1.描述:
以下请求中,clientId和clientSecret是前端固定的,后端中生成token需要获取比对校验。
2.疑问:
clientId和clientSecret是哪里来的?
http://localhost:8080/userApi/uauthentication/unified/login
{
"clientId": "XXXXX",
"clientSecret": "XXXXX",
"username": "baoyin@ele-cloud.com",
"password": "y8IskDfgcJmiC76b3MnhlA==",
"_t": 1650770934
}
@PostMapping("/unified/login")
public R login(HttpServletRequest request, @RequestBody EntUserDTO entUserDTO) throws Exception {
log.info("账号密码登录:/login入参:{}", JSON.toJSONString(entUserDTO));
R<UserVO> r = signinService.parameterCheck(entUserDTO);
if(r.getCode() != R.SUCCESS){
return r;
}
UserVO data = r.getData();
//获取token
String token = signinService.getToken(request, entUserDTO);
HashMap<String, Object> map = new HashMap<>();
map.put("token",token);
map.put("userId",data.getUserId());
userService.updateUserLastLoginTime(data.getUserId());
return new R(map);
}
3.四种授权模式
- Authorization Code(授权码模式):正宗的OAuth2的授权模式,客户端先将用户导向认证服务器,登录后获取授权码,然后进行授权,最后根据授权码获取访问令牌;
- Implicit(简化模式):和授权码模式相比,取消了获取授权码的过程,直接获取访问令牌;
- Resource Owner Password Credentials(密码模式):客户端直接向用户获取用户名和密码,之后向认证服务器获取访问令牌;
- Client Credentials(客户端模式):客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌
4.疑惑解决
- 使用密码请求该地址获取访问令牌:http://localhost:10001/oauth/token
-
使用Basic认证通过client_id和client_secret构造一个Authorization头信息;
参考文章:
Spring Security(二)OAuth2认证详解_追兔子的乌龟的博客-CSDN博客_spring-security-oauth2-jose