Spring Aouth2基础概念:OAuth 2.0 provider(OAuth 2.0提供程序)、 OAuth 2.0 client(OAuth 2.0客户端)
OAuth 2.0提供程序
OAuth 2.0中的提供者角色实际上是在授权服务和资源服务之间分配的,尽管它们有时驻留在同一应用程序中,但使用Spring Security OAuth,您可以选择将它们拆分到两个应用程序中,并具有多个共享的资源服务授权服务。对令牌的请求由Spring MVC控制器端点处理,对受保护资源的访问由标准Spring Security请求过滤器处理。为了实现OAuth 2.0授权服务器,Spring Security过滤器链中需要以下端点:
- AuthorizationEndpoint用于服务于授权请求 。预设址:/oauth/authorize。
TokenEndpoint用于服务访问令牌的请求。。 - TokenEndpoint用于服务访问令牌的请求。预设网址:/oauth/token,
授权服务器配置
- @EnableAuthorizationServer批注用于配置OAuth 2.0授权服务器机制
- ClientDetailsServiceConfigurer:定义客户端详细信息服务的配置程序。可以初始化客户端详细信息,或者您可以仅引用现有商店。
3.AuthorizationServerSecurityConfigurer:定义令牌端点上的安全约束。
AuthorizationServerEndpointsConfigurer:定义授权和令牌端点以及令牌服务
配置客户端详细信息ClientDetailsServiceConfigurer
管理令牌AuthorizationServerTokenServices
- InMemoryTokenStore
- JdbcTokenStore
- JSON Web令牌
JWT Tokens
1.要使用JWT令牌,您需要JwtTokenStore在授权服务器中使用。资源服务器还需要能够解码令牌,因此JwtTokenStore依赖于JwtAccessTokenConverter,授权服务器和资源服务器都需要相同的实现。默认情况下,令牌是经过签名的,并且资源服务器还必须能够验证签名,因此它要么需要与授权服务器相同的对称(签名)密钥(共享密钥或对称密钥),要么需要公用与授权服务器中的私钥(签名密钥)匹配的私钥(验证者密钥)(公私钥或非对称密钥)。公钥(如果可用)由授权服务器在/oauth/token_key端点,默认情况下使用访问规则“ denyAll()”来保护该端点。您可以通过将标准SpEL表达式注入到其中来打开它AuthorizationServerSecurityConfigurer(例如,“ permitAll()”由于是公共密钥,因此可能就足够了)
链接: [link](: https://projects.spring.io/spring-security-oauth/docs/oauth2.html)
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
