AuthDefaultRequest.java 8.7 KB
Newer Older
1 2
package me.zhyd.oauth.request;

智布道's avatar
智布道 已提交
3
import me.zhyd.oauth.utils.HttpUtils;
4
import me.zhyd.oauth.cache.AuthDefaultStateCache;
5
import me.zhyd.oauth.cache.AuthStateCache;
6
import me.zhyd.oauth.config.AuthConfig;
7
import me.zhyd.oauth.config.AuthSource;
8
import me.zhyd.oauth.enums.AuthResponseStatus;
智布道's avatar
智布道 已提交
9
import me.zhyd.oauth.exception.AuthException;
10
import me.zhyd.oauth.log.Log;
11 12 13 14
import me.zhyd.oauth.model.AuthCallback;
import me.zhyd.oauth.model.AuthResponse;
import me.zhyd.oauth.model.AuthToken;
import me.zhyd.oauth.model.AuthUser;
15
import me.zhyd.oauth.utils.AuthChecker;
不合群的混子's avatar
不合群的混子 已提交
16 17
import me.zhyd.oauth.utils.StringUtils;
import me.zhyd.oauth.utils.UrlBuilder;
18
import me.zhyd.oauth.utils.UuidUtils;
19

20
/**
智布道's avatar
智布道 已提交
21 22
 * 默认的request处理类
 *
23
 * @author yadong.zhang (yadong.zhang0415(a)gmail.com)
不合群的混子's avatar
不合群的混子 已提交
24
 * @author yangkai.shen (https://xkcoding.com)
智布道's avatar
智布道 已提交
25
 * @since 1.0.0
26
 */
智布道's avatar
智布道 已提交
27
public abstract class AuthDefaultRequest implements AuthRequest {
28
    protected AuthConfig config;
29
    protected AuthSource source;
30
    protected AuthStateCache authStateCache;
31

智布道's avatar
智布道 已提交
32
    public AuthDefaultRequest(AuthConfig config, AuthSource source) {
33 34 35 36
        this(config, source, AuthDefaultStateCache.INSTANCE);
    }

    public AuthDefaultRequest(AuthConfig config, AuthSource source, AuthStateCache authStateCache) {
37
        this.config = config;
38
        this.source = source;
39
        this.authStateCache = authStateCache;
40
        if (!AuthChecker.isSupportedAuth(config, source)) {
智布道's avatar
智布道 已提交
41
            throw new AuthException(AuthResponseStatus.PARAMETER_INCOMPLETE, source);
智布道's avatar
智布道 已提交
42
        }
43
        // 校验配置合法性
44
        AuthChecker.checkConfig(config, source);
45
    }
46

47 48 49 50 51 52 53 54
    /**
     * 获取access token
     *
     * @param authCallback 授权成功后的回调参数
     * @return token
     * @see AuthDefaultRequest#authorize()
     * @see AuthDefaultRequest#authorize(String)
     */
55
    protected abstract AuthToken getAccessToken(AuthCallback authCallback);
56

57 58 59 60 61 62 63
    /**
     * 使用token换取用户信息
     *
     * @param authToken token信息
     * @return 用户信息
     * @see AuthDefaultRequest#getAccessToken(AuthCallback)
     */
64
    protected abstract AuthUser getUserInfo(AuthToken authToken);
65

66 67 68 69 70 71 72
    /**
     * 统一的登录入口。当通过{@link AuthDefaultRequest#authorize(String)}授权成功后,会跳转到调用方的相关回调方法中
     * 方法的入参可以使用{@code AuthCallback},{@code AuthCallback}类中封装好了OAuth2授权回调所需要的参数
     *
     * @param authCallback 用于接收回调参数的实体
     * @return AuthResponse
     */
73
    @Override
74
    public AuthResponse login(AuthCallback authCallback) {
75
        try {
智布道's avatar
智布道 已提交
76
            AuthChecker.checkCode(source, authCallback);
智布道's avatar
智布道 已提交
77
            AuthChecker.checkState(authCallback.getState(), source, authStateCache);
78 79

            AuthToken authToken = this.getAccessToken(authCallback);
80
            AuthUser user = this.getUserInfo(authToken);
智布道's avatar
智布道 已提交
81
            return AuthResponse.builder().code(AuthResponseStatus.SUCCESS.getCode()).data(user).build();
82
        } catch (Exception e) {
83
            Log.error("Failed to login with oauth authorization.", e);
84
            return this.responseError(e);
85
        }
86 87
    }

88 89 90 91 92 93
    /**
     * 处理{@link AuthDefaultRequest#login(AuthCallback)} 发生异常的情况,统一响应参数
     *
     * @param e 具体的异常
     * @return AuthResponse
     */
94
    private AuthResponse responseError(Exception e) {
智布道's avatar
智布道 已提交
95
        int errorCode = AuthResponseStatus.FAILURE.getCode();
96
        String errorMsg = e.getMessage();
97
        if (e instanceof AuthException) {
98 99 100 101 102
            AuthException authException = ((AuthException) e);
            errorCode = authException.getErrorCode();
            if (StringUtils.isNotEmpty(authException.getErrorMsg())) {
                errorMsg = authException.getErrorMsg();
            }
103
        }
104
        return AuthResponse.builder().code(errorCode).msg(errorMsg).build();
105 106
    }

107
    /**
108
     * 返回授权url,可自行跳转页面
109 110 111
     * <p>
     * 不建议使用该方式获取授权地址,不带{@code state}的授权地址,容易受到csrf攻击。
     * 建议使用{@link AuthDefaultRequest#authorize(String)}方法生成授权地址,在回调方法中对{@code state}进行校验
112 113
     *
     * @return 返回授权地址
智布道's avatar
智布道 已提交
114
     * @see AuthDefaultRequest#authorize(String)
115
     */
116
    @Deprecated
117
    @Override
118
    public String authorize() {
119 120 121 122
        return this.authorize(null);
    }

    /**
123
     * 返回带{@code state}参数的授权url,授权回调时会带上这个{@code state}
124 125 126
     *
     * @param state state 验证授权流程的参数,可以防止csrf
     * @return 返回授权地址
智布道's avatar
智布道 已提交
127
     * @since 1.9.3
128 129 130
     */
    @Override
    public String authorize(String state) {
不合群的混子's avatar
不合群的混子 已提交
131 132 133 134
        return UrlBuilder.fromBaseUrl(source.authorize())
            .queryParam("response_type", "code")
            .queryParam("client_id", config.getClientId())
            .queryParam("redirect_uri", config.getRedirectUri())
135
            .queryParam("state", getRealState(state))
不合群的混子's avatar
不合群的混子 已提交
136 137 138 139 140 141
            .build();
    }

    /**
     * 返回获取accessToken的url
     *
142
     * @param code 授权码
不合群的混子's avatar
不合群的混子 已提交
143 144 145 146 147 148 149 150 151 152 153 154 155 156 157
     * @return 返回获取accessToken的url
     */
    protected String accessTokenUrl(String code) {
        return UrlBuilder.fromBaseUrl(source.accessToken())
            .queryParam("code", code)
            .queryParam("client_id", config.getClientId())
            .queryParam("client_secret", config.getClientSecret())
            .queryParam("grant_type", "authorization_code")
            .queryParam("redirect_uri", config.getRedirectUri())
            .build();
    }

    /**
     * 返回获取accessToken的url
     *
158
     * @param refreshToken refreshToken
不合群的混子's avatar
不合群的混子 已提交
159 160 161 162 163
     * @return 返回获取accessToken的url
     */
    protected String refreshTokenUrl(String refreshToken) {
        return UrlBuilder.fromBaseUrl(source.refresh())
            .queryParam("client_id", config.getClientId())
智布道's avatar
智布道 已提交
164 165
            .queryParam("client_secret", config.getClientSecret())
            .queryParam("refresh_token", refreshToken)
不合群的混子's avatar
不合群的混子 已提交
166 167
            .queryParam("grant_type", "refresh_token")
            .queryParam("redirect_uri", config.getRedirectUri())
智布道's avatar
智布道 已提交
168 169
            .build();
    }
不合群的混子's avatar
不合群的混子 已提交
170 171 172 173

    /**
     * 返回获取userInfo的url
     *
174
     * @param authToken token
不合群的混子's avatar
不合群的混子 已提交
175 176 177 178 179 180
     * @return 返回获取userInfo的url
     */
    protected String userInfoUrl(AuthToken authToken) {
        return UrlBuilder.fromBaseUrl(source.userInfo()).queryParam("access_token", authToken.getAccessToken()).build();
    }

智布道's avatar
智布道 已提交
181 182 183
    /**
     * 返回获取revoke authorization的url
     *
184
     * @param authToken token
智布道's avatar
智布道 已提交
185 186 187 188 189 190
     * @return 返回获取revoke authorization的url
     */
    protected String revokeUrl(AuthToken authToken) {
        return UrlBuilder.fromBaseUrl(source.revoke()).queryParam("access_token", authToken.getAccessToken()).build();
    }

不合群的混子's avatar
不合群的混子 已提交
191
    /**
192
     * 获取state,如果为空, 则默认取当前日期的时间戳
不合群的混子's avatar
不合群的混子 已提交
193 194 195 196 197
     *
     * @param state 原始的state
     * @return 返回不为null的state
     */
    protected String getRealState(String state) {
198 199 200 201
        if (StringUtils.isEmpty(state)) {
            state = UuidUtils.getUUID();
        }
        // 缓存state
202
        authStateCache.cache(state, state);
203
        return state;
不合群的混子's avatar
不合群的混子 已提交
204 205 206 207 208 209
    }

    /**
     * 通用的 authorizationCode 协议
     *
     * @param code code码
210
     * @return Response
不合群的混子's avatar
不合群的混子 已提交
211
     */
212
    protected String doPostAuthorizationCode(String code) {
智布道's avatar
智布道 已提交
213
        return new HttpUtils(config.getHttpConfig()).post(accessTokenUrl(code));
不合群的混子's avatar
不合群的混子 已提交
214 215 216 217 218 219
    }

    /**
     * 通用的 authorizationCode 协议
     *
     * @param code code码
220
     * @return Response
不合群的混子's avatar
不合群的混子 已提交
221
     */
222
    protected String doGetAuthorizationCode(String code) {
智布道's avatar
智布道 已提交
223
        return new HttpUtils(config.getHttpConfig()).get(accessTokenUrl(code));
不合群的混子's avatar
不合群的混子 已提交
224 225 226 227 228 229
    }

    /**
     * 通用的 用户信息
     *
     * @param authToken token封装
230
     * @return Response
不合群的混子's avatar
不合群的混子 已提交
231
     */
智布道's avatar
智布道 已提交
232
    @Deprecated
233
    protected String doPostUserInfo(AuthToken authToken) {
智布道's avatar
智布道 已提交
234
        return new HttpUtils(config.getHttpConfig()).post(userInfoUrl(authToken));
不合群的混子's avatar
不合群的混子 已提交
235 236 237 238 239 240
    }

    /**
     * 通用的 用户信息
     *
     * @param authToken token封装
241
     * @return Response
不合群的混子's avatar
不合群的混子 已提交
242
     */
243
    protected String doGetUserInfo(AuthToken authToken) {
智布道's avatar
智布道 已提交
244
        return new HttpUtils(config.getHttpConfig()).get(userInfoUrl(authToken));
245
    }
智布道's avatar
智布道 已提交
246 247 248 249 250

    /**
     * 通用的post形式的取消授权方法
     *
     * @param authToken token封装
251
     * @return Response
智布道's avatar
智布道 已提交
252
     */
智布道's avatar
智布道 已提交
253
    @Deprecated
254
    protected String doPostRevoke(AuthToken authToken) {
智布道's avatar
智布道 已提交
255
        return new HttpUtils(config.getHttpConfig()).post(revokeUrl(authToken));
智布道's avatar
智布道 已提交
256 257 258 259 260 261
    }

    /**
     * 通用的post形式的取消授权方法
     *
     * @param authToken token封装
262
     * @return Response
智布道's avatar
智布道 已提交
263
     */
264
    protected String doGetRevoke(AuthToken authToken) {
智布道's avatar
智布道 已提交
265
        return new HttpUtils(config.getHttpConfig()).get(revokeUrl(authToken));
智布道's avatar
智布道 已提交
266
    }
267

268
}