Spring Cloud Security：Oauth2使用入门

Oauth2.0 微信登陆

用户借助微信认证登录xx网站，用户就不用单独在xx系统注册用户，怎样算认证成功？网站需要从微信获取用户的身份信息则认为用户认证成功，那如何丛微信获取用户身份信息，微信需要经过用户的同意方可为xx网站生成令牌，用户使用该令牌方可从微信获取用户的信息。

1 客户端请求第三方授权：用户访问登录页面，点击微信图标，进入二维码授权界面。

2 用户扫二维码，确认微信登录，表明用户本人授权网站向微信获取用户本人身份信息。

3 微信返回授权码，客户端获取到授权码，请求认证服务器申请令牌。此过程是客户端应用程序请求认证服务器，请求携带授权码。

4 认证服务器向客户端返回令牌。

5 网站携带令牌请求访问微信服务获取用户基本信息。

6 网站就显示当前用户a登录信息。

Authorization Server 对OAuth2.0中两个角色进行认证授权，分别是 资源拥有者 和 客户端。
客户端采用 client_id 标识 和 client_secret 密钥，而非任意客户端。

概念

Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案，结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能，本文将对其结合Oauth2入门使用进行详细介绍。

OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流，包括Web应用、桌面应用、移动端应用等。

OAuth2 相关名词解释

1.Resource owner（资源拥有者）：拥有该资源的最终用户，它有访问资源的账号密码；
2.Resource server（资源服务器）：拥有受保护资源的服务器，如果请求包含正确的访问令牌，可以访问资源；
3.Client（客户端）：访问资源的客户端，会使用访问令牌去获取资源服务器的资源，可以是浏览器、移动设备或者服务器；
4.Authorization server（认证服务器）：用于认证用户的服务器，如果客户端认证通过，发放访问资源服务器的令牌。

两种常用的授权模式

授权码模式

1.客户端将用户导向认证服务器；
2.用户在认证服务器进行登录并授权；
3.认证服务器返回授权码给客户端；
4.客户端通过授权码和跳转地址向认证服务器获取访问令牌；
5.认证服务器发放访问令牌（有需要带上刷新令牌）。

密码模式

1.客户端从用户获取用户名和密码；
2.客户端通过用户的用户名和密码访问认证服务器；
3.认证服务器返回访问令牌（有需要带上刷新令牌）。

Oauth2的使用

创建oauth2-server模块，作为认证服务器来使用。

oauth2-server模块，作为认证服务器来使用。

pom.xml 中添加依赖

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

application.yml

server:
  port: 9401
spring:
  application:
    name: oauth2-service

UserDetailsServiceImpl 接口实现类

添加UserDetailsServiceImpl实现UserDetailsService接口，用于加载用户信息。

认证服务器配置 EnableAuthorizationServer

添加认证服务器配置，启用注解 @EnableAuthorizationServer

资源服务器配置 EnableResourceServer

添加资源服务器配置，启用注解 @EnableResourceServer

SpringSecurity 配置

添加SpringSecurity配置 @EnableWebSecurity，允许认证相关路径的访问及表单登录

UserController 测试接口

添加测试接口，登录后可访问

启动oauth2-server服务

授权码模式使用

• 启动oauth2-server服务；

• 在浏览器访问该地址进行登录授权，未登录时，则跳转登录界面：
  http://localhost:9401/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all&state=normal

• 在登录界面，输入账号密码进行登录操作，登录成功后回跳，重定向到redirect_uri的地址。

• 登录成功后进行手动授权操作，之后浏览器会带着授权码跳转到redirect_uri指定的路径。
  
  

• 使用授权码请求该地址获取访问令牌：http://localhost:9401/oauth/token

• 使用Basic认证通过client_id和client_secret构造一个Authorization头信息；
  

• 在请求头中添加访问令牌，访问需要登录认证的接口进行测试：http://localhost:9401/user/getCurrentUser
  

• 2 密码模式使用
  

参考地址

Spring Cloud Security：Oauth2使用入门
https://www.macrozheng.com/cloud/oauth2.html#oauth2-%E7%AE%80%E4%BB%8B