# 相关代码
https://github.com/mofadeyunduo/money
0.1.3-SNAPSHOT
security 模块中
# 原因
最近在做一款管理金钱的网站进行自娱自乐,发现没有安全控制岂不是大家都知道我的工资了(一脸黑线)?
最近公司也在搞 Spring OAuth2,当时我没有时间(其实那时候不想搞)就没做,现在回头来学习学习。
Spring OAuth2 官方的教程写的比较少,实用性比较差。
# 教程内容
- Spring OAuth2 Github SSO
- 替换认证过的 Spring Security Authentication 对象
- 后端设置 Cookie 实现 Remember-Me 功能
# Github 登录
Spring OAuth2 Github,官网写的已经比较详细了。
要注意的是必须要配置两个 Filter:
- OAuth2ClientAuthenticationProcessingFilter ,用于处理 OAuth2 流程。
- OAuth2ClientContextFilter,用于触发跳转到 OAuth2 请求。
P.S. 这很诡异,我不知道 Spring OAuth2 为什么要这么做。
# 替换认证过的 Spring Security Authentication
步骤:
- 重写方法 getPrincipal,把 Authentication 中的 Principal 换成用户信息对象。
- 最好设置 AuthenticationSuccessHandler,默认的 AuthenticationSuccessHandler 会跳转到主页,并将 Cookie 清空,影响 RememberMeServices 认证。
@Override protected Object getPrincipal(Map<String, Object> map) { String principal = String.class.cast(map.get("name")); // 从数据库读取用户 UserWithAccount userWithAccount = userAndAccountService.getByPrincipalAndType(principal, AccountType.GITHUB); // 未获取到用户信息,保存 if (Objects.isNull(userWithAccount)) { Account newAccount = new Account(null, AccountType.GITHUB, principal, new Gson().toJson(map)); userWithAccount = userAndAccountService.accountSignup(newAccount); } // 替换原来的 OAuth2Authentication return userWithAccount; }
githubFilter.setAuthenticationSuccessHandler(new GithubAuthenticationSuccessHandler());
# 设置 Cookie
- 实现 UserDetailServices。
- 用 UserDetailServices 构造 RememberMeServices。这里采用的 RememberMeServices 的具体实现是 TokenBasedRememberMeServices。TokenBasedRememberMeServices 会用 UserDetailServices 构造 Authentication 的 Principal 对象。还有一个构造参数(key)是指定盐,指定一个值,该值在应用反复重启的时要保持不变。顺便提一下,TokenBasedRememberMeServices 加密是根据 UserDetailServices 构造出的 UserDetails 中的 username、password、时间戳、构造参数 key 进行 MD5 和 Base64 加密和解密。
- 在 OAuth2ClientAuthenticationProcessingFilter 和继承类 WebSecurityConfigurerAdapter 的方法 configure 注册 RememberMeServices。注册到 OAuth2ClientAuthenticationProcessingFilter 是为了在 OAuth2 认证成功或者失败之后设置 Cookie。在 configure 注册 RememberMeServices 是为了利用 Cookie 自动登录。
public class CachingUserDetailsService implements UserDetailsService { private static final String USER_KEY = "user:%s"; private StringRedisTemplate stringRedisTemplate; private UserAndAccountService userAndAccountService; public CachingUserDetailsService(StringRedisTemplate stringRedisTemplate, UserAndAccountService userAndAccountService) { this.stringRedisTemplate = stringRedisTemplate; this.userAndAccountService = userAndAccountService; } public UserDetails loadUserByUsername(String username) { String actualKey = String.format(USER_KEY, username); UserWithAccount userWithAccount; String userWithAccountJson = stringRedisTemplate.opsForValue().get(actualKey); if (StringUtils.isEmpty(userWithAccountJson)) { userWithAccount = userAndAccountService.getByUserId(Integer.parseInt(username)); stringRedisTemplate.opsForValue().set(actualKey, new Gson().toJson(userWithAccount)); } else { userWithAccount = new Gson().fromJson(userWithAccountJson, UserWithAccount.class); } return userWithAccount; } }
@Bean public RememberMeServices rememberMeServices() { TokenBasedRememberMeServices tokenBasedRememberMeServices = new TokenBasedRememberMeServices(REMEMBER_ME_KEY, userDetailsService()); tokenBasedRememberMeServices.setAlwaysRemember(true); tokenBasedRememberMeServices.setTokenValiditySeconds(ONE_DAY_IN_SECONDS); return tokenBasedRememberMeServices; }
@Override protected void configure(HttpSecurity http) throws Exception { http .rememberMe() .key(REMEMBER_ME_KEY) .rememberMeServices(rememberMeServices()); http .addFilterBefore(oAuth2ClientAuthenticationProcessingFilter(), BasicAuthenticationFilter.class); // Github OAuth2 登录的 Filter } @Bean public OAuth2ClientAuthenticationProcessingFilter oAuth2ClientAuthenticationProcessingFilter() { OAuth2ClientAuthenticationProcessingFilter githubFilter = new OAuth2ClientAuthenticationProcessingFilter("/security/oauth2/github"); OAuth2RestTemplate facebookTemplate = new OAuth2RestTemplate(githubClient(), oauth2ClientContext); githubFilter.setAllowSessionCreation(false); githubFilter.setRestTemplate(facebookTemplate); githubFilter.setTokenServices(new GithubUserInfoTokenServices(githubResource().getUserInfoUri(), githubClient().getClientId(), userAndAccountService)); githubFilter.setRememberMeServices(rememberMeServices()); githubFilter.setAuthenticationSuccessHandler(new GithubAuthenticationSuccessHandler()); return githubFilter; }
# 后记
我本来预估一周时间就把我项目的安全控制模块给开发完,结果被 Spring Oauth2 拖了一周。由于对 Spring 核心概念也不是特别熟悉,看代码也比较费事(虽然大部分看得懂)。最近一段时间准备写一套 IoC 方面的代码。
我现在所在的公司之前有个人挺厉害,自己写了一套 IoC 容器用到了系统中。不过他也很坑,他写的 IoC 容器出了问题,根本找不到任何解决资料,只能看源码。自己写的只能做玩具玩玩吧。