Spring Security OAuth2 开发指南

官方原文：http://projects.spring.io/spring-security-oauth/docs/oauth2.html

翻译及修改补充：Alex Liao.

转载请注明来源：http://www.cnblogs.com/xingxueliao/p/5911292.html

Spring OAuth2.0 提供者实现原理：

---

Spring OAuth2.0提供者实际上分为：

• 授权服务 Authorization Service.
• 资源服务 Resource Service.

虽然这两个提供者有时候可能存在同一个应用程序中，但在Spring Security OAuth中你可以把

他它们各自放在不同的应用上，而且你可以有多个资源服务，它们共享同一个中央授权服

务。

 

所有获取令牌的请求都将会在Spring MVC controller endpoints中进行处理，并且访问受保护

的资源服务的处理流程将会放在标准的Spring Security请求过滤器中(filters)。

 

下面是配置一个授权服务必须要实现的endpoints：

• AuthorizationEndpoint：用来作为请求者获得授权的服务，默认的URL是/oauth/authorize.
• TokenEndpoint：用来作为请求者获得令牌（Token）的服务，默认的URL是/oauth/token.

 

下面是配置一个资源服务必须要实现的过滤器：

• OAuth2AuthenticationProcessingFilter：用来作为认证令牌（Token）的一个处理流程过滤器。只有当过滤器通过之后，请求者才能获得受保护的资源。

 

配置提供者（授权、资源）都可以通过简单的Java注解@Configuration来进行适配，你也可以使用基于XML的声明式语法来进行配置，如果你打算这样做的话，那么请使用http://www.springframework.org/schema/security/spring-security-oauth2.xsd来作为XML的schema（即XML概要定义）以及使用http://www.springframework.org/schema/security/oauth2来作为命名空间。

 

 

一、授权服务配置：

---

配置一个授权服务，你需要考虑几种授权类型（Grant Type），不同的授权类型为客户端（Client）提供了不同的获取令牌（Token）方式，为了实现并确定这几种授权，需要配置使用 ClientDetailsService 和 TokenService 来开启或者禁用这几种授权机制。到这里就请注意了，不管你使用什么样的授权类型（Grant Type），每一个客户端（Client）都能够通过明确的配置以及权限来实现不同的授权访问机制。这也就是说，假如你提供了一个支持"client_credentials"的授权方式，并不意味着客户端就需要使用这种方式来获得授权。下面是几种授权类型的列表，具体授权机制的含义可以参见RFC6749( 中文版本)：

• authorization_code：授权码类型。
• implicit：隐式授权类型。
• password：资源所有者（即用户）密码类型。
• client_credentials：客户端凭据（客户端ID以及Key）类型。
• refresh_token：通过以上授权获得的刷新令牌来获取新的令牌。

 

可以用 @EnableAuthorizationServer 注解来配置OAuth2.0 授权服务机制，通过使用@Bean注解的几个方法一起来配置这个授权服务。下面咱们介绍几个配置类，这几个配置是由Spring创建的独立的配置对象，它们会被Spring传入AuthorizationServerConfigurer中：

• ClientDetailsServiceConfigurer：用来配置客户端详情服务（ClientDetailsService），客户端详情信息在这里进行初始化，你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
• AuthorizationServerSecurityConfigurer：用来配置令牌端点(Token Endpoint)的安全约束.
• AuthorizationServerEndpointsConfigurer：用来配置授权