Auth2.0原理

最新推荐文章于 2025-03-08 21:00:00 发布
最新推荐文章于 2025-03-08 21:00:00 发布
阅读量2.9w 收藏 41
点赞数 6
分类专栏: 【Java基础】 文章标签: Auth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangquanit/article/details/53302801
版权

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。

一、为什么要使用OAuth

为了理解OAuth的适用场合,让我举一个假设的例子。
有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。
问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。
(1)"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
(2)Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
(3)"云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
(4)用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。

(5)只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

OAuth就是为了解决上面这些问题而诞生的。


二、OAuth2.0授权流程

关于OAuth2.0协议的授权流程可以参考下面的流程图


其中Client指第三方应用,Resource Owner指用户,Authorization Server是我们的授权服务器,Resource Server是API服务器。

解释一下上述流程:

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。

三、授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。
授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)

四、授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。


它的步骤如下:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

下面是上面这些步骤所需要的参数。
A步骤中,客户端申请认证的URI,包含以下参数:
response_type:表示授权类型,必选项,此处的值固定为"code"
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

下面是一个例子。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
C步骤中,服务器回应客户端的URI,包含以下参数:
code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
下面是一个例子。 

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz
D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:
grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
code:表示上一步获得的授权码,必选项。
redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
client_id:表示客户端ID,必选项。

下面是一个例子。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步骤中,认证服务器发送的HTTP回复,包含以下参数:
access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。


下面是一个例子。

 HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

Refresh Token 是 Access Grants 的一种,在获取 Access Token 时,认证服务器将返回相应的 Refresh Token,如果 Access Token 过期,就可以用 Refresh Token 去刷新。

一般针对移动应用时,在返回access_token时会返回refresh_token。refresh_token 也是有有效期的,当refresh_token失效的后,需要用户重新授权。


refresh_token失效后,可重新获取。
首选需要用户授权,获取code后获取refresh_token,包含参数:

client_id:表示客户端的ID,必填项

grant_type:固定值 ,填refresh_token , 必填项

refresh_token:填写通过access_token获取到的refresh_token参数,必填项。


五、案列

以微信登录为例,整个认证授权流程如下:

1、打开授权页面

GET https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4afd02a0d14d2e89&redirect_uri=wx4afd02a0d14d2e89%3A%2F%2Foauth&response_type=code&scope=snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact&state=none&uin=MTA1MjE4MTQwMA%3D%3D&lang=zh_CN&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ HTTP/1.1

参数说明:

appid:wx4afd02a0d14d2e89
redirect_uri:wx4afd02a0d14d2e89://oauth
response_type:code
scope:snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact
state:none
uin:MTA1MjE4MTQwMA==
lang:zh_CN
key:08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3
pass_ticket:2wuB7BcROVt5mIoS4BI06jZ+970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ

2、点击登录 获取code

一个code只能成功获取一次AccessToken

POST https://open.weixin.qq.com/connect/oauth2/authorize_reply HTTP/1.1
Host: open.weixin.qq.com
Connection: keep-alive
Q-UA2: QV=3&PL=ADR&PR=WX&PP=com.tencent.mm&PPVN=6.3.30&TBSVC=36842&CO=BK&COVC=036872&PB=GE&VE=GA&DE=PHONE&CHID=0&LCID=9422&MO= MI3W &RL=1080*1920&OS=6.0.1&API=23
Q-GUID: 24ee875dc809037e90eaa4ea13b788cb
Q-Auth: 31045b957cf33acf31e40be2f3e71c5217597676a9729f1b
Content-Length: 288
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/wxpc,*/*;q=0.8
Origin: https://open.weixin.qq.com
User-Agent: Mozilla/5.0 (Linux; Android 6.0.1; MI 3W Build/MMB29M) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.0.0 Mobile MQQBrowser/6.8 TBS/036872 Safari/537.36 MicroMessenger/6.3.30.920 NetType/WIFI Language/zh_CN
Content-Type: application/x-www-form-urlencoded
Referer: https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4afd02a0d14d2e89&redirect_uri=wx4afd02a0d14d2e89%3A%2F%2Foauth&response_type=code&scope=snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact&state=none&uin=MTA1MjE4MTQwMA%3D%3D&lang=zh_CN&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,en-US;q=0.8

snsapi_userinfo=on&allow=%E7%A1%AE%E8%AE%A4%E7%99%BB%E5%BD%95&uuid=0315whxAUTCzUabF&uin=MTA1MjE4MTQwMA%3D%3D&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ
snsapi_userinfo	on
allow	确认登录
uuid	0315whxAUTCzUabF
uin	MTA1MjE4MTQwMA==
key	08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3
pass_ticket	2wuB7BcROVt5mIoS4BI06jZ+970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ
响应 

HTTP/1.1 301 Move Permanently
Connection: keep-alive
Location: wx4afd02a0d14d2e89://oauth?code=011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN&state=none
Content-Length: 0
重定义到redirect_uri?code=

3、获取access_token

GET https://api.weixin.qq.com/sns/oauth2/access_token?appid=wx4afd02a0d14d2e89&secret=610afefcafe40a95b41314ed48868da2&code=011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN&grant_type=authorization_code HTTP/1.1
appid	wx4afd02a0d14d2e89
secret	610afefcafe40a95b41314ed48868da2
code	011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN
grant_type	authorization_code

User-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0.1; MI 3W MIUI/V8.1.3.0.MXDCNDI)
Host: api.weixin.qq.com
Connection: Keep-Alive
Accept-Encoding: gzip


HTTP/1.1 200 OK
Connection: keep-alive
Content-Type: text/plain
Date: Wed, 23 Nov 2016 01:49:21 GMT
Content-Length: 377

{
"access_token":"lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk",
"expires_in":7200,
"refresh_token":"K-kLkcG7xUJRrdp06os-YQlmzokEjIKMGaYm61EjMygPXsXqw30FJL6jpiEJTOnjAcXD9NzKjx9ke4ftqQAnmiIr2v7dp-QI3XXuLhlmooo",
"openid":"oPYxRwa6z4QWPAJn82a9fFZaKTKA",
"scope":"snsapi_userinfo",
"unionid":"odRDvvoL8q_FSMZ4gN3H54PHp2_E"
}

四、获取用户信息 

GET https://api.weixin.qq.com/sns/userinfo?access_token=lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk&openid=oPYxRwa6z4QWPAJn82a9fFZaKTKA HTTP/1.1
access_token	lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk
openid	oPYxRwa6z4QWPAJn82a9fFZaKTKA

User-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0.1; MI 3W MIUI/V8.1.3.0.MXDCNDI)
Host: api.weixin.qq.com
Connection: Keep-Alive
Accept-Encoding: gzip

HTTP/1.1 200 OK
Connection: keep-alive
Content-Type: text/plain
Date: Wed, 23 Nov 2016 01:49:22 GMT
Content-Length: 350

{
"openid":"oPYxRwa6z4QWPAJn82a9fFZaKTKA",
"nickname":"小伙子",
"sex":1,"language":"zh_CN",
"city":"Chaoyang",
"province":"Beijing",
"country":"CN",
"headimgurl":"",
"privilege":[],
"unionid":"odRDvvoL8q_FSMZ4gN3H54PHp2_E"
}


六、参考

Oauth2.0

新浪微博授权
微信授权

理解Auth2.0






Auth2.0单点登录(企业开发流程)
m0_65013257的博客
10-08 1339
实习中接到需求单点登录,记录一下单点登录在企业中的实际应用。其实单点登录在不同的业务中处理细节还是不相同的,我这里仅举例我们这个需求中如何处理的一种情形。
oauth2.0 原理讲解
02-23
51cto购买的视频中的讲解ppt 主要讲解oauth2的协议理论,没有demo。
java每日精进 3.08 OAUTH 2.0
weixin_51721783的博客
03-08 1047
系统之间的用户授权;(Implicit Grant),它是 OAuth 2.0 协议中一种较为简化的授权流程,主要用于一些特殊场景;隐式授权模式适用于纯前端应用,尤其是那些运行在浏览器中的 JavaScript 应用。由于这类应用无法安全地存储客户端密钥(因为代码是公开的,容易被获取),所以隐式授权模式去掉了授权码这一中间环节,直接返回访问令牌,以简化流程。
oauth2开放认证协议原理及案例分析
volcan1987的专栏
02-23 5873
之前翻译过一篇  OAuth认证协议原理分析及使用方法 ,虽然 OAuth2还没有正式发布,但是国内外的OAuth2的采用情况几乎要完全替代掉OAuth1.1了。像淘宝、腾讯、人人网、百度开放平台就已经采用Oauth2,新浪微博也发来邮件说是要很快上马OAuth2,彻底替换掉OAuth1.1。目前OAuth2到了 v20草稿阶段 ,最新的版本是 2011年7月25号发布的,协议变化还是很快
Oauth2.0原理
01-04 156
http://homeway.me/ Oauth2.0是第三方接入的一个安全协议 今天查了查Oauth2.0接入原理,感觉挺有意思的 0x01.关于Oauth Oauth是允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用的协议。 例如我们想要获取github的用户账号信息。
OAuth 2.0 的一个简单解释
lamb7758的博客
04-12 315
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,不容易理解。其实说起来并不复杂,下面我就通过一个简单的类比,帮助大家轻松理解,OAuth 2.0 到底是什么。 一、快递员问题 场景:我住在一个大型的居民小区,小区装有门禁系统,进入的时候需要输入密码。 需求:我经常网购和外卖,每天都有快递员来送货。我必须找到一个办法,让快递员通...
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
转-OAuth2.0 原理流程及其单点登录和权限控制
booleandev
07-09 1448
传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。认证(authentication): 验证用户的身份;授权(authorization): 验证用户的访问权限。
从入门到精通 SpringSecurity & Auth2.0
安静的软件工程师
08-16 1019
从入门到精通 SpringSecurity & Auth2.0
auth2.0
u010900754的专栏
09-26 1862
auth2.0是一种对第三方授权协议。假设用户的数据存储在服务器server上,第三方应用想要使用用户在server上的数据,一种办法就是用户直接使用sevrer的账号+密码登录第三方,然后第三方就可以直接从server上取数据了。这种做法的坏处在于需要把用户名和密码暴露给第三方,那么首先,第三方是否足够安全值得怀疑,其次第三方本身是否有安全漏洞,再者失去控制,第三方具有了随意使用用户账户的能力。...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
Auth2.0授权码模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
OAuth 2.0 原理介绍
邢雪源的专栏
08-20 3824
最近在做对用户的认证及REST API的访问权限控制,需要用OAuth来实现第三方应用对我们API的访问控制。OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth在全世界得到广泛应用,目前版本是2.0版。本文对OAuth 2.0的应用场景、设计思路和运行流程做一个简明通俗的解释。
oauth2.0 原理
读万卷书,行万里路
03-27 425
oauth2.0原理 在OAuth 2.0中,术语“授权类型”是指应用程序获取访问令牌的方式。 具体流程如下(原理) 1.应用程序打开浏览器以将用户发送到OAuth服务器 2.用户看到授权提示并批准应用程序的请求 3.使用查询字符串中的授权代码将用户重定向回应用程序 4.应用程序交换访问令牌的授权代码 可以看一下这两篇文章:http://www.ruanyifeng.com/blog/2014/...
Oauth2.0认证原理
太多的虚幻
11-18 1419
(A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。
统一认证中心-auth2.0
CCCdingding的博客
10-27 2021
背景 随着微服务架构的兴起,模块之间细分力度更小。许多公司将单点登录会做成一个统一的微服务平台。但是一旦抽象出一个单独的微服务平台之后,就会涉及到如下问题:(1)接入方在不同的域名,会涉及到跨域问题;(2)安全问题,整个登录接口全部暴露给所有的接入方,存在一定的数据泄露等问题。本片文章主要是介绍当前较通用的一种单点登录认证协议Auth2.0。 SSO单点登录介绍: 单点登录(SSO):传统的多点登录方式对于站点都会开发一套登录系统和用户数据维护系统,同时不同的站点整个用户的数据维护在其自己数据库中,无
什么是OAuth2.0
s041109的博客
05-23 790
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
dubbo框架整合oauth2.0
最新发布
04-03
<think>好的,我现在需要帮助用户解决如何将Dubbo框架与OAuth2.0进行整合的问题。首先,我需要了解Dubbo和OAuth2.0的基本概念,以及它们整合的可能方法。Dubbo是一个高性能的Java RPC框架,主要用于服务之间的远程调用。而OAuth2.0是一个授权框架,用于保护资源服务器的API,通常用在Web和微服务架构中。 用户的需求是将两者结合,这意味着在Dubbo服务调用过程中加入OAuth2.0的认证和授权机制。首先,我需要考虑Dubbo的扩展机制,比如过滤器(Filter),这是Dubbo提供的一种扩展点,可以在服务调用前后插入自定义逻辑。通过自定义Filter,可以在服务提供者和消费者两端进行令牌的验证和传递。 接下来,整合的关键步骤可能包括:在消费者端获取OAuth2.0的访问令牌,并将令牌附加到Dubbo的RPC上下文中;在提供者端从上下文中提取令牌,并通过OAuth2.0的授权服务器进行验证。这里需要用到Spring Security OAuth2的相关库,因为Spring Security提供了OAuth2的资源服务器和客户端支持。 然后,我需要考虑具体的实现步骤。首先在Dubbo的消费者端,使用自定义Filter在调用远程服务前,从安全上下文中获取当前用户的访问令牌,并将令牌放入Dubbo的RPC上下文(如RpcContext)。然后在提供者端,另一个自定义Filter会从RPC上下文中提取令牌,并通过Spring Security的OAuth2资源服务器配置来验证令牌的有效性和权限。 另外,需要注意Dubbo的版本是否支持所需的扩展点,以及如何配置Spring Security的资源服务器。例如,资源服务器需要配置JWT解码器或者远程令牌检查的端点,以确保能够验证传入的访问令牌。同时,服务之间的通信可能需要使用HTTPS来保证令牌传输的安全性。 还可能遇到一些问题,比如如何在不同服务之间传递安全上下文,或者如何处理令牌过期的情况。这时候可能需要结合Spring Security的上下文传播机制,或者在Dubbo的Filter中加入重试逻辑,当令牌失效时重新获取令牌。 最后,需要验证整合是否成功,可以通过编写测试用例,模拟服务调用,检查令牌是否被正确传递和验证,以及权限不足时的异常处理是否正确。此外,参考Spring Framework和Dubbo的官方文档,以及相关的整合案例,可以确保实现方法的正确性和最佳实践。 总结来说,整合Dubbo和OAuth2.0的关键在于利用Dubbo的Filter机制传递令牌,并结合Spring Security OAuth2进行令牌验证和权限控制。需要逐步实现消费者和提供者端的Filter,配置OAuth2资源服务器,并确保通信的安全性。</think>### Dubbo框架与OAuth2.0整合实现指南 #### 一、整合原理 Dubbo作为分布式服务框架,可通过扩展过滤器(Filter)实现OAuth2.0的令牌传递与验证机制。核心思路是在服务消费者端注入访问令牌,在服务提供者端进行令牌校验,流程如下: 1. **消费者端**:通过自定义Filter获取OAuth2访问令牌,存入Dubbo的RPC上下文 2. **提供者端**:通过Filter提取令牌,使用Spring Security OAuth2进行验证 3. **授权服务器**:统一处理令牌颁发与验证请求(需独立部署) #### 二、具体实现步骤 ##### 1. 添加依赖 ```xml <!-- Dubbo基础依赖 --> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-spring-boot-starter</artifactId> <version>3.0.7</version> </dependency> <!-- Spring Security OAuth2 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2-resource-server</artifactId> <version>5.7.3</version> </dependency> ``` ##### 2. 消费者端令牌注入 ```java @Activate(group = {CommonConstants.CONSUMER}) public class OAuth2ConsumerFilter implements Filter { @Override public Result invoke(Invoker<?> invoker, Invocation invocation) { // 从安全上下文获取令牌 Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication instanceof JwtAuthenticationToken) { String token = ((JwtAuthenticationToken)authentication).getToken().getTokenValue(); RpcContext.getClientAttachment().setAttachment("auth-token", token); } return invoker.invoke(invocation); } } ``` ##### 3. 提供者端令牌验证 ```java @Activate(group = {CommonConstants.PROVIDER}) public class OAuth2ProviderFilter implements Filter { @Override public Result invoke(Invoker<?> invoker, Invocation invocation) { String token = RpcContext.getServerAttachment().getAttachment("auth-token"); if (StringUtils.isEmpty(token)) { throw new RpcException("Missing access token"); } // 使用Spring Security验证令牌 JwtDecoder decoder = NimbusJwtDecoder.withJwkSetUri(jwkSetUrl).build(); decoder.decode(token); return invoker.invoke(invocation); } } ``` ##### 4. Spring Security配置 ```java @Configuration @EnableWebSecurity public class ResourceServerConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests(auth -> auth.anyRequest().authenticated()) .oauth2ResourceServer(OAuth2ResourceServerConfigurer::jwt); } } ``` #### 三、部署注意事项 1. **通信安全**:建议启用Dubbo的SSL/TLS加密传输 2. **令牌类型**:推荐使用JWT格式令牌减少授权服务器调用 3. **性能优化**:配置本地JWT解码器缓存公钥信息 4. **异常处理**:统一处理`AccessDeniedException`等安全异常 ```mermaid sequenceDiagram participant Consumer participant Provider participant AuthServer Consumer->>AuthServer: 获取访问令牌 AuthServer-->>Consumer: Bearer Token Consumer->>Provider: RPC调用(携带token) Provider->>AuthServer: 验证token有效性 AuthServer-->>Provider: 验证结果 Provider->>Consumer: 返回业务数据 ``` #### 四、验证测试 使用Postman测试接口时,需在Dubbo上下文中传递令牌: ```java RpcContext.getClientAttachment().setAttachment("auth-token", "Bearer xxxx.yyyy.zzzz"); ``` [^1]: 安全验证过程需要符合OAuth2.0规范要求 [^2]: 具体实现可参考Spring Security官方示例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值