Spring Security 實戰乾貨：客戶端OAuth2授權請求的入口

1. 前言

在Spring Security 實戰乾貨：OAuth2第三方授權初體驗一文中我先對OAuth2.0涉及的一些常用概念進行介紹，然後直接通過一個DEMO來讓大家切身感受了OAuth2.0第三方授權功能。今天我們來一步一步分析這其中的機制。

2. 抓住源頭

http://localhost:8082/oauth2/authorization/gitee

上面這個請求URL是我們在上一篇文章中提到的客戶端進行第三方認證操作的起點，預設格式為{baseUrl}/oauth2/authorization/{clientRegistrationId}，其中clientRegistrationId代表著一個第三方標識，可以是微信、支付寶等開放平臺，這裡為gitee。使用者點選了這個請求後就開始了授權之旅。假如大家都是從零開始的小白，肯定是要從這個入口來一步一步探尋其中的機制的。Spring Security一定是攔截到了/oauth2/authorization後才啟用了OAuth2相關的處理邏輯。那就去抓住這個源頭！從原始碼中搜尋嘛！IDEA 快捷鍵CTRL SHIFT R 就可以全域性搜尋結果了。

不出所料找到了三個地方，記下來一個一個看！

OAuth2AuthorizationRequestRedirectWebFilter

先來看第一個OAuth2AuthorizationRequestRedirectWebFilter，它實現了Spring Webflux的WebFilter介面，這顯然是Webflux的東西，如果你用到Webflux的話這個會有用，但是不是現在我們用的。

DefaultOAuth2AuthorizationRequestResolver

第二個是幹嘛的呢，從名稱上看著是一個預設OAuth2授權請求解析器。有時候名稱起的好就知道這個東西大致上幹嘛的，不得不說優秀框架細節抓的很好。它實現了介面OAuth2AuthorizationRequestResolver:

public interface OAuth2AuthorizationRequestResolver {

   /**
    * 從HttpServletRequest物件中解析封裝 OAuth2AuthorizationRequest
    */
   OAuth2AuthorizationRequest resolve(HttpServletRequest request);

   /**
    * 從HttpServletRequest物件以及clientRegistrationId中解析封裝 OAuth2AuthorizationRequest
    */
   OAuth2AuthorizationRequest resolve(HttpServletRequest request, String clientRegistrationId);

}

也就是說當我們請求/oauth2/authorization時，DefaultOAuth2AuthorizationRequestResolver 會從/oauth2/authorization對應的HttpServletRequest中提取資料封裝到OAuth2AuthorizationRequest請求物件中做進一步使用。

注意：/oauth2/authorization這個預設攔截標識也是可以自定義的。

OAuth2AuthorizationRequest

這裡簡單提一下OAuth2AuthorizationRequest 封裝了我們上一文所描述的一些OAuth2相關概念引數，後續這個請求類我們會用到它。

public final class OAuth2AuthorizationRequest implements Serializable {
    private static final long serialVersionUID = 520L;
    private String authorizationUri;
    private AuthorizationGrantType authorizationGrantType;
    private OAuth2AuthorizationResponseType responseType;
    private String clientId;
    private String redirectUri;
    private Set<String> scopes;
    private String state;
    private Map<String, Object> additionalParameters;
    private String authorizationRequestUri;
    private Map<String, Object> attributes;
    // 其它方法略
}

OAuth2AuthorizationRequestRedirectFilter

就剩下這個線索了，一看到它繼承了OncePerRequestFilter我就知道肯定是他了。甚至它的成員變數包含了用來解析OAuth2請求的OAuth2AuthorizationRequestResolver。到這裡我們的路子就走對了，開始分析這個過濾器，下面是其核心過濾邏輯，這就是我們想要知道的OAuth2授權請求是如何被攔截處理的邏輯。

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
      throws ServletException, IOException {

   try {
      OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request);
      if (authorizationRequest != null) {
         this.sendRedirectForAuthorization(request, response, authorizationRequest);
         return;
      }
   } catch (Exception failed) {
      this.unsuccessfulRedirectForAuthorization(request, response, failed);
      return;
   }

   try {
      filterChain.doFilter(request, response);
   } catch (IOException ex) {
      throw ex;
   } catch (Exception ex) {
      // Check to see if we need to handle ClientAuthorizationRequiredException
      Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);
      ClientAuthorizationRequiredException authzEx = (ClientAuthorizationRequiredException) this.throwableAnalyzer
         .getFirstThrowableOfType(ClientAuthorizationRequiredException.class, causeChain);
      if (authzEx != null) {
         try {
            OAuth2AuthorizationRequest authorizationRequest = this.authorizationRequestResolver.resolve(request, authzEx.getClientRegistrationId());
            if (authorizationRequest == null) {
               throw authzEx;
            }
            this.sendRedirectForAuthorization(request, response, authorizationRequest);
            this.requestCache.saveRequest(request, response);
         } catch (Exception failed) {
            this.unsuccessfulRedirectForAuthorization(request, response, failed);
         }
         return;
      }

      if (ex instanceof ServletException) {
         throw (ServletException) ex;
      } else if (ex instanceof RuntimeException) {
         throw (RuntimeException) ex;
      } else {
         throw new RuntimeException(ex);
      }
   }
}

doFilterInternal對應的流程如下：

根據這個流程，如果要搞清楚Spring Security OAuth2是如何重定向到第三方的話就要深入研究sendRedirectForAuthorization方法，基於篇幅原因我會在下一篇進行分析。

3. 總結

今天我們從源頭一步一步找到OAuth2授權的處理入口，並初步分析了幾個關鍵元件的作用以及核心攔截器的攔截邏輯。後續我們將層層深入循序漸進地搞清楚其運作流程，不要走開，鎖定：碼農小胖哥 循序漸進學習Spring Security OAuth2 。

關注公眾號：Felordcn 獲取更多資訊

個人部落格：https://felord.cn