Spring Security 实战内容：OAuth2授权回调的处理机制

Posted 2023-04-07 Lydia Bess

1. 前言

当用户发起第三方授权请求是如何初始化OAuth2AuthorizationRequest授权请求对象以及如何通过过滤器进行转发到第三方的。今天我们接着这个流程往下走，来看看服务器收到授权请求是怎么做的。

2. OAuth2登录认证

当第三方收到OAuth2授权请求后，会将授权的回执通过我方提供的回调请求redirect_uri传递给我们。由于默认情况下回调的路径满足/login/oauth2/code/*，所以我们只要找到拦截回调的过滤器就可以知道Spring Security是如何处理回调了。通过搜索确认了OAuth2LoginAuthenticationFilter就是处理回调的过滤器。

OAuth2LoginAuthenticationFilter

第三方认证服务器在调用redirect_uri时附加code和state参数，在被这个Filter拦截后，创建一个待认证凭据OAuth2LoginAuthenticationToken，并委托给了AuthenticationManager进行身份验证。

一旦成功验证，则生成认证凭据OAuth2AuthenticationToken和认证客户端对象OAuth2AuthorizedClient。 最后， OAuth2AuthenticationToken返回，并最终存储在SecurityContextRepository完成认证处理；而OAuth2AuthorizedClient被保存到OAuth2AuthorizedClientRepository。流程图如下：

这个过滤器和UsernamePasswordAuthenticationFilter一样继承了AbstractAuthenticationProcessingFilter，流程有相像的地方。

3. 总结

当第三方授权后会通过回调来通知客户端，而客户端收到回调通知后会对授权结果进行认证操作才能表明这一套流程是合规的。而这个流程是由过滤器OAuth2LoginAuthenticationFilter来控制的。

愿与诸君共进步，大量的面试题及答案还有资深架构师录制的视频录像：有Spring，MyBatis，Netty源码分析，高并发、高性能、分布式、微服务架构的原理，JVM性能优化、分布式架构等这些成为架构师必备的知识体系
可以进交流群124388967获取，最后祝大家都能拿到自己心仪的offer

为啥spring-security-oauth oauth 2.0实现中需要scope参数

【中文标题】为啥spring-security-oauth oauth 2.0实现中需要scope参数

【英文标题】：Why is the scope parameter required in spring-security-oauth oauth 2.0 implemenetation为什么spring-security-oauth oauth 2.0实现中需要scope参数

【发布时间】：2012-05-04 03:42:50

【问题描述】：

我正在使用 spring security oauth 为我公司的 REST API 实施 OAuth 2.0 提供程序。 出于某种原因，当使用 Token 端点 spring security oauth 时，要求客户端将其所需范围作为请求参数发送（这发生在 ClientCredentialsChecker.validateScope 方法中）。 据我了解有关Access Token Scope 的规范部分，范围参数是可选的，但是如果不存在范围，提供者可以决定授权请求失败。 我的问题是：

我是否正确理解规范允许提供商强制执行 范围？ 有谁知道为什么spring security oauth 选择对规范进行更严格的解释而不允许对其进行配置？

谢谢

【参考方案1】：

我认为这里的问题实际上归结为范围绑定的概念。您说得对，规范声明范围参数是可选的，但是否必须在实现 OAuth 2 的服务中定义范围实际上取决于实现者（在本例中为 Spring）。

现在介绍范围绑定的概念。在实现范围或您希望能够从用户访问的信息时，您有两种基本类型 - 绑定和未绑定范围。使用绑定范围时，需要在创建应用程序并获取 OAuth 密钥和机密时定义范围。如果实现未绑定的范围（如 Spring），则需要在第一次重定向调用期间定义范围以获得用户身份验证。在许多没有定义范围的情况下，实现未绑定范围的服务将使用一组您可以访问的默认用户详细信息。看来，在 Spring 案例中，范围是必需的。

免责声明：我之前没有使用过 Spring 安全 OAuth 实现。

只是为了让您了解绑定和未绑定之间的区别，以下是一些示例：

Facebook 使用未绑定的范围来请求用户数据，因此他们的初始重定向请求可能如下所示：

//construct Facebook auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s&scope=email,publish_stream", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

在 Gowalla 的情况下（当 Gowalla 仍然可用时），他们使用绑定到 OAuth 密钥的范围，因此当您发出初始请求时，不需要定义范围，给您一个请求看起来更像这样（注意缺少的范围参数）：

//construct Gowalla auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

希望对你有帮助

乔恩

【讨论】：

您好乔恩，感谢您的回答。实际上，spring确实使用了绑定范围，本质上是我的客户端应用程序在注册时被赋予了一个范围，如果他们请求的范围与他们允许的范围不同（他们可以请求他们允许的任何子集）然后一个错误被抛出。我不明白的是为什么不允许不请求任何范围，然后在注册时同意默认的范围。

这实际上与 PayPal Access 使用的过程相同 - 您在应用程序中定义您想要的内容，然后在您提出请求时再次定义。实际上没有理由这样做，它可能只是为了额外的验证而实施的。我想告诉你，规范中有这样做的原因，但实际上没有——这只是他们选择这样做的方式。如果有帮助，我 100% 同意你的默认设置。这是 Facebook 使用的模型，我非常喜欢。