原文及更多文章请见个人博客:http://heartlifes.com
现象:
在网络环境特别差等环境下,用户如果重复点击授权按钮,会导致spring报错:
Cannot approve uninitialized authorization request
原因:
AuthorizationEndpoint类中,有一行代码:
finally {
sessionStatus.setComplete();
}
sessionStatus标记了spring-security的session生命周期状态,当标记为session生命周期结束后,spring会调用sessionAttributesHandler.cleanupAttributes(request)方法,去清除spring-security上下文请求。对应到oauth的话,这个请求就是放在上下文请求map中的authorizationRequest对象,这个对象封装了authorize接口所用到的请求参数,如appid,redirect_uri,scope等,如果这个对象被从spring-security上下文请求中清掉了,那么整个oauth的流程自然也就断了
解决:
1.限制授权按钮,只能点击一次,这是治本的方法,从源头限制用户多次点击的可能性
2.修改后台,将authorizationRequest手动传到session用户请求上下文中(spring-security请求上下文和用户的session上下文是不同的),再从session中获取authorizationRequest,这是治标的方法,即使用户重复点击了,oauth流程还是能继续执行
model.put("authorizationRequest", authorizationRequest);
HttpSession session = request.getSession();
session.setAttribute("authRequest", authorizationRequest);
return getUserApprovalPageResponse(model, authorizationRequest);
if (authorizationRequest == null) {
HttpSession session = request.getSession();
Object obj = session.getAttribute("authRequest");
if (obj != null) {
authorizationRequest = (AuthorizationRequest) obj;
}
}