Spring Security Oauth2 从零到一完整实践(一)
好久没有写一篇长文章了,本身提及来其实年初换成 solo 到如今,写的让本身满意的技术性文章也就只有 spring boot restful API 从零到一完整实践 这篇了,其余的其实都是只属于本身比较容易理解的笔记和记录而已。想一想年中了,仍是须要写上这么一篇实践性文章的。这段时间比较折磨本身的,莫过于就是 spirng security oauth2 了,本身折腾了好久,也算是学会了一些吧,按照原来的方式,写了一篇文章。前面也写过 spring boot security oauth2 构建简单安全的 restful api,可是太过于基础而且那时候本身也有不少不懂,如今实践了不少,有了更加深刻的了解,记录一下顺便分享给你们。javascript
github 地址:spring-security-oauth2-democss
博客地址:echocow.cnhtml
[TOC]前端
系列文章
- 较为详细的学习 oauth2 的四种模式其中的两种受权模式
- spring boot oauth2 自动配置实现
- spring security oauth2 受权服务器配置
- spring security oauth2 资源服务器配置
- spring security oauth2 自定义受权模式(手机、邮箱等)
- spring security oauth2 踩坑记录
本来打算所有写完一块儿发的,可是才写到第三点,就已经上万字了,因此仍是以为分系列发吧~java
预备知识
具有如下基础知识可以方便你更好的阅读本篇文章mysql
- spring 基础
- spring boot web 的使用与配置
- spring security 的使用与配置
- postman 的使用
- idea、maven、lombok 的使用与配置
Oauth2
学习一项新的东西以前,咱们要先了解一下他为咱们解决了哪些事,可以带来什么样的便利,而在 IT 行业,了解一个东西最简单的方式就是去他的官网了解,因此咱们先去官网了解一下这个协议:Oauth2jquery
An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.git
一个容许从Web、移动和桌面应用程序简单和标准方法进行安全受权的开放协议。github
The OAuth 2.0 authorization framework enables third-party applications to obtain limited access to a web service.web
OAuth 2.0 受权框架使第三方应用程序可以得到对 Web 服务的有限访问权限。
从官网的解释就能够知道它能够完成以下两件事:
- 对你的应用站点进行安全受权
- 使第三方应用程序可以得到对 Web 服务的有限访问权限
咱们这篇教程就是经过 spring security oauth2 来完成这么两件事。咱们来详细了解一下这个协议,首先了解什么要使用 oauth2。咱们以 web 为例来进行了解。
传统应用
在咱们传统的 web 应用中,咱们的前端页面和后端的逻辑都是一块儿部署的,大概流程以下:
当咱们发送一个请求的时候,直接先发给后端处理,后端处理完成后将数据发送给前端,而后前端渲染,再交给用户,因此有了模板引擎这个东西,例如 jsp、thymeleaf、freemarker 这些,都是这样的流程。而这些个东西最为重要的就是 session,你能够经过存储在 session 里面的东西对他进行受权/认证等操做,大概以下:
如今的应用
那么如今咱们的应用是什么样的呢?如今的前端已经再也不是只有 html、css、javascript 了,也再也不是 bootstrap 的天下,也没有 jquery 一出,万人空巷了。前端项目组建工程化,已经可以完整的独立成为一个工程化的项目了。因此咱们如今先后端是彻底分离的,先后端各司其职,前端完成前端的事,只作页面,后端完成后端的事,只作逻辑和数据库操做,彻底两个独立的引用,经过接口进行交互,那么咱们的大概流程以下:
用户经过浏览器请求前端应用的页面,而后页面里面加载请求到数据,再渲染页面。那么如今的受权没有 session 了,先后端是彻底独立的两个项目了,咱们要怎么进行认证受权呢?对于一个受保护的应用来讲,他的请求流程以下:
在这个流程中,咱们后端应用其实变成了两个,一个是受权服务器一个是资源服务器,固然你彻底能够简爱嗯他们两个同时写在一个之中。单独提出来的好处是什么呢?最主要的一点就是上面提到的 使第三方应用程序可以得到对 Web 服务的有限访问权限,简单的说就是可以更加方便的另一个应用接入。当你写好一个受权服务器之后,其余应用就能够共用这个受权服务器,他们就做为资源服务器亦或是客户端便可。
角色
在这个协议中,咱们须要明确一个 角色 的概念,在前面的和传统应用的对比中,咱们提到了资源服务器和受权服务器,这就是其中两个角色,在 Oauth2 中,总共有四种角色:
| 名称 | 英文名 | 描述 | web例子 |
|---|---|---|---|
| 资源全部者 | resource owner | 可以授予对受保护资源的访问权的实体。当资源全部者是一我的时,它就是用户。 | 用户 |
| 资源服务器 | resource server | 承载受保护资源的服务器,可以使用访问令牌接受和响应受保护资源请求。 | 后端资源数据 |
| 客户端 | client | 表明资源全部者及其受权发出受保护资源请求的应用程序。“客户端” 并不意味着任何特定的实现特征(例如,应用程序是否在服务器、桌面或其余设备上执行)。 | 前端应用 |
| 受权服务器 | authorization server | 在成功认证资源全部者并得到受权后,服务器向客户端发出访问令牌。 | 后端受权 |
而受权服务器能够是与资源服务器相同的服务器或单独的服务器。 单个受权服务器能够发出由多个资源服务器接受的访问令牌。
流程图大概以下:
+--------+ +-----------------+
| |--(A)------- 受权请求 -------->| |
| | | 资源全部者(用户) |
| |<-(B)------- 受权许可 ---------| |
| | +-----------------+
| |
| | +-----------------+
| |--(C)------- 受权许可 -------->| |
| 客户端 | | 受权服务器(1 |
| |<-(D)----- Access Token ----)| |
| | +-----------------+
| |
| | +-----------------+
| |(-(E)---- Access Token ----->| |
| | | 资源服务器(2 |
| |<-(F)---- 获取受保护的资源 -----| |
+--------+ +-----------------+
复制代码
图中所示的 抽象 OAuth 2.0 流程描述了四个角色之间的交互,包括如下步骤:
(A)客户机请求资源全部者(用户)的受权。受权请求能够直接发送给资源全部者(如图所示),最好经过做为中介的受权服务器间接发送。简单地说,用户点击登陆,会转到登陆页面显示给用户。
(B)客户端接收受权许可,这是表示资源全部者受权的凭据,使用 Oauth2 规范中定义的四种受权类型之一或使用扩展受权类型表示。受权授予类型取决于客户机用于请求受权的方法和受权服务器支持的类型。简单地说,选择 oauth2 中四种受权模式进行受权。
(C)客户端经过向受权服务器进行认证并呈现受权受权来请求访问令牌。简单地说,客户端会向受权服务器使用前面选择的四种方式之一请求认证。
(D)受权服务器对客户端进行身份验证并验证受权授予,若是有效,则发出访问令牌。简单地说,受权成功发放令牌。
(E)客户端从资源服务器请求受保护的资源,并经过呈现访问令牌进行身份验证。简单地说,携带 令牌 请求资源服务器。
(F)资源服务器验证访问令牌,若是有效,则为请求服务。简单地说,若是令牌有效,就容许访问资源。
(1)受权服务器能够只有一台,一台受权能够发放多个资源服务器。
(2)资源服务器须要关联一台受权服务器做为资源的保护和认证。
最为重要的部分为 B 中的 受权许可,它是表明资源全部者的受权(访问其受保护的资源)的凭据,客户端使用该受权来得到访问令牌。该规范定义了四种受权类型——受权代码、隐式、资源全部者密码凭证和客户端凭证——以及用于定义其余类型的可扩展性机制(自定义受权)。
四种受权模式
客户端必须获得用户的受权(authorization grant),才能得到令牌(access token)。OAuth 2.0定义了四种受权方式以下:
- 受权码模式(authorization code)
- 密码模式(resource owner password credentials)
- 简化模式(implicit)
- 客户端模式(client credentials)
- 扩展模式(extension)
最为经常使用的为第1、二种,咱们这篇文章也只会完成第一二种,四种具体请参考 阮一峰 理解OAuth 2.0 ,请注意详细看文章的 名词定义 模块。阮一峰老师的文章已经写的很清楚了,可是我依旧仍是须要指明一下咱们即将开始的第一二种的 api 设计。
注意:如下 api 设计为 spring security 提供实现,并非 oauth2 的标准 api 实现
不过在那以前,咱们先来了解一下 客户端的加密
客户端加密
在 spring security oauth 中,推荐加密咱们的客户端信息,客户端和受权服务器创建适合受权服务器安全要求的客户端认证方法。受权服务器能够接受知足其安全要求的任何形式的客户端身份验证。通常来讲咱们使用的是 密码验证 的方式加密咱们的客户端信息。
推荐的方式是使用 HTTP Basic ,咱们须要设置如下参数,当设置成功之后将客户端凭证加密存放在请求头中去请求受权信息,参数以下:
| 参数名称 | 是否必填 | 描述 |
|---|---|---|
| client_id | REQUIRED | 客户端 id |
| client_secret | REQUIRED | 客户端密码,若是客户机secret是空字符串,则客户机能够省略该参数 |
当咱们请求的时候,须要设置相应的客户端认证信息,并存放在请求头中,设置方法以下:
Authorization: Basic client_id:client_secret base64编码
eg:
client_id:web
client_secret:secret
加密“web:secret” 获得 “QmFzaWMgd2ViOnNlY3JldA==”
受权请求头中须要携带以下键值对:
Authorization: Basic QmFzaWMgd2ViOnNlY3JldA==
复制代码
这是保证客户端安全十分重要的一环,强烈推荐对客户端进行加密!
受权码模式
他是一种流程最为严密,安全性最高的受权模式,主要为如下几个步骤:
注意:如下全部请求都必须在请求头中携带上一点中的客户端加密信息!
- 用户进入应用,携带一个 重定向应用地址 到 受权服务器 进行登陆,在登陆成功而且用户赞成受权之后,受权服务携带一个生成的 受权码 重定向到指定的 重定向应用地址 。
- 应用携带接收到的 受权码 再次去请求 受权服务器,在验证成功后,验证服务器下发 token。
因此须要两个请求,在 spring security oauth2 中,api 以下,咱们将这些 api 称为 端点:
受权端点
- /oauth/authorize:受权端点,经过此端点跳转到 受权服务器 进行认证,完成第一个请求。携带以下参数:
| 参数名称 | 是否必填 | 描述 |
|---|---|---|
| response_type | REQUIRED | 必须为 code |
| client_id | REQUIRED | 客户端的 id |
| redirect_uri | OPTIONAL | 获取受权码后重定向地址 |
| scope | OPTIONAL | 申请的权限范围 |
| state | RECOMMENDED | 客户端的当前状态,能够指定任意值,认证服务器会原封不动地返回这个值,推荐。 |
受权成功的状况,会携带如下两个参数重定向到到 redirect_uri 中:
| 参数名称 | 是否必有 | 描述 |
|---|---|---|
| code | REQUIRED | 受权服务器生成的受权代码。受权代码必须在发布后不久过时,以下降泄漏的风险。最大受权代码生命周期为10分钟 |
| state | REQUIRED | 若是上一步中提供 state 参数,会原封不动地返回这个值。 |
注意:官网中给出的解释 code 有 RECOMMENDED 推荐的状况,可是我没找到如何使用,因此没写。
受权失败的状况分为两种
- 若是请求因为重定向URI丢失、无效或不匹配而失败,或者若是客户端标识符丢失或无效,受权服务器应通知资源全部者错误,而且不得自动将用户代理重定向到无效的重定向URI。
- 若是资源全部者拒绝访问请求,或者若是请求因为除了丢失或无效重定向URI之外的缘由而失败,则受权服务器经过使用
application/x-www-form-urlencoded格式向重定向 URI 的查询组件添加如下参数来通知客户端,参数以下:(对于 spring ,目前没有遇到 error_uri 属性)
| 参数名称 | 是否必有 | 值 | 描述 |
|---|---|---|---|
| error | REQUIRED | invalid_request | 请求缺乏必需的参数,包括无效的参数值,不止一次地包含参数,或者存在其余形式的异常。 |
| unauthorized_client | 未受权客户端使用此方法请求受权代码。 | ||
| access_denied | 资源全部者或受权服务器拒绝了该请求。 | ||
| unsupported_response_type | 受权服务器不支持使用此方法获取受权代码。 | ||
| invalid_scope | 请求的做用域无效、未知或格式不正确。 | ||
| server_error | 受权服务器遇到意外状况,没法知足请求。(此错误代码是必需的,由于500内部服务器错误HTTP状态代码不能经过HTTP重定向返回给客户端。) | ||
| temporarily_unavailable | 因为服务器暂时过载或维护,受权服务器当前没法处理该请求。(此错误代码是必需的,由于503服务不可用的HTTP状态代码不能经过HTTP重定向返回给客户端。) | ||
| error_description | OPTIONAL | - | 提供附加信息的人类可读ASCII [USASCII]文本,用于帮助客户端开发人员理解所发生的错误。 |
| error_uri | OPTIONAL | 一种带有错误信息的可读网页的URI标识,用于向客户端开发人员提供有关错误的附加信息。 |
令牌端点
- /oauth/token:令牌端点,经过上一步获取到的 受权码 验证与生成令牌,完成第二个请求,携带以下参数:
| 参数名称 | 是否必填 | 描述 |
|---|---|---|
| grant_type | REQUIRED | 使用的受权模式,值固定为"authorization_code" |
| code | REQUIRED | 上一步得到的受权码 |
| redirect_uri | REQUIRED | 重定向URI,必须与上一步中的该参数值保持一致 |
| client_id | REQUIRED | 客户端的 id |
| scope | RECOMMENDED | 受权范围,必须与第一步相同 |
若是访问令牌请求有效且通过受权,受权服务器将发出访问令牌和可选的刷新令牌,能够获得以下响应参数:
| 参数名称 | 是否必有 | 描述 | 是否有实现 |
|---|---|---|---|
| access_token | REQUIRED | 受权服务器颁发的访问令牌 | 是 |
| token_type | REQUIRED | 令牌类型,该值大小写不敏感,能够是bearer类型或mac类型 | 是 |
| expires_in | RECOMMENDED | 过时时间,单位为秒 | 是 |
| refresh_token | OPTIONAL | 表示更新令牌,用来获取下一次的访问令牌 | 是,须要设置 |
| scope | OPTIONAL | 权限范围,若是有,则与客户端申请的范围一致 | 是 |
若是请求客户端身份验证失败或无效,受权服务器将返回错误响应,受权服务器使用HTTP 400(错误请求)状态代码进行响应(除非另有说明),并在响应中包含如下参数:
| 参数名称 | 是否必有 | 值 | 描述 |
|---|---|---|---|
| error | REQUIRED | invalid_request | 请求缺乏必需的参数,包含不受支持的参数值(受权类型除外),重复参数,包含多个凭据,使用多个机制来验证客户端,或者格式不正确。 |
| invalid_client | 客户端身份验证失败(例如,未知客户端、不包含客户端身份验证或不支持的身份验证方法)。受权服务器能够返回一个超文本传输协议401(未受权)状态码,以指示支持哪些超文本传输协议认证方案。若是客户端试图经过“受权”请求头字段进行身份验证,受权服务器必须用一个HTTP 401(未受权)状态代码进行响应,并包括与客户端使用的身份验证方案相匹配的“WWW-Authenticate”响应头字段。 |
||
| invalid_grant | 所提供的受权授予(例如,受权代码、资源全部者凭证)或刷新令牌无效、过时、已撤销、不匹配受权请求中使用的重定向URI,或已向其余客户机发出。 | ||
| unauthorized_client | 通过身份验证的客户端无权使用此受权受权类型。 | ||
| unsupported_grant_type | 受权服务器不支持受权受权类型。 | ||
| invalid_scope | 请求的范围无效、未知、格式错误或超出了资源全部者授予的范围。 | ||
| error_description | OPTIONAL | - | 提供附加信息的人类可读ASCII [USASCII]文本,用于帮助客户端开发人员理解所发生的错误。 |
| error_uri | OPTIONAL | - | 一种带有错误信息的可读网页的URI标识,用于向客户端开发人员提供有关错误的附加信息。 |
密码模式
这种模式能够理解成咱们普通应用的用户名密码登陆,在第三方接入的时候不建议使用这种模式,可是若是是本身的应用,那么这种模式是最为简单方便快捷的了。步骤只有一个:
注意:如下全部请求都必须在请求头中携带上面所说的客户端加密信息!
- 用户携带用户名密码请求受权服务器,验证经过后下发令牌
他只须要一个请求,因此她只有一个令牌端点:
令牌端点
- /oauth/token:令牌端点,携带以下参数请求便可:
| 请求参数 | 是否必填 | 描述 |
|---|---|---|
| grant_type | REQUIRED | 使用的密码模式,值固定为"password" |
| username | REQUIRED | 用户名 |
| password | REQUIRED | 密码 |
| scope | OPTIONAL | 请求权限范围 |
请求成功和失败的响应同受权码模式。
安全考虑
注意:如下全部请求都必须在请求头中携带上面所说的客户端加密信息!
做为一个灵活且可扩展的框架,OAuth 的安全考虑取决于许多因素。spring security oauth 为咱们提供了一些默认的端点以下:
- /oauth/authorize:受权端点
- /oauth/token:令牌端点
- /oauth/token:令牌端点也同时拥有刷新用户的功能,请求参数以下:
| 参数名称 | 是否必填 | 描述 |
|---|---|---|
| grant_type | REQUIRED | 固定值为“refresh_token” |
| refresh_token | REQUIRED | 请求到 token 时传过来的 refresh_token |
- /oauth/confirm_access:用户确认受权提交端点
- /oauth/error:受权服务错误信息端点
- /oauth/check_token:用于资源服务访问的令牌解析端点,请求参数以下:
| 参数名称 | 是否必填 | 描述 |
|---|---|---|
| token | REQUIRED | 获得的有效的令牌 |
- /oauth/token_key:提供公有密匙的端点,若是你使用JWT令牌的话
技术选型
- 核心框架:spring boot
- 构建工具:maven
- 应用框架:spring boot data jpa
- 数据库:mysql
- web: spring boot web
- 测试框架:junit五、spring boot test
- 开发工具:idea
- 安全框架:spring security oauth2
在这以前
咱们须要对项目的基本初始化,也就是使用 idea 建立咱们 spring boot 项目
父项目忘记添加 web 依赖了,以下:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
复制代码
可选,配置阿里云国内源仓库
<repositories>
<!--阿里云主仓库,代理了maven central和jcenter仓库-->
<repository>
<id>aliyun</id>
<name>aliyun</name>
<url>https://maven.aliyun.com/repository/public</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
<!--阿里云代理Spring 官方仓库-->
<repository>
<id>spring-milestones</id>
<name>Spring Milestones</name>
<url>https://maven.aliyun.com/repository/spring</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
<!--远程插件库-->
<pluginRepositories>
<!--阿里云代理Spring 插件仓库-->
<pluginRepository>
<id>spring-plugin</id>
<name>spring-plugin</name>
<url>https://maven.aliyun.com/repository/spring-plugin</url>
<releases>
<enabled>true</enabled>
</releases>
<snapshots>
<enabled>false</enabled>
</snapshots>
</pluginRepository>
</pluginRepositories>
复制代码
注意:请自行配置 lombok 支持!!!
这样,咱们的父项目基本就构建完成了
咱们下一篇回来完成第二件事,spring security oauth2 自动配置实现。
- 1. 从零开始的Spring Security Oauth2(一)
- 2. Re:从零开始的Spring Security Oauth2(二)
- 3. 从零开始的Spring Security Oauth2(三)
- 4. Re:从零开始的Spring Security Oauth2(三)
- 5. 从零开始的Spring Security Oauth2(二)
- 6. 从零开始Spring Security (一)
- 7. Spring Boot 整合 Spring Security + OAuth2
- 8. Spring Boot 整合Spring Security OAuth2
- 9. Spring Security源码分析十一:Spring Security OAuth2整合JWT
- 10. 【Spring Security】SpringCloudGateway 整合Spring Security Oauth2
- 更多相关文章...
- • PHP 完整表单实例 - PHP教程
- • 第一个Spring程序 - Spring教程
- • RxJava操作符(一)Creating Observables
- • Docker容器实战(一) - 封神Server端技术
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 从零开始的Spring Security Oauth2(一)
- 2. Re:从零开始的Spring Security Oauth2(二)
- 3. 从零开始的Spring Security Oauth2(三)
- 4. Re:从零开始的Spring Security Oauth2(三)
- 5. 从零开始的Spring Security Oauth2(二)
- 6. 从零开始Spring Security (一)
- 7. Spring Boot 整合 Spring Security + OAuth2
- 8. Spring Boot 整合Spring Security OAuth2
- 9. Spring Security源码分析十一:Spring Security OAuth2整合JWT
- 10. 【Spring Security】SpringCloudGateway 整合Spring Security Oauth2