授权服务器框架Spring Authorization Server的过滤器链

上一篇我们初次体验了 Spring Authorization Server ,很多粉丝都希望对这个新授权框架有进一步了解。所以今天我们再进一步再从配置上来了解和OAuth2.0授权服务器相关的过滤器,进而对 Spring Authorization Server 的整个体系结构作进一步了解。还请多多点赞、转发、再看,这是对胖哥的最大鼓励。

Spring Security的模块化配置

在开始之前,我们先来回顾一下上一篇中提到 OAuth2.0 ClientResource ServerAuthorization Server 目前已经在 Spring Security 体系中模块化了。那么它们是如何做到灵活的模块化的呢?经过对配置的分析我发现了下面的几个相同点。

这是 OAuth2.0 Client 的核心配置类:

public final class OAuth2ClientConfigurer<B extends HttpSecurityBuilder<B>>
        extends AbstractHttpConfigurer<OAuth2ClientConfigurer<B>, B> {
    // 省略
}

这是 OAuth2.0 Resource Server 的核心配置类:

public final class OAuth2ResourceServerConfigurer<H extends HttpSecurityBuilder<H>>
        extends AbstractHttpConfigurer<OAuth2ResourceServerConfigurer<H>, H> {
    // 省略
}

这是 OAuth2.0 Authorization Server 的核心配置类:

public final class OAuth2AuthorizationServerConfigurer<H extends HttpSecurityBuilder<H>>
        extends AbstractHttpConfigurer<OAuth2AuthorizationServerConfigurer<H>, H> {
    // 省略
}

它们的配置类都继承了 AbstractHttpConfigurer<T> ,并最终由 HttpSecurityapply(C configurer) 将这些配置加载到Spring Security中。

该机制对你有什么启发?是不是可以实现一些自定义功能配置呢?

Spring Authorization Server的配置

基于 0.2.0 版本。

在DEMO中 Spring Authorization Server 通过下面的配置引入相关功能:

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception {
    // Authorization Server 默认配置
    OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
    return http.formLogin(Customizer.withDefaults()).build();
}

这里会构建一个独立的 SecurityFilterChain 来载入授权服务器的配置,之所以会说是独立的,是因为 HttpSecurity 是基于原型( @Scope("prototype") )注入 Spring IoC 的。然后相关的请求会被该过滤器链所处理。接下来我们看看这些过滤器链都有什么吧。

OAuth2AuthorizationServerConfigurer

这个类是负责配置 Spring Authorization Server 过滤器链的。它负责下面几个配置。

OAuth2ClientAuthenticationConfigurer

该配置类用来配置 OAuth2ClientAuthenticationFilter ,这个过滤器用来处理 OAuth2.0 Client 身份验证请求,用来查询 OAuth2.0 Client 的注册信息 OAuth2ClientAuthenticationToken 。以下三个端点都会被该过滤器拦截:

  • /oauth2/token 获取令牌端点。
  • /oauth2/introspect 令牌自省端点。
  • /oauth2/revoke 令牌废除端点。

OAuth2AuthorizationEndpointConfigurer

该配置类用来配置 OAuth2AuthorizationEndpointFilter ,这个过滤器用来处理 OAuth 2.0 Authorization Code Grant 授权请求 /oauth2/authorize ,包含用户二次确认( Consent )逻辑。

OAuth2TokenEndpointConfigurer

该配置类用来配置 OAuth2TokenEndpointFilter ,这个过滤器用来处理 /oauth2/token 端点请求,管理管理OAuth2.0 令牌的生命周期。

OidcConfigurer

该配置类用来提供对 OIDC 协议的支持。有两个过滤器。

  • OidcClientRegistrationEndpointFilter ,用来处理 /connect/register 端点请求,实现 OpenID Connect 1.0 动态客户端注册请求。
  • OidcProviderConfigurationEndpointFilter ,通过 /.well-known/openid-configuration 端点提供OIDC Provider的元配置信息。

你可以在上一个DEMO中调用 http://localhost:9000/.well-known/openid-configuration ,试试看有什么效果。

其它过滤器

除了上面几个可以通过各自的 Configurer 可以灵活的配置对应的过滤器外。还有一些目前不可开放配置的过滤器。

  • OAuth2TokenIntrospectionEndpointFilter ,用来处理 /oauth2/introspect 令牌自省逻辑。
  • OAuth2TokenRevocationEndpointFilter ,用来处理令牌废除逻辑
  • NimbusJwkSetEndpointFilter ,用来处理 JWK 信息URI端点 /oauth2/jwks 的逻辑。
  • OAuth2AuthorizationServerMetadataEndpointFilter ,用来提供OAuth2.0授权服务器元数据访问端点 /.well-known/oauth-authorization-server 的逻辑。你也可以通过上一个DEMO中调用 http://localhost:9000/.well-known/oauth-authorization-server 来试试看有什么效果。

总结

以上就是目前 Spring Authorization Server 涉及的所有服务器端点,通过上一文提供的DEMO你也可以揣摩一下对应端点执行的过滤器逻辑。不过目前好像还没有用户信息 UserInfo 端点,根据 Spring Authorization Server 路线图,该端点会在下一个版本进行支持,到时候我们再进行补充。


原文:授权服务器框架Spring Authorization Server的过滤器链 | Java|Spring Security|Spring Boot|Spring Cloud|https://felord.cn 码农小胖哥的博客