微信公众号提供了微信领取、微信优惠券、微信H5红包、微信红包封面等等促销工具来帮忙咱们的利用拉新保活。然而这些福利要想正确地发放到用户的手里就必须拿到用户特定的(微信利用)微信标识openid甚至是用户的微信用户信息。如果用户在微信客户端中拜访咱们第三方网页,公众号能够通过微信网页受权机制,来获取用户根本信息,进而实现业务逻辑。明天就联合Spring Security来实现一下微信公众号网页受权。
环境筹备
在开始之前咱们须要筹备好微信网页开发的环境。
微信公众号服务号
请留神,肯定是微信公众号服务号,只有服务号才提供这样的能力。像胖哥的这样公众号尽管也是认证过的公众号,然而只能发发文章并不具备提供服务的能力。然而微信公众平台提供了沙盒性能来模仿服务号,能够升高开发难度,你能够到微信公众号测试账号页面申请,申请胜利后别忘了关注测试公众号。
微信公众号服务号只有企事业单位、政府机关能力开明。
内网穿透
因为微信服务器须要回调开发者提供的回调接口,为了可能本地调试,内网穿透工具也是必须的。启动内网穿透后,须要把内网穿透工具提供的虚构域名配置到微信测试帐号的回调配置中
关上后只须要填写域名,不要带协定头。例如回调是https://felord.cn/wechat/callback,只能填写成这样:
而后咱们就能够开发了。
OAuth2.0客户端集成
基于 Spring Security 5.x
微信网页受权的文档在网页受权,这里不再赘述。咱们只聊聊如何联合Spring Security的事。微信网页受权是通过OAuth2.0机制实现的,在用户受权给公众号后,公众号能够获取到一个网页受权特有的接口调用凭证(网页受权access_token),通过网页受权取得的access_token能够进行受权后接口调用,如获取用户的根本信息。
咱们须要引入Spring Security提供的OAuth2.0相干的模块:
<code class="xml"> <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
因为咱们须要获取用户的微信信息,所以要用到
OAuth2.0 Login;如果你用不到用户信息能够抉择OAuth2.0 Client。
微信网页受权流程
接着依照微信提供的流程来联合Spring Security。
获取受权码code
微信网页受权应用的是OAuth2.0的受权码模式。咱们先来看如何获取受权码。
https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
这是微信获取code的OAuth2.0端点模板,这不是一个纯正的OAuth2.0协定。微信做了一些参数上的变动。这里原生的client_id被替换成了appid,而且开端还要加#wechat_redirect 。这无疑减少了集成的难度。
这里先放一放,咱们指标转向Spring Security的code获取流程。
Spring Security会提供一个模版链接:
{baseUrl}/oauth2/authorization/{registrationId}
当应用该链接申请OAuth2.0客户端时会被OAuth2AuthorizationRequestRedirectFilter拦挡。机制这里不讲了,在我集体博客felord.cn中的Spring Security 实战干货:客户端OAuth2受权申请的入口一文中有具体论述。
拦挡之后会依据配置组装获取受权码的申请URL,因为微信的不一样所以咱们针对性的定制,也就是革新OAuth2AuthorizationRequestRedirectFilter中的OAuth2AuthorizationRequestResolver。
自定义URL
因为Spring Security会依据模板链接去组装一个链接而不是咱们填参数就行了,所以须要咱们对构建URL的处理器进行自定义。
<code class="java">/**
* 兼容微信的oauth2 端点.
*
* @author n1
* @since 2021 /8/11 17:04
*/
public class WechatOAuth2AuthRequestBuilderCustomizer {
private static final String WECHAT_ID= "wechat";
/**
* Customize.
*
* @param builder the builder
*/
public static void customize(OAuth2AuthorizationRequest.Builder builder) {
String regId = (String) builder.build()
.getAttributes()
.get(OAuth2ParameterNames.REGISTRATION_ID);
if (WECHAT_ID.equals(regId)){
builder.authorizationRequestUri(WechatOAuth2RequestUriBuilderCustomizer::customize);
}
}
/**
* 定制微信OAuth2申请URI
*
* @author n1
* @since 2021 /8/11 15:31
*/
private static class WechatOAuth2RequestUriBuilderCustomizer {
/**
* 默认状况下Spring Security会生成受权链接:
* {@code https://open.weixin.qq.com/connect/oauth2/authorize?response_type=code
* &client_id=wxdf9033184b238e7f
* &scope=snsapi_userinfo
* &state=5NDiQTMa9ykk7SNQ5-OIJDbIy9RLaEVzv3mdlj8TjuE%3D
* &redirect_uri=https%3A%2F%2Fmovingsale-h5-test.nashitianxia.com}
* 短少了微信协定要求的{@code #wechat_redirect},同时 {@code client_id}应该替换为{@code app_id}
*
* @param builder the builder
* @return the uri
*/
public static URI customize(UriBuilder builder) {
String reqUri = builder.build().toString()
.replaceAll("client_id=", "appid=")
.concat("#wechat_redirect");
return URI.create(reqUri);
}
}
}
配置解析器
把下面个性化革新的逻辑配置到OAuth2AuthorizationRequestResolver:
<code class="java">/**
* 用来从{@link javax.servlet.http.HttpServletRequest}中检索Oauth2须要的参数并封装成OAuth2申请对象{@link OAuth2AuthorizationRequest}
*
* @param clientRegistrationRepository the client registration repository
* @return DefaultOAuth2AuthorizationRequestResolver
*/
private OAuth2AuthorizationRequestResolver oAuth2AuthorizationRequestResolver(ClientRegistrationRepository clientRegistrationRepository) {
DefaultOAuth2AuthorizationRequestResolver resolver = new DefaultOAuth2AuthorizationRequestResolver(clientRegistrationRepository,
OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI);
resolver.setAuthorizationRequestCustomizer(WechatOAuth2AuthRequestBuilderCustomizer::customize);
return resolver;
}
配置到Spring Security
适配好的OAuth2AuthorizationRequestResolver配置到HttpSecurity,伪代码:
<code class="java"> httpSecurity.oauth2Login()
// 定制化受权端点的参数封装
.authorizationEndpoint().authorizationRequestResolver(authorizationRequestResolver)
通过code换取网页受权access_token
接下来第二步是用code去换token。
构建申请参数
这是微信网页受权获取access_token的模板:
GET https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN
其中前半段https://api.weixin.qq.com/sns/oauth2/refresh_token能够通过配置OAuth2.0的token-uri来指定;后半段参数须要咱们针对微信进行定制。Spring Security中定制token-uri的工具由OAuth2AuthorizationCodeGrantRequestEntityConverter这个转换器负责,这里须要来革新一下。
咱们先拼接参数:
<code class="java"> private MultiValueMap<String, String> buildWechatQueryParameters(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {
// 获取微信的客户端配置
ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
OAuth2AuthorizationExchange authorizationExchange = authorizationCodeGrantRequest.getAuthorizationExchange();
MultiValueMap<String, String> formParameters = new LinkedMultiValueMap<>();
// grant_type
formParameters.add(OAuth2ParameterNames.GRANT_TYPE, authorizationCodeGrantRequest.getGrantType().getValue());
// code
formParameters.add(OAuth2ParameterNames.CODE, authorizationExchange.getAuthorizationResponse().getCode());
// 如果有redirect-uri
String redirectUri = authorizationExchange.getAuthorizationRequest().getRedirectUri();
if (redirectUri != null) {
formParameters.add(OAuth2ParameterNames.REDIRECT_URI, redirectUri);
}
//appid
formParameters.add("appid", clientRegistration.getClientId());
//secret
formParameters.add("secret", clientRegistration.getClientSecret());
return formParameters;
}
而后生成RestTemplate的申请对象RequestEntity:
<code class="java"> @Override
public RequestEntity<?> convert(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {
ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
HttpHeaders headers = getTokenRequestHeaders(clientRegistration);
String tokenUri = clientRegistration.getProviderDetails().getTokenUri();
// 针对微信的定制 WECHAT_ID示意为微信公众号专用的registrationId
if (WECHAT_ID.equals(clientRegistration.getRegistrationId())) {
MultiValueMap<String, String> queryParameters = this.buildWechatQueryParameters(authorizationCodeGrantRequest);
URI uri = UriComponentsBuilder.fromUriString(tokenUri).queryParams(queryParameters).build().toUri();
return RequestEntity.get(uri).headers(headers).build();
}
// 其它 客户端
MultiValueMap<String, String> formParameters = this.buildFormParameters(authorizationCodeGrantRequest);
URI uri = UriComponentsBuilder.fromUriString(tokenUri).build()
.toUri();
return new RequestEntity<>(formParameters, headers, HttpMethod.POST, uri);
}
这样兼容性就革新好了。
兼容token返回解析
微信公众号受权token-uri的返回值尽管文档说是个json,可它喵的Content-Type是text-plain。如果是application/json,Spring Security就间接接管了。你说微信坑不坑?咱们只能再写个适配来正确的反序列化微信接口的返回值。
Spring Security 中对token-uri的返回值的解析转换同样由OAuth2AccessTokenResponseClient中的OAuth2AccessTokenResponseHttpMessageConverter负责。
首先减少Content-Type为text-plain的适配;其次因为Spring Security接管token返回的对象要求必须显式申明tokenType,而微信返回的响应体中没有,咱们一律指定为OAuth2AccessToken.TokenType.BEARER即可兼容。代码比较简单就不放了,有趣味能够去看我给的DEMO。
配置到Spring Security
先配置好咱们下面两个步骤的申请客户端:
<code class="java"> /**
* 调用token-uri去申请受权服务器获取token的OAuth2 Http 客户端
*
* @return OAuth2AccessTokenResponseClient
*/
private OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> accessTokenResponseClient() {
DefaultAuthorizationCodeTokenResponseClient tokenResponseClient = new DefaultAuthorizationCodeTokenResponseClient();
tokenResponseClient.setRequestEntityConverter(new WechatOAuth2AuthorizationCodeGrantRequestEntityConverter());
OAuth2AccessTokenResponseHttpMessageConverter tokenResponseHttpMessageConverter = new OAuth2AccessTokenResponseHttpMessageConverter();
// 微信返回的content-type 是 text-plain
tokenResponseHttpMessageConverter.setSupportedMediaTypes(Arrays.asList(MediaType.APPLICATION_JSON,
MediaType.TEXT_PLAIN,
new MediaType("application", "*+json")));
// 兼容微信解析
tokenResponseHttpMessageConverter.setTokenResponseConverter(new WechatMapOAuth2AccessTokenResponseConverter());
RestTemplate restTemplate = new RestTemplate(
Arrays.asList(new FormHttpMessageConverter(),
tokenResponseHttpMessageConverter
));
restTemplate.setErrorHandler(new OAuth2ErrorResponseErrorHandler());
tokenResponseClient.setRestOperations(restTemplate);
return tokenResponseClient;
}
再把申请客户端配置到HttpSecurity:
<code class="java"> // 获取token端点配置 比方依据code 获取 token httpSecurity.oauth2Login() .tokenEndpoint().accessTokenResponseClient(accessTokenResponseClient)
依据token获取用户信息
微信公众号网页受权获取用户信息须要
scope蕴含snsapi_userinfo。
Spring Security中定义了一个OAuth2.0获取用户信息的形象接口:
<code class="java">@FunctionalInterface
public interface OAuth2UserService<R extends OAuth2UserRequest, U extends OAuth2User> {
U loadUser(R userRequest) throws OAuth2AuthenticationException;
}
所以咱们针对性的实现即可,须要实现三个相干概念。
OAuth2UserRequest
OAuth2UserRequest是申请user-info-uri的入参实体,蕴含了三大块属性:
ClientRegistration微信OAuth2.0客户端配置OAuth2AccessToken从token-uri获取的access_token的形象实体additionalParameters一些token-uri返回的额定参数,比方openid就能够从这外面获得
依据微信获取用户信息的端点API这个能满足需要,不过须要留神的是。如果应用的是 OAuth2.0 Client 就无奈从additionalParameters获取openid等额定参数。
OAuth2User
这个用来封装微信用户信息,细节看上面的正文:
<code class="java">/**
* 微信受权的OAuth2User用户信息
*
* @author n1
* @since 2021/8/12 17:37
*/
@Data
public class WechatOAuth2User implements OAuth2User {
private String openid;
private String nickname;
private Integer sex;
private String province;
private String city;
private String country;
private String headimgurl;
private List<String> privilege;
private String unionid;
@Override
public Map<String, Object> getAttributes() {
// 本来返回前端token 然而微信给的token比拟敏感 所以不返回
return Collections.emptyMap();
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// 这里放scopes 或者其它你业务逻辑相干的用户权限集 目前没有什么用
return null;
}
@Override
public String getName() {
// 用户惟一标识比拟适合,这个不能为空啊,如果你能保障unionid不为空,也是不错的抉择。
return openid;
}
}
留神:
getName()肯定不能返回null。
OAuth2UserService
参数OAuth2UserRequest和返回值OAuth2User都筹备好了,就剩下去申请微信服务器了。借鉴申请token-uri的实现,还是一个RestTemplate调用,外围就这几行:
<code class="java">LinkedMultiValueMap<String, String> queryParams = new LinkedMultiValueMap<>(); // access_token queryParams.add(OAuth2ParameterNames.ACCESS_TOKEN, userRequest.getAccessToken().getTokenValue()); // openid queryParams.add(OPENID_KEY, String.valueOf(userRequest.getAdditionalParameters().get(OPENID_KEY))); // lang=zh_CN queryParams.add(LANG_KEY, DEFAULT_LANG); // 构建 user-info-uri端点 URI userInfoEndpoint = UriComponentsBuilder.fromUriString(userInfoUri).queryParams(queryParams).build().toUri(); // 申请 return this.restOperations.exchange(userInfoEndpoint, HttpMethod.GET, null, OAUTH2_USER_OBJECT);
配置到Spring Security
<code class="java">// 获取用户信息端点配置 依据accessToken获取用户根本信息
httpSecurity.oauth2Login()
.userInfoEndpoint().userService(oAuth2UserService);
这里补充一下,写一个受权胜利后跳转的接口并配置为受权登录胜利后的跳转的url。
<code class="java">// 默认跳转到 / 如果没有会 404 所以弄个了接口
httpSecurity.oauth2Login().defaultSuccessUrl("/weixin/h5/redirect")
在这个接口里能够通过@RegisteredOAuth2AuthorizedClient和@AuthenticationPrincipal别离拿到认证客户端的信息和用户信息。
<code class="java">@GetMapping("/h5/redirect")
public void sendRedirect(HttpServletResponse response,
@RegisteredOAuth2AuthorizedClient("wechat") OAuth2AuthorizedClient authorizedClient,
@AuthenticationPrincipal WechatOAuth2User principal) throws IOException {
//todo 你能够再这里模仿一些受权后的业务逻辑 比方用户静默注册 等等
// 以后认证的客户端 token 不要裸露给前台
OAuth2AccessToken accessToken = authorizedClient.getAccessToken();
System.out.println("accessToken = " + accessToken);
// 以后用户的userinfo
System.out.println("principal = " + principal);
response.sendRedirect("https://felord.cn");
}
到此微信公众号受权就集成到Spring Security中了。
相干配置
application.yaml相干的配置:
<code class="yaml">spring:
security:
oauth2:
client:
registration:
wechat:
# 能够去试一下沙箱
# 公众号服务号 appid
client-id: wxdf9033184b2xxx38e7f
# 公众号服务号 secret
client-secret: bf1306baaa0dxxxxxxb15eb02d68df5
# oauth2 login 用 '{baseUrl}/login/oauth2/code/{registrationId}' 会主动解析
# oauth2 client 写你业务的链接即可
redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
authorization-grant-type: authorization_code
scope: snsapi_userinfo
provider:
wechat:
authorization-uri: https://open.weixin.qq.com/connect/oauth2/authorize
token-uri: https://api.weixin.qq.com/sns/oauth2/access_token
user-info-uri: https://api.weixin.qq.com/sns/userinfo
而后你能够在微信环境中调用http://域名/oauth2/authorization/wechat试试成果。
关注公众号:Felordcn 获取更多资讯
集体博客:https://felord.cn
转载请注明原文链接:关于java:Spring-Security中实现微信网页授权
