本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云
从前面的文章中,我们可以了解到 spring-security-oauth2 产生的授权码默认是 6 位的。
并且,我们通过拿到 code 后,再通过 code 获取 access_token。那么会不会因为 code 太短,或者 code 太简单被猜中了,然后获取 access_token 呢?
我们能不能把 Code 给变长一点,或者我们想要有自己的实现!
通过我对代码的追踪,以及我前面说的,URL 中的 code 参数值即为授权码,它是在 org.springframework.security.oauth2.common.util.RandomValueStringGenerator.generate() 中生存的。那我就找看谁调用了它,最终发现我们只需要通过扩展 AuthorizationCodeServices 来覆写已有的生成规则。通过覆写 createAuthorizationCode() 方法可以设置成任意的生成规则。
扩展 AuthorizationServerConfigurerAdapter 和 JdbcAuthorizationCodeServices 代码如下:
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter {
@Bean
protected AuthorizationCodeServices authorizationCodeServices() {
return new CustomJdbcAuthorizationCodeServices(dataSource());
}
}
public class CustomJdbcAuthorizationCodeServices extends JdbcAuthorizationCodeServices {
private RandomValueStringGenerator generator = new RandomValueStringGenerator();
public CustomJdbcAuthorizationCodeServices(DataSource dataSource) {
super(dataSource);
this.generator = new RandomValueStringGenerator(32);
}
public String createAuthorizationCode(OAuth2Authentication authentication) {
String code = this.generator.generate();
store(code, authentication);
return code;
}
}
短短 20 行代码搞定一切。最终运行效果图,截图如下:
除此之外,我们还可以自定义生成 Token、授权页、认证方式、登录页面等。我们后面继续深入学习 spring-security-oauth2。
最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!
本文原文出处:业余草: » spring-security-oauth2 自定义生成授权码