spring-security-oauth2 自定义生成授权码

从前面的文章中，我们可以了解到 spring-security-oauth2 产生的授权码默认是 6 位的。

并且，我们通过拿到 code 后，再通过 code 获取 access_token。那么会不会因为 code 太短，或者 code 太简单被猜中了，然后获取 access_token 呢？

我们能不能把 Code 给变长一点，或者我们想要有自己的实现！

通过我对代码的追踪，以及我前面说的，URL 中的 code 参数值即为授权码，它是在 org.springframework.security.oauth2.common.util.RandomValueStringGenerator.generate() 中生存的。那我就找看谁调用了它，最终发现我们只需要通过扩展 AuthorizationCodeServices 来覆写已有的生成规则。通过覆写 createAuthorizationCode() 方法可以设置成任意的生成规则。 

扩展 AuthorizationServerConfigurerAdapter 和 JdbcAuthorizationCodeServices 代码如下：

@Configuration  
@EnableAuthorizationServer  
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
    @Bean
    protected AuthorizationCodeServices authorizationCodeServices() {
        return new CustomJdbcAuthorizationCodeServices(dataSource());
    }
}  
public class CustomJdbcAuthorizationCodeServices extends JdbcAuthorizationCodeServices {
    private RandomValueStringGenerator generator = new RandomValueStringGenerator();
    public CustomJdbcAuthorizationCodeServices(DataSource dataSource) {
        super(dataSource);
        this.generator = new RandomValueStringGenerator(32);
    }
    public String createAuthorizationCode(OAuth2Authentication authentication) {
        String code = this.generator.generate();
        store(code, authentication);
        return code;
    }
}

短短 20 行代码搞定一切。最终运行效果图，截图如下：

除此之外，我们还可以自定义生成 Token、授权页、认证方式、登录页面等。我们后面继续深入学习 spring-security-oauth2。

： » spring-security-oauth2 自定义生成授权码