Oauth2
1.第三方认证介绍:
当需要访问第三方系统的资源时,由第三方系统认证通过后,在对用户进行授权
2.oauth2介绍:
oauth协议2.0版本,1.0版本操作非常复杂;oauth是一个第三方安全认证协议
3.oauth授权模式:
授权码模式,密码模式,隐式授权模式,客户端模式
4.oauth2授权码模式流程:
* 浏览器客户端请求第三方认证服务器认证
用户在浏览器客户端点击微信/QQ登录
* 资源拥有者(用户)允许对浏览器客户端授权
用户登录成功后,第三方认证服务器询问用户,是否允许对浏览器客户端授权
* 第三方认证服务器响应授权码给浏览器客户端
用户同意授权,第三方认证服务器就会响应一个授权码到客户端,并拼接在url后面
* 浏览器客户端携带授权码向第三方认证服务器申请token令牌,认证服务器校验授权码合法性,使用私钥将用户信
息加密成令牌,并响应令牌给客户端(主要使用openid,openid = 用户微信号 + appid)
将用户信息保存在第三方资源服务器,key是令牌id,value是用户信息;并将令牌作为头信息,保存在客户端浏
览器中
* 浏览器携带token向本地服务器申请资源,本地服务器使用公钥解密token,查询数据库,获得用户的授权信息
本地数据库的权限表关联openid,使用公钥解密第三方认证系统的token,获取出openid;客户度请求本地服务器的资源,校验用户携带token的合法性,并返回数据给客户端浏览器
5.jwt
JWT(json web token)是一种在通信双方传递json数据的规范;JWT包含三部分,每部分用点隔开,eg:aa.bb.cc;
* header:{type:"jwt",alg:"hash算法"}
* Payload:负载,携带数据,{id:"1",name:"张三"}
* signature:签名,使用base64url将header和payload进行编码,防止内容被篡改
使用私钥对JWT数据加密,使用公钥解密出JWT数据
springboottest如果测试类的包无法被引导类扫描,@SpringBootTest(classes=Applicaiton.class)
Oauth2授权码模式
1.申请授权码
get==> localhost:40400/auth/oauth/authorize?client_id=XcWebApp&response_type=code&scop=app&redirect_uri=http://localhost
client_id:客户端id,和授权配置类中设置的客户端id一致。
response_type:授权码模式固定为code
scop:客户端范围,和授权配置类中设置的scop一致。
redirect_uri:跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)
2.申请令牌
post==> http://localhost:40400/auth/oauth/token
请求体参数:
grant_type:授权类型,填写authorization_code,表示授权码模式
code:授权码,就是刚刚获取的授权码,注意:授权码只使用一次就无效了,需要重新申请。
redirect_uri:申请授权码时的跳转url,一定和申请授权码时用的redirect_uri一致。
此链接需要使用 http Basic认证。
响应体数据:
access_token:访问令牌,携带此令牌访问资源
token_type:有MAC Token与Bearer Token两种类型,两种的校验算法不同,RFC 6750建议Oauth2采用 Bearer (空格) access_token
refresh_token:刷新令牌,使用此令牌可以延长访问令牌的过期时间。
expires_in:过期时间,单位为秒。
scope:范围,与定义的客户端范围一致
3.受保护本地资源的配置
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
private static final String PUBLIC_KEY = "publickey.txt";
@Bean
public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
return new JwtTokenStore(jwtAccessTokenConverter);
}
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setVerifierKey(getPubKey());
return converter;
}
private String getPubKey() {
Resource resource = new ClassPathResource(PUBLIC_KEY);
try {
InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream());
BufferedReader br = new BufferedReader(inputStreamReader);
return br.lines().collect(Collectors.joining("\n"));
} catch (IOException ioe) {
return null;
}
}
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui",
"/swagger-resources","/swagger-resources/configuration/security",
"/swagger-ui.html","/webjars/**").permitAll()
.anyRequest().authenticated();
}
}
4.依赖
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
Oauth2密码模式
1.直接申请令牌
post请求==> http://localhost:40400/auth/oauth/token
请求参数:
grant_type:密码模式授权填写password
username:账号
password:密码
并且此链接需要使用 http Basic认证。
响应数据:
exp:过期时间,long类型,距离1970年的秒数(new Date().getTime()可得到当前时间距离1970年的毫秒数)。
user_name: 用户名
client_id:客户端Id,在oauth_client_details中配置
scope:客户端范围,在oauth_client_details表中配置
jti:与令牌对应的唯一标识
companyId、userpic、name、utype、id:这些字段是本认证服务在Spring Security基础上扩展的用户身份信息
扫一扫
1186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
