为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token

为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token

为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token
oauth2在获取access_token之前,一定要先获取code,主要是因为安全原因:

code需要设置过期时间,一般设置的过期时间非常短,如10分钟等,用户需要在短时间内通过code换取access_token,避免code被第三方拦截。当然,即便这种情况会发生,但因为code的过期时间非常短,也在一定程度上进行了保护,但这肯定不是完全安全的
授权成功后,code是会直接显示在浏览器上的,如果不通过code换取access_token,而是直接返回access_token,那access_token会被暴露出来,而code换取access_token是直接通过oauth服务器进行换取的,不依赖浏览器,access_token不会暴露出去。
前提是,你先在oauth服务器上进行了注册,得到了client_id和app_secret,请求时,不仅需要发送code,还需要发送client_id,oauth服务器会对client_id进行判断,是否已经进行了注册

当然,OAuth2还是允许直接返回access_token,而不经过code换取,查看 RFC6749,可以看到,oauth2一共有四种模式:

第一种:

首先用户在客户端上点击要用哪个系统的OAuth2来认证,此时客户端附上回调地址
用户在OAuth2服务器上选择是否授权用户给予授权,OAuth2服务器重定向到第一步给定的回调地址,同时附上 Authorization Code,
回调地址所在服务器带上 Authorization Code和client_id,向OAuth2服务器申请 access_token 和 refresh_token,可通过这两个token去换取资源
OAuth2服务器返回 access_token 和 refresh_token
第二种:

用户在客户端上点击要哪个系统的OAuth2来认证,此时客户端附上回调地址
用户在OAuth2服务器上选择是否授权
用户给于授权,OAuth2服务器重定向到第一步给定的回调地址,并且附上 access_token 和 refresh_token
第三种: 用户直接输入用户名和密码,这种情况针对自家的APP或者100%信任的APP可以这么干

第四种: 客户端自带认证,用户向客户端认证就可以

  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
您可以使用Spring Security OAuth2来获取token。以下是基本的步骤: 1. 首,您需要添加所需的依赖项。在您的项目的pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 在application.properties或application.yml文件中配置OAuth2客户端的信息。例如: ```yaml spring: security: oauth2: client: registration: my-client-id: client-id: your-client-id client-secret: your-client-secret provider: your-authorization-server ``` 请替换`my-client-id`,`your-client-id`,`your-client-secret`和`your-authorization-server`为您的实际值。 3. 在您的代码中,您可以使用`RestTemplate`或`WebClient`来发送请求并获取token。以下是使用`RestTemplate`的示例代码: ```java import org.springframework.http.HttpHeaders; import org.springframework.http.HttpMethod; import org.springframework.http.MediaType; import org.springframework.http.RequestEntity; import org.springframework.http.ResponseEntity; import org.springframework.security.oauth2.client.OAuth2AuthorizedClientManager; import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProvider; import org.springframework.security.oauth2.client.OAuth2AuthorizedClientProviderBuilder; import org.springframework.security.oauth2.client.registration.ClientRegistration; import org.springframework.security.oauth2.client.registration.ClientRegistrationRepository; import org.springframework.security.oauth2.core.AuthorizationGrantType; import org.springframework.security.oauth2.core.OAuth2AccessToken; import org.springframework.security.oauth2.core.endpoint.OAuth2AccessTokenResponse; import org.springframework.security.oauth2.core.endpoint.OAuth2AuthorizationCodeGrantRequest; import org.springframework.security.oauth2.core.endpoint.OAuth2AuthorizationRequest; import org.springframework.security.oauth2.core.endpoint.OAuth2AuthorizationResponse; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; import org.springframework.web.client.RestTemplate; import java.net.URI; import java.util.Collections; @RestController public class OAuth2Controller { private final ClientRegistrationRepository clientRegistrationRepository; private final OAuth2AuthorizedClientManager authorizedClientManager; public OAuth2Controller(ClientRegistrationRepository clientRegistrationRepository, OAuth2AuthorizedClientManager authorizedClientManager) { this.clientRegistrationRepository = clientRegistrationRepository; this.authorizedClientManager = authorizedClientManager; } @GetMapping("/oauth2/token") public String getToken() { // 获取ClientRegistration ClientRegistration clientRegistration = clientRegistrationRepository.findByRegistrationId("my-client-id"); // 构建OAuth2AuthorizationRequest OAuth2AuthorizationRequest authorizationRequest = OAuth2AuthorizationRequest.authorizationCode() .clientId(clientRegistration.getClientId()) .authorizationUri(clientRegistration.getProviderDetails().getAuthorizationUri()) .redirectUri(URI.create("http://localhost:8080/oauth2/callback")) .scopes(clientRegistration.getScopes()) .state("state") .build(); // 构建OAuth2AuthorizationResponse OAuth2AuthorizationResponse authorizationResponse = OAuth2AuthorizationResponse.success("authorization-code") .redirectUri("http://localhost:8080/oauth2/callback") .state("state") .build(); // 构建OAuth2AuthorizationCodeGrantRequest OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest = new OAuth2AuthorizationCodeGrantRequest( clientRegistration, authorizationRequest, authorizationResponse); // 构建OAuth2AuthorizedClientProvider OAuth2AuthorizedClientProvider authorizedClientProvider = OAuth2AuthorizedClientProviderBuilder.builder() .authorizationCode() .build(); // 获取OAuth2AuthorizedClient OAuth2AuthorizedClient authorizedClient = authorizedClientManager.authorize(authorizationCodeGrantRequest); // 构建请求头 HttpHeaders headers = new HttpHeaders(); headers.setAccept(Collections.singletonList(MediaType.APPLICATION_JSON)); headers.setBearerAuth(authorizedClient.getAccessToken().getTokenValue()); // 发送请求并获取响应 RequestEntity<Void> requestEntity = new RequestEntity<>(headers, HttpMethod.GET, URI.create("http://api.example.com/resource")); ResponseEntity<String> responseEntity = new RestTemplate().exchange(requestEntity, String.class); return responseEntity.getBody(); } } ``` 请确保替换`my-client-id`和`http://localhost:8080/oauth2/callback`为实际值。在这个例子中,我们模拟了一个授权码授权流程来获取token,并使用token发送请求并获取资源的响应。 这只是一个简单的示例,实际的实现可能会有所不同,具体取决于您的认证服务器和需求。您可以根据您的情况进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值