一、首先创建一个空的父工程
二、授权服务器搭建
1、依赖如下:
2、Spring Security的基本配置
a、将用户存在内存中
b、配置了一个表单登录
3、配置授权服务器
将Token存在内存中
a、@EnableAuthorizationServer注解,表示开启授权服务器的自动化配置
b、Token支持刷新、Token的存储位置、Token的有效期、刷新Token的有效期
c、当Token快要过期的时候,我们需要获取一个新的Token,在获取新的Token的时候,需要有一个凭证信息,这个凭证信息就是
refresh_token,这个refresh_token也是有有效期的。
a、AuthorizationServerSecurityConfigurer用来配置令牌端点的安全约束、也就是这个端点谁能访问,谁不能访问。
b、checkTokenAccess是Token校验的端点,这里我们设置为可以直接访问(当资源服务器收到Token之后,会访问这个端点,校验Token的合法性)
c、ClientDetailsServiceConfigurer用来配置客户端的详细信息,授权服务器要做两方面的校验,一是校验客户端,二是校验客户,这里我们将客户端信息存在内存中,这里我们配置了客户端的id、secret、资源id、授权类型、授权范围、重定向uri。
a、authorizationCodeServices用来配置授权码的存储,这里我们存在内存中。
b、tokenServices用来配置令牌的存储,即access_token的存储位置,这里我们也是存储在内存中。
c、授权码是用来获取令牌的,使用一次就失效,令牌是用来获取资源的。
三、资源服务器搭建
资源服务器大多都是和授权服务器放在一起的,这里我们分开。资源服务器就是用来存放用户的资源,用户从授权服务器上拿到access_token之后,接下来就可以通过access_token来资源服务器请求数据。
1、依赖如下:
2、配置如下:
a、当资源服务器和授权服务器放在一起,就不需要配置RemoteTokenServices了。
b、RemoteTokenServices中我们配置了access_token的校验地址、client_id、client_secret这三个信息,当用户来资源服务器请求资源时,会携带上一个access_token,通过这里的配置,就能够校验出token是否正确。
3、测试用的接口:
4、修改资源服务器端口:
四、Postman测试
1、获取授权码code:
http://localhost:8080/oauth/authorize?client_id=cli&response_type=code
respinse_type 表示响应类型,这里是code表示响应一个授权码。
2、授权服务器的默认登录页面:
询问是否授权cli这个用户去访问被保护的资源,我们选择approve(批准),然后点击下方的Authorize按钮。
scope 表示授权范围。
授权服务器给出的授权码。
3、根据拿到的code,去请求http://localhost:8080/oauth/token获取Token:
access_token 就是我们请求数据所需要的令牌,
refresh_token 是我们刷新token需要的令牌,
expires_in 表示token有效期还剩多少秒。
4、授权码使用一次就会失效,使用第二次会报如下错误。
5、根据我们拿到的access_token,去请求资源服务器,access_token通过请求头传递。
access_token我们可以用一个定时任务去维护,不用每次请求页面都去获取,定期去获取最新的access_token即可。
6、当授权服务器通过后,我们拿着access_token去资源服务器加载数据。
因为张三没有 ls的权限,所有访问被拒绝。
2471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
