在上一篇Spring Security 实战干货:OAuth2 授权回调的核心认证流程中,我们讲了当第三方同意授权后会调用发送回执给我们的服务器。我们的服务器拿到一个中间授信凭据会再次进行认证,目的是为了获取Token。而这个逻辑由负责,经过上一文的分析后我们发现获取Token的具体逻辑由来完成,今天就把它的流程搞清楚,来看看Spring Security OAuth2 认证授权获取Token的具体步骤。
?
注意:本Spring Security干货系列教程的 OAuth2 相关部分是在Spring Security 5.x版本的。
该类是针对OAuth 2.0中Authorization Code Grant模式的实现。关于有必要简单强调一下,它已经多次在Spring Security 干货系列中出现,十分重要!一定要去看看相关的分析和使用,它是你根据业务扩展认证方式渠道的重要入口。
在该实现中包含了一个成员变量,它抽象了通过端点从认证服务器获取Token的细节。你可以根据OAuth 2.0常用的四种模式来进行实现它, 以达到根据不同的策略来获取Token的能力。
OAuth 2.0 四种模式的对应实现
在Spring Security 5中OAuth 2.0登录的配置中默认使用。如果你想使用自定义实现的话可以通过来配置:
接下来我们看看实现的获取Token的逻辑:
这里的方式跟我另一个开源项目Payment Spring Boot的请求方式异曲同工,都是三个步骤:
组织参数。
发起请求。
解析组织返回值。
如果有些的OAuth 2.0认证服务器获取Token的方式比较特殊你可以自行实现。
是的核心要点。搞清楚它的作用和机制就可以了。这里我们总结一下的认证过程:
检测未授信的状态是否合法。
通过请求OAuth 2.0认证服务器获取Token等信息。
组装认证过的授信返回。
到此OAuth 2.0的登录流程就搞清楚了,读者可通过系列文章进行学习批判。
?
56万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
