本文主要介绍了OAuth2.0的基本概念和角色,以及Spring Cloud Security OAuth2的实现,包括环境搭建、授权服务器配置、授权码模式、简化模式、密码模式和客户端模式。特别强调适用于Spring Boot 2.5.6版本。
注意!注意!适用此文的spring boot版本最高为2.5.6!
注意!注意!适用此文的spring boot版本最高为2.5.6!
6.1OAuth2.0介绍
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。
OAuth2.0已被广泛应用。
下面是OAuth2.0的认证流程:引自:rfc6749 (ietf.org)
OAuth2.0包括以下角色:
1、客户端
本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、web客户端(浏览器端)、微信客户端等。
2、资源拥有者
通常为用户,也可以是应用程序,即该资源的拥有者。
3、授权服务器(也称认证服务器)
用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌(access_token),作为客户端访问资源服务器的凭据。
4、资源服务器
存储资源的服务器。本例子为微信存储的用户信息。
现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?答案是否定的,服务提供商会给准入的接入方一个身份,用于接入时的凭据:
client_id: 客户端标识,
client_secret: 客户端密钥
因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。
6.2 Spring Cloud Security OAuth2
6.2.1 环境介绍
Spring Security OAuth2 是对OAuth2.0的一种实现,并且跟我们之前学习的Spring Security相辅相成,与Spring Cloud体系的集成也非常便利。
OAuth2.0的服务提供方涵盖两个服务,即授权服务(Authorization Server,也叫认证服务)和资源服务(Resource Server),使用Spring Security OAuth2的时候你可以选择把它们在同一个引用程序中实现,也可以选择建立使用同一个授权服务的多个资源服务。
授权服务(Authorization Server) 应包含对接入端以及登入用户的合法性进行验证并颁发token等功能,对令牌的请求端点由Spring MVC 控制器进行实现,下面是配置一个认证服务必须要实现的endpoints:
- AuthorizationEndpoint服务用于认证服务;默认URL:/oauth/authorize
- TokenEndpoint服务用于访问令牌的服务;默认URL:/oauth/token
资源服务(Resource Server),应包含对资源的保护功能,对非法的请求进行拦截,对请求中的token进行解析鉴权等,下面的过滤器用于实现OAuth2.0资源服务:
OAuth2AuthenticationProcessingFilter用来对请求给出的身份令牌解析鉴权。
环境搭建:
cloud 工程,和security有关的依赖是:
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
<version>2.2.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
<version>2.2.13.RELEASE</version>
<exclusions>
<exclusion>
<groupId>org.springframework.boot</groupId&g
最低0.47元/天 解锁文章
扫一扫
305
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
