spring-security-oauth2 自定义生成授权码

从前面的文章中,我们可以了解到 spring-security-oauth2 产生的授权码默认是 6 位的。

并且,我们通过拿到 code 后,再通过 code 获取 access_token。那么会不会因为 code 太短,或者 code 太简单被猜中了,然后获取 access_token 呢?

我们能不能把 Code 给变长一点,或者我们想要有自己的实现!

通过我对代码的追踪,以及我前面说的,URL 中的 code 参数值即为授权码,它是在 org.springframework.security.oauth2.common.util.RandomValueStringGenerator.generate() 中生存的。那我就找看谁调用了它,最终发现我们只需要通过扩展 AuthorizationCodeServices 来覆写已有的生成规则。通过覆写 createAuthorizationCode() 方法可以设置成任意的生成规则。 

扩展 AuthorizationServerConfigurerAdapter 和 JdbcAuthorizationCodeServices 代码如下:

@Configuration  
@EnableAuthorizationServer  
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
    @Bean
    protected AuthorizationCodeServices authorizationCodeServices() {
        return new CustomJdbcAuthorizationCodeServices(dataSource());
    }
}  
public class CustomJdbcAuthorizationCodeServices extends JdbcAuthorizationCodeServices {
    private RandomValueStringGenerator generator = new RandomValueStringGenerator();
    public CustomJdbcAuthorizationCodeServices(DataSource dataSource) {
        super(dataSource);
        this.generator = new RandomValueStringGenerator(32);
    }
    public String createAuthorizationCode(OAuth2Authentication authentication) {
        String code = this.generator.generate();
        store(code, authentication);
        return code;
    }
}

短短 20 行代码搞定一切。最终运行效果图,截图如下:

AuthorizationCodeServices

除此之外,我们还可以自定义生成 Token、授权页、认证方式、登录页面等。我们后面继续深入学习 spring-security-oauth2。

spring-security-oauth2 自定义生成授权码

: » spring-security-oauth2 自定义生成授权码

原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/tech/java/252011.html

(0)
上一篇 2022年5月3日 22:09
下一篇 2022年5月3日 22:14

相关推荐

发表回复

登录后才能评论