Spring Security 与 OAuth2 介绍

我的 OAuth2 所有文章

• Spring Security 与 OAuth2（介绍）：https://www.jianshu.com/p/68f22f9a00ee
• Spring Security 与 OAuth2（受权服务器）：https://www.jianshu.com/p/227f7e7503cb
• Spring Security 与 OAuth2（资源服务器）：https://www.jianshu.com/p/6dd03375224d
• Spring Security 与 OAuth2（客户端）：https://www.jianshu.com/p/03e515c2b43f
• Spring Security 与 OAuth2（相关类参考）：https://www.jianshu.com/p/c2395772bc86
• Spring Security 与 OAuth2（完整案例）：https://www.jianshu.com/p/d80061e6d900

摘要：使用OAuth2 认证的好处就是你只须要一个帐号密码，就能在各个网站进行访问，而面去了在每一个网站都进行注册的繁琐过程，如：不少网站均可以使用微信登陆，网站做为第三方服务、微信做为服务提供商

OAuth2 角色

• resource owner：资源全部者（指用户）
• resource server：资源服务器存放受保护资源，要访问这些资源，须要得到访问令牌（下面例子中的 Twitter 资源服务器）
• client：客户端表明请求资源服务器资源的第三方程序（下面例子中的 Quora）客户端同时也多是一个资源服务器
• authrization server：受权服务器用于发放访问令牌给客户端（下面例子中的 Twitter 受权服务器）

OAuth2 工做流程例子

• 客户端 Quora 将本身注册到受权服务器上
• 用户访问 Quora 主页，它显示了各类登录选项
• 当用户点击使用 Twitter 登录时，Quora 打开一个新窗口，将用户重定向到 Twitter 的登录页面上
• 在这个新窗口中，用户使用他的帐号密码登录了 Twitter
• 若是用户以前未受权 Quora 应用程序使用他们的数据，则 Twitter 要求用户受权 Quora 来访问用户信息权限，若是用户已受权 Quora，此步骤则被跳过
• 通过正确的身份验证，Twitter 将用户和一个身份验证代码重定向到 Quora 的重定向 URI
• Quora 发送客户端 ID、客户端令牌和身份验证代码到 Twitter
• Twitter 验证这些参数后，将访问令牌发送到 Quora
• 成功获取访问令牌后用户被登录到 Quora 上，用户登陆 Quora 后点击他们的我的资料页面
• Quora 从 Twitter 资源服务器请求用户的资源，并发送访问令牌
• Twitter 资源服务器使用 Twitter 受权服务器验证访问令牌
• 成功验证访问令牌后，Twitter 资源服务器向 Quora 提供所须要的资源
• Quora 使用这些资源，并最终显示用户的我的资料页面

 

OAuth2 受权模式（出自阮一峰OAuth2博客）

受权码模式

• 受权码模式是功能最完整、流程最严密的受权模式，它的特色是经过客户端的后台服务器，与“服务器提供”的认证服务器进行互动

 

9434708-a464c0c64ca6ee9a.png

• 它的步骤以下：
  • （A）用户访问客户端，后者将前者导向认证服务器
  • （B）用户选择是否给予客户端受权
  • （C）假设用户给予受权，认证服务器将用户导向客户端事先指定的“重定向 URI”，同时附上一个受权码
  • （D）客户端收到受权码，附上早先的“重定向 URI”向认证服务器申请令牌，这一步是在客户端的后台服务器上完成的，对用户不可见
  • （E）认证服务器核对了受权码和重定向URI，确认无误后向客户端发送令牌和更新令牌
• 上述步骤中所须要的参数：
  • A步骤中，客户端申请认证的 URI，包含如下参数：
    • repsone_type：受权类型，必选，此处固定值“code”
    • client_id：客户端的ID，必选
    • client_secret：客户端的密码，可选
    • redirect_uri：重定向URI，可选
    • scope：申请的权限范围，可选
    • state：客户端当前的状态，能够指定任意值，认证服务器会原封不动的返回这个值

    GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

  • C步骤中，服务器回应客户端的URI，包含如下参数：
    • code：表示受权码，必须按，该码有效期应该很短，一般10分钟，客户端只能使用一次，不然会被受权服务器拒绝，该码与客户端 ID 和 重定向 URI 是一一对应关系
    • state：若是客户端请求中包含着歌参数，认证服务器的回应也必须如出一辙包含这个参数

    HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz 

  • D步骤中，客户端向认证服务器申请令牌的HTTP请求，包含如下参数：
    • grant_type：表示使用的受权模式，必选，此处固定值为“authorization_code”
    • code：表示上一步得到的受权吗，必选
    • redirect_uri：重定向URI，必选，与步骤 A 中保持一致
    • client_id：表示客户端ID，必选

    POST /token HTTP/1.1
    Host: server.example.com
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type: application/x-www-form-urlencoded
    
    grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

  • E步骤中，认证服务器发送的HTTP回复，包含如下参数：
    • access_token：表示令牌，必选
    • token_type：表示令牌类型，该值大小写不敏感，必选，能够是 bearer 类型或 mac 类型
    • expires_in：表示过时时间，单位为秒，若省略该参数，必须设置其它过时时间
    • refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选
    • scope：表示权限范围

    HTTP/1.1 200 OK
         Content-Type: application/json;charset=UTF-8
         Cache-Control: no-store
         Pragma: no-cache
    
         {
           "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" } 

  • 从上面代码能够看到，参数使用 JSON 格式发送（Content-Type: application/json），才外，HTTP头信息中明确指定不得缓存

简化模式

• 简化模式不经过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了“受权码”这个步骤

 

bg2014051205.png

• 它的步骤以下：
  • （A）客户端将用户导向认证服务器
  • （B）用户决定是否给予客户端受权
  • （C）假设用户给予受权，认证服务器将用户导向客户端指定的“重定向URI”，并在URI的Hash部分包含了访问令牌
  • （D）浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值
  • （E）资源服务器返回一个网页，其中包含了代码能够获取Hash值中的令牌
  • （F）浏览器执行上一步得到的脚本，取出令牌
  • （G）浏览器将令牌发给客户端
• 上述步骤中所须要的参数：
  • A步骤中，客户端发出HTTP请求，包含如下参数：
    • response_type：表示受权类型，此处固定值为"token"，必选
    • client_id：表示客户端ID，必选
    • redirect_uri：表示重定向URI，可选
    • scope：表示权限范围，可选
    • state：表示客户端当前状态，可指定任意值，认证服务器会原封不动返回这个值

    GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

  • C步骤中，认证服务器回应客户端的URI，包含如下参数：
    • access_token：表示访问令牌，必选
    • token_type：表示令牌类型，该值大小写不敏感，必选
    • expires_in：表示过时时间，单位为秒
    • scope：表示权限范围，若是与客户端申请的范围一致，可忽略
    • state：若是客户端请求中包含这个参数，认证服务器也要返回如出一辙的参数

    HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600 

• 上面例子中，认证服务器用HTTP头信息的Location栏，指定浏览器重定向的网址，注意，这个网址的Hash部分包含了令牌
• 根据D步骤，下一步浏览器会访问Location指定的网址，可是Hash部分不会被发送，接下来的E步骤，服务提供商的资源服务器发送过来的代码，提取出Hash令牌

密码模式

• 密码模式中，用户向客户端提供本身的用户名和密码，客户端使用这些信息向“服务提供商”索要受权

• 在这种模式中，用户必须把密码给客户端，但客户端不得存储密码，这一般在用户对客户端高端信任的状况下，好比客户端是操做系统的一部分，由一个著名的公司出品，而认证服务器只有在其它受权模式没法执行的状况下，才考虑该模式

 

9434708-6165f69e2bfc8881.png

• 它的步骤以下：
  • （A）用户向客户端提供用户名和密码
  • （B）客户端将用户名密码发送认证给服务器，向后者请求令牌
  • （C）认证服务器确认无误后，向客户端提供访问令牌
• 上述步骤中所须要的参数：
  • B步骤中，客户端发出HTTP请求，包含如下参数：
    • grant_type：受权类型，必选，此处固定值“password”
    • username：表示用户名，必选
    • password：表示用户密码，必选
    • scope：权限范围，可选

    POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded
    
     grant_type=password&username=johndoe&password=A3ddj3w

  • C步骤中，认证服务器向客户端发送访问令牌，下面是一个例子：

    HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache
    
     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" } 

客户端模式

• 客户端模式指客户端以本身名义，而不是用户名义，向“服务提供商”进行认证，严格地说，客户端模式不属于OAuth框架要解决的问题，在这种模式中，用户直接向客户端注册，客户端以本身名义要求“服务提供商”提供服务

 

bg2014051207.png

• 它的步骤以下：
  -（A）:客户端向认证服务器进行身份认证，并要求一个访问令牌
  -（B）:认证服务器确认无误后，向客户端提供访问令牌

• 上述步骤中所须要的参数：

  • A步骤中，客户端发出HTTP请求，包含如下参数：

    • granttype：表示受权类型，此处固定值为“clientcredentials”，必选
    • scope：表示权限范围，可选

    POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded
     grant_type=client_credentials

  • B步骤中，认证服务器向客户端发送访问令牌，下面是一个例子

    HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache
    
     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" } 

更新令牌

• 若是用户访问的时候，客户端“访问令牌”已通过期，则须要使用“更新令牌”申请一个新的令牌
• 客户端发出更新令牌请求，包含如下参数：
  • granttype：表示受权模式，此处固定值为“refreshtoken”，必选
  • refresh_token：表示早前收到的更新令牌，必选
  • scope：表示申请权限范围，不得超出上一次申请的范围，若省略该参数，则表示与上一次同样

  POST /token HTTP/1.1
   Host: server.example.com
   Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
   Content-Type: application/x-www-form-urlencoded
   grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

本文转载自

做者：林塬

來源：简书

连接：https://www.jianshu.com/p/68f22f9a00ee