从前面的文章中,我们可以了解到 spring-security-oauth2 产生的授权码默认是 6 位的。
并且,我们通过拿到 code 后,再通过 code 获取 access_token。那么会不会因为 code 太短,或者 code 太简单被猜中了,然后获取 access_token 呢?
我们能不能把 Code 给变长一点,或者我们想要有自己的实现!
通过我对代码的追踪,以及我前面说的,URL 中的 code 参数值即为授权码,它是在 org.springframework.security.oauth2.common.util.RandomValueStringGenerator.generate() 中生存的。那我就找看谁调用了它,最终发现我们只需要通过扩展 AuthorizationCodeServices 来覆写已有的生成规则。通过覆写 createAuthorizationCode() 方法可以设置成任意的生成规则。
扩展 AuthorizationServerConfigurerAdapter 和 JdbcAuthorizationCodeServices 代码如下:
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Bean protected AuthorizationCodeServices authorizationCodeServices() { return new CustomJdbcAuthorizationCodeServices(dataSource()); } } public class CustomJdbcAuthorizationCodeServices extends JdbcAuthorizationCodeServices { private RandomValueStringGenerator generator = new RandomValueStringGenerator(); public CustomJdbcAuthorizationCodeServices(DataSource dataSource) { super(dataSource); this.generator = new RandomValueStringGenerator(32); } public String createAuthorizationCode(OAuth2Authentication authentication) { String code = this.generator.generate(); store(code, authentication); return code; } }
短短 20 行代码搞定一切。最终运行效果图,截图如下:
除此之外,我们还可以自定义生成 Token、授权页、认证方式、登录页面等。我们后面继续深入学习 spring-security-oauth2。
: » spring-security-oauth2 自定义生成授权码
原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/tech/java/252011.html