessionOAuth2AuthorizedClientRepository();
}
@Bean
public OAuth2AuthorizedClientService authorizedClientService(
JdbcOperations jdbcOperations, ClientRegistrationRepository clientRegistrationRepository) {
return new JdbcOAuth2AuthorizedClientService(jdbcOperations, clientRegistrationRepository);
}
}
WebSecurity
http.oauth2Login()
.loginPage("/login")
.authorizedClientService(authorizedClientService)
.authorizedClientRepository(oAuth2AuthorizedClientRepository)
.userInfoEndpoint().userService(customOauth2UserService)
.and()
.successHandler(oauth2LoginSuccessHandler)
.failureHandler(oauth2LoginFailedHandler);
OAuth 2.0 Client supports application clustering
上面链接的摘录
2、authorization_request_not_fund
情况:在第一次成功登录后,客户端和授权端都登出,客户端再发起第三方登录的请求会出现这个问题。(不一定,需要看授权端的登出操作是否彻底请求用户的session及cookie)
无关集群环境,只是纯属工作中的坑。
解决:授权服务器在登出的时候要彻底清除用户的seesion 和 cookie信息
