SpringBootSecurity学习（23）前后端分离版之OAuth2.0 其它模式

密码模式

前面介绍了授权码模式和刷新令牌两种获取最新令牌的方法，下面来看一下其它模式。首先看密码模式，我们默认配置的三种模式中其实就包含密码模式的支持：

因此我们启动项目，直接使用密码模式即可，访问地址是：

• http://ip:port/oauth/token

参数有五个，分别是：

• grant_type：密码模式值必须为 password
• username：用户名
• password：密码
• client_id：客户端id
• client_secret：客户端秘钥

访问示例如下：

密码模式适用于用户高度信任的情况，只有高度信息才能传用户名密码，谨慎使用。

隐藏模式

有些web应用是纯前端的应用，需要允许授权服务直接向前端颁发令牌。这种方式没有授权码这个中间步骤，所以称为（授权码）"隐藏式"（implicit）。访问链接示例如下：

• http://localhost:8028/oauth/authorize?clientid=clientId&responsetype=token&redirect_uri=http://localhost:8028/&scope=all

可以看到这种方式比授权码模式多了一个scope参数，在使用隐藏模式之前，需要授权服务支持隐藏模式，就需要在授权类型中加上 implicit：

然后将上面的链接输入到浏览器，会出现登录页面，登录成功后，链接中会直接出现令牌：

注意，令牌的位置是 URL 锚点（fragment），而不是查询字符串（querystring），这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议，因此存在"中间人攻击"的风险，而浏览器跳转时，锚点不会发到服务器，就减少了泄漏令牌的风险。

凭证模式

最后一种方式是凭证式（client credentials），适用于没有前端的命令行应用，即在命令行下请求令牌。请求地址如下：

• http://localhost:8028/oauth/token?granttype=clientcredentials&clientid=clientId&clientsecret=secret

请求前，先在授权类型中配置凭证模式：

请求结果示例：

这种方式给出的令牌，是针对第三方应用的，而不是针对用户的，即有可能多个用户共享同一个令牌。

代码地址： https://gitee.com/blueses/spring-boot-security 28

本文由博客一文多发平台 OpenWrite 发布！